华为云用户手册

应用场景 近年来，AI快速发展并应用到很多领域中，AI新产品掀起一波又一波热潮，AI应用场景越来越多，有自动驾驶、大模型、AIGC、科学AI等不同行业。AI人工智能的实现需要大量的基础设施资源，包括高性能算力，高速存储和网络带宽等基础设施，即“大算力、大存力、大运力”的AI基础大设施底座，让算力发展不要偏斜。 从过去的经典AI，到今天人人谈论的大模型，自动驾驶，我们看到AI模型的参数及AI算力规模呈现出指数级的爆发增长，对存储基础设施也带来全新的挑战。 高吞吐的数据访问挑战：随着企业使用 GPU/NPU 越来越多，底层存储的 IO 已经跟不上计算能力，企业希望存储系统能提供高吞吐的数据访问能力，充分发挥 GPU/NPU 的计算性能，包括训练数据的读取，以及为了容错做的检查点（以下简称Checkpoint）保存和加载。训练数据的读取要尽量读得快，减少计算对 I/O 的等待，而 Checkpoint主要要求高吞吐、减少训练中断的时间。 文件接口方式的数据共享访问：由于 AI 架构需要使用到大规模的计算集群（GPU/NPU服务器），集群中的服务器访问的数据来自一个统一的数据源，即一个共享的存储空间。这种共享访问的数据有诸多好处，它可以保证不同服务器上访问数据的一致性，减少不同服务器上分别保留数据带来的数据冗余等。另外以 AI 生态中非常流行的开源深度学习框架PyTorch为例，PyTorch默认会通过文件接口访问数据，AI算法开发人员也习惯使用文件接口，因此文件接口是最友好的共享存储访问方式。

前提条件 Linux内核为5.3及以上版本。 当客户端与服务端之间网络延迟较高（例如在线下IDC访问云上NFS文件系统和跨Region挂载NFS文件系统的场景下），且您需要达到较高的带宽或IOPS时，建议开启该功能； 开启nconnect后对于单并发、小IO数据块等场景会有一定的时延增加，当您的业务为小并发的延迟敏感型时，不建议开启该功能； nconnect功能开启后，可以提升NFS客户端与服务端之间的吞吐性能，最终性能阈值受限于文件系统服务端的能力及客户端网卡或CPU等资源能提供的能力。

应用场景 虚拟私有云为弹性云服务器构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 虚拟私有云更多信息，详见虚拟私有云产品介绍。

规则详情 表1 规则详情 参数 说明 规则名称 ecs-in-allowed-security-groups 规则展示名 绑定指定标签的E CS 关联在指定安全组ID列表内 规则描述 指定高危安全组ID列表，未绑定指定标签的ECS资源关联其中任意安全组，视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 specifiedECSTagKey：指定的ECS的标签键，字符串类型。 specifiedECSTagValue：指定的ECS的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。 specifiedSecurityGroupIds：指定的高危安全组的ID列表，数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-images-by-id 规则展示名 ECS实例的镜像ID在指定的范围 规则描述 指定允许的镜像ID列表，ECS实例的镜像ID不在指定的范围内，视为“不合规”。 标签 ecs、ims 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 listOfAllowedImages：允许的镜像ID列表，数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 required-tag-check 规则展示名 资源具有指定的标签 规则描述 指定一个标签，不具有此标签的资源，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 specifiedTagKey：指定的标签键，字符串类型。 specifiedTagValue：指定的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 elb-predefined-security-policy-https-check 规则展示名 ELB监听器配置指定预定义安全策略 规则描述 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.loadbalancers 规则参数 predefinedPolicyName：指定的预定义安全策略名称，默认值为tls-1-0。 支持的枚举值：tls-1-0、tls-1-1、tls-1-2、tls-1-0-inherit、tls-1-2-strict、tls-1-0-with-1-3、tls-1-2-fs-with-1-3、tls-1-2-fs、hybrid-policy-1-0。更多信息请参见TLS安全策略。

规则详情 表1 规则详情 参数 说明 规则名称 codeartsdeploy-host-cluster-resource-status 规则展示名 CodeArts项目下的主机集群为可用状态 规则描述 CodeArts项目下的主机集群，如果状态不可用，则该主机集群视为“不合规”。 标签 codeartsdeploy 规则触发方式 配置变更 规则评估的资源类型 codeartsdeploy.host-cluster 规则参数 无

规则详情 表1 规则详情 参数 说明 规则名称 approved-ims-by-tag 规则展示名 ECS的镜像在指定Tag的IMS的范围内 规则描述 ECS云主机的镜像不在指定Tag的IMS镜像的范围内，视为“不合规”。 标签 ecs、ims 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 specifiedIMSTagKey：指定的IMS镜像的标签键，字符串类型。 specifiedIMSTagValue：指定的IMS镜像的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 iam-password-policy 规则展示名 IAM 用户密码策略符合要求 规则描述 IAM用户密码强度不满足密码强度要求，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 pwdStrength：密码强度要求，参数允许值为枚举值Strong/Medium/Low，默认值为Strong。 说明： 各密码强度的详细说明如下： Strong（高）：至少包含大写字母、小写字母、数字、特殊字符和空格中的四种或三种字符类型，且长度在8到32之间。 Medium（中）：至少包含大写字母、小写字母、数字、特殊字符和空格中的两种字符类型，且长度在8到32之间。 Low（低）：至少包含大写字母、小写字母、数字、特殊字符和空格中的一种字符类型，且长度在8到32之间。

概述 资源合规特性帮助您快速创建一组合规规则，用于评估您的资源是否满足合规要求。您可以选择Config提供的系统内置预设策略或自定义策略，并指定需要评估的资源范围来创建一个合规规则；合规规则创建后，有多种机制触发规则评估，然后查看合规规则的评估结果来了解资源的合规情况。 在使用资源合规时，如果您是组织管理员或Config服务的委托管理员，您还可以添加组织类型的资源合规规则，直接作用于您组织内账号状态为“正常”的所有成员账号中。 针对合规规则评估出的不合规资源，合规修正功能可以帮助您设置基于合规规则的修正配置，通过关联 RFS 服务的私有模板或FunctionGraph服务的函数实例，按照您自定义的修正逻辑对不合规资源进行快速修正，确保您的云上资源持续合规。

基于FunctionGraph函数执行修正 使用预设策略“VPC启用流日志（vpc-flow-logs-enabled）”添加预定义合规规则。 由于当前账号存在未开启流日志的VPC资源，该合规规则的合规评估结果为“不合规”。 图5 合规评估结果 创建FunctionGraph函数，并填入以下函数代码。 该函数代码表示为指定的VPC资源开启流日志。 使用以下函数示例时，您需要手动添加依赖包huaweicloudsdkvpc，该依赖包并非在所有区域都可选，如果依赖包缺失，则需要手动导入依赖包，详见配置依赖包。 # -*- coding:utf-8 -*-import timeimport requestsimport random, stringimport http.clientfrom huaweicloudsdkcore.exceptions.exceptions import ConnectionExceptionfrom huaweicloudsdkcore.exceptions.exceptions import RequestTimeoutExceptionfrom huaweicloudsdkcore.exceptions.exceptions import ServiceResponseExceptionfrom huaweicloudsdkvpc.v2.region.vpc_region import VpcRegionfrom huaweicloudsdkvpc.v2.vpc_client import VpcClientfrom huaweicloudsdkvpc.v2.model import CreateFlowLogReqfrom huaweicloudsdkvpc.v2.model import CreateFlowLogReqBodyfrom huaweicloudsdkvpc.v2.model import CreateFlowLogRequestfrom huaweicloudsdkcore.auth.credentials import BasicCredentialsrequests.packages.urllib3.disable_warnings()def get_random_string(length=6): letters_and_digits = string.ascii_letters + string.digits return ''.join(random.choice(letters_and_digits) for _ in range(length))def createFlowLog(context, project_id, request): auth = BasicCredentials(ak=context.getAccessKey(), sk=context.getSecretKey())\ .with_project_id(project_id) client = VpcClient.new_builder() \ .with_credentials(credentials=auth) \ .with_region(region=VpcRegion.value_of(region_id="cn-north-4")) \ .build() try: response = client.create_flow_log(request) return 200 except ConnectionException as e: print("A connect timeout exception occurs while the vpc performs some operations, exception: ", e.error_msg) return e.status_code except RequestTimeoutException as e: print("A request timeout exception occurs while the vpc performs some operations, exception: ", e.error_msg) return e.status_code except ServiceResponseException as e: print("There is service error, exception: ", e.status_code, e.error_msg) return e.status_codedef handler(event, context): project_id = event.get("project_id") request_body = CreateFlowLogRequest(CreateFlowLogReqBody( CreateFlowLogReq( name="auto" + get_random_string(4), description="to remediate vpc", resource_type="vpc", resource_id=event.get("noncompliant_resource_id", {}), traffic_type="all", log_group_id=event.get("log_group_id", {}), log_topic_id=event.get("log_topic_id", {}), index_enabled=False ) )) for retry in range(5): status_code = createFlowLog(context, project_id, request_body) if status_code == http.client.TOO_MANY_REQUESTS: time.sleep(1) else: break 创建该合规规则的修正配置，具体如下图所示。 部分示例参数的说明： 修正方法选择“自动修正”。 修正模板选择上一步中创建的FunctionGraph函数。 配置资源ID参数，Config会将该参数赋值为不合规资源的ID。在当前场景下“noncompliant_resource_id”将会被赋值为不合规资源的ID，FunctionGraph函数中使用resource_id=event.get("noncompliant_resource_id", {})语句获取不合规资源ID，每个不合规资源均会传递一次资源ID。 参数，指定您期望由Config传递给FunctionGraph函数的静态参数，该参数为不合规资源修正的具体规则参数值。例如在当前场景下此处配置日志组的ID（键：log_group_id；值：具体日志组ID值），在FGS函数中使用log_group_id=event.get("log_group_id", {})语句获取日志组ID，执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。 当前示例中的参数说明如下： project_id：项目ID，如何获取请参见获取项目ID。 log_group_id：日志组ID，如何获取请参见管理日志组。 log_topic_id：日志流ID，如何获取请参见管理日志流。 图6 创建修正配置 修正配置创建完成后，重新触发规则评估。 当该合规规则评估完成且合规评估结果仍然为不合规时，Config将自动执行修正，调用FunctionGraph函数为每个不合规的VPC资源创建流日志。 如下图所示，不合规的VPC资源在修正成功后已全部创建流日志。 图7 VPC资源已创建流日志

约束与限制 每个账号最多可以添加500个合规规则（包括由组织合规规则和合规规则包创建的托管规则）。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 托管合规规则不支持进行修改、停用、启用、删除操作，托管合规规则是由组织合规规则或合规规则包创建的，由组织合规规则创建的托管规则只能由创建规则的组织账号进行修改和删除操作，由合规规则包创建的托管规则可以通过更新合规规则包进行参数修改，且只能通过删除相应合规规则包来进行删除。具体请参见组织合规规则和合规规则包。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织内账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 组织合规规则仅会下发至账号状态为“正常”的组织成员账号中，且组织成员账号需开启资源记录器，否则将导致部署异常。 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 基于RFS服务私有模板执行修正的场景下，对应区域的资源栈应至少预留5个配额，否则执行修正可能会因配额不足导致失败。 一个合规规则上只能创建一个修正配置。 当合规规则存在修正配置，则必须删除修正配置并且停用规则后，才可删除此合规规则。 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源，基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

基于RFS私有模板执行修正 使用预设策略“创建并启用 CTS 追踪器（cts-tracker-exists）”添加预定义合规规则。 由于当前账号的CTS追踪器已停用，该合规规则的合规评估结果为“不合规”。 图1 CTS追踪器已停用 图2 合规评估结果 创建RFS私有模板，并填入以下模板内容。 该模板内容表示开启已关闭的CTS追踪器。 { "resource": { "huaweicloud_cts_tracker": { "tracker": { "bucket_name": "${var.bucket_name}", "file_prefix": "${var.file_prefix}", "lts_enabled": "true" } } }, "variable": { "bucket_name": { "description": "Specifies the OBS bucket to which traces will be transferred.", "type": "string", "default": "" }, "file_prefix": { "description": "Specifies the file name prefix to mark trace files that need to be stored in an OBS bucket. The value contains 0 to 64 characters. Only letters, numbers, hyphens (-), underscores (_), and periods (.) are allowed.", "type": "string", "default": "" } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.58.0" } } }} 创建该合规规则的修正配置，具体如下图所示。 部分示例参数的说明： 修正方法选择“自动修正”。 修正模板选择上一步中创建的RFS私有模板，当修正方法选择“自动修正”时还需指定IAM权限委托，例如当前场景下RFS私有模板将创建CTS追踪器，则该委托的授权云服务为RFS，委托权限为创建CTS追踪器的权限（例如CTS FullAccess）。如何创建委托请参见委托其他云服务管理资源。 配置资源ID参数，Config会将该参数赋值为不合规资源的ID。在当前场景下“file_prefix”将会被赋值为账号ID，该值会传递给RFS服务用于创建资源栈执行RF语句。 参数，指定您期望由Config传递给RFS私有模板的静态参数，Config会将这些参数原样传递给RFS服务用于创建资源栈执行RF语句。 图3 创建修正配置 修正配置创建完成后，重新触发规则评估。 当该合规规则评估完成且合规评估结果仍然为不合规时，Config将自动执行修正，调用RFS私有模板为当前账号开启CTS追踪器。 如下图所示，不合规资源自动修正成功，当前账号的CTS追踪器已启用。 图4 CTS追踪器已启用

创建修正配置 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的合规规则列表中，单击合规规则的规则名称，进入规则详情页。 图2 进入规则详情页 在左上方选择“修正管理”页签。 单击界面中部或右上方的“修正配置”按钮，进入修正配置信息页面。 图3 创建修正配置 选择修正方法。 自动修正：当合规规则评估出不合规资源后，将自动对不合规资源执行修正操作。 手动修正：由用户手动选择执行不合规资源的修正操作。具体请参见手动执行修正。 由于自动修正会根据您的预设参数自动修改不合规资源的配置信息，可能会影响业务的连续性，因此推荐您使用手动修正方式。 当您确保本次修正不会对业务造成影响时，可以选择修正方法为自动修正，当合规规则检测到不合规资源时，会自动执行修正。 配置修正执行的重试时间和重试次数。 当不合规资源在执行修正后仍不合规时，“自动修正”方式会循环执行修正，或您自行多次手动执行修正，这将可能产生不必要的费用和影响业务连续性。 为避免循环执行修正产生的影响，您必须设置修正执行的重试时间和重试次数，Config会检测单个资源在该重试时间内执行的修正次数，若达到设置的重试次数，该资源会自动被设置为修正例外，后续执行规则修正时将不会再对此资源进行修正。 重试时间默认为3600秒，输入值需在60到43200之间。 重试次数默认为5次，输入值需在1到25之间。 选择修正模板。 RFS模板：选择 资源编排 服务（RFS）的私有模板作为修正操作的模板，模板中定义不合规资源的具体修正逻辑。 IAM权限委托：当选择RFS模板且修正方法为“自动修正”时需指定IAM权限委托，该委托为云服务委托，用于授予RFS服务部署资源栈执行资源配置修改时所需的权限，授权的云服务为RFS，委托权限为RFS模板中调用其他服务所需的权限，如何创建委托请参见委托其他云服务管理资源。若委托的权限不足或配置错误，会导致修正失败，您可以自行创建资源栈验证委托可用性，具体请参见创建资源栈。 FGS模板：选择 函数工作流 （FunctionGraph）的函数实例作为修正操作的模板，函数中定义不合规资源的具体修正逻辑。 图4 修正配置信息 配置资源ID参数。 资源ID参数：指定不合规资源ID的变量名，需要与修正模板中定义的获取资源ID的变量名一致。执行修正时Config会将该变量赋值为要修正的不合规资源的具体ID值，并将其传递给修正模板获取资源ID。例如在FGS函数中使用resource_id=event.get("noncompliant_resource_id", {})语句获取不合规资源ID，则此处的资源ID参数也需配置为“noncompliant_resource_id”，执行修正时不合规资源的ID将通过变量“noncompliant_resource_id”传递给FSG函数，每个不合规资源均会传递一次资源ID用于修正模板执行修正。 参数：指定您期望由Config传递给修正模板的静态参数，最多可以添加50个参数。该参数为不合规资源修正的具体规则参数值，例如执行修正为不合规的VPC资源创建流日志时，在FGS函数中使用log_group_id=event.get("log_group_id", {})语句获取日志组ID，则此处参数配置日志组的ID（键：log_group_id；值：具体日志组ID值），执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。 图5 资源ID参数 配置完成后，单击页面右下角的“保存”。 当合规规则的修正方式选择“自动修正”时，您必须重新触发规则评估以更新评估结果，然后才会自动对不合规资源执行修正。

操作场景 当您通过系统预设策略或自定义策略创建合规规则后，您可以为合规规则创建修正配置，按照您自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 合规规则的修正配置功能基于RFS服务的私有模板或FunctionGraph的函数进行资源修正，因此您需要预先创建RFS服务的私有模板或FunctionGraph的函数。本章节包含如下内容： 创建RFS私有模板 创建FunctionGraph函数 创建修正配置

华为云网络安全合规实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转，视为“不合规” alarm-kms-disable-or-delete-key CES 配置监控KMS禁用或计划删除密钥的事件监控告警 ces, kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警，视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces, obs CES未配置监控OBS桶策略变更的事件监控告警，视为“不合规” alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces, vpc CES未配置监控VPC变更的事件监控告警，视为“不合规” css-cluster-https-required CSS 集群启用HTTPS css CSS集群未启用https，视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的vpc资源绑定，视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未转储到LTS，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建并启用CTS追踪器，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥，视为“不合规” iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从console侧访问的IAM用户，其创建时设置访问密钥，视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” iam-user-single-access-key IAM用户单访问密钥 iam IAM用户拥有多个处于“active”状态的访问密钥，视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过console密码登录的IAM用户未开启MFA认证，视为“不合规” mrs-cluster-kerberos-enabled MRS 集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证，视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密，视为“不合规” vpn-connections-active VPN连接状态为“正常” vpnaas VPN连接状态不为“正常”，视为“不合规” bms-key-pair-security-login BMS资源使用密钥对登录 bms 裸金属服务器未启用密钥对安全登录，视为“不合规” cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密，视为“不合规” cfw-policy-not-empty CFW防火墙配置防护策略 cfw CFW防火墙未配置防护策略，视为“不合规” csms-secrets-auto-rotation-enabled C SMS 凭据启动自动轮转 csms CSMS凭据未启动自动轮转，视为“不合规” csms-secrets-rotation-success-check 检查CSMS凭据轮转成功 csms CSMS凭据轮转失败，视为“不合规” csms-secrets-using-cmk CSMS凭据使用指定KMS csms CSMS凭据未使用指定的KMS，视为“不合规” 父主题： 合规规则包示例模板

适用于 云监控服务 （CES）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用，视为“不合规” alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces，kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警，视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces，obs CES未配置监控OBS桶策略变更的事件监控告警，视为“不合规” alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces，vpc CES未配置监控VPC变更的事件监控告警，视为“不合规” 父主题： 合规规则包示例模板

适用于金融行业的合规实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转，视为“不合规”. as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https，视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的vpc资源绑定，视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs，vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有公网IP，视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥，视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换，视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” mrs-cluster-in-vpc MRS集群属于指定VPC mrs 指定虚拟私有云ID，不属于此VPC的MRS集群，视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证，视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs，evs 已挂载的云硬盘未进行加密，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0，且开放了所有的TCP/UDP端口时，视为“不合规” vpn-connections-active VPN连接状态为“正常” vpnaas VPN连接状态不为“正常”，视为“不合规” waf-instance-policy-not-empty WAF防护 域名 配置防护策略 waf WAF防护域名未配置防护策略，视为“不合规” 父主题： 合规规则包示例模板

默认规则 此表中的建议项编号对应C5_2020中参考文档的章节编号，供您查阅参考。 表1 适用于德国云计算合规标准目录的标准合规包默认规则说明 建议项编号 合规规则 指导 COS-03 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 COS-03 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 COS-03 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 COS-03 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 COS-03 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 COS-03 css-cluster-in-vpc 确保 云搜索服务 位于虚拟私有云中。 COS-03 css-cluster-in-vpc 确保 云搜索 服务位于虚拟私有云中。 COS-03 mrs-cluster-no-public-ip 确保 MapReduce服务 （MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 COS-03 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 COS-03 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 COS-03 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 COS-03 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 COS-03 vpc-default-sg-closed 确保虚拟私有 云安全 组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 COS-03 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 COS-05 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 COS-05 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 COS-05 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 COS-05 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息，确保华为云ecs实例无法公开访问来管理对华为云的访问。 COS-05 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 COS-05 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 COS-05 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 COS-05 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 COS-05 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 COS-05 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 CRY-02 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 CRY-02 elb-predefined-security-policy-https-check 确保独享型负载均衡器使用了指定的安全策略。在创建和配置HTTPS监听器时，您可以选择使用安全策略，可以提高您的业务安全性。 CRY-02 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 CRY-02 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 CRY-02 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 CRY-02 dws-enable-ssl 确保 数据仓库 服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 CRY-02 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 CRY-03 cts-kms-encrypted-check 确保 云审计 服务的追踪器已配置KMS加密存储用于归档的审计事件。 CRY-03 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 CRY-03 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 CRY-03 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 CRY-04 kms-rotation-enabled 确保 数据加密 服务密钥启用密钥轮换。 DEV-07 cts-lts-enable 确保使用 云日志 服务集中收集云审计服务的数据。 DEV-07 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 DEV-07 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 DEV-07 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 DEV-07 multi-region-cts-tracker-exists 云审计服务提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 IDM-01 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 IDM-01 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 IDM-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-01 iam-root-access-key-check 确保根访问密钥已删除。 IDM-01 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 IDM-01 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 IDM-01 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 IDM-01 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 IDM-01 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IDM-01 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 IDM-08 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 CRY-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-09 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 IDM-09 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 IDM-09 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 OPS-01 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云RDS会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。 OPS-02 as-group-elb-healthcheck-required 弹性负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。这条规则确保与负载均衡器关联的伸缩组使用弹性负载均衡健康检查。 OPS-02 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云RDS会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。 OPS-07 rds-instance-enable-backup 确保云数据库资源开启备份。 OPS-07 dws-enable-snapshot 自动快照采用差异增量备份，当创建集群时，自动快照默认处于启用状态。当集群启用了自动快照时，DWS将按照设定的时间和周期以及快照类型自动创建快照，默认为每8小时一次。用户也可以对集群设置自动快照策略，并根据自身需求，对集群设置一个或多个自动快照策略。 OPS-07 gaussdb-nosql-enable-backup 确保GeminiDB开启备份。 OPS-14 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 OPS-14 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 OPS-15 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 OPS-15 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 OPS-15 dws-enable-log-dump 要获取有关华为云DWS集群上用户活动的信息，请确保启用日志转储。 OPS-15 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 OPS-15 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务用于记录华为云管理控制台操作。 OPS-15 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 OPS-15 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 OPS-15 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 PSS-05 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 PSS-05 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 PSS-05 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 PSS-07 iam-password-policy 确保IAM用户密码强度满足密码强度要求。

查询的基本语法 [WITH (with_item, ...)]SELECT [DISTINCT | ALL] (select_item, ...)[FROM (from_item, ...)][WHERE bool_expression][GROUP BY [DISTINCT | ALL] (expression, ...)][HAVING booleanExpression][ORDER BY (expression [ASC | DESC] [NULLS (FIRST | LAST)], ...)][LIMIT number]

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“规则”，进入“规则”页面。 在页面左上角选择需要查看的资源聚合器，列表中将展示此聚合器聚合的全部合规性数据。 在列表中单击需要查看的规则名称，即可查看此合规规则的详细信息。 在页面上方的搜索框中可使用规则名称、合规评估结果和账号ID，进一步对聚合的合规性数据进行筛选。 图1 查看聚合的合规规则

高级查询概述 配置审计 服务提供高级查询能力，通过使用ResourceQL自定义查询用户当前的单个或多个区域的资源配置状态。 高级查询支持用户自定义查询和浏览云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言(SQL)SELECT语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现： 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性（公网IP，加密磁盘）的资源的列表。 成本优化。例如检索未挂载到任何云服务器实例的云磁盘的列表，避免产生不必要的费用。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。 父主题： 高级查询

条件函数 CASE关键字可以根据情况选择不同的返回值。它有以下两种用法。 计算给定表达式expression的值，根据不同的值返回对应的结果。 依次计算每一个bool_expression的值，找到第一条符合要求的expression并返回对应的结果。 CASE expression WHEN value1 THEN result1 [WHEN value2 THEN result2] [...] [ELSE result]ENDCASE WHEN condition1 THEN result1 WHEN condition2 THEN result2 [...] [ELSE result]END IF关键字的用法有以下两种。 'IF(bool_expression, value)'：如果布尔表达式值为真就返回'value'，否则返回NULL。 'IF(bool_expression, value1, value2)'：如果布尔表达式值为真就返回'value1'，否则返回 'value2'。

操作场景 您可以在规则列表中查看资源聚合器聚合的全部合规性数据。该列表可帮助您筛选不同资源聚合器聚合的合规性数据，且支持通过规则名称、合规评估结果和账号ID进一步筛选，还可以查看每个合规规则的详情。 查看组织资源聚合器聚合的合规性数据依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:delegatedAdministrators:list organizations:trustedServices:list

符号约定 本节把需要原样输入的单词用大写表示，需要原样输入的字符用单引号括起来。 '[x]'表示语句'x'可以出现一次或不出现。 '(x)'表示语句'x'是个整体。'(x, ...)'表示语句'x'可以出现一次或多次，多次之间用逗号连接。 '|'表示所有可能的替代情况。 'expression'表示任意表达式。特殊地，'bool_expression'表示任意布尔表达式。 'identifier'表示一个合法的标识符。由字符'0-9,a-z,A-Z,_'组成，且不能以数字开头。 'column_name'表示一个合法的字段名。它可以是一个'identifier'或多个嵌套，如'A.id'。 'table_name'表示一个合法的表名。ResourceQL语法规定'table_name'必须为'resources'。 用双引号括起来的单位会被认为是一个整体。例如，若需表示带有特殊字符的列名，需在其前后加双引号。

模糊查询 string LIKE pattern [ESCAPE escape_characters] 'LIKE'用来判断字符串是否符合某种pattern。如果pattern里想表达'%'或者'_'这两种字符的字面量，可以在'ESCAPE'后指定转义符（如'#'），在pattern里写成'#%'和'#_'即可。 通配符'%'表示匹配0或多个字符。 通配符'_'表示正好匹配一个字符。 对象存储桶的模糊查询，可以写成如下形式： SELECT name, id FROM resources WHERE provider = 'obs' AND type = 'buckets' AND name LIKE '%figure%' 或 SELECT name, id FROM resources WHERE provider = 'obs' AND type = 'buckets' AND name LIKE '%figure#_%' ESCAPE '#'

操作步骤 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 选择“组织合规规则包”页签，在组织合规规则包列表中单击操作列的“编辑”。 图1 修改组织合规规则包 进入“编辑组织合规规则包”页面，当前不支持修改合规规则包选择的模板，单击“下一步”。 进入“详细信息”页面，修改合规规则包名称和规则参数的值，单击“下一步”。 进入“确认配置”页面，确认修改无误后，单击“确定”。 组织合规规则包修改完成后将会在部署账号中重新部署下发。

默认规则 此表中的建议项编号对应“cybersecurity-guide-for-smes”中参考文档的章节编号，供您查阅参考。 表1 适用于中小企业的ENISA的标准合规包默认规则说明 建议项编号 建议项说明 合规规则 指导 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-data-guard-job-not-public 确保 数据复制服务 实时灾备任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-migration-job-not-public 确保数据复制服务实时迁移任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-synchronization-job-not-public 确保数据复制服务实时同步任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 ecs-instance-no-public-ip 由于华为云弹性云服务器实例可能包含敏感信息，确保华为云弹性云服务器实例无法公开访问来管理对华为云的访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 mrs-cluster-no-public-ip 确保MapReduce服务无法公网访问。华为云MapReduce服务集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 rds-instance-no-public-ip 确保云数据库无法公网访问，管理对华为云中资源的访问。云数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 css-cluster-disk-encryption-check 确保云搜索服务集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 css-cluster-disk-encryption-check 确保云搜索服务集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 private-nat-gateway-authorized-vpc-only 确保NAT私网网关仅连接到授权的虚拟私有云中，管理对华为云中资源的访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 dws-enable-kms 确保数据仓库服务的集群启用KMS磁盘加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 gaussdb-nosql-enable-disk-encryption 确保GeminiDB启用KMS磁盘加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 6_SECURE DEVICES: KEEP SOFTWARE PATCHED AND UP TO DATE 理想情况下，使用集中式平台管理修补。强烈建议中小企业：定期更新其所有软件，尽可能打开自动更新，确定需要手动更新的软件和硬件，考虑移动和物联网设备。 cce-cluster-end-of-maintenance-version 确保CCE集群版本为处于维护中的版本。 6_SECURE DEVICES: KEEP SOFTWARE PATCHED AND UP TO DATE 理想情况下，使用集中式平台管理修补。强烈建议中小企业：定期更新其所有软件，尽可能打开自动更新，确定需要手动更新的软件和硬件，考虑移动和物联网设备。 cce-cluster-oldest-supported-version 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 dws-enable-kms 确保数据仓库服务的集群启用KMS磁盘加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 gaussdb-nosql-enable-disk-encryption 确保GeminiDB启用KMS磁盘加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务用于记录华为云管理控制台操作。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 multi-region-cts-tracker-exists 云审计服务提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 rds-instance-enable-backup 确保云数据库资源开启备份。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 dws-enable-snapshot 自动快照采用差异增量备份，当创建集群时，自动快照默认处于启用状态。当集群启用了自动快照时，DWS将按照设定的时间和周期以及快照类型自动创建快照，默认为每8小时一次。用户也可以对集群设置自动快照策略，并根据自身需求，对集群设置一个或多个自动快照策略。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 gaussdb-nosql-enable-backup 确保GeminiDB开启备份。

默认规则 此表中的建议项编号对应https://www.swift.com/中参考文档的章节编号，供您查阅参考。 表1 适用于SWIFT CSP的标准合规包默认规则说明 建议项编号 合规规则 指导 1.1 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.1 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 1.1 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.1 vpc-acl-unused-check 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。 1.1 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.2 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 1.2 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 1.2 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 1.2 smn-lts-enable 确保为指定 SMN 主题绑定一个云日志，用于记录主题消息发送状态等信息。 1.4 private-nat-gateway-authorized-vpc-only 确保NAT私网网关仅连接到授权的虚拟私有云中，管理对华为云中资源的访问。 1.4 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的ip地址，确保对安全组内资源实例的访问。 1.4 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 2.3 ecs-multiple-public-ip-check 此规则检查您的ECS实例是否具有多个公网IP。拥有多个弹性公网IP可能会增加网络安全的复杂性。 2.3 volume-unused-check 确保云硬盘未闲置。 2.3 kms-not-scheduled-for-deletion 确保数据加密服务密钥未处于“计划删除”状态，以防止误删除密钥。 2.5A sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 2.5A volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 4.1 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 4.1 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 4.2 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 4.2 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 4.2 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 5.1 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 5.1 iam-root-access-key-check 确保根访问密钥已删除。 5.1 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 6.4 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 6.4 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务用于记录华为云管理控制台操作。 6.4 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 6.4 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 6.4 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 6.4 stopped-ecs-date-diff 启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数，确保弹性云服务器未闲置。 6.4 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。