账号保护分为登录保护和操作保护:
- 登录保护:开启登录保护之后,在用户登录之后将会要求进行二次验证
- 操作保护:在火山引擎控制台进行敏感操作时,要求必须进行二次验证。敏感操作包括对安全手机验证,查看AK/SK,删除资源等等。敏感操作无法被关闭。
登录保护和操作保护可以使用安全手机、安全邮箱和MFA设备三种方式完成,可以在安全设置中进行设置。允许设置多于一种方式进行验证。
对于账号保护可以设置操作免验的豁免期,表示在完成校验之后,在指定的时间内重复登录、或进行敏感操作时,不需要重复进行验证。对于登录保护,可设置没有豁免期,即代表每次登录均需要进行二次校验;或设置最少5分钟,最多7天的豁免期。对于操作保护,可以设置最少5分钟,最多30分钟的豁免期,默认5分钟。
1. 登录账号后进入火山引擎控制台,点击账号名称进入“ 账号管理 ”页面,左侧选择“ 安全设置 ”
2. 在“ 账号保护 ”中选择开启登录保护。开启登录保护本身属于敏感操作,需要使用设置的方式完成身份校验。对于火山引擎账号,默认采用安全手机验证码的方式完成校验。
3. 可点击“ 修改规则 ”,设置登录保护可采用的方式。在账号设置了安全邮箱,绑定MFA设备之后可选择除了安全手机之外的验证方式。在设置中同样可选择豁免的时长。
注:若因为MFA设备解绑,安全邮箱被删除等情况导致对应校验方式不可用,但登录保护依然在开启的情况下,默认会恢复到使用安全手机进行验证。如此时不需要进行登录保护二次校验,请关闭登录保护以免造成登录问题。
1. 登录账号后进入火山引擎控制台,点击账号名称进入“ 账号管理 ”页面,左侧选择“ 安全设置 ”
2. 在“ 账号保护 ”中可查看操作保护的方式,可以点击“ 修改规则 ”对校验方式进行修改。设置操作保护本身属于敏感操作,需要使用之前设置的方式完成身份校验。对于火山引擎账号,默认采用安全手机验证码的方式完成校验。在规则中可选择敏感操作的校验,并同样选择豁免的时长。
当前会触发操作保护的包括以下的操作:
| 服务 | 操作名称 |
|---|---|
| 账号管理 | 修改账号名称 |
| 账号管理 | 修改密码 |
| 账号管理 | 修改安全邮箱和手机 |
| 账号管理 | 管理MFA设备 |
| 账号管理 | 管理登录保护和操作保护 |
| 账号管理 | 设置登录态规则 |
| 账号管理 | 修改密码规则 |
| 访问控制 | 创建IAM用户 |
| 访问控制 | 修改用户权限 |
| 访问控制 | 开启或关闭控制台登录 |
| 访问控制 | 创建AK/SK |
| 访问控制 | 查看SK |
| 访问控制 | IAM用户关联或解除权限策略 |
| 访问控制 | 修改用户密码 |
| 访问控制 | 修改安全手机和邮箱 |
| 访问控制 | 管理用户的MFA设备 |
| 访问控制 | 管理用户登录保护和操作保护 |
| 访问控制 | 统一设置IAM用户登录态规则 |
| 访问控制 | 统一设置IAM用户密码规则 |
| 访问控制 | 统一设置IAM用户登录保护 |
| 访问控制 | 创建身份供应商设置 |
| 访问控制 | 修改或删除身份供应商设置 |
| 企业组织 | 创建或邀请成员账号 |
| 企业组织 | 移除成员账号 |
| 企业组织 | 修改成员账号信息 |
| 企业组织 | 关闭企业组织 |
| 费用中心 | 修改延停权益 |
| 域名 | 修改DNS |
| 域名 | 持有者过户 |
| 域名 | 更新认证信息 |
| 域名 | 更新联系方式 |
| 域名 | 更新DNS Host |
| 域名 | 删除DNS Host |
| 域名 | 域名转出 |
| 域名 | 域名账号间转移 |
| 域名 | 会员间Push |
| 证书 | 下载证书 |
| 证书 | 吊销证书 |
| 实时音视频 | 禁用或删除APP Key |
| 实时音视频 | 修改应用状态 |
| VeImageX | 删除图像模板 |
| VeImageX | 删除图像服务 |
| VeImageX | 删除域名 |
| E-MapReduce | 释放或关闭集群 |
注:若因为MFA设备解绑,安全邮箱被删除等情况导致对应校验方式不可用,默认会恢复到使用安全手机进行敏感操作验证。
强烈推荐操作保护设置多个方式进行验证,以避免在某一种方式不可用的情况下可以采用其他方式进行换绑。