设置
设置账户别名
- 为你的账户设置账户别名,从而得到一个简单易懂的IAM用户登录链接。
- 如果选择APP登录,对应的主账号部分填写的也是在此处自定义的账户别名。
操作步骤
- 进入控制台,鼠标移动到页面右上角头像处,进入多用户访问控制 > 设置。
- 编辑账户别名设置部分
例如: 账户别名设置为 test_123,则 PC 登录链接会简化为http://test_123.login.bce.baidu.com,APP登录时主账号别名部分填写 test_123 即可。
子用户安全设置
设置密码策略
自定义密码策略用于加强IAM子用户的密码强度、有效期等,以保证你的账户安全。目前百度智能云支持配置的密码策略有:
- 密码长度:默认填写8位,范围8-32位;
- 至少包含:多选,可选“大写字母”“小写字母”“数字”“特殊字符(!”#$%&’()*+,-./:;<=>?@[]^_>{Ι}<)”;选择某类元素则表示密码中至少要包含一个此元素,如选择“大写字母”和“小写字母”,则表示密码中必须要至少包含一个大写字母和至少一个小写字母;
- 密码有效期:默认0天,表示永久有效,范围0-1095;密码过期3天内控制台会弹窗提示,请及时修改密码;
- 密码过期后策略:
- 不限制登录,表示密码过期后子用户仍然可以登录控制台,但必须重置密码;
- 限制登录,表示密码过期后子用户无法登录控制台,必须由管理员用户重置密码;
- 历史密码检查:默认1次,表示不能与上一次密码重复,范围0-24;
- 密码重试约束:一小时内使用错误密码登录超过一定次数,则锁定一小时,默认5次,范围0-32,0表示无约束;
保存MFA状态7天
在开启登录保护双因素认证的前提下,开启保存MFA状态7天,即可在登录保护验证时勾选"信任这台机器,7天内无需再次验证",验证通过后,7天内使用相同的浏览器登录时,无需进行登录保护验证
说明:
- 此功能对主子用户同时生效。
设置会话过期时间
登录会话过期是指用户登录后,如果在有效时间内不进行任何操作,系统自动清理当前用户的会话信息,以保证账户安全。会话过期后,需要重新登录控制台。
说明:
- 时间设置范围为15分钟~23小时59分钟,默认过期时间为1小时,用户可以根据实际情况自行设置。
- 此功能对主子用户同时生效。
IP白名单
在IAM上对所有使用服务的设置IP白名单,IAM用户在直接登录控制台或是使用OpenAPI或SDK访问百度智能云资源时,来源IP必须在IP白名单内才能进行访问。
当前IP白名单功能支持:
- 限制子用户登录控制台,即限制非白名单内的IP登录控制台进行操作;
- 限制编程访问云资源,即限制非白名单内的IP通过OpenAPI或SDK访问云资源,当前已支持编程访问限制的云服务清单见下文。
你可以选择只限制子用户登录或是限制编程访问,也可以同时限制2种方式。
IP白名单填写要求
填写允许访问的 IP 地址或者 IP 段。
- IP 白名单不设置则默认整个网路。
- 若需要添加多个 IP,用英文逗号或者空格隔开。
- 若填写 IP 段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问,支持CIDR模式。
AccessKey泄漏监测与告警
在用户配置了IP白名单的基础上,可以进一步选择打开用户AccessKey泄漏监测与告警功能,对于来自非白名单内IP的AccessKey访问,在一定时间内达到一定次数会触发BCM提供的事件告警,从而帮助客户及时发现潜在AccessKey泄漏的情况,有效保障云账号的资产安全。
AccessKey(后文统一简称AK)泄漏监测与告警使用BCM事件监控能力,具体开通需要完成如下2个步骤:
- 在多用户访问控制的设置模块,打开AK泄漏监测告警;
- 在云监控BCM的事件监控模块,配置BCT服务的事件监控;
打开AK泄漏监测告警
开启IP白名单功能后,在AK泄漏监测告警选项处,点击开启按钮,即可完成在多用户访问控制的配置,下一步需要跳转到BCM的事件监控模块,进行相应配置。
配置事件告警
BCM的事件监控中,需要完成报警策略配置、报警动作配置:
- 点击创建报警策略;
- 在策略信息模块,填写策略名称,选择服务为云审计BCT,地域默认为全局,其他保持默认选项;
- 在报警动作模块中,选择已配置的报警动作,将告警信息推送到相应的联系人或组,如你尚未配置任何报警,可先添加报警动作,详细可参考配置报警动作
配置完成后,对于来自非IP白名单内的AK调用,只要符合报警触发条件,即会按照在BCM中配置的报警动作,对相应的联系人或是群组进行告警通知。收到告警后,建议相关人员按照通知提示,到云审计服务中查看详细的访问记录,以确认是否为安全访问。
支持编程访问云资源IP限制的服务清单
计算
| 产品名称 |
|---|
| 云服务器 BCC |
| 物理服务器 BBC |
| 应用引擎 BAEPRO |
| 容器实例 BCI |
| 容器引擎 CCE |
| 函数计算 CFC |
| 专属服务器 DCC |
网络
| 产品名称 |
|---|
| 弹性公网IP EIP |
| 负载均衡 BLB |
| 智能云解析 DNS |
| 私有网络 VPC |
存储与CDN
| 产品名称 |
|---|
| 内容分发网络 CDN |
| 对象存储 BOS |
| 文件存储 CFS |
| 存储网关 BSG |
安全与管理
| 产品名称 |
|---|
| DDoS防护服务 ADAS |
| 云监控 BCM |
| 云安全 BSS |
数据分析
| 产品名称 |
|---|
| 百度MapReduce BMR |
| 百度流式计算 BSC |
| 百度数据科学平台 JARVIS |
| 百度消息服务 KAFKA |
数据库
| 产品名称 |
|---|
| 云数据库 RDS |
| 云数据库 SCS |
| 云数据库 HTAP for CockroachDB |
| 云数据库 DocDB for MongoDB |
网站服务
| 产品名称 |
|---|
| 云主机管家 HME |
| 云虚拟主机 BCH |
| 域名服务 BCD |
物联网服务
| 产品名称 |
|---|
| 时序数据库 TSDB |
| 规则引擎 Rule Engine |
| 物解析 IoT Parser |
| 物管理 IoT Device |
| 智能调度 ILS |
| 智能调度 ILS |
| 函谷物联安全系统 HISK |
智能多媒体服务
| 产品名称 |
|---|
| 文档服务 DOC |
| 音视频直播 LSS |
| 实时音视频通信 RTC |
| 音视频点播 VOD |
人工智能
| 产品名称 |
|---|
| OCR能力引擎 AI_OCR |
| 人脸能力引擎 AI_FACE |
| 百度机器学习 AI_BML |
区块链
| 产品名称 |
|---|
| 百度区块链引擎 BBE |