应用运维管理 AOM-AOM安全配置建议:建议妥善管理身份认证信息,减小因凭证泄露导致的数据泄露风险
时间:2025-07-10 14:54:06
下载应用运维管理 AOM用户手册完整版
复制链接到剪贴板
分享文章到微博
分享文章到朋友圈
建议妥善管理身份认证信息,减小因凭证泄露导致的数据泄露风险
无论用户通过 AOM 控制台还是API、SDK访问AOM,都会要求访问请求方出示身份凭证,并进行身份合法性校验,同时提供登录保护和登录验证策略加固身份认证安全。AOM服务基于 统一身份认证 服务(Identity and Access Management, IAM ),支持四种身份认证方式:用户名密码、访问密钥、临时访问密钥、AccessCode凭证。同时还提供登录保护及登录验证策略。
- 建议使用临时AK/SK进行业务处理,减小凭证泄露导致数据泄露的风险
使用AOM API或SDK查询指标、告警等资源时,都需要进行身份凭证认证,用于确保请求的机密性、完整性和请求者身份的正确性。建议您为应用程序或服务配置IAM委托或临时AK/SK,通过IAM委托可以获取一组临时AK/SK,临时AK/SK到期自动过期失效,可以有效降低凭证泄露造成的数据泄露风险。详情请参见临时访问密钥和通过委托获取临时AK/SK。
- 定期轮转永久AK/SK减小凭证泄露导致数据泄露的风险
如您必须使用永久AK/SK,建议对永久AK/SK进行定期凭证轮转,同时加密存储,避免凭证长期使用过程中预置的明文凭证泄露导致数据泄露。详情请参见访问密钥。
- 定期更换AccessCode,减少凭据泄露导致数据泄露的风险
通过AOM的采集器底座UniAgent安装ICAgent插件时,需要使AccessCode进行鉴权;同时AccessCode也作为调用API的身份凭据,以及Prometheus实例的调用凭证,建议定期更换AccessCode,减少凭据泄露导致数据泄露的风险。详情请参见管理AccessCode。
- 定期修改用户名密码,避免弱密码
定期重置密码是提高系统和应用程序安全性的重要措施之一,不仅可以降低密码泄露的风险,还可以帮助用户满足合规要求,减少内部威胁,提高用户的安全意识。同时建议您配置密码的复杂度,避免使用弱密码。详情请参见密码策略。
support.huaweicloud.com/bestpractice-aom2/aom_05_0020.html
