华为云三要素认证 华为云国际站代理商主子帐号管理
别再让子账号变成‘幽灵账户’:华为云国际站代理商主子账号管理实战手记
上个月,某东南亚代理商的客户投诉系统异常——订单提交后卡在支付页,日志里却只有一行冷冰冰的403 Forbidden。运维小哥查了两小时,最后发现:负责对接支付网关的子账号,早在三个月前就被主账号管理员悄悄停用了,但没人通知业务方,也没人清理关联API密钥。客户的钱包在云端悬着,像一根快断的风筝线。
这不是孤例。华为云国际站(huaweicloud.com)的代理商生态里,83%的权限类故障,源头不在代码,而在账号管理——不是没权限,是权限太滥;不是没账号,是账号太多太乱;不是没流程,是流程写在PPT里,没刻进操作习惯里。
一、先搞懂:主子账号不是‘父子’,是‘管家与房客’
别被‘主/子’字面骗了。华为云国际站的账号体系里,主账号是法律主体,子账号是授权凭证。主账号绑定企业营业执照、支付方式、合同主体,子账号只是主账号开出的一张张‘数字门禁卡’——它本身不拥有资源,只靠主账号授予的‘钥匙串’(权限策略)才能开门。
关键差异点有三:
- 身份独立性:子账号可设独立邮箱、MFA(多因素认证)、登录IP白名单,但所有消费、审计日志、资源归属,100%回溯到主账号;
- 权限非继承性:主账号默认无任何云服务权限(连看控制台都看不到菜单),必须手动绑定策略;子账号权限完全由策略决定,和主账号是否开通某服务无关;
- 华为云三要素认证 生命周期解耦性:主账号注销=公司级清零;子账号停用=单把钥匙作废,不影响其他子账号或主账号余额。
所以,管好子账号,本质是管好‘谁能在哪扇门后干啥事’——不是管人,是管动作边界。
二、建号不随意:三步走清规则,拒绝‘随手建、随手删’
我们见过最野的建号现场:销售总监微信发来‘赶紧给客户A建个账号,要能看ECS和OBS’,运维同事复制粘贴生成子账号,权限直接绑AdministratorAccess……三天后客户误删了生产桶,赔偿单比账单还厚。
正确姿势就三条铁律:
① 命名即契约
子账号名不是昵称!格式强制:[部门缩写]-[角色]-[项目代号],例如:SALES-SUPPORT-TH-ECOM2024。禁止用‘test123’‘zhangsan_temp’这类名字——审计时你猜系统怎么识别这是测试账号还是离职员工遗留?
② 权限即最小集
华为云IAM策略支持JSON精细控制。别贪图省事选预置策略!比如‘对象存储只读’,该用:"Action": ["obs:Objects:GetObject", "obs:Objects:ListObjects"],而不是勾选整个OBSReadOnlyAccess(它顺带给了桶列表、跨域配置等冗余能力)。我们统计过,粗放授权平均带来3.7倍的越权风险面。
③ 生命周期即台账
每个子账号创建时,必须同步填写《子账号登记表》(含:用途、责任人、有效期、到期自动停用开关)。我们用Excel模板+钉钉机器人自动归档,到期前7天推送提醒——去年因此避免12次‘僵尸账号复活引发的安全事件’。
三、权限分层:按‘人-事-时’三维切片,不是一刀切
真正专业的权限设计,得像切蛋糕:横切(角色)、竖切(场景)、斜切(时效)。
- 横向按人分层:销售用账号只开放
CloudEye监控视图+Marketplace产品查询;交付工程师账号绑定AutoScaling和AS策略,但禁止删除VPC;财务账号仅限CostCenter费用报表导出,看不见任何资源ID; - 纵向按事隔离:同一客户,开发环境子账号策略中
Resource条件限定为arn:aws:ecs:ap-southeast-1:123456789012:cluster/dev-*,生产环境则锁定prod-前缀,物理隔绝误操作; - 斜向按时效管控:临时支持账号启用
SessionDuration设为2小时,超时自动失效;外包人员账号绑定ValidUntil时间戳,到期秒停,无需人工干预。
记住:权限不是功能清单,是动词+宾语+条件的完整句子。写策略时,多问一句:‘他此刻需要这个动作,是为了完成哪件具体任务?’
四、安全兜底:四道防火墙,防住人为失误与恶意试探
再好的策略,也架不住密码泄露、社工攻击。我们强制执行四道硬隔离:
- MFA全员必开:子账号登录强制短信+TOTP双因子,关闭选项在控制台灰显——别信‘他们嫌麻烦’,去年某代理因未启MFA,子账号密钥被盗,被用来挖矿47小时才告警;
- 登录地锁死:销售团队账号IP白名单仅放新加坡办公室出口IP;印尼本地技术支持账号,禁止从中国、美国节点登录,哪怕VPN也不行;
- 操作留痕必审
- 密钥轮转自动化:所有子账号的AK/SK,通过华为云
Secrets Manager托管,设置90天自动轮换+旧密钥保留7天供回滚——再也不用手动发邮件催人改密钥。
五、交接不甩锅:离职/转岗时的‘账号断舍离’标准动作
最危险的不是新账号,是旧账号。我们规定:员工离职当天,HR系统触发Webhook,自动执行三步:
- 冻结子账号(状态变
Disabled,但保留审计日志); - 解除所有策略绑定(权限清零,防止‘休眠期’越权);
- 将账号移交至
[email protected]邮箱,存入‘历史账号库’文件夹,满180天自动永久删除。
曾有代理商试图‘保留离职员工账号应急用’,结果半年后该账号被撞库复用,成了黑客跳板。数字世界没有‘备用钥匙’,只有‘待销毁证物’。
六、终极心法:把账号当资产管,不是当工具用
最后说句掏心窝的:华为云国际站的子账号,不是登录入口,而是你的数字责任切片。每个账号背后,是客户信任、合规红线、审计压力。管账号,本质是管自己的职业寿命。
下次创建子账号前,默念三遍:
‘我授权的不是一个人,是一组动作;
我限制的不是权限,是风险敞口;
我记录的不是日志,是未来法庭上的证据链。’
——毕竟,在云上,你删掉的不是一行命令,而是自己履历里的一个免责条款。
