search

部署密码策略

hashtag
应用场景

统一身份认证服务(Identity and Access Management,IAM)是华为云提供的基础身份认证与访问管理服务,为华为云用户提供身份管理、权限管理和访问控制等核心功能。通过配置密码策略,可以设置密码的复杂度要求、有效期、重用规则等安全策略,提高账户安全性,满足企业级安全合规要求。本最佳实践将介绍如何使用Terraform自动化部署IAM密码策略,包括密码长度、字符组合、有效期、重用规则等安全策略的配置。

hashtag
相关资源/数据源

本最佳实践涉及以下主要资源:

hashtag
资源

hashtag
资源/数据源依赖关系

huaweicloud_identityv5_password_policy

注意:IAM密码策略资源是全局资源,用于配置IAM账户的密码安全策略。密码策略配置后,将应用于所有IAM用户。

hashtag
操作步骤

hashtag
1. 脚本准备

在指定工作空间中准备好用于编写当前最佳实践脚本的TF文件(如main.tf),确保其中(也可以是其他同级目录下的TF文件)包含部署资源所需的provider版本声明和华为云鉴权信息。 配置介绍参考部署华为云资源前的准备工作arrow-up-right一文中的介绍。

hashtag
2. 创建IAM密码策略资源

在TF文件(如main.tf)中添加以下脚本以创建IAM密码策略:

参数说明

  • maximum_consecutive_identical_chars:密码中同一字符连续出现的最大次数,通过引用输入变量policy_max_consecutive_identical_chars进行赋值,取值范围为0-32

  • minimum_password_age:密码最短使用时间(分钟),通过引用输入变量policy_min_password_age进行赋值,取值范围为0-1440

  • minimum_password_length:密码最小长度,通过引用输入变量policy_min_password_length进行赋值,取值范围为8-32

  • password_reuse_prevention:密码重用防护,通过引用输入变量policy_password_reuse_prevention进行赋值,取值范围为0-24,默认值为3

  • password_not_username_or_invert:密码不能是用户名或用户名的倒序,通过引用输入变量policy_password_not_username_or_invert进行赋值,默认值为false

  • password_validity_period:密码有效期(天),通过引用输入变量policy_password_validity_period进行赋值,取值范围为0-180,默认值为7

  • password_char_combination:密码必须包含的字符类型最小数量,通过引用输入变量policy_password_char_combination进行赋值,取值范围为2-4

  • allow_user_to_change_password:是否允许IAM用户修改自己的密码,通过引用输入变量policy_allow_user_to_change_password进行赋值,默认值为true

注意:IAM密码策略是全局资源,配置后将应用于所有IAM用户。密码策略参数都有取值范围限制,请根据实际安全需求合理配置。建议遵循最小权限原则,设置合理的密码复杂度要求,提高账户安全性。

hashtag
3. 预设资源部署所需的入参(可选)

本实践中,部分资源使用了输入变量对配置内容进行赋值,这些输入参数在后续部署时需要手工输入。 同时,Terraform提供了通过tfvars文件预设这些配置的方法,可以避免每次执行时重复输入。

在工作目录下创建terraform.tfvars文件,示例内容如下:

使用方法

  1. 将上述内容保存为工作目录下的terraform.tfvars文件(该文件名可使用户在执行terraform命令时自动导入该tfvars文件中的内容,其他命名则需要在tfvars前补充.auto定义,如variables.auto.tfvars

  2. 根据实际需要修改参数值,特别是:

    • policy_max_consecutive_identical_chars可以设置密码中同一字符连续出现的最大次数,建议设置为2或更小

    • policy_min_password_age可以设置密码最短使用时间(分钟),建议设置为60分钟或更长

    • policy_min_password_length可以设置密码最小长度,建议设置为8或更长

    • policy_password_reuse_prevention可以设置密码重用防护,建议设置为3或更大

    • policy_password_not_username_or_invert可以设置为true,禁止密码是用户名或用户名的倒序

    • policy_password_validity_period可以设置密码有效期(天),建议设置为30-90天

    • policy_password_char_combination可以设置密码必须包含的字符类型最小数量,建议设置为2或更大

    • policy_allow_user_to_change_password可以设置为true,允许IAM用户修改自己的密码

  3. 执行terraform planterraform apply时,Terraform会自动读取该文件中的变量值

除了使用terraform.tfvars文件外,还可以通过以下方式设置变量值:

  1. 命令行参数:terraform apply -var="policy_min_password_length=12" -var="policy_password_char_combination=3"

  2. 环境变量:export TF_VAR_policy_min_password_length=12export TF_VAR_policy_password_char_combination=3

  3. 自定义命名的变量文件:terraform apply -var-file="custom.tfvars"

注意:如果同一个变量通过多种方式进行设置,Terraform会按照以下优先级使用变量值:命令行参数 > 变量文件 > 环境变量 > 默认值。IAM密码策略配置后,将应用于所有IAM用户,请根据实际安全需求合理配置密码策略参数。

hashtag
4. 初始化并应用Terraform配置

完成以上脚本配置后,执行以下步骤来创建IAM密码策略:

  1. 运行 terraform init 初始化环境

  2. 运行 terraform plan 查看资源创建计划

  3. 确认资源计划无误后,运行 terraform apply 开始创建IAM密码策略

  4. 运行 terraform show 查看已创建的IAM密码策略详情

注意:IAM密码策略是全局资源,配置后将应用于所有IAM用户。密码策略参数都有取值范围限制,请确保参数值在有效范围内。建议在配置密码策略前,先了解当前IAM用户的密码使用情况,避免过于严格的策略导致用户无法正常使用。

hashtag
参考信息

Previous部署用户组与策略关联Next通过用户组授权用户

Last updated