支持审计操作的关键列表 云审计 服务是安全解决方案中专业的日志审计服务，记录了 数据复制服务 的相关操作事件，方便您日后的查询、审计和回溯。 表1 云审计服务支持的数据复制服务操作列表 操作名称 资源类型 事件名称 创建任务 job createJob 编辑任务 job modifyJob 删除任务 job deleteJob 启动任务 job startJob 续传任务 job retryJob 父主题： 对接云审计服务

支持审计操作的关键列表 云审计服务是安全解决方案中专业的日志审计服务，记录了数据复制服务的相关操作事件，方便您日后的查询、审计和回溯。 表1 云审计服务支持的数据复制服务操作列表 操作名称 资源类型 事件名称 创建任务 job createJob 编辑任务 job modifyJob 删除任务 job deleteJob 启动任务 job startJob 续传任务 job retryJob 父主题： 对接云审计服务

支持审计的关键操作列表 表1 云审计服务支持的子客户操作列表 操作名称 资源类型 事件名称 邀请日志记录 csbchannelsales addBpInviteTraceLog 邀请用户入驻处理 csbchannelsales customerEnter 客户确认委托 csbchannelsales confirmCustomerAgentAuthorizationApply 线上申请解除关联与关联模式变更 csbchannelsales applyUnbindOrSwitchCooperation 线上授权审批和确认 csbchannelsales approvePartnerOrCustomerApply 申请伙伴代付 csbchannelsales applyPartnerPayment 导入政府补贴申请的客户白名单列表 csbchannelsales importCustomerWhiteList 设置政府补贴伙伴的客户白名单是否有效 csbchannelsales deactiveCustomerWhiteList 导出项目申请 csbchannelsales exportGsProjectApplication 客户确认或拒绝委托申请 csbchannelsales confirmCustomerAgentAuthorizationApply 线上申请解除关联与关联模式变更 csbchannelsales applyUnbindOrSwitchCooperation 线上授权审批和确认 csbchannelsales approvePartnerOrCustomerApply

支持审计的关键操作列表 表1 云审计支持的中心网络操作列表 操作名称 资源类型 事件名称 创建中心网络 centralNetwork createCentralNetwork 更新中心网络 centralNetwork updateCentralNetwork 删除中心网络 centralNetwork deleteCentralNetwork 创建中心网络策略 centralNetworkPolicy createCentralNetworkPolicy 应用中心网络策略 centralNetworkPolicy applyCentralNetworkPolicy 删除中心网络策略 centralNetworkPolicy deleteCentralNetworkPolicy 创建中心网络全域接入网关附件 centralNetworkAttachment createCentralNetworkGdgwAttachment 更新中心网络全域接入网关附件 centralNetworkAttachment updateCentralNetworkGdgwAttachment 删除中心网络附件 centralNetworkAttachment deleteCentralNetworkAttachment 更新中心网络连接 centralNetworkConnection updateCentralNetworkConnection 创建中心网络标签 createCentralNetworkTags centralNetworkTags 删除中心网络标签 deleteCentralNetworkTags centralNetworkTags

云审计服务支持的FlexusRDS操作列表 通过云审计服务，您可以记录与Flexus云数据库RDS实例相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计服务支持的Flexus云数据库RDS操作列表 操作名称 资源类型 事件名称 创建实例、恢复到新实例 instance createInstance 自动扩容 instance instanceAction 实例重启 instance instanceRestart 恢复到原有实例 instance instanceRestore 实例重命名 instance instanceRename 重置密码 instance resetPassword 设置数据库版本配置参数 instance setDBParameters 绑定解绑EIP instance setOrResetPublicIP 创建标签 instance createTag 删除标签 instance deleteTag 修改标签 instance modifyTag 删除实例 instance deleteInstance 创建快照 backup createManualSnapshot 下载备份（通过OBS下载） backup downLoadSnapshot 下载备份（通过浏览器下载） backup backupsDownLoad 删除快照 backup deleteManualSnapshot 冻结删除 all rdsUnsubscribeInstance 实例冻结 all rdsfreezeInstance 续费 all bssUpdateMetadata 父主题： CTS 审计

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

添加资源合规规则 创建、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 单击左侧的“资源合规”，进入“资源合规”页面。 基础配置完成后，单击页面右下角的“下一步”。 图8 基础配置 表1 基础配置参数说明 参数 说明 策略类型 选择“预设策略”。 预设策略即服务已开发的策略，在下方的预设策略列表中直接选择所需预设策略，快速完成规则创建。支持输入策略名称或标签进行搜索。 预设策略详情见系统内置预设策略。 规则名称 规则名称默认复用所选择预设策略的名称，不能与已存在的合规规则名称重复，如有重复需自行修改。 合规规则名称仅支持数字、字母、下划线和中划线，最大长度64个字符。 规则简介 规则简介默认复用所选择预设策略的简介，也可自行修改。 目前对规则简介内容的字符类型不做限制，最大长度512个字符。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图9 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 说明： 预设策略的触发类型不支持修改，不同预设策略支持的触发类型不同。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”为“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 说明： 仅当“触发类型”为“配置变更”时支持指定服务和资源类型。 当预设策略的“触发类型”为“周期执行”，且规则评估的资源类型非“account”时，支持指定资源所在的“区域”进行过滤。具体请以控制台显示为准或参见预设策略列表。 过滤范围（可选） 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 当“触发类型”为“配置变更”时，您可以根据需要选择配置此参数。 周期频率 设置合规规则周期执行的频率。 可选项：1小时、3小时、6小时、12小时、24小时。 仅当“触发类型”为“周期执行”时需配置此参数。 规则参数 此处的“规则参数”和第一步所选的“预设策略”相对应，是对第一步所选的预设策略进行具体参数设置。 例如：第一步预设策略选择“资源具有指定的标签”，指定一个标签，不具有此标签的资源，视为“不合规”，则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数，有的“预设策略”不需要添加规则参数。例如：已挂载的云硬盘开启加密（volumes-encrypted-check）。 标签 单击“添加新标签”，输入标签键和标签值，为合规规则添加标签。每个合规规则最多可以添加20个标签。 标签键不能为空，可以包含任意语种的字母、数字和空格，以及_.:=+-@字符，但首尾不能包含空格，且不能以_sys_开头。长度不超过128个字符。 标签值可以为空，可以包含任意语种的字母、数字和空格，以及_.:=+-@字符，但首尾不能包含空格。长度不超过255个字符。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成合规规则添加。 图10 添加合规规则-确认规则 合规规则创建后会立即自动触发首次评估。

查看规则评估结果 资源合规规则添加完成后，您可以在规则列表中查看所有已添加的合规规则，进入规则详情页可查看规则的评估结果、标签和规则详情配置等信息。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的列表中，可查看所有已添加的合规规则以及其运行状态、合规评估结果等信息。 在规则列表中单击合规规则的规则名称，进入规则详情的“基本信息”页。 “基本信息”页签左侧展示合规规则评估结果的详细信息，右侧展示合规规则的配置详情。左侧的评估结果列表默认展示合规评估结果为“不合规”的资源，您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索，还支持导出全部评估结果数据。 “修正管理”页签展示此合规规则的修正配置详细信息，并支持编辑、删除修正配置，以及执行修正、添加/删除修正例外等操作。 “标签”页签展示此合规规则的标签信息，且支持编辑标签。 图11 合规规则详情 合规规则的运行状态分为： 已启用：表示此合规规则可用。 已停用：表示此合规规则已停用。 评估中：表示正在使用此合规规则进行资源评估。 提交中：表示自定义合规规则正在提交评估任务给FunctionGraph函数。 当规则评估正在进行中时，规则的运行状态显示为“评估中”，当规则评估结束后，规则的运行状态变为“已启用”，此时可查看规则评估结果。

高级查询概述 配置审计 服务提供高级查询能力，通过使用ResourceQL自定义查询用户当前的单个或多个区域的资源配置状态。 高级查询支持用户自定义浏览、筛选和查询华为云云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言 (SQL) SELECT 语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现： 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性（公网IP，加密磁盘）的资源的列表。 成本优化。例如查找未挂载到任何云服务器实例的云磁盘的列表。

开启并配置资源记录器 开启并配置资源记录器的资源转储和主题功能后，当对接服务上报Config的资源变更（被创建、修改、删除等）、资源关系变更时，您均可收到通知，同时还可对您的资源变更消息和资源快照进行定期存储。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源记录器”，进入“资源记录器”页面。 打开资源记录器开关，在弹出的确认框中单击“是”，资源记录器开启成功。 图2 开启资源记录器 选择资源的监控范围。 默认情况下，资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以修改资源记录器的监控范围，选择指定的资源类型进行监控。 资源记录器默认收集Config服务的所有资源数据。 图3 选择监控范围 配置资源转储。 选择OBS桶，用于存储资源变更消息及资源快照。 如果您先配置了 SMN 主题，则也可以不配置资源转储（OBS桶）。 配置当前账号下OBS桶： 选择“您账号的桶”，然后在下拉列表中选择您账号下的OBS桶，用于存储资源变更消息及资源快照。如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下，则在选择OBS桶后，还需输入“桶前缀”，该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶，则需先创建OBS桶，详见创建桶。 配置其他账号下OBS桶： 选择“另一账号的桶”，并输入区域ID和桶名称，如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下，则还需输入“桶前缀”，该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限，具体操作请参见跨账号授权。 开启资源记录器时，如果指定了当前账号或其他账号下的OBS桶，Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件，此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时，如何处理请参见为什么开启并配置资源记录器后，将数据转储至当前账号或其他账号的OBS桶时报错？。 图4 配置资源转储 配置数据保留周期。 资源记录器收集到的资源配置信息数据默认保留7年（2557天），您可以将配置信息数据设置自定义保留周期，自定义数据保留周期的可设置范围为最短30天，最长7年（2557天）。 虽然Config使用SMN和OBS发送资源变更 消息通知 和存储资源变更消息及资源快照，但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config，不会对SMN和OBS存储的数据产生影响。 当您配置数据保留周期后，Config会在指定周期内保留您的资源历史数据，超出指定周期的数据将会被删除。 图5 配置数据保留周期 （可选）开启并配置消息通知（SMN）主题。 打开主题开关，选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。 配置当前账号下消息通知主题： 选择“您自己的主题”，并选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见创建主题。 配置其他账号下消息通知主题： 选择“另一账号的主题”，并输入主题URN，关于主题URN的详细信息请参见基本概念。需先使用其他账号对当前账号授予相关SMN主题的权限，具体操作请参见跨账号授权。 创建SMN主题后，还需执行“添加订阅”和“请求订阅”操作，消息通知才会生效。 图6 配置SMN主题 进行授权，选择“快速授权”或“自定义授权”。 快速授权：将为您快速创建一个名为“rms_tracker_agency”的委托权限，该权限是可以让资源记录器正常工作的权限，包含调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限（例如SMN Administrator和OBS OperateAccess权限）。由于快速授权的委托中并不包含KMS的相关权限，因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要，您可以在委托中添加对应权限（KMS Administrator）或使用自定义授权，具体请参见资源变更消息和资源快照转储至OBS加密桶。 如何为委托添加权限请参见删除或修改委托。 自定义授权：您可自行在 统一身份认证 服务（ IAM ）中创建委托权限，并进行自定义授权，授权对象为云服务Config，但必须包含可以让资源记录器正常工作的权限（调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限至少包含一个）。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中，还需要添加KMS的密钥管理员权限（KMS Administrator），具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见委托其他云服务管理资源。 图7 授权 配置完成后，单击“保存”。 在弹出的确认框中单击“是”，资源记录器配置成功。

ER支持审计的关键操作 企业路由器（Enterprise Router, ER）可以连接虚拟私有云或本地网络来构建中心辐射型组网，是云上大规格，高带宽，高性能的集中路由器。 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的ER操作列表 操作名称 资源类型 事件名称 创建企业路由器 erInstance createInstance 修改企业路由器配置 erInstance updateInstance 删除企业路由器 erInstance deleteInstance 在企业路由器中添加连接 erAttachment createAttachment 修改连接信息 erAttachment updateAttachment 删除连接 erAttachment deleteAttachment 接受连接创建申请 erAttachment acceptAttachment 拒绝连接创建申请 erAttachment rejectAttachment 创建路由表 erRouteTable createRouteTable 修改路由表信息 erRouteTable updateRouteTable 删除路由表 erRouteTable deleteRouteTable 创建静态路由 erStaticRoute createStaticRoute 批量创建静态路由 erStaticRoute batchCreateStaticRoute 删除静态路由 erStaticRoute deleteStaticRoute 批量删除静态路由 erStaticRoute batchDeleteStaticRoute 修改静态路由 erStaticRoute updateStaticRoute 创建关联 erAssociation createAssociation 删除关联 erAssociation deleteAssociation 创建传播 erPropagation createPropagation 删除传播 erPropagation deletePropagation 创建流日志 erFlowLog createFlowLog 关闭流日志 erFlowLog updateFlowLog 开启流日志 erFlowLog updateFlowLog 删除流日志 erFlowLog deleteFlowLog 父主题： 使用CTS服务审计ER关键操作

支持审计的关键操作列表 通过云审计服务，您可以记录与华为云 分布式数据库 中间件实例相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计服务支持的DDM操作列表 操作名称 资源类型 事件名称 参数模板应用 parameterGroup applyParameterGroup 租户进行包周期云服务续费、包周期转按需、按需转包周期 all bssArrearage 更新云服务metadata信息 all bssUpdateMetadata 清理逻辑库扩容后的元数据 logicDB cleanMigrateLogicDB 清理用户资源 all cleanupUserAllResources 复制参数模板 parameterGroup copyParameterGroup 创建实例 instance createInstance 创建逻辑库 logicDB createLogicDB 创建参数模板 parameterGroup createParameterGroup 创建账号 user createUser 删除实例 instance deleteInstance 删除逻辑库 logicDB deleteLogicDB 删除参数模板 parameterGroup deleteParameterGroup 删除账号 user deleteUser 节点扩容 instance enlargeNode 重启实例 instance instanceRestart 导入逻辑库信息 instance loadMetadata 扩容路由切换 logicDB manualSwitchRoute 逻辑库扩容 logicDB migrateLogicDB 修改参数模板 parameterGroup modifyParameterGroup 修改路由切换时间 logicDB modifyRouteSwitchTime 修改账号信息 user modifyUser 节点缩容 instance reduceNode 重置参数模板 parameterGroup resetParameterGroup 重置账号密码 user resetUserPassword 规格变更 instance resizeFlavor 恢复实例 instance restoreInstance 重试逻辑库扩容 logicDB retryMigrateLogicDB 回滚DDM实例版本 instance rollback 回滚逻辑库扩容 logicDB rollbackMigrateLogicDB 访问控制 instance switchIpGroup 同步DN信息 instance synRdsinfo 升级DDM实例版本 instance upgrade 添加标签 instance addTag 删除标签 instance deleteTag 修改标签 instance modifyTag 创建组 group createGroup 删除组 group deleteGroup 修改内网地址 instance modifyIp 修改实例名称 instance modifyName 节点重启 node nodeRestart 导出实例列表 instance exportInstance 元数据重载 instance reloadInstanceConfig 修改实例端口 instance modifyInstancePort 查询规格变更列表 instance queryFlavor2Resize 查询慢SQL instance listSlowLogs 获取实例版本 instance listDatabaseVersions 查询慢日志统计分析 instance querySlowLogAnalysis 绑定EIP instance bindEIP 解绑EIP instance unbindEIP 获取实例绑定的EIP信息 instance queryEIP 查询CN会话 instance queryLogicalProcessList kill CN会话 instance killLogicalProcess 查询DN会话 instance queryPhysicalProcessList kill DN会话 instance killPhysicalProcess 查询kill会话历史 instance queryKillProcessesAuditLog 查询访问控制 instance queryIpGroup 获取标签列表 tag listTags 获取实例标签列表 instance listInstanceTags 切换实例内核的ssl开关 instance switchSsl 获取实例的ssl证书下载地址 instance getSslCerts 查询逻辑库列表 instance listDatabases 导出逻辑库信息 instance dumpMetadata 查询逻辑库大小 instance queryLogicDbSize 分片变更预校验 logicDB preCheckMigrateLogicDb 查询分片变更预校验结果 instance queryPreCheckMigrateLogicDb 查询分片变更任务详情 instance queryMigrateTaskDetail 更新实例SQL黑名单 logicDB configSqlBlackList 获取SQL黑名单 logicDB querySqlBlacklist 修改实例读写比重 instance updateReadAndWriteStrategy 批量修改实例读写比重 instance batchModifyReadAndWriteStrategy 查询是否开启读写分离 instance queryReadWriteSeparationSwitch 开启或关闭读写分离 instance updateReadAndWriteStrategySwitch 查询实例可用数据节点 instance ListAvailableRds 查询实例关联数据节点 instance queryRelatedRdsList 查询分片变更可用数据节点 logicDB queryAvailableMigrateRdsList 查询逻辑库分片变更动作 instance queryMigrateAction 查询内核任务执行日志 instance listTaskLogs 数据节点连通性检查 instance checkRdsConnection 查询逻辑库下的逻辑表列表 logicDB listLogicTables 查询逻辑表详情 table showLogicTable 查询备份列表 backup listBackups 删除备份 backup deleteBackup 查询备份详情 backup showBackup 元数据恢复 instance restoreMetaData 查询某时刻关联数据节点 instance showBackupRelatedDn 查询可恢复时间 instance queryRestoreTime 查询可恢复RDS列表 instance queryRds4Restore 查询可恢复实例列表 instance queryDDM4Restore 校验参数组名是否存在 parameterGroup checkConfigurationName 查询参数组列表 parameterGroup listConfiguration 查询参数组详情 parameterGroup showConfiguration 查询可应用该模板参数组的实例列表 parameterGroup queryApplicableInstances 查询参数组的修改历史 parameterGroup queryModifyHistory 查询模板参数组的应用历史 parameterGroup queryApplyHistory 查询实例参数组 instance showInstanceConfiguration 查询逻辑表大小 logicDB queryLogicTableSize 弱密码校验 project isWeakPassword 查询只读数据节点 dn queryReadOnlyDBInstance 查询实例列表 instance listInstances 查询指定实例的详细信息 instance showInstance 查询指定逻辑库的详细信息 logicDB showDatabase 查询实例节点列表 instance listNodes 查询实例节点详情 node showNode 查询帐号列表 instance listUsers 修改实例安全组 instance modifyInstanceSecurityGroup 父主题： 审计

云审计服务支持的Anti-DDoS操作列表 云审计服务（Cloud Trace Service，CTS）记录了Anti-DDoS相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见云审计服务用户指南。 云审计服务支持的Anti-DDoS操作列表如表1所示。 表1 CTS支持的Anti-DDoS操作列表 操作名称 事件名称 修改Anti-DDoS防护配置 UPDATE_ANTIDDOS 设置LTS全量日志配置 UPDATE_LTS_CONFIG 批量添加/编辑TMS资源标签 UPDATE_RESOURCE_TAGS 批量删除TMS资源标签 DELETE_RESOURCE_TAGS 更新租户的告警提醒配置情况 UPDATE_ALERT_CONFIG 修改流量清洗阈值默认档位 UPDATE_DEFAULT_CONFIG 删除流量清洗阈值默认档位 DELETE_DEFAULT_CONFIG 查询任务列表 QUERY_TASK_LIST 查询告警配置详情 QUERY_ALERT_CONFIG 查询IP的防护配置 QUERY_IP_DEFENSE_POLICY 查询Anti-DDoS防护配置列表 QUERY_DEFENSE_POLICY_LIST 查询IP的防护状态 QUERY_IP_DEFENSE_STATUS 批量查询IP的防护状态 QUERY_IP_LIST_DEFENSE_STATUS 查询IP的日流量详情 QUERY_IP_DAILY_TRAFFIC_REPORT 导出IP的日流量详情 EXPORT_IP_DAILY_TRAFFIC_REPORT 查询IP的日异常事件列表 QUERY_IP_DAILY_EVENT_REPORT 查询IP的周防护统计情况 QUERY_IP_WEEKLY_REPORT 导出IP的周防护统计情况 EXPORT_IP_WEEKLY_REPORT 查询配置状态 QUERY_CONFIG_STATUS 查询信誉信息 QUERY_CREDIT_INFO 查询流量清洗阈值默认档位 QUERY_DEFAULT_CONFIG 查询配额 QUERY_QUOTA 查询全量日志配置 QUERY_ LOG _CONFIG 查询资源实例 QUERY_TMS_RESOURCE_INSTANCE 查询资源实例个数 QUERY_TMS_RESOURCE_COUNT 查询IP的资源标签 QUERY_IP_RESOURCE_TAG 查询资源标签列表 QUERY_RESOURCE_TAG_LIST 父主题： 审计

云审计服务支持的ServiceStage操作列表 ServiceStage通过云审计服务（Cloud Trace Service，CTS）为您提供ServiceStage应用管理操作的操作记录，供您查询、审计和回溯使用。 开通云审计服务后，系统开始记录ServiceStage资源的操作，CTS控制台可以保存最近7天的操作记录。 表1 云审计服务支持的ServiceStage操作 操作名称 资源类型 事件名称 创建组件 component createComponent 删除组件 component deleteComponent 升级组件 component updateComponent 启动组件 component startComponent 停止组件 component stopComponent 重启组件 component restartComponent 伸缩组件 component scaleComponent 回滚组件 component rollbackComponent 部署组件 component provisionComponent 卸载组件 component deprovisionComponent 创建应用 application createApplication 删除应用 application deleteApplication 更新应用 application updateApplication 注册VM Agent vmagent registerVmagent 注销VM Agent vmagent unregisterVmagent 创建环境 environment createEnvironment 删除环境 environment deleteEnvironment 父主题： 云审计服务支持的关键操作

华为云网络安全合规实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转，视为“不合规”. alarm-kms-disable-or-delete-key CES 配置监控KMS禁用或计划删除的事件监控告警 ces，kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警，视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces，obs CES未配置监控OBS桶策略变更的事件监控告警，视为“不合规” alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces，vpc CES未配置监控VPC变更的事件监控告警，视为“不合规” css-cluster-https-required CSS 集群启用HTTPS css CS S集群未启用https，视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的VPC资源绑定，视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs，vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有公网IP，视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥，视为“不合规” iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从Console侧访问的IAM用户，其创建时设置访问密钥，视为“不合规” iam-user-group-membership-check IAM用户归属用户组 iam IAM用户不属于任意一个IAM用户组，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” iam-user-single-access-key IAM用户单访问密钥 iam IAM用户拥有多个处于“active”状态的访问密钥，视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” mrs-cluster-kerberos-enabled MRS 集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定公网IP mrs MRS集群绑定公网IP，视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” rds-instance-no-public-ip RDS实例不具有公网IP rds RDS资源具有公网IP，视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证，视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs，evs 已挂载的云硬盘未进行加密，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” 父主题： 合规规则包示例模板