华为云用户手册

默认规则 此表中的建议项编号对应华为 云安全 配置基线指南文档的章节编号，供您查阅参考。 表1 华为云安全配置基线指南的标准合规包（level 1）默认规则说明 建议项编号 建议项说明 合规规则 规则中文名称 涉及云服务 规则描述 C. CS .FOUNDATION.G_1.R_1 确保管理员账号禁用 AK/SK iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥，视为“不合规” C.CS.FOUNDATION.G_1.R_2 确保管理员账号已启用 MFA root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证，视为“不合规” C.CS.FOUNDATION.G_1.R_14 确保不创建允许“*:*”管理权限的 IAM 策略 iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*)，视为“不合规” C.CS.FOUNDATION.G_2.R_1 启用 CTS multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定region列表创建并启用CTS追踪器，视为“不合规” C.CS.FOUNDATION.G_2.R_15 开启日志文件完整性校验 cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” C.CS.FOUNDATION.G_3_3.R_1 禁止使用 CCE 已经 EOS 的 K8S 集群版本 cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本，视为“不合规” C.CS.FOUNDATION.G_3_3.R_6 集群节点不要暴露到公网 cce-endpoint-public-access CCE集群资源不具有弹性公网IP cce CCE集群资源具有弹性公网IP，视为“不合规” C.CS.FOUNDATION.G_4.R_1 确保限制 SSH 的 Internet 公网访问 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规” C.CS.FOUNDATION.G_4.R_4 确保安全组不允许源地址 0.0.0.0/0 访问远程管理端口及高危端口 vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规” C.CS.FOUNDATION.G_5_1.R_2 禁用匿名访问 obs-bucket-policy-not-more-permissive OBS桶策略授权约束 obs OBS桶策略授权了控制策略以外的访问行为，视为“不合规” C.CS.FOUNDATION.G_5_1.R_5 使用桶策略限制对 OBS 桶的访问必须使用 HTTPS 协议 obs-bucket-ssl-requests-only OBS桶策略授权行为使用SSL加密 obs OBS桶策略授权了无需SSL加密的行为，视为“不合规” C.CS.FOUNDATION.G_6_1.R_1 开启加密通信 rds-instance-ssl-enable RDS实例启用SSL加密通讯 rds RDS实例未启用SSL加密通讯，视为“不合规” C.CS.FOUNDATION.G_6_1.R_5 避免绑定 EIP 直接通过互联网访问 rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” C.CS.FOUNDATION.G_6_2.R_1 开启加密通信 dds-instance-enable-ssl DDS实例开启SSL dds DDS实例未开启SSL，视为“不合规” C.CS.FOUNDATION.G_6_2.R_7 禁止使用默认端口 dds-instance-port-check DDS实例端口检查 dds DDS实例的端口包含被禁止的端口，视为“不合规” C.CS.FOUNDATION.G_6_2.R_8 补丁升级 dds-instance-engine-version-check DDS实例数据库版本检查 dds 低于指定版本的DDS实例，视为“不合规” C.CS.FOUNDATION.G_6_3.R_2 开启备份功能设置合理的备份策略 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的rds资源，视为“不合规” C.CS.FOUNDATION.G_6_3.R_4 禁止使用默认端口 rds-instance-port-check RDS实例默认端口检查 rds RDS实例的端口包含被禁止的端口，视为“不合规” C.CS.FOUNDATION.G_6_3.R_8 数据库版本更新到最新版本 rds-instance-engine-version-check RDS实例数据库引擎版本检查 rds RDS实例数据库引擎的版本低于指定版本，视为“不合规” C.CS.FOUNDATION.G_7_2.R_1 开启 Kerberos 认证 mrs-cluster-kerberos-enabled MRS 集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” C.CS.FOUNDATION.G_7_2.R_3 集群 EIP 安全组管控 mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” C.CS.FOUNDATION.G_7_2.R_3 集群 EIP 安全组管控 mrs-cluster-in-vpc MRS集群属于指定VPC mrs 指定虚拟私有云ID，不属于此VPC的mrs资源，视为“不合规” C.CS.FOUNDATION.G_7_3.R_6 开启 SSL 加密传输功能 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” C.CS.FOUNDATION.G_8.R_1 启用 Web 应用防火墙功能 waf-instance-enable-protect 启用WAF实例 域名 防护 waf 如果账号未配置并启用WAF防护策略的域名防护，视为“不合规” C.CS.FOUNDATION.G_8.R_2 配置 WAF 地理位置访问策略 waf-policy-enable-geoip 启用WAF防护策略地理位置访问控制规则 waf 如果账号不存在启用地理位置访问控制规则的waf服务防护策略，视为“不合规” C.CS.FOUNDATION.G_8.R_5 启用 WAF 对 Web 基础防护的拦截模式 waf-instance-enable-block-policy 启用WAF实例启用拦截模式防护策略 waf WAF实例未启用拦截模式防护策略，视为“不合规” C.CS.FOUNDATION.G_8.R_7 启用 企业主机安全 HSS（基础版/专业版/企业版/旗舰版） ecs-attached-hss-agents-check ECS资源绑定服务主机代理防护 ecs ECS实例未绑定HSS代理并启用防护，视为“不合规”

适用于云数据库（TaurusDB）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-mysql-instance-enable-auditlog TaurusDB实例开启审计日志 taurusdb 未开启审计日志的TaurusDB资源，视为“不合规” gaussdb-mysql-instance-enable-backup TaurusDB实例开启备份 taurusdb 未开启备份的TaurusDB资源，视为“不合规” gaussdb-mysql-instance-enable-errorlog TaurusDB实例开启错误日志 taurusdb 未开启错误日志的TaurusDB资源，视为“不合规” gaussdb-mysql-instance-enable-slowlog TaurusDB实例开启慢日志 taurusdb 未开启慢日志的TaurusDB资源，视为“不合规” gaussdb-mysql-instance-multiple-az-check TaurusDB实例跨AZ部署检查 taurusdb TaurusDB实例未跨AZ部署，视为“不合规” gaussdb-mysql-instance-no-public-ip-check TaurusDB实例弹性公网IP检查 taurusdb TaurusDB实例如绑定弹性公网IP，视为“不合规” gaussdb-mysql-instance-ssl-enable TaurusDB实例开启传输 数据加密 taurusdb TaurusDB实例未启用SSL数据传输加密，视为“不合规” 父主题： 合规规则包示例模板

适用于 对象存储服务 （OBS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 obs-bucket-public-read-policy-check OBS桶禁止公开读 obs 桶可以被公开读，视为“不合规” obs-bucket-public-write-policy-check OBS桶禁止公开写 obs 桶可以被公开写，视为“不合规” obs-bucket-ssl-requests-only OBS桶策略授权行为使用SSL加密 obs OBS桶策略授权了无需SSL加密的行为，视为“不合规” 父主题： 合规规则包示例模板

适用于分布式缓存服务（DCS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dcs-redis-enable-ssl DCS Redis实例支持SSL dcs dcs redis资源可以公网访问，但不支持SSL时，视为“不合规” dcs-redis-high-tolerance DCS Redis实例高可用 dcs dcs redis资源不是高可用时，视为“不合规” dcs-redis-no-public-ip DCS Redis实例不存在弹性公网IP dcs dcs redis资源存在弹性公网IP，视为“不合规” dcs-redis-password-access DCS Redis实例需要密码访问 dcs dcs redis资源不需要密码访问，视为“不合规” 父主题： 合规规则包示例模板

架构安全支柱运营最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转，视为“不合规” pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期，视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书在指定时间内到期，视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未转储到LTS，视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” ecs-multiple-public-ip-check 检查ECS资源是否具有多个公网IP ecs ECS资源具有多个弹性公网IP，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 创建的EVS在指定天数后仍未绑定到资源实例，视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本，视为“不合规” cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” css-cluster-in-vpc CSS 集群绑定指定VPC资源 css CSS集群未与指定的vpc资源绑定，视为“不合规” css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密，视为“不合规” iam-customer-policy-blocked-kms-actions IAM策略中不授权KMS的禁止的action iam, access-analyzer-verified IAM策略中授权KMS的任一阻拦action，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*)，视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的任意云服务的全部权限，视为“不合规” iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥，视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态，视为“不合规” function-graph-public-access-prohibited 函数工作流 的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过console密码登录的IAM用户未开启MFA认证，视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的rds资源，视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的rds资源，视为“不合规” dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密，视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密，视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规” root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证，视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放了所有的TCP或UDP端口时，视为“不合规” waf-instance-policy-not-empty WAF防护域名配置防护策略 waf WAF防护域名未配置防护策略，视为“不合规” pca-certificate-authority-root-disable 检查私有根CA是否停用 pca 私有根CA未停用，视为“不合规” 父主题： 合规规则包示例模板

多可用区架构最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-multiple-az-check CSS集群具备多AZ容灾 css CSS集群没有多az容灾，视为“不合规” gaussdb-nosql-deploy-in-single-az GeminiDB部署在单个可用区 gemini db GeminiDB部署在单个可用区中，视为“不合规” as-multiple-az 弹性伸缩组启用多AZ部署 as 弹性伸缩组没有启用多AZ部署，视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” dcs-redis-high-tolerance DCS Redis实例高可用 dcs dcs redis资源不是高可用时，视为“不合规” elb-multiple-az-check ELB资源使用多AZ部署 elb 检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区，视为“不合规” gaussdb-instance-multiple-az-check GaussDB 实例跨AZ部署检查 gaussdb gaussdb资源未跨AZ部署，视为“不合规” gaussdb-mysql-instance-multiple-az-check TaurusDB实例跨AZ部署检查 taurus db TaurusDB实例未跨AZ部署，视为“不合规” 父主题： 合规规则包示例模板

适用于云数据库（GaussDB）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-instance-enable-auditLog GaussDB实例开启审计日志 gaussdb 未开启审计日志的gaussdb资源，视为“不合规” gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的gaussdb资源，视为“不合规” gaussdb-instance-enable-errorLog GaussDB实例开启错误日志 gaussdb 未开启错误日志的gaussdb资源，视为“不合规” gaussdb-instance-enable-slowLog GaussDB实例开启慢日志 gaussdb 未开启慢日志的gaussdb资源，视为“不合规” gaussdb-instance-in-vpc GaussDB资源属于指定虚拟私有云ID gaussdb 指定虚拟私有云ID，不属于此VPC的gaussdb资源，视为“不合规” gaussdb-instance-multiple-az-check GaussDB实例跨AZ部署检查 gaussdb gaussdb资源未跨AZ部署，视为“不合规” gaussdb-instance-no-public-ip-check GaussDB实例弹性公网IP检查 gaussdb gaussdb实例如绑定弹性公网IP，视为“不合规” gaussdb-instance-ssl-enable GaussDB实例开启传输数据加密 gaussdb gaussdb实例未启用SSL数据传输加密，视为“不合规” 父主题： 合规规则包示例模板

适用于弹性云服务器（ECS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 ecs-instance-key-pair-login ECS资源配置密钥对 ecs ECS未配置密钥对，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” ecs-multiple-public-ip-check 检查ECS资源是否具有多个弹性公网IP ecs ECS资源具有多个弹性公网IP，视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs，evs 已挂载的云硬盘未进行加密，视为“不合规” ecs-attached-hss-agents-check ECS资源绑定服务主机代理防护 ecs ECS实例未绑定HSS代理并启用防护，视为“不合规” ecs-instance-agency-attach-iam-agency ECS资源附加IAM委托 ecs ECS实例未附加IAM委托，视为“不合规” ecs-last-backup-created ECS云服务器 的备份时间检查 cbr, ecs ECS云服务器最近一次备份创建时间超过参数要求，视为“不合规” 父主题： 合规规则包示例模板

适用于人工智能与机器学习场景的合规实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本，视为“不合规” cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规” cce-endpoint-public-access CCE集群资源不具有弹性公网IP cce CCE集群资源具有弹性公网IP，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” 父主题： 合规规则包示例模板

适用于管理与监管服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了 CES 告警操作 ces CES告警操作未启用，视为“不合规” alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces，kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警，视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces，obs CES未配置监控OBS桶策略变更的事件监控告警，视为“不合规” alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces，vpc CES未配置监控VPC变更的事件监控告警，视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” tracker-config-enabled-check 账号开启资源记录器 config 如果账号未开启资源记录器，视为“不合规” 父主题： 合规规则包示例模板

适用于云数据库（RDS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源，视为“不合规” rds-instance-enable-errorLog RDS实例开启错误日志 rds 未开启错误日志的RDS资源，视为“不合规” rds-instance-enable-slowLog RDS实例开启慢日志 rds 未开启慢日志的RDS资源，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源，视为“不合规” rds-instance-enable-auditLog RDS实例启用审计日志 rds 未启用审计日志或审计日志保存天数不足的rds资源，视为“不合规” rds-instance-engine-version-check RDS实例数据库引擎版本检查 rds RDS实例数据库引擎的版本低于指定版本，视为“不合规” rds-instance-port-check RDS实例默认端口检查 rds RDS实例的端口包含被禁止的端口，视为“不合规” rds-instance-ssl-enable RDS实例启用SSL加密通讯 rds RDS实例未启用SSL加密通讯，视为“不合规” 父主题： 合规规则包示例模板

接受授权 当资源聚合器需要聚合您账号中的资源数据时，您会在“待授权”页签收到聚合器账号发送的授权请求，确认授权后，资源聚合器才可以聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 选择“待授权”页签，在列表中选择待处理的授权请求，单击操作列的“授权”。 在弹出的确认框中单击“确定”，完成授权。 接受授权请求后，此授权记录将在“已授权”列表中显示。 图2 接受授权

删除授权 如需取消对某个资源聚合器账号的授权，您可以删除授权。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 选择“已授权”页签，在列表中选择待删除的授权请求，单击操作列的“删除”。 在弹出的确认框中单击“确定”，此授权记录将移至“待授权”列表，授权状态变为“待授权”。 此时聚合器账号已无权聚合您账号中的资源数据，如需再次授权，您可以在“待授权”页签中单击此授权记录操作列的“授权”并确认，聚合器账号将再次获得您的授权。 图3 删除授权 如需彻底删除此授权记录，需在“待授权”列表中的操作列单击“删除”并确认，此授权记录彻底删除。 在“待授权”列表中删除授权请求后，如需再次授权，请重新向聚合器账号授权，具体请参见添加授权。

添加授权 您可以通过“添加授权”功能向聚合器账号授权，授权完成后，资源聚合器聚合您账号中的资源数据时，无需再次向您发送授权请求，即可聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 单击页面右上角的“添加授权”。 在弹出的“添加授权”页面中，输入要添加授权的聚合器账号ID。 图1 添加授权 单击“确定”，完成授权。 授权完成后，“已授权”列表中将显示此授权记录。

支持标签的云服务和资源类型 当前华为云大部分云服务资源均支持添加标签，但部分云服务资源（如OBS桶）的标签信息暂未上传至Config服务，因此无法在Config服务中使用标签相关的能力，例如无法在“资源清单”页面通过标签搜索到相应资源，或无法使用涉及标签场景的资源合规规则等。 当前已对接Config且支持标签的云服务和资源类型如下表所示： 表1 支持标签的云服务和资源类型 服务 资源类型 VPC终端节点 VPCEP 终端节点（vpcep.endpoints） 终端节点服务（vpcep.endpointServices） 数据复制服务 DRS 实时同步任务（drs.synchronizationJob） 实时迁移任务（drs.migrationJob） 实时灾备任务（drs.dataGuardJob） 数据订阅任务（drs.subscriptionJob） 备份迁移任务（drs.backupMigrationJob） 裸金属服务器 BMS 实例（bms.servers） 弹性云服务器 ECS 云服务器（ecs.cloudservers） 云耀云服务器 HECS 实例（hecs.hcloudservers） 虚拟私有云 VPC 虚拟私有云（vpc.vpcs） 弹性公网IP（vpc.publicips） 云硬盘 EVS 磁盘（evs.volumes） 弹性伸缩 AS 弹性伸缩组（as.scalingGroups） 镜像服务 IMS 镜像（ims.images） 分布式缓存服务 DCS Redis实例（dcs.redis） 节点（dcs.node） 云解析服务 DNS 公网Zone（dns.publiczones） 内网Zone（dns.privatezones） 虚拟专用网络 VPN VPN连接（vpnaas.vpnConnections） VPN网关（vpnaas.vpnGateways） 高性能弹性文件服务 SFS Turbo SFS Turbo（sfsturbo.shares） 弹性负载均衡 ELB 负载均衡器（elb.loadbalancers） 监听器（elb.listeners） 消息通知 服务 SMN 主题（smn.topic） 分布式消息服务 DMS Kafka实例（dms.kafka） Kafka节点（dms.kafka_nodes） RabbitMQ实例（dms.rabbitmqs） Rabbitmq节点（dms.rabbitmq_nodes） RocketMQ实例（dms.reliabilitys） 云数据库 RDS 实例（rds.instances） 节点（rds.nodes） MapReduce服务 MRS 弹性大数据服务（mrs.mrs） 数据仓库服务 DWS 集群（dws.clusters） 文档数据库服务 DDS 实例（dds.instances） 节点（dds.nodes） 云搜索服务 CSS 集群（css.clusters） NAT网关 NAT 公网NAT网关（nat.natGateways） 私网NAT网关 （nat.privateNatGateways） 云备份 CBR 存储库（cbr.vault） 数据加密服务 DEW 密钥（kms.keys） 云容器引擎 CCE 集群（cce.clusters） 云数据库 GaussDB 实例（gaussdb.instance） 节点（gaussdb.nodes） 数据库安全服务 DBSS 实例（dbss.cloudservers） 内容分发网络 CDN 域名（cdn.domains） 云专线 DC 虚拟网关（dcaas.vgw） 链路聚合组（dcaas.lag） 虚拟接口（dcaas.vif） 物理连接（dcaas.directConnect） 数据库和应用迁移 UGO 对象评估任务（ugo.evaluationJob） 对象迁移任务（ugo.migrationJob） DDoS高防服务 AAD 实例（aad.instances） 云连接 CC 云连接（ccaas.cloud-connections） 带宽包（ccaas.bandwidth-packages） 云原生DDoS防护 CNAD 实例（cnad.instances） 企业路由器 ER 实例（er.instances） 连接（er.attachments） 云日志 服务 LTS 日志流（lts.topics） 设备接入 IoTDA 设备接入基础版（iotda.iotda） 设备接入企业版（iotda.iotda_instance） 设备接入标准版（iotda.iotda_standardinstance） 全球加速 GA 加速器实例（ga.accelerators） 开天集成工作台 MSSI 流（mssi.flow） 云堡垒机 CBH 云 堡垒机 实例（cbh.instance） 云防火墙 CFW 云防火墙实例（cfw.cfw_instance） 云监控服务 CES 告警规则（ces.alarms） API网关 APIG APIG专享版实例（apig.instances） 函数工作流 FunctionGraph 函数（fgs.functions） 分布式数据库 中间件 DDM 实例（ddm.instances） 节点（ddm.nodes） 湖仓构建 LakeFormation 实例（lakeformation.instance） 区块链 服务 BCS 华为云链（bcs.huaweicloudchain） 硬件开发工具链平台云服务 CraftArtsIPDCenter 产品数字化协同服务（ipdcenter.envs） 工业数字模型驱动引擎 iDME 数字化制造基础服务（idme.mbm） 数据建模引擎运行服务（idme.runtime） 云凭据管理服务 C SMS 凭据（csms.secrets） 工业仿真工具链云服务 CraftArtsSIM 工业仿真云平台（craftartssim.simSpace） 仿真求解计算（craftartssim.cpuUnit） 仿真前后处理计算（craftartssim.guiUnit） 私有证书管理 PCA 私有CA（pca.ca） 私有证书（pca.cert） 专属分布式存储服务 DSS 存储池（dss.dsspools） 专属主机 DeH 专属主机（deh.dedicatedhosts） 访问分析 AccessAnalyzer 访问分析器（accessanalyzer.analyzer） 父主题： 附录

资源聚合器使用限制 资源聚合器的使用限制如下： 单个账号最多能创建30个账号类型的资源聚合器。 单个资源聚合器最多能聚合30个源账号的数据。 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数量为1000个。 单个账号最多能创建1个组织类型的资源聚合器。 单个账号24小时内最多只能创建1次组织类型资源聚合器，创建的组织类型资源聚合器被删除后在24小时内无法再次创建。 资源聚合器聚合的源账号必须开启资源记录器，资源聚合器才会动态收集源账号的资源配置，源账号的资源发生变更后会同步更新数据至资源聚合器。 组织类型的资源聚合器仅会聚合组织下账号状态为“正常”的成员账号的数据。 资源聚合器聚合的源账号只有开启资源记录器后，源账号的资源信息和合规性数据才会聚合到资源聚合器，不同场景的说明如下： 如源账号从未开启过资源记录器，则资源聚合器无法聚合此源账号的资源信息和合规性数据。 如源账号已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源聚合器会聚合源账号所选择的资源信息以及全部合规性数据。 如源账号开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则资源聚合器会删除收集到的资源信息和合规性数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。 父主题： 资源聚合器

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 在合规规则包列表中单击操作列的“编辑”，进入“编辑合规规则包”页面。 图1 修改合规规则包 当前不支持修改合规规则包选择的模板，单击“下一步”。 进入“详细信息”页面，修改合规规则包名称和规则参数的值，单击“下一步”。 进入“确认配置”页面，确认修改无误后，单击“确定”。 合规规则包修改完成后将会被重新部署。

资源变更的消息通知模型 表1 资源变更的消息通知模型 参数 参数类型 描述 notification_type String 消息通知类型。此处的消息通知类型为“ResourceChanged”。 notification_creation_time String 消息发送时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 domain_id String 账号ID。 detail Object 消息详情。 表2 detail参数 参数 参数类型 描述 resource_id String 资源ID。 resource_type String 资源类型。 event_type Enum 事件类型（CREATE|UPDATE|DELETE）。 capture_time String 事件捕获时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 resource Object 资源详情。 表3 resource 参数 参数类型 描述 id String 资源ID。 name String 资源名称。 provider String 云服务名称。 type String 云资源类型。 region_id String 资源所在区域ID。 project_id String IAM项目ID。 project_name String IAM项目名称。 ep_id String 企业项目ID。 ep_name String 企业项目名称。 checksum String 校验和。 created String 云资源初始创建时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 updated String 云资源最后更新时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 provisioning_state String 资源操作状态。 tags Map 租户为云资源做的标记。 properties Map 云资源的属性详情。

资源变更消息通知示例 { "detail": { "resource": { "id": "3e62c0e6-e779-469e-b0f2-35743f6229d1", "name": "ecs-51c8", "provider": "evs", "type": "volumes", "checksum": "b3bcc019cecbb701e324e0dcf2f283236685885236b49f5ba5ea2f5f788170a1", "created": "2020-08-12T07:14:41.638Z", "updated": "2020-08-12T07:14:44.423Z", "tags": {}, "properties": { "shareable": false, "volumeType": "SATA", "metadata": {}, "attachments": [], "replicationStatus": "disabled", "availabilityZone": "regionid1a", "bootable": "true", "userId": "059b5c937d80d3e41ff3c00a3c883d16", "volTenantAttrTenantId": "059b5e0a2500d5552fa1c00adada8c06", "size": "40", "encrypted": false, "volumeImageMetadata": { "virtualEnvType": "FusionCompute", "isregistered": "true", "imageSourceType": "uds", "minDisk": "40", "platform": "CentOS", "size": 0, "osVersion": "CentOS 7.5 64bit", "minRam": "0", "name": "CentOS 7.5 64bit", "checksum": "d41d8cd98f00b204e9800998ecf8427e", "osBit": "64", "osType": "Linux", "containerFormat": "bare", "supportXen": "true", "id": "e0adce3a-a4d2-4207-9018-69ce64b4426a", "supportKvm": "true", "diskFormat": "zvhd2", "imageType": "gold" }, "links": [ { "rel": "self", "href": "https://evs.regionid1a.xxxxxx.com/v2/059b5e0a2500d5552fa1c00adada8c06/os-vendor-volumes/3e62c0e6-e779-469e-b0f2-35743f6229d1" }, { "rel": "bookmark", "href": "https://evs.regionid1a.xxxxxx.com/059b5e0a2500d5552fa1c00adada8c06/os-vendor-volumes/3e62c0e6-e779-469e-b0f2-35743f6229d1" } ], "volHostAttrHost": "regionid1a-pod01.regionid1a#0", "multiattach": false, "status": "available" }, "region_id": "regionid1a", "project_id": "059b5e0a2500d5552fa1c00adada8c06", "project_name": "regionid1a", "ep_id": "0", "ep_name": "default", "provisioning_state": "Succeeded" }, "resource_id": "3e62c0e6-e779-469e-b0f2-35743f6229d1", "resource_type": "evs.volumes", "event_type": "CREATE", "capture_time": "2020-08-12T07:15:15.116Z" }, "notification_type": "ResourceChanged", "notification_creation_time": "2020-08-12T07:14:47.192Z", "domain_id": "059b5c937100d3e40ff0c00a7675a0a0"}

默认规则 此表中的建议项编号对应PCI DSS: v3.2.1中参考文档的章节编号，供您查阅参考。 表1 适用于适用于PCI-DSS的标准合规包默认规则说明 建议项编号 建议项说明 合规规则 指导说明 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 css-cluster-in-vpc 确保 云搜索 服务（CSS）位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 2.1 在网络上安装系统之前，请务必更改供应商提供的默认值，并删除或禁用不必要的默认账号。这适用于所有默认密码，包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点（POS）终端、支付应用程序、简单网络管理协议（SNMP）社区字符串等使用的密码。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 2.1 在网络上安装系统之前，请务必更改供应商提供的默认值，并删除或禁用不必要的默认账号。这适用于所有默认密码，包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点（POS）终端、支付应用程序、简单网络管理协议（SNMP）社区字符串等使用的密码。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-kms-encrypted-check 确保 云审计 服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-lts-enable 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 ecs-in-allowed-security-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后，即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组，保证安全组的性能。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 ecs-multiple-public-ip-check 此规则检查您的ECS实例是否具有多个弹性公网IP。拥有多个弹性公网IP可能会增加网络安全的复杂性。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 kms-rotation-enabled 确保数据加密服务（KMS）密钥启用密钥轮换。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 volumes-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，因此请确保为华为云ElasticVolumeService（华为云EVS）卷启用加密。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（23）端口时认为不合规，确保对服务器的远程访问安全性。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 dws-enable-ssl 确保 数据仓库 服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 2.4 维护PCIDSS范围内的系统组件清单。 ecs-in-allowed-security-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后，即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组，保证安全组的性能。 2.4 维护PCIDSS范围内的系统组件清单。 eip-unbound-check 确保弹性公网IP未闲置。 2.4 维护PCIDSS范围内的系统组件清单。 eip-use-in-specified-days 确保弹性公网IP未闲置。 2.4 维护PCIDSS范围内的系统组件清单。 vpc-acl-unused-check 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务（SFSTurbo）已通过KMS进行加密。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（ CDM A）通用分组无线业务（GPRS）卫星通信 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 pca-certificate-authority-expiration-check 华为云 云证书管理服务 提供有PCA服务，可以帮助您通过简单的可视化操作，以低投入的方式创建企业内部CA并使用它签发证书。确保用户明确该私有CA的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 pca-certificate-expiration-check PCA是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书。确保用户明确该私有证书的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。 6.2 通过安装供应商提供的适用安全补丁，确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意：应根据要求6.1中定义的风险排序过程来识别关键安全补丁。 cce-cluster-end-of-maintenance-version 确保CCE集群版本为处于维护中的版本。 6.2 通过安装供应商提供的适用安全补丁，确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意：应根据要求6.1中定义的风险排序过程来识别关键安全补丁。 cce-cluster-oldest-supported-version 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 10.5 保护审计跟踪，使其无法更改。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 11.5 部署更改检测机制（例如，文件完整性监控工具），以提醒人员注意对关键系统文件、配置文件或内容文件的未经授权的修改（包括更改、添加和删除）;并将软件配置为至少每周执行一次关键文件比较。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（24）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（25）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（26）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（27）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（28）端口时认为不合规，确保对服务器的远程访问安全性。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.2 对所有系统组件实施自动审计跟踪，以重建以下事件：任何具有root或管理权限的个人执行的所有操作 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.2 对所有系统组件实施自动审计跟踪，以重建以下事件：任何具有root或管理权限的个人执行的所有操作 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.5 对所有系统组件实施自动审计跟踪，以重建以下事件：识别和身份验证机制的使用和更改（包括但不限于创建新账号和提升权限），以及对具有根权限或管理权限的账号的所有更改、添加或删除 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.5 对所有系统组件实施自动审计跟踪，以重建以下事件：识别和身份验证机制的使用和更改（包括但不限于创建新账号和提升权限），以及对具有根权限或管理权限的账号的所有更改、添加或删除 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.6 对所有系统组件实施自动审计跟踪，以重建以下事件：初始化、停止或暂停审核日志 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.6 对所有系统组件实施自动审计跟踪，以重建以下事件：初始化、停止或暂停审核日志 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 10.5.2 保护审计跟踪文件免遭未经授权的修改。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 10.5.3 及时将审计跟踪文件备份到难以更改的集中式日志服务器或介质。 cts-lts-enable 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 10.5.5 对日志使用文件完整性监视或更改检测软件，以确保在不生成警报的情况下无法更改现有日志数据（尽管添加新数据不应引起警报）。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，以避免日志文件存储后被修改、删除。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（29）端口时认为不合规，确保对服务器的远程访问安全性。 3.5.2 将对加密密钥的访问限制为所需的最少保管人数量。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 3.6.4 已达到其加密期结束的密钥的加密密钥更改（例如，在定义的时间段过去后和/或给定密钥生成一定数量的密文之后），由关联的应用程序供应商或密钥所有者定义，并基于行业最佳实践和准则（例如，NIST特别出版物800-57）。 kms-rotation-enabled 确保数据加密服务（KMS）密钥启用密钥轮换。 3.6.5 当密钥的完整性被削弱（例如，知道明文密钥组件的员工离职）或怀疑密钥被泄露时，必要时停用或替换密钥（例如，存档、销毁和/或吊销）。注意：如果需要保留已停用或替换的加密密钥，则必须安全地存档这些密钥（例如，使用密钥加密密钥）。存档的加密密钥只能用于解密/验证目的。 kms-not-scheduled-for-deletion 确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。 3.6.7 防止未经授权替换加密密钥。 kms-not-scheduled-for-deletion 确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 8.1.1 在允许所有用户访问系统组件或持卡人数据之前，为所有用户分配一个唯一的ID。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 8.1.4 在90天内删除/禁用非活动用户账号。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务（SFSTurbo）已通过KMS进行加密。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 8.2.3 密码/密码必须满足以下条件：要求最小长度至少为7个字符。包含数字和字母字符。或者，密码/密码短语的复杂性和强度必须至少与上述指定的参数相当。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.4 至少每90天更改一次用户密码/密码。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.4 至少每90天更改一次用户密码/密码。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.4 至少每90天更改一次用户密码/密码。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.5 不要允许个人提交与他或她使用的最后四个密码/密码中的任何一个相同的新密码/密码。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

默认规则 此表中的建议项编号对应“CIS Control v8”中参考文档的章节编号，供您查阅参考。 表1 网络及数据安全最佳实践合规包默认规则说明 建议项编号 合规规则 规则中文名称 涉及云服务 规则描述 1.1 ecs-in-allowed-security-groups 绑定指定标签的ECS关联在指定安全组ID列表内 ecs 指定高危安全组ID列表，未绑定指定标签的ECS资源关联其中任意安全组，视为“不合规” 1.1 eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” 1.1 eip-use-in-specified-days EIP在指定天数内绑定到资源实例 eip EIP创建后在指定天数内未使用，视为“不合规” 1.1 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS云主机未进行任何操作的时间超过了允许的天数，视为“不合规” 1.1 vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL，如果网络ACL没有与子网关联，视为“不合规” 2.2 cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规” 3.3 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的虚拟私有云资源绑定，视为“不合规” 3.3 drs-data-guard-job-not-public 数据复制服务实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络，视为“不合规” 3.3 drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络，视为“不合规” 3.3 drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络，视为“不合规” 3.3 ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs、vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” 3.3 ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” 3.3 function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” 3.3 function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” 3.3 iam-customer-policy-blocked-kms-actions IAM策略中不存在KMS的任一阻拦action iam、access-analyzer-verified IAM策略中授权KMS的任一阻拦action，视为“不合规” 3.3 iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” 3.3 iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM策略中存在admin权限（Action为*:*:*或*:*或*），视为“不合规” 3.3 iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的云服务的全部权限，视为“不合规” 3.3 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥，视为“不合规” 3.3 iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组，视为“不合规” 3.3 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” 3.3 mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证，视为“不合规” 3.3 mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” 3.3 rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” 3.3 bms-key-pair-security-login BMS资源使用密钥对登录 bms 裸金属服务器未启用密钥对安全登录，视为“不合规” 3.1 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 3.1 css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密，视为“不合规” 3.1 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS，视为“不合规” 3.1 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” 3.1 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 3.11 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” 3.11 dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密，视为“不合规” 3.11 gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密，视为“不合规” 3.11 rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源，视为“不合规” 3.11 sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务（SFS Turbo）未通过KMS进行加密，视为“不合规” 3.11 volumes-encrypted-check 已挂载的云硬盘开启加密 evs、ecs 已挂载的云硬盘未进行加密，视为“不合规” 3.11 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密，视为“不合规” 3.14 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” 3.14 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” 3.14 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 3.14 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” 3.14 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器，视为“不合规” 3.14 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源，视为“不合规” 3.14 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志，视为“不合规” 4.1 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的AK/SK访问密钥未在指定天数内更换，视为“不合规” 4.1 evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 云硬盘创建后在指定天数内未使用，视为“不合规” 4.1 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS云主机未进行任何操作的时间超过了允许的天数，视为“不合规” 4.1 volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” 4.6 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 4.6 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS，视为“不合规” 4.6 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” 4.6 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 4.7 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥，视为“不合规” 5.2 iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” 5.2 iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” 5.2 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” 5.2 root-account-mfa-enabled 根账号开启MFA认证 iam 账号未开启MFA认证，视为“不合规” 5.3 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” 5.4 iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM策略中存在admin权限（Action为*:*:*或*:*或*），视为“不合规” 5.4 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥，视为“不合规” 6.4 iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” 6.4 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证，视为“不合规” 6.4 root-account-mfa-enabled 根账号开启MFA认证 iam 账号未开启MFA认证，视为“不合规” 8.2 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” 8.2 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” 8.2 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 8.2 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” 8.2 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器，视为“不合规” 8.2 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源，视为“不合规” 8.2 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志，视为“不合规” 8.5 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” 8.5 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” 8.5 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 8.5 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” 8.5 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器，视为“不合规” 8.5 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源，视为“不合规” 8.5 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志，视为“不合规” 8.9 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析，视为“不合规” 11.2 dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照，视为“不合规” 11.2 gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的GaussDB实例，视为“不合规” 11.2 gaussdb-mysql-instance-enable-backup TaurusDB实例开启备份 taurusdb 未开启备份的TaurusDB实例，视为“不合规” 11.2 gaussdb-nosql-enable-backup GeminiDB开启备份 gemini db GeminiDB未开启备份，视为“不合规” 11.2 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源，视为“不合规” 11.3 rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源，视为“不合规” 11.3 volumes-encrypted-check 已挂载的云硬盘开启加密 evs、ecs 已挂载的云硬盘未进行加密，视为“不合规” 11.4 dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照，视为“不合规” 11.4 gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的GaussDB实例，视为“不合规” 11.4 gaussdb-mysql-instance-enable-backup TaurusDB实例开启备份 taurusdb 未开启备份的TaurusDB实例，视为“不合规” 11.4 gaussdb-nosql-enable-backup GeminiDB开启备份 gemini db GeminiDB未开启备份，视为“不合规” 11.4 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源，视为“不合规” 12.2 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的虚拟私有云资源绑定，视为“不合规” 12.2 drs-data-guard-job-not-public 数据复制服务实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络，视为“不合规” 12.2 drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络，视为“不合规” 12.2 drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络，视为“不合规” 12.2 ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs、vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” 12.2 ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” 12.2 function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” 12.2 function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” 12.2 mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” 12.2 pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期，视为“不合规” 12.2 pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书没有标记在指定时间内到期，视为“不合规” 12.2 rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” 12.2 rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” 12.2 vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规” 12.2 vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0，且开放了所有的TCP/UDP端口时，视为“不合规” 12.2 vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)，视为“不合规” 12.2 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0，且开放TCP 22端口，视为“不合规” 12.2 vpn-connections-active VPN连接状态为“正常” vpnaas VPN连接状态不为“正常”，视为“不合规” 12.3 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 12.3 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS，视为“不合规” 12.3 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” 12.3 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 12.6 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 12.6 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS，视为“不合规” 12.6 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” 12.6 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 13.6 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志，视为“不合规”

查看组织合规规则包 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 选择“组织合规规则包”页签，在列表中可查看所有已创建的组织合规规则包，还可以查看各组织合规规则包的部署状态。 在列表中单击需要查看的组织合规规则包名称，进入组织合规规则包详情页。 页面左侧为组织合规规则包部署账号和排除账号的相关信息，页面右侧为组织合规规则包的详情和参数。 图1 查看组织合规规则包详情

组织合规规则包的部署状态 表1 组织合规规则包的部署状态 取值 状态 状态说明 CREATE_IN_PROGRESS 部署中 正在创建组织合规规则包。 UPDATE_IN_PROGRESS 更新中 正在更新组织合规规则包。 DELETE_IN_PROGRESS 删除中 正在删除组织合规规则包。 CREATE_FAILED 部署异常 组织合规规则包在该组织内的一个或多个成员账号中创建失败。 UPDATE_FAILED 更新失败 组织合规规则包在该组织内的一个或多个成员账号中更新失败。 DELETE_FAILED 删除异常 组织合规规则包在该组织内的一个或多个成员账号中删除失败。 CREATE_SUCCESSFUL 已部署 组织合规规则包在该组织内的所有成员账号中创建成功。 UPDATE_SUCCESSFUL 更新成功 组织合规规则包在该组织内的所有成员账号中更新成功。

适用于分布式消息服务（DMS）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dms-kafka-not-enable-private-ssl DMS Kafka队列打开内网SSL加密访问 dms DMS kafka队列未打开内网SSL加密访问，视为“不合规” dms-kafka-not-enable-public-ssl DMS Kafka队列打开公网SSL加密访问 dms DMS kafka队列未打开公网SSL加密访问，视为“不合规” dms-kafka-public-access-enabled-check DMS Kafka队列开启公网访问 dms DMS kafka队列开启公网访问，视为“不合规” dms-rabbitmq-not-enable-ssl DMS RabbitMq队列打开SSL加密访问 dms DMS rabbitmqs队列未打开SSL加密访问，视为“不合规” dms-rocketmq-not-enable-ssl DMS RockctMQ打开SSL加密访问 dms DMS RockctMQ未打开SSL加密访问，视为“不合规” dms-rabbitmq-public-access-enabled-check DMS RabbitMQ实例开启公网访问 dms DMS RabbitMQ实例开启公网访问，视为“不合规” dms-reliability-public-access-enabled-check DMS RocketMQ实例开启公网访问 dms DMS RocketMQ实例开启公网访问，视为“不合规” 父主题： 合规规则包示例模板

操作场景 组织账号可以通过列表查看自己创建的组织合规规则包及其详情，并支持在列表中进行搜索过滤操作，但无法看到组织内其他账号添加的组织合规规则包。 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行，组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 本章节包含查看组织合规规则包、查看部署至成员账号中的组织合规规则包和组织合规规则包的部署状态三部分内容。

查看部署至成员账号中的组织合规规则包 以组织成员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 在“合规规则包”页签下，单击合规规则包列表中的某个组织合规规则包名称，进入合规规则包详情页。 在详情页中可以查看合规规则包的基本信息和配置的参数值，以及下发的合规规则列表和每条合规规则的合规评估结果。 在“规则”列表单击某个规则的“规则名称”，界面将跳转至“资源合规”的“规则详情”页面，并自动筛选出此规则评估出的不合规资源。 图2 查看部署至成员账号中的组织合规规则包 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包，系统将自动在合规规则包名称前添加“Org-”字段用于标识。 组织内的成员账号只能触发组织合规规则包部署规则的评估和查看规则评估结果以及详情，不支持删除组织合规规则包的操作。

适用于内容分发网络（CDN）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS，视为“不合规” cdn-origin-protocol-no-http CDN回源方式使用HTTPS cdn CDN回源方式未使用HTTPS，视为“不合规” cdn-security-policy-check CDN安全策略检查 cdn CDN使用TLSv1.2以下的版本，视为“不合规” cdn-use-my-certificate CDN使用自有证书 cdn CDN使用了自有证书，视为“不合规” 父主题： 合规规则包示例模板

适用于API网关（APIG）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-authorization-type-configured APIG专享版实例配置安全认证类型 apig APIG专享版实例中如果存在API安全认证为“无认证”，则视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志，视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” 父主题： 合规规则包示例模板

资源开启公网访问最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的VPC资源绑定，视为“不合规” drs-data-guard-job-not-public 数据复制服务实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络，视为“不合规” drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络，视为“不合规” drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络，视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs，vpc 指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” 父主题： 合规规则包示例模板

适用于弹性负载均衡（ELB）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 elb-loadbalancers-no-public-ip ELB资源不具有弹性公网IP elb ELB资源具有弹性公网IP，视为“不合规” elb-predefined-security-policy-https-check ELB监听器配置指定预定义安全策略 elb 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规“ elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” elb-http-to-https-redirection-check 监听器资源HTTPS重定向检查 elb 检查HTTP监听器是否配置了向HTTPS监听器的重定向，如果未配置，视为“不合规” elb-multiple-az-check ELB资源使用多AZ部署 elb 检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区，视为“不合规” 父主题： 合规规则包示例模板