华为云充值折扣 华为云国际安全设置必做

各位在海外跑业务、搭AI服务、搞跨境SaaS的朋友，先别急着点‘创建ECS’——你那台刚开通的华为云国际站（huaweicloud.com）服务器，此刻正像一扇没锁门的便利店，货架上摆着数据库、API密钥和客户手机号，而门外已蹲着三支自动化扫描队。

不是危言耸听。上周我帮一家新加坡电商客户做安全审计，发现他们用了半年的云环境，连基础MFA都没开，主账号密码还写着‘HuaweiCloud2024!’——没错，就是字面意思的‘华为云2024’加个感叹号。更绝的是，他们的OBS桶权限设为‘Public Read’，里面存着用户身份证OCR截图……当时我一边截图取证一边想：这哪是上云？这是给黑客递简历。

华为云国际站（注意！不是国内站 console.huaweicloud.com，而是 huaweicloud.com）的安全逻辑和国内版有微妙差异：默认策略更宽松、部分合规选项藏得更深、多语言界面下关键开关容易被误操作。今天这篇，不念PPT，不抄文档，全是我在吉隆坡、法兰克福、圣保罗三地客户现场调配置、救火、背锅后攒下的‘保命清单’。

一、账号层：别让一个密码扛起整座城

国际站默认允许弱密码、不强制MFA、主账号能干所有事——这不是疏忽，是给你留出‘作死空间’。我们反向利用这个空间，把它焊死。

第一刀：砍掉主账号的‘全能权’。登录 huaweicloud.com → 右上角头像 → ‘My Account’ → ‘Security Settings’ → 找到‘Root User Access Keys’，立刻点击‘Delete’。别犹豫，哪怕你明天要手动传文件——Access Key一旦泄露，等于把云账户的DNA交出去。真要API操作？往下看IAM。

第二刀：给每个活人配‘电子指纹’。进‘Identity and Access Management (IAM)’ → ‘Users’ → 创建新用户（比如dev-frontend、ops-prod-db）。重点来了：勾选‘Enable MFA’，然后——务必用Google Authenticator或Duo这类TOTP工具，别选SMS。为什么？国际站SMS验证在巴西、印尼等地延迟超5分钟，你等验证码时，攻击者可能已完成横向移动。生成密钥后，截图保存助记词，再把二维码扫进手机APP。测试成功前，别关页面。

华为云充值折扣 第三刀：权限最小化到‘呼吸级’。别信‘Allow *’这种魔鬼咒语。给运维组分配‘AdministratorAccess’？等于发给清洁工一把金库总钥匙。实操建议：用华为云预置策略+自定义策略组合。比如DB管理员只给‘RDS FullAccess’+‘CloudEye ReadOnlyAccess’，禁止访问OBS；前端工程师仅授权‘CDN FullAccess’和‘OBS Console ReadOnly’。记住：策略越细，半夜告警电话越少。

二、网络层：防火墙不是摆设，是哨兵

国际站VPC默认开放全部入站端口？对，它真这么干。但你可以让它‘装瞎’。

安全组必须做减法。新建ECS时，别用默认安全组。进‘VPC’ → ‘Security Groups’ → 新建，规则只留三条：
• 入方向：SSH（22端口）限IP段（比如公司办公网CIDR）
• 入方向：HTTPS（443）开放0.0.0.0/0（业务必需）
• 出方向：全放行（避免应用连不上外部API）
其他端口？一律删光。MySQL的3306？用数据库代理或内网连接，别裸露。

WAF别当摆设。国际站WAF控制台藏在‘Web Application Firewall’里。开启后，重点调三处：
• ‘Bot Management’开‘High’档位，自动拦截扫描器User-Agent
• ‘Custom Rules’加一条：拦截URL含‘/wp-admin/’且来源非白名单IP的请求（防WordPress暴力破解）
• ‘HTTPS Settings’强制HSTS，过期时间填31536000（一年），浏览器从此不敢降级HTTP

三、存储层：OBS桶不是公共垃圾桶

国际站OBS控制台默认‘Bucket ACL’设为‘Private’，但很多用户会手抖点成‘Public Read’——尤其当客户说‘图片要外链’时。救回来的方法简单粗暴：

进‘Object Storage Service’ → 点桶名 → ‘Permissions’ → ‘Bucket Policy’ → 粘贴这段策略（替换your-bucket-name）：
{"Version":"2012-10-17","Statement":[{"Effect":"Deny","Principal":"*","Action":"s3:GetObject","Resource":"arn:aws:s3:::your-bucket-name/*","Condition":{"StringNotLike":{"aws:Referer":["https://yourdomain.com/*","https://www.yourdomain.com/*"]}}}]}
效果：只有你域名下的网页能读取图片，直接浏览器输OBS链接？403。

四、密钥层：KMS不是高级玩具，是保险柜

别把数据库密码写在代码里！国际站KMS（Key Management Service）支持跨区域密钥同步。创建密钥后，在ECS部署脚本里这样调用：
aws kms decrypt --ciphertext-blob fileb://encrypted-pass.bin --query Plaintext --output text | base64 -d
（注意：用AWS CLI兼容模式，因华为云国际站KMS API与AWS高度一致）

五、日志层：不看日志的运维，像蒙眼开车

国际站‘CTS’（Cloud Trace Service）默认只记录管理类操作。必须手动打开数据事件：
• 进‘CTS’ → ‘Tracker’ → 编辑默认追踪器
• 勾选‘Record Data Events’
• 在‘Data Events’里添加：OBS（GetObject）、RDS（ModifyDBInstance）、IAM（CreateAccessKey）
日志会自动投递到指定OBS桶——记得给该桶配生命周期策略，30天后转低频存储，90天自动删除。

最后送一句大实话：安全不是 checklist，是肌肉记忆。下次你新建资源时，本能先开MFA、关默认端口、删主账号密钥——那一刻，你才算真正接管了云。

（全文完。现在，去删你主账号的Access Key。别拖。）