合规规则包示例文件： example-conformance-pack.tf.json { "resource": { "huaweicloud_rms_policy_assignment": { "AccessKeysRotated": { "name": "access-keys-rotated", "description": "An IAM users is noncompliant if the access keys have not been rotated for more than maxAccessKeyAge number of days.", "policy_definition_id": "2a2938894ae786dc306a647a", "period": "TwentyFour_Hours", "parameters": { "maxAccessKeyAge": "${jsonencode(var.maxAccessKeyAge)}" } }, "IamGroupHasUsersCheck": { "name": "iam-group-has-users-check", "description": "An IAM groups is noncompliant if it does not add any IAM user.", "policy_definition_id": "f7dd9c02266297f6e8c8445e", "policy_filter": { "resource_provider": "iam", "resource_type": "groups" }, "parameters": {} }, "IamPasswordPolicy": { "name": "iam-password-policy", "description": "An IAM users is noncompliant if password policy for IAM users matches the specified password strength.", "policy_definition_id": "2d8d3502539a623ba1907644", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": { "pwdStrength": "${jsonencode(var.pwdStrength)}" } }, "IamRootAccessKeyCheck": { "name": "iam-root-access-key-check", "description": "An account is noncompliant if the the root iam user have active access key.", "policy_definition_id": "66cac2ddc17b6a25ad077253", "period": "TwentyFour_Hours", "parameters": {} }, "IamUserConsoleAndApiAccessAtCreation": { "name": "iam-user-console-and-api-access-at-creation", "description": "An IAM user with console access is noncompliant if access keys are setup during the initial user setup.", "policy_definition_id": "a5f29eb45cddce8e6baa033d", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "IamUserGroupMembershipCheck": { "name": "iam-user-group-membership-check", "description": "An IAM user is noncompliant if it does not belong to any IAM user group.", "policy_definition_id": "846f5708463c1490c4eebd60", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": { "groupIds": "${jsonencode(var.groupIds)}" } }, "IamUserLastLoginCheck": { "name": "iam-user-last-login-check", "description": "An IAM user is noncompliant if it has never signed in within the allowed number of days.", "policy_definition_id": "6e4bf7ee7053b683f28d7f57", "period": "TwentyFour_Hours", "parameters": { "allowedInactivePeriod": "${jsonencode(var.allowedInactivePeriod)}" } }, "IamUserMfaEnabled": { "name": "iam-user-mfa-enabled", "description": "An IAM user is noncompliant if it does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "b92372b5eb51330306cec9c2", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "IamUserSingleAccessKey": { "name": "iam-user-single-access-key", "description": "An IAM user with console access is noncompliant if iam user have multiple active access keys.", "policy_definition_id": "6deae3856c41b240b3c0bf8d", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "MfaEnabledForIamConsoleAccess": { "name": "mfa-enabled-for-iam-console-access", "description": "An IAM user is noncompliant if it uses a console password and does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "63f8301e47b122062a68b868", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "RootAccountMfaEnabled": { "name": "root-account-mfa-enabled", "description": "An account is noncompliant if the the root iam user does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "61d787a75cf7f5965da5d647", "period": "TwentyFour_Hours", "parameters": {} } } }, "variable": { "maxAccessKeyAge": { "description": "The maximum number of days without rotation. ", "type": "string", "default": "90" }, "pwdStrength": { "description": "The requirements of password strength. The parameter value can only be 'Strong', 'Medium', or 'Low'.", "type": "string", "default": "Strong" }, "groupIds": { "description": "The list of allowed IAM　group IDs. If the list is empty, all values are allowed.", "type": "list(string)", "default": [] }, "allowedInactivePeriod": { "description": "Maximum number of days without login.", "type": "number", "default": 90 } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.46.0" } } } }

合规规则包示例文件： example-conformance-pack-with-custom-policy.tf.json { "resource": { "huaweicloud_rms_policy_assignment": { "CustomPolicyAssignment": { "name": "customPolicy${var.name_suffix}", "description": "合规包自定义合规规则，所有资源都是不合规的", "policy_filter": { "resource_provider": "obs", "resource_type": "buckets" }, "parameters": {}, "custom_policy": { "function_urn": "${var.function_urn}", "auth_type": "agency", "auth_value": { "agency_name": "\"config_custom_policy_agency\"" } } } } }, "variable": { "name_suffix": { "description": "", "type": "string" }, "function_urn": { "description": "", "type": "string" } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.46.0" } } } }

概念介绍 Resource：Resource是模板中最重要的元素，通过关键字 "resource" 进行声明。当前"resource"中只支持"huaweicloud_rms_policy_assignment"一种资源，在其中指定具体的合规规则（支持预定义合规规则与自定义合规规则）的名称等配置信息。 变量：输入变量可以理解为模板的参数，通过关键字 "variable" 进行声明。通过定义输入变量，我们可以无需变更模板的源代码就能灵活修改配置。当没有变量时，不需要声明关键字 "variable" 。 Provider: Provider代表服务提供商，通过关键字 "terraform" 进行声明，详细定义请参见Provider。自定义合规规则包的格式为： "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.46.0" } } } 其中version必须选择1.46.0或者更高的版本，支持的版本见支持Provider版本列表。

基本概念 示例模板： 配置审计 服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模板”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规；若该值为“--”，则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建、更新和删除行为最终是通过 RFS 服务的资源栈来实现的。资源栈是 资源编排 服务的概念，详见资源栈。 状态： 表1 合规规则包的部署状态 取值 状态 状态说明 CREATE_SUC CES SFUL 已部署 合规规则包已部署成功，合规规则均创建成功。 CREATE_IN_PROGRESS 部署中 合规规则包正在部署中，合规规则正在创建中。 CREATE_FAILED 部署异常 合规规则包部署失败。 DELETE_IN_PROGRESS 删除中 合规规则包正在删除中，合规规则正在删除中。 DELETE_FAILED 删除异常 合规规则包删除失败。 ROLLBACK_SUCCESSFUL 回滚成功 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 ROLLBACK_IN_PROGRESS 回滚中 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 ROLLBACK_FAILED 回滚失败 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 UPDATE_SUCCESSFUL 更新成功 合规规则包修改并更新成功。 UPDATE_IN_PROGRESS 更新中 合规规则包修改更新中。 UPDATE_FAILED 更新失败 合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务（RFS）的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 当您不选择进行自定义授权时，Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围，可选择进行自定义授权，提前在 统一身份认证 服务（IAM）中创建委托，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)或 云日志 服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

使用须知 文档数据库服务的审计日志功能默认是关闭的，您可以根据业务需要开启审计日志，开启后系统记录读写操作的审计信息，可能会有5%-15%的性能影响。 开启审计日志会收取一定费用，收费详情请参见产品价格详情。 文档数据库服务会去检测已生成的审计日志，若审计日志超过用户自定义的保留天数，则将其删除。建议审计日志保存180天以上，用于审计回溯和问题分析等场景。 审计策略修改后，文档数据库服务将按照新的策略执行审计，原审计日志的保留天数以修改后审计策略的保留天数为准。 审计日志不建议删除，如需删除，请先确保审计日志删除后仍然符合您所在地或者企业的安全合规要求，建议删除前下载日志文件在本地备份。审计日志删除后不可恢复，请谨慎操作。 您可以通过文档数据库服务查看、下载和删除DDS实例审计日志，详情请参见通过文档数据库服务查看审计日志；也可以按照日志配置管理配置后，在LTS服务查看DDS实例审计日志的详细信息，包括搜索日志、日志可视化、下载日志和查看实时日志等功能，详情请参见通过云日志服务查看审计日志。 审计日志默认每小时生成一次，如果日志大小超过最大限制10MB，则会额外生成新的审计日志。 客户数据需要使用UTF-8编码格式，对于非UTF-8格式数据，对应语句的审计结果可能会有缺失、遗漏或乱码等非预期现象。 文档数据库服务使用的对象存储服务上的审计日志文件，对用户不可见，它们只对后台管理系统可见。

事件样例 如下提供了查询副本集状态信息的样例，详细的字段解释可参考事件结构。 { "atype": "replSetGetStatus", "ts": { "$date": "2022-06-29T07:23:29.077+0000" }, "local": { "ip": "127.0.0.1", "port": 8636 }, "remote": { "ip": "127.0.0.1", "port": 50860 }, "users": [ { "user": "rwuser", "db": "admin" } ], "roles": [ { "role": "root", "db": "admin" } ], "param": { "command": "replSetGetStatus", "ns": "admin", "args": { "replSetGetStatus": 1, "forShell": 1, "$clusterTime": { "clusterTime": { "$timestamp": { "t": 1656487409, "i": 117 } }, "signature": { "hash": { "$binary": "PTJhGQ6cr8RyzuqbevXfG0xWj/c=", "$type": "00" }, "keyId": { "$numberLong": "7102437926763495425" } } }, "$db": "admin" } }, "result": 0 }

支持审计的关键操作列表 通过云审计服务，您可以记录与文档数据库服务相关的操作事件，便于日后的查询、审计和回溯。 表1 文档数据库服务的关键操作列表 操作名称 资源类型 事件名称 恢复到新实例 instance ddsRestoreToNewInstance 恢复到已有实例 instance ddsRestoreToOldInstance 创建实例 instance ddsCreateInstance 删除实例 instance ddsDeleteInstance 重启实例 instance ddsRestartInstance 扩节点 instance ddsGrowInstance 扩磁盘 instance ddsExtendInstanceVolume 重置数据库密码 instance ddsResetPassword 实例重命名 instance ddsRenameInstance 切换SSL instance ddsSwitchSsl 修改实例端口 instance ddsModifyInstancePort 创建备份 backup ddsCreateBackup 删除备份 backup ddsDeleteBackup 设置备份策略 backup ddsSetBackupPolicy 应用参数模板 parameterGroup ddsApplyConfigurations 复制参数模板 parameterGroup ddsCopyConfigurations 重置参数模板 parameterGroup ddsResetConfigurations 创建参数模板 parameterGroup ddsCreateConfigurations 删除参数模板 parameterGroup ddsDeleteConfigurations 更新参数模板 parameterGroup ddsUpdateConfigurations 绑定公网IP instance ddsBindEIP 解绑公网IP instance ddsUnBindEIP 修改标签 tag ddsModifyTag 删除实例标签 tag ddsDeleteInstanceTag 添加实例标签 tag ddsAddInstanceTag 扩容失败回退 instance ddsDeleteExtendedDdsNode 规格变更 instance ddsResizeInstance 实例解冻 instance ddsUnfreezeInstance 实例冻结 instance ddsFreezeInstance 修改内网地址 instance ddsModifyIP 修改内网 域名 instance ddsModifyDNSName 设置集群均衡开关 instance ddsSetBalancer 内部通信方式切换 instance ddsSwitchInnerSsl 添加只读节点 instance AddReadonlyNode 集群开启shard/config IP instance ddsCreateIp 修改实例安全组 instance ddsModifySecurityGroup 迁移可用区 instance ddsMigrateAvailabilityZone 实例备注 instance ddsModifyInstanceRemark 可维护时间段 instance ddsModifyInstanceMaintenanceWindow 补丁升级 instance ddsUpgradeDatastorePatch 主备切换 instance ddsReplicaSetSwitchover 跨网段访问配置 instance ddsModifyInstanceSourceSubnet 实例参数修改 parameterGroup ddsUpdateInstanceConfigurations 实例导出参数模板 parameterGroup ddsSaveConfigurations 设置跨区域备份策略 backup ddsModifyOffsiteBackupPolicy 慢日志开启明文显示 instance ddsOpenSlowLogPlaintextSwitch 慢日志关闭明文显示 instance ddsCloseSlowLogPlaintextSwitch 下载错误/慢日志 instance ddsDownloadLog 实例开启审计策略 instance ddsOpenAuditLog 实例关闭审计策略 instance ddsCloseAuditLog 实例下载审计日志 instance ddsDownloadAuditLog 实例删除审计日志 instance ddsDeleteAuditLogFile 回收站策略 instance ddsModifyRecyclePolicy 父主题： 审计

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)或云日志服务(LTS)，才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。

ER支持审计的关键操作 企业路由器（Enterprise Router, ER）可以连接虚拟私有云或本地网络来构建中心辐射型组网，是云上大规格，高带宽，高性能的集中路由器。 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的ER操作列表 操作名称 资源类型 事件名称 创建企业路由器 erInstance createInstance 修改企业路由器配置 erInstance updateInstance 删除企业路由器 erInstance deleteInstance 在企业路由器中添加连接 erAttachment createAttachment 修改连接信息 erAttachment updateAttachment 删除连接 erAttachment deleteAttachment 接受连接创建申请 erAttachment acceptAttachment 拒绝连接创建申请 erAttachment rejectAttachment 创建路由表 erRouteTable createRouteTable 修改路由表信息 erRouteTable updateRouteTable 删除路由表 erRouteTable deleteRouteTable 创建静态路由 erStaticRoute createStaticRoute 批量创建静态路由 erStaticRoute batchCreateStaticRoute 删除静态路由 erStaticRoute deleteStaticRoute 批量删除静态路由 erStaticRoute batchDeleteStaticRoute 修改静态路由 erStaticRoute updateStaticRoute 创建关联 erAssociation createAssociation 删除关联 erAssociation deleteAssociation 创建传播 erPropagation createPropagation 删除传播 erPropagation deletePropagation 创建流日志 erFlowLog createFlowLog 关闭流日志 erFlowLog updateFlowLog 开启流日志 erFlowLog updateFlowLog 删除流日志 erFlowLog deleteFlowLog 父主题： 使用CTS服务审计ER关键操作

云审计支持的CBH实例操作 云审计服务（Cloud Trace Service，简称CTS），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后，系统开始记录 云堡垒机 实例的相关操作，云审计服务管理控制台将保存最近7天的操作记录。云审计服务支持的CBH实例操作参考表1。 表1 支持CBH实例操作列表 操作名称 资源类型 事件名称 创建 堡垒机 cbh createInstance 删除堡垒机 cbh deleteInstance 重启堡垒机 cbh rebootCBH 启动堡垒机 cbh startCBH 关闭堡垒机 cbh stopCBH 提交堡垒机订单 cbh subscribeOrder 更新堡垒机订单状态 cbh updateCloudServiceType 更新堡垒机metadata信息 cbh updateMetadata 查询变更jobs cbh jobsAsynQuery 升级堡垒机 cbh upgradeInstance 变更堡垒机规格 cbh alterInstanceSpec 回退升级的堡垒机 cbh rollbackInstance 重置Admin密码 cbh resetPassword 重置Admin登录方式 cbh resetLoginMethod 变更堡垒机网络实例 cbh changeNetworkOfCBH 父主题： 审计实例关键操作

前提条件 需要确认以下参数值才可开启Binlog日志开关。 内核版本小于2.0.45.230900时，需要确认“log-bin”参数值为“ON”。您可参考修改TaurusDB实例参数查看或修改参数值。 内核版本大于或等于2.0.45.230900时，需要确认“rds_global_sql_log_bin”参数值为“ON”。 内核版本的查询方法请参见如何查看云数据库 TaurusDB实例的版本号。 查看和下载Binlog日志前，需要先开启Binlog日志开关，具体操作请参考开启Binlog日志。

响应示例 返回状态码为200：接口配置成功。 { "errcode": "0", "errmsg": "", "date": { "ftpType": "ftps", "serverIP": "1.0.0.0", "serverPort": "1", "username": "xxxxxx" } } 返回状态码为400：校验异常。 HTTP/1.1 400 Bad Request Date: Sun,16 Feb 2025 10:00:00 GMT Server: example-server Content-Type: application/json;charset=UTF-8 Content-Length: 250 Connection: keep-alive 返回状态码为500：内部错误。 HTTP/1.1 500 Internal Server Error Date: Sun,16 Feb 2025 10:00:00 GMT Server: example-server Content-Type: application/json;charset=UTF-8 Content-Length: 250 Connection: keep-alive

响应参数 返回状态码为200：接口配置成功。 表2 ruleInfoResponseDTO对象的参数列表 参数名称 类型 参数值域 默认值 参数说明 参数示例 errcode string 0~64个字符。 - 错误码。 "0" errmsg string 0~256个字符。 - 错误信息。 "" data REFERENCE 详细请参见表3。 - - 表3 ruleInfoDTO对象的参数列表 参数名称 类型 参数值域 默认值 参数说明 参数示例 ftpType string 1~4个字符。满足正则表达^(ftp|ftps)$。 - ftp类型。 "ftps" serverIP string 1~32个字符。 - 服务器IP。 "1.0.0.0" serverPort string 1~10个字符。 - 服务器端口,范围为1-65535。 "1" username string 1~32个字符。 - 用户名。 "xxxxxx" 返回状态码为400：校验异常。 详细信息请参见实际响应消息体。 返回状态码为500：内部错误。 详细信息请参见实际响应消息体。