云服务器内容精选
-
后续操作 停用Landing Zone后,以下资源需要进行手动删除,才能够设置新的Landing Zone。 如果新设置的Landing Zone需要使用和原Landing Zone同名的核心组织单元,则需要手动将原核心组织单元进行删除。删除组织单元的操作,请参考删除组织单元。 如果原Landing Zone使用了 IAM 身份中心,新设置的Landing Zone需要更换主区域,则需要将原IAM身份中心进行重置。重置IAM身份中心的操作,请参考删除IAM身份中心配置。 用于存放日志的OBS桶。删除OBS桶的操作,请参考删除桶。 RFS 中的RGCLoggingResources资源栈集。删除资源栈集的操作,请参考删除资源栈集。 RFS中用户自行创建的模板。 IAM中的委托,包括:RGCAgencyForStack、RGCBlueprintExecutionAgency、RGCBlueprintStackSetAdminAgency、RGCIAMTokenAccess、RGCAdminAgency。删除委托的操作,请参考删除或修改委托。
-
漂移概述 搭建Landing Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发生改变。当RGC纳管的资源不满足治理策略时,就会发生以下三类漂移现象: SCP: RGC为各个OU配置的SCP与在Organizations服务中内容不一致,或者SCP在Organizations服务中不存在。 组织结构 RGC监管的OU和账号与Organizations服务里的OU或账号存在不一致。 当存在不一致时,意味着当前Landing zone环境发生了不合规情况,可能会造成意外甚至严重的后果。 当前RGC已支持定期进行账号、OU和SCP的漂移检测,并使用告警提醒您存在漂移现象。检测漂移后,您可以通过更新、修复等操作消除漂移。 当Landing Zone处于漂移状态时,RGC的创建账号功能将无法使用。
-
漂移检测概述 RGC会自动检测是否存在漂移现象。检测漂移将需要RG CS erviceExecutionAgency服务委托持续访问您的管理账号,RGC将会使用只读权限的API调用Organizations服务。调用API的操作将会记录在 CTS 事件中。 漂移现象的消息将汇总至 消息通知 服务(Simple Message Notification, SMN )中。管理账号可以订阅SMN消息通知,以便在出现漂移现象时,接收漂移信息并及时修复漂移。在RGC中可以检测到的治理漂移类型如下: 组织架构漂移的类型 SCP被更新 SCP被删除 SCP关联至OU SCP关联至账号 SCP从OU解绑 SCP从账号解绑 账号漂移的类型 账号被移动到其他OU 账号被关闭 账号被移出组织 如果同一组资源多次出现相同类型的漂移,RGC将仅针对第一个出现漂移的资源发送SMN通知。 如果RGC检测到发生漂移的资源已得到修复,则仅当相同的资源再次出现漂移时,才会再次发送SMN通知。 例如: 如果您多次修改同一个SCP的策略内容,则仅在首次修改时会收到消息通知。 如果您通过修改SCP后修复了漂移,然后再次对其进行修改再次产生漂移,则您将会收到两条消息通知。
-
需要立即修复的漂移类型 当出现漂移现象时,您可以通过更新/修复等操作消除漂移,以确保Landing Zone处于合规的状态。漂移检测是系统自动进行的,但您需要在RGC控制台进行操作才可以修复漂移。 大多数类型的漂移可以由管理员解决,但有些类型的漂移则必须立即解决,包括删除RGC Landing zone所需的OU等。以下列举的是如何避免产生立即解决的漂移示例: 不要删除核心OU:不应在Organizations服务中删除RGC在搭建Landing Zone期间默认名为 “Security” 的核心OU。如果将其删除,则会出现漂移现象。您将会在RGC控制台看到一条错误消息,提示您立即更新/修复Landing Zone。在更新/修复完成之前,您将无法在RGC中执行任何其他操作。 不要删除核心账号:如果您从核心OU中删除核心账号,例如从核心OU中删除日志存档账号,则Landing Zone将处于漂移状态。您必须先更新/修复Landing Zone,然后才能继续使用RGC控制台。
-
WAF 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_WAF_GLOBAL_ACL_NOT_EMPTY_CHECK 要求任何WAF全局ACL拥有规则。 限制网络访问 中 waf:::ruleGlobalProtectionWhitelist 不涉及 RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK 要求WAF规则组为非空。 限制网络访问 中 waf:::addressGroup 不涉及
-
VPC 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_EIP_UNBOUND_CHECK 弹性公网IP未进行任何绑定,视为“不合规”。 优化成本 中 vpc:::eipAssociate 不涉及 RGC-GR_CONFIG_VPC_FLOW_ LOG S_ENABLED 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”。 建立日志记录和监控 中 vpc:::flowLog 不涉及 RGC-GR_CONFIG_EIP_BANDW IDT H_LIMIT 弹性公网IP可用带宽小于指定参数值,视为“不合规” 提高可用性 中 vpc:::eip 是 RGC-GR_RFS_VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS_CHECK 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于80和443以外的端口。 限制网络访问 高 networking:::secgroupRule 不涉及 RGC-GR_RFS_VPC_SG_RESTRICTED_COMMON_PORTS_CHECK 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于特定的高风险端口。 限制网络访问 严重 networking:::secgroupRule 不涉及
-
VPN 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_VPN_CONNECTIONS_ACTIVE VPN连接状态不为“正常”,视为“不合规”。 提高可用性 中 vpnaas:::siteConnectionV2 不涉及 RGC-GR_VPN_CONNECTION_PROHIBITED 不允许订阅 虚拟专用网络 。 保护配置 严重 vpn:::connection vpn:::gateway vpn:::customerGateway 不涉及
-
TaurusDB 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG 未开启审计日志的TaurusDB资源,视为“不合规”。 建立日志记录和监控 中 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP 未开启备份的TaurusDB资源,视为“不合规”。 提高韧性 中 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的TaurusDB资源,视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的TaurusDB资源,视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_MULTIPLE_AZ_CHECK TaurusDB实例未跨AZ部署,视为“不合规”。 提高可用性 中 gaussdb:::mysqlInstance 不涉及
-
TMS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_REQUIRED_ALL_TAGS 指定标签列表,不具有所有指定标签键的资源,视为“不合规”。 保护配置 低 tms:::resourceTags TagKeys:是 TagValues:否 RGC-GR_CONFIG_REQUIRED_TAG_CHECK 指定一个标签,不具有此标签的资源,视为“不合规”。 保护配置 低 tms:::resourceTags specifiedTagKey:是 specifiedTagValue:否 RGC-GR_CONFIG_REQUIRED_TAG_EXIST 指定标签列表,不具有任一指定标签的资源,视为“不合规”。 保护配置 低 tms:::resourceTags TagKeys:是 TagValues:否 RGC-GR_CONFIG_RESOURCE_TAG_KEY_PREFIX_SUFFIX 指定前缀和后缀,资源不具有任意匹配前后缀的标签键,视为“不合规”。 保护配置 低 tms:::resourceTags tagKeyPrefix:否 tagKeySuffix:否 RGC-GR_CONFIG_RESOURCE_TAG_NOT_EMPTY 资源未配置标签,视为“不合规”。 保护配置 低 tms:::resourceTags 不涉及
-
OBS、Access Analyzer 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_OBS_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED OBS桶策略中授权任意禁止的action给外部身份,视为“不合规”。 强制执行最低权限 高 obs:::bucket 否 RGC-GR_CONFIG_OBS_BUCKET_SSL_REQUESTS_ONLY OBS桶策略授权了无需SSL加密的行为,视为“不合规”。 加密传输中的数据 中 obs:::bucket 不涉及
-
OBS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_OBS_BUCKET_DEFAULT_ENCRYPTION_KMS_CHECK 要求OBS存储桶使用KMS密钥配置服务器端加密。 加密静态数据 中 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_VERSIONING_ENABLED_CHECK 要求OBS存储桶启用版本控制。 提高可用性 低 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_LOGGING_ENABLED_CHECK 要求OBS存储桶配置服务器访问日志记录。 建立日志记录和监控 中 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_MULTIPLE_AZ_CHECK 要求OBS桶配置多个可用区以实现高可用性。 提高可用性 低 obs:::bucket
-
RDS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP 未开启备份的rds资源,视为“不合规”。 提高韧性 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的rds资源,视为“不合规”。 建立日志记录和监控 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的rds资源,视为“不合规”。 建立日志记录和监控 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_LOGGING_ENABLED 未配备任何日志的rds资源,视为“不合规”。 建立日志记录和监控 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_MULTI_AZ_SUPPORT RDS实例仅支持一个可用区,视为“不合规”。 提高可用性 中 rds:::instance 不涉及 RGC-GR_CONFIG_ALLOWED_RDS_FLAVORS RDS实例的规格不在指定的范围内,视为“不合规”。 保护配置 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTAN CES _IN_VPC 指定虚拟私有云ID,不属于此VPC的rds资源,视为“不合规”。 限制网络访问 高 rds:::instance 否 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_AUDITLOG 未启用审计日志或者审计日志保存天数不足的rds资源,视为“不合规”。 建立日志记录和监控 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENGINE_VERSION_CHECK RDS实例数据库引擎的版本低于指定版本,视为“不合规”。 管理漏洞 低 rds:::instance postgresqlVersion:否 mariadbVersion:否 mysqlVersion:否 sqlserverVersion:否 RGC-GR_RFS_RDS_INSTANCE_DEPLOYED_IN_VPC_CHECK 要求RDS数据库实例具有VPC配置。 限制网络访问 高 rds:::instance 不涉及 RGC-GR_RFS_RDS_DB_SECURITY_GROUP_NOT_ALLOWED_CHECK 要求RDS实例配置数据库安全组。 限制网络访问 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_MULTIPLE_AZ_CHECK 要求为RDS实例配置多个可用区以实现高可用性。 提高可用性 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_TLS_CHECK 要求RDS实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 加密传输中的数据 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_BACKUP_ENABLED_CHECK 要求RDS实例配置自动备份 提高韧性 中 rds:::instance 不涉及
-
MRS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_MRS_CLUSTER_MULTIAZ_DEPLOYMENT MRS集群没有多az部署,视为“不合规”。 提高可用性 中 mrs:::cluster 不涉及 RGC-GR_CONFIG_MRS_CLUSTER_ENCRYPT_ENABLE KMS密钥不处于“计划删除”状态。 保护数据完整性 中 mrs:::cluster 不涉及
-
IAM 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS IAM策略中授权KMS的任一阻拦action,视为“不合规”。 强制执行最低权限 中 identity:::role identity:::protectionPolicy 不涉及 RGC-GR_CONFIG_IAM_USER_CHECK_NON_ADMIN_GROUP 根用户以外的IAM用户加入admin用户组,视为“不合规”。 强制执行最低权限 低 identity:::user 不涉及 RGC-GR_CONFIG_IAM_USER_NO_POLICIES_CHECK IAM用户直接附加了策略或权限,视为“不合规”。 强制执行最低权限 低 identity:::user 不涉及
-
GES 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_GES_GRAPHS_LTS_ENABLE GES图未开启LTS日志,视为“不合规”。 建立日志记录和监控 中 ges:::graph 不涉及 RGC-GR_CONFIG_GES_GRAPHS_MULTI_AZ_SUPPORT GES图不支持跨AZ高可用,视为“不合规”。 提高可用性 中 ges:::graph 不涉及 RGC-GR_RFS_GES_GRAPH_MULTIPLE_AZ_CHECK 要求GES图配置多个可用区以实现高可用性。 提高可用性 低 ges:::graph
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格
