多用户访问控制

    设置

    设置账户别名

    • 为你的账户设置账户别名,从而得到一个简单易懂的IAM用户登录链接。
    • 如果选择APP登录,对应的主账号部分填写的也是在此处自定义的账户别名。

    操作步骤

    1. 进入控制台,鼠标移动到页面右上角头像处,进入多用户访问控制 > 设置
    2. 编辑账户别名设置部分

    例如: 账户别名设置为 test_123,则 PC 登录链接会简化为http://test_123.login.bce.baidu.com,APP登录时主账号别名部分填写 test_123 即可。

    安全设置

    设置密码策略

    自定义密码策略用于加强IAM子用户的密码强度、有效期等,以保证你的账户安全。目前百度智能云支持配置的密码策略有:

    1. 密码长度:默认填写8位,范围8-32位;
    2. 至少包含:多选,可选“大写字母”“小写字母”“数字”“特殊字符(!”#$%&’()*+,-./:;<=>?@[]^_>{Ι}<)”;选择某类元素则表示密码中至少要包含一个此元素,如选择“大写字母”和“小写字母”,则表示密码中必须要至少包含一个大写字母和至少一个小写字母;
    3. 密码有效期:默认0天,表示永久有效,范围0-1095;密码过期3天内控制台会弹窗提示,请及时修改密码;
    4. 密码过期后策略:
    • 不限制登录,表示密码过期后子用户仍然可以登录控制台,但必须重置密码;
    • 限制登录,表示密码过期后子用户无法登录控制台,必须由管理员用户重置密码;
    1. 历史密码检查:默认1次,表示不能与上一次密码重复,范围0-24;
    2. 密码重试约束:一小时内使用错误密码登录超过一定次数,则锁定一小时,默认5次,范围0-32,0表示无约束;

    设置会话过期时间

    登录会话过期是指用户登录后,如果在有效时间内不进行任何操作,系统自动清理当前用户的会话信息,以保证账户安全。会话过期后,需要重新登录控制台。

    说明:

    • 时间设置范围为15分钟~23小时59分钟,默认过期时间为1小时,用户可以根据实际情况自行设置。
    • 此功能对主子用户同时生效。

    IP白名单

    在IAM上对所有使用服务的设置IP白名单,IAM用户在直接登录控制台或是使用OpenAPI或SDK访问百度智能云资源时,来源IP必须在IP白名单内才能进行访问。

    当前IP白名单功能支持:

    • 限制子用户登录控制台,即限制非白名单内的IP登录控制台进行操作;
    • 限制编程访问云资源,即限制非白名单内的IP通过OpenAPI或SDK访问云资源,当前已支持编程访问限制的云服务清单见下文。

    你可以选择只限制子用户登录或是限制编程访问,也可以同时限制2种方式。

    IP白名单填写要求

    填写允许访问的 IP 地址或者 IP 段。

    • IP 白名单不设置则默认整个网路。
    • 若需要添加多个 IP,用英文逗号或者空格隔开。
    • 若填写 IP 段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问,支持CIDR模式。

    AccessKey泄漏监测与告警

    在用户配置了IP白名单的基础上,可以进一步选择打开用户AccessKey泄漏监测与告警功能,对于来自非白名单内IP的AccessKey访问,在一定时间内达到一定次数会触发BCM提供的事件告警,从而帮助客户及时发现潜在AccessKey泄漏的情况,有效保障云账号的资产安全。

    AccessKey(后文统一简称AK)泄漏监测与告警使用BCM事件监控能力,具体开通需要完成如下2个步骤:

    1. 在多用户访问控制的设置模块,打开AK泄漏监测告警;
    2. 在云监控BCM的事件监控模块,配置BCT服务的事件监控;

    打开AK泄漏监测告警

    开启IP白名单功能后,在AK泄漏监测告警选项处,点击开启按钮,即可完成在多用户访问控制的配置,下一步需要跳转到BCM的事件监控模块,进行相应配置。

    image.png

    配置事件告警

    BCM的事件监控中,需要完成报警策略配置、报警动作配置:

    1. 点击创建报警策略
    2. 在策略信息模块,填写策略名称,选择服务为云审计BCT,地域默认为全局,其他保持默认选项;
    3. 在报警动作模块中,选择已配置的报警动作,将告警信息推送到相应的联系人或组,如你尚未配置任何报警,可先添加报警动作,详细可参考配置报警动作

    配置完成后,对于来自非IP白名单内的AK调用,只要符合报警触发条件,即会按照在BCM中配置的报警动作,对相应的联系人或是群组进行告警通知。收到告警后,建议相关人员按照通知提示,到云审计服务中查看详细的访问记录,以确认是否为安全访问。

    支持编程访问云资源IP限制的服务清单

    计算

    产品名称
    云服务器 BCC
    物理服务器 BBC
    应用引擎 BAEPRO
    容器实例 BCI
    容器引擎 CCE
    函数计算 CFC
    专属服务器 DCC

    网络

    产品名称
    弹性公网IP EIP
    负载均衡 BLB
    智能云解析 DNS
    私有网络 VPC

    存储与CDN

    产品名称
    内容分发网络 CDN
    对象存储 BOS
    文件存储 CFS
    存储网关 BSG

    安全与管理

    产品名称
    DDoS防护服务 ADAS
    云监控 BCM
    云安全 BSS

    数据分析

    产品名称
    百度MapReduce BMR
    百度流式计算 BSC
    百度数据科学平台 JARVIS
    百度消息服务 KAFKA

    数据库

    产品名称
    云数据库 RDS
    云数据库 SCS
    云数据库 HTAP for CockroachDB
    云数据库 DocDB for MongoDB

    网站服务

    产品名称
    云主机管家 HME
    云虚拟主机 BCH
    域名服务 BCD

    物联网服务

    产品名称
    时序数据库 TSDB
    规则引擎 Rule Engine
    物解析 IoT Parser
    物管理 IoT Device
    智能调度 ILS
    度行智能车辆云 IVC
    智能调度 ILS
    函谷物联安全系统 HISK

    智能多媒体服务

    产品名称
    文档服务 DOC
    音视频直播 LSS
    实时音视频通信 RTC
    音视频点播 VOD

    人工智能

    产品名称
    OCR能力引擎 AI_OCR
    人脸能力引擎 AI_FACE
    百度机器学习 AI_BML

    区块链

    产品名称
    百度区块链引擎 BBE
    上一篇
    账户安全审计
    下一篇
    API参考(IAM)