设置
所有文档

          多用户访问控制

          设置

          设置账户别名

          • 为你的账户设置账户别名,从而得到一个简单易懂的IAM用户登录链接。
          • 如果选择APP登录,对应的主账号部分填写的也是在此处自定义的账户别名。

          操作步骤

          1. 进入控制台,鼠标移动到页面右上角头像处,进入多用户访问控制 > 设置
          2. 编辑账户别名设置部分

          例如: 账户别名设置为 test_123,则 PC 登录链接会简化为http://test_123.login.bce.baidu.com,APP登录时主账号别名部分填写 test_123 即可。

          安全设置

          设置密码策略

          自定义密码策略用于加强IAM子用户的密码强度、有效期等,以保证你的账户安全。目前百度智能云支持配置的密码策略有:

          1. 密码长度:默认填写8位,范围8-32位;
          2. 至少包含:多选,可选“大写字母”“小写字母”“数字”“特殊字符(!”#$%&’()*+,-./:;<=>?@[]^_>{Ι}<)”;选择某类元素则表示密码中至少要包含一个此元素,如选择“大写字母”和“小写字母”,则表示密码中必须要至少包含一个大写字母和至少一个小写字母;
          3. 密码有效期:默认0天,表示永久有效,范围0-1095;密码过期3天内控制台会弹窗提示,请及时修改密码;
          4. 密码过期后策略:
          • 不限制登录,表示密码过期后子用户仍然可以登录控制台,但必须重置密码;
          • 限制登录,表示密码过期后子用户无法登录控制台,必须由管理员用户重置密码;
          1. 历史密码检查:默认1次,表示不能与上一次密码重复,范围0-24;
          2. 密码重试约束:一小时内使用错误密码登录超过一定次数,则锁定一小时,默认5次,范围0-32,0表示无约束;

          设置会话过期时间

          登录会话过期是指用户登录后,如果在有效时间内不进行任何操作,系统自动清理当前用户的会话信息,以保证账户安全。会话过期后,需要重新登录控制台。

          说明:

          • 时间设置范围为15分钟~23小时59分钟,默认过期时间为1小时,用户可以根据实际情况自行设置。
          • 此功能对主子用户同时生效。

          IP白名单

          在IAM上对所有使用服务的设置IP白名单,IAM用户在直接登录控制台或是使用OpenAPI或SDK访问百度智能云资源时,来源IP必须在IP白名单内才能进行访问。

          当前IP白名单功能支持:

          • 限制子用户登录控制台,即限制非白名单内的IP登录控制台进行操作;
          • 限制编程访问云资源,即限制非白名单内的IP通过OpenAPI或SDK访问云资源,当前已支持编程访问限制的云服务清单见下文。

          你可以选择只限制子用户登录或是限制编程访问,也可以同时限制2种方式。

          IP白名单填写要求

          填写允许访问的 IP 地址或者 IP 段。

          • IP 白名单不设置则默认整个网路。
          • 若需要添加多个 IP,用英文逗号或者空格隔开。
          • 若填写 IP 段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问,支持CIDR模式。

          AccessKey泄漏监测与告警

          在用户配置了IP白名单的基础上,可以进一步选择打开用户AccessKey泄漏监测与告警功能,对于来自非白名单内IP的AccessKey访问,在一定时间内达到一定次数会触发BCM提供的事件告警,从而帮助客户及时发现潜在AccessKey泄漏的情况,有效保障云账号的资产安全。

          AccessKey(后文统一简称AK)泄漏监测与告警使用BCM事件监控能力,具体开通需要完成如下2个步骤:

          1. 在多用户访问控制的设置模块,打开AK泄漏监测告警;
          2. 在云监控BCM的事件监控模块,配置BCT服务的事件监控;

          打开AK泄漏监测告警

          开启IP白名单功能后,在AK泄漏监测告警选项处,点击开启按钮,即可完成在多用户访问控制的配置,下一步需要跳转到BCM的事件监控模块,进行相应配置。

          image.png

          配置事件告警

          BCM的事件监控中,需要完成报警策略配置、报警动作配置:

          1. 点击创建报警策略
          2. 在策略信息模块,填写策略名称,选择服务为云审计BCT,地域默认为全局,其他保持默认选项;
          3. 在报警动作模块中,选择已配置的报警动作,将告警信息推送到相应的联系人或组,如你尚未配置任何报警,可先添加报警动作,详细可参考配置报警动作

          配置完成后,对于来自非IP白名单内的AK调用,只要符合报警触发条件,即会按照在BCM中配置的报警动作,对相应的联系人或是群组进行告警通知。收到告警后,建议相关人员按照通知提示,到云审计服务中查看详细的访问记录,以确认是否为安全访问。

          支持编程访问云资源IP限制的服务清单

          计算

          产品名称
          云服务器 BCC
          物理服务器 BBC
          应用引擎 BAEPRO
          容器实例 BCI
          容器引擎 CCE
          函数计算 CFC
          专属服务器 DCC

          网络

          产品名称
          弹性公网IP EIP
          负载均衡 BLB
          智能云解析 DNS
          私有网络 VPC

          存储与CDN

          产品名称
          内容分发网络 CDN
          对象存储 BOS
          文件存储 CFS
          存储网关 BSG

          安全与管理

          产品名称
          DDoS防护服务 ADAS
          云监控 BCM
          云安全 BSS

          数据分析

          产品名称
          百度MapReduce BMR
          百度流式计算 BSC
          百度数据科学平台 JARVIS
          百度消息服务 KAFKA

          数据库

          产品名称
          云数据库 RDS
          云数据库 SCS
          云数据库 HTAP for CockroachDB
          云数据库 DocDB for MongoDB

          网站服务

          产品名称
          云主机管家 HME
          云虚拟主机 BCH
          域名服务 BCD

          物联网服务

          产品名称
          时序数据库 TSDB
          规则引擎 Rule Engine
          物解析 IoT Parser
          物管理 IoT Device
          智能调度 ILS
          度行智能车辆云 IVC
          智能调度 ILS
          函谷物联安全系统 HISK

          智能多媒体服务

          产品名称
          文档服务 DOC
          音视频直播 LSS
          实时音视频通信 RTC
          音视频点播 VOD

          人工智能

          产品名称
          OCR能力引擎 AI_OCR
          人脸能力引擎 AI_FACE
          百度机器学习 AI_BML

          区块链

          产品名称
          百度区块链引擎 BBE
          上一篇
          账户安全审计
          下一篇
          API参考(IAM)