华为云用户手册

  • 步骤一:打通VPC 通过打通VPC,可以方便用户跨VPC使用资源,提升资源利用率。 在“网络”页签,单击网络列表中某个网络操作列的“打通VPC”。 图1 打通VPC 在打通VPC弹框中,打开“打通VPC”开关,在下拉框中选择可用的VPC和子网。 需要打通的对端网络不能和当前网段重叠。 图2 打通VPC参数选择 如果没有VPC可选,可以单击右侧的“创建虚拟私有云”,跳转到网络控制台,申请创建虚拟私有云。 如果没有子网可选,可以单击右侧的“创建子网”,跳转到网络控制台,创建可用的子网。 支持1个VPC下多个子网的打通,如果VPC下有多个子网,会显示“+”,您可单击“+”即可添加子网(上限10个)。 如果需要使用打通VPC的方式实现专属资源池访问公网,由于要访问的公网地址不确定,一般是建议用户在VPC中创建SNAT。此场景下,在打通VPC后,专属资源池中作业访问公网地址,默认不能转发到用户VPC的SNAT,需要提交工单联系技术支持在专属资源池VPC的路由中添加指向对等连接的默认路由。当您开启默认路由后,在打通VPC时,会给ModelArts网络0.0.0.0/0路由作为默认路由,此时无需提交工单添加默认路由即可完成网络配置。
  • 模型开发安全性与合规性 用于模型训练的数据安全性与合规性。 所有用于训练的数据均为开源合规的数据。 所有用于训练的数据均过滤密码、IP地址、手机号、email等个人隐私信息。 对所有用于训练的数据集进行版本管理,支持数据溯源;数据集存储安全,且对数据访问进行身份及权限控制,数据访问基于https加密传输,数据访问可防篡改、防泄漏。 模型安全性及合规性。 对模型文件进行版本管理,支持模型溯源;模型训练工作流的访问操作通过身份及权限控制且模型训练、推理所依赖的环境支持租户资源隔离,模型文件存储安全,且对模型文件访问进行身份及权限控制,模型文件访问基于https加密传输,模型训练及访问可防篡改、防泄漏。 Snap研发知识问答模型部署前,对模型进行内容合规自评,覆盖涉政、违法、诈骗、宗教、低俗暴力、社会负面、敏感信息等问题及角色扮演、反面诱导等12种对抗攻击方式的测评,识别模型生成内容的合规风险,持续强化模型合规训练。
  • 模型应用安全性、数据隐私保护及合规性 具备外部攻击防护能力,基于https加密传输保证模型输入输出数据安全;通过网关流控进行DDos防护;通过身份认证及鉴权进行访问控制,防止未授权的访问。 具备租户数据保护机制,不使用租户数据用于模型训练;不存储租户敏感隐私数据,如身份信息、密码等;不同租户间数据隔离,不可共享;支持根据租户授权情况存留租户数据,存留期结束,立即删除租户数据。 具备内容合规风控机制,支持对用户输入、模型输出内容进行内容合规风险检测,自动识别政治敏感、社会歧视等18类合规风险,提供健康的模型服务;同时CodeArts Snap生成的内容只是建议内容,需要用户对内容进行审核。
  • 责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
  • 功能特性 支持多种编程语言,并能根据开发者键入的函数签名和注释自动生成函数体。 支持根据行级注释或代码上下文信息自动生成与描述场景匹配的代码。 可根据开发者当前光标位置的前后语句片段进行代码填空和补全。 支持跨文件生成与任务相关的代码。 支持从功能、目的和实现逻辑三个维度对代码进行解释说明。 可根据用户需求内容生成行级、函数级注释信息,能够帮助开发人员高效补充代码注释。 可根据输入的代码和错误信息,得到错误原因并给出修复方案。 支持生成高覆盖率的单元测试代码,包括单个方法和类级别的单元测试框架代码。 可根据提问来检索研发相关知识,提供答案。 支持对代码进行函数级检查功能,可及时、主动发现编码缺陷,提升代码质量和安全性。 支持代码翻译,可以指出不同语言关键元素差异,帮助开发者适应新环境。
  • 产品优势 高效提升编码效率和质量。CodeArts Snap能够将自然语言转化为规范可阅读、无开源漏洞的安全编程语言,从而提升开发者的编码效率和质量。 图1 代码生成示例 功能强大且全面。CodeArts Snap覆盖了代码生成、研发知识问答、单元测试用例生成、代码解释、代码注释、代码翻译、代码调试、代码检查八大功能,能够满足开发者开发过程中的不同需求和开发场景。 图2 代码解释 智能生成和问答。CodeArts Snap具备智能生成和智能问答的核心功能,可以根据中英文描述生成完整的函数级代码,同时提供代码的自动检查和修复。 图3 研发问答示例
  • 访问控制 公测试用 用户可打开CodeArts Snap申请公测页面,申请公测权限。 公测权限审批通过之后,账号管理员(te_admin)可以在CodeArts Snap成员管理页面导入用户列表,最多可以导入20个用户。 一个账号下的所有用户默认可以调用CodeArts Snap推理接口2000次/天。 公测试用时长为30天,超过时长用户的访问权限将会被锁定。 套餐用户 付费用户可以通过CodeArts Snap套餐页面购买Snap商用套餐。 已购套餐的账号管理员(te_admin)可以在CodeArts Snap成员管理页面导入用户列表,被导入的用户即可使用Snap,导入用户数量上限为商用套餐中购买的人数。
  • Gradle设置 Gradle User Home:在此字段中,指定Gradle用户主目录的路径(默认为$USER_HOME/.gradle),用于存储全局配置属性和初始化脚本、缓存和日志文件。默认值基于GRADLE_USER_HOME环境变量的值提供。要修改它,您可以设置环境变量或单击“”按钮并手动定位所需的Gradle用户主目录。 Gradle SDK:从此列表中选择要与Gradle一起使用的JDK:捆绑的JDK、项目级别的JDK或从系统变量(如JAVA_HOME)解析的JDK。
  • Maven设置 Maven home:请使用此字段选择捆绑的Maven版本(Maven 3)或者单击Browse按钮,手动定位您自己的Maven安装位置。 User settings file:在此字段中,指定包含Maven用户特定配置的文件。 Local repository:在此字段中,指定用户主目录下的本地目录的路径,该目录存储下载并包含临时生成工件。 Maven SDK:从此列表中,选择要与Maven一起使用的JDK:捆绑的JDK、项目级JDK或从系统变量(如JAVA_HOME)解析的JDK。 Work offline:如果选中,Maven将在脱机模式下工作。它不连接到远程存储库,只使用本地可用的资源。此选项对应于--offline命令行选项。 Print exception stack traces:如果选中,则生成异常堆栈跟踪。此选项对应于--errors命令行选项。 Use plugin registry:如果选中,则可以引用Maven的插件注册表。此选项对应于--no-plugin-registry命令行选项。 Execute goals recursively:如果选中,则将递归执行生成,包括嵌套项目。此选项对应于--non-recursive命令行选项。
  • 使用Maven任务进行工作 使用Maven任务在CodeArts IDE中打开一个Maven项目后,您可以在Maven视图中找到Maven任务列表。 要运行任务,请执行以下任一操作: 双击任务列表中的任务。 在Maven视图工具栏上,单击Execute Maven Task按钮()然后在打开的Execute Maven Task弹出窗口中选择所需的任务。 您还可以通过专用的Maven启动配置来运行Maven任务。
  • 防护策略配额限制 防护规则 一个防火墙实例最多添加20000条防护规则。 黑白名单 一个防火墙实例最多添加2000条黑名单。 一个防火墙实例最多添加2000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30000个IP地址。 服务组 每个防火墙实例下最多添加900个服务成员。 每个防火墙实例下最多添加512个服务组。 每个服务组中最多添加64个服务成员。 域名 组 基础版仅支持应用型域名组。 域名组中所有域名被“防护规则”引用最多40000次,泛域名被“防护规则”引用最多2000次。 应用域名组(七层协议解析) 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组(四层协议解析) 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。
  • CFW使用限制 仅支持对部署在华为云的业务提供防护,不支持跨云使用。 支持弹性公网IP EIP的流量防护,不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。 购买的 云防火墙 只能在当前选择的区域使用,如需在其它区域使用,请切换到对应区域进行购买。有关支持购买CFW的区域说明,请参见功能总览。 VPC边界流量防护功能依赖企业路由器ER服务引流,使用该功能时,需确保账号下至少有一个企业路由器。 云防火墙不支持防护中文域名。 标准版旁路引擎已于2023年1月停止销售,相关功能在此之后停止演进,该版本不支持 云监控服务 CES、查看IPS库或修改IPS动作、日志存储至 云日志服务LTS 、病毒防御(专业版)等功能。如需使用以上功能建议切换为直路引擎。
  • 等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处,重要网络区域与其它网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力,将重要网络区域使用VPC隔离,不同重要级别的VPC之间的业务互访,使用云防火墙CFW实现VPC间业务流量的访问控制,并对恶意访问进行识别和拦截。 应用场景 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面,提供云上互联网边界和VPC边界的防护,入侵防御引擎对恶意流量实时检测和拦截。 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录,并能根据策略设置提供攻击流量阻断功能,记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务,达到协议、端口、应用级访问控制粒度。 访问控制策略 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能,客户可以根据命中情况,及时调整策略的设置,确保没有冗余的策略。云防火墙访问控制策略可配置优先级,您可以根据业务需求优化访问控制列表。 应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨VPC流量的应用协议、内容的访问控制。 安全审计 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能,可以记录所有流量日志、事件日志和操作日志。 日志审计功能 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其它与审计相关的信息。 中 云防火墙提供日志记录事件功能,包括:时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供 日志分析 功能,对已分析的日志,默认提供存储6个月内的日志数据,并提供实时日志分析能力。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能,对已分析的日志,默认提供存储6个月内的日志数据,并提供实时日志分析能力。
  • 准备工作 在购买云防火墙之前,请先 注册华为账号 并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证,请忽略此步骤。 请保证账户有足够的资金,防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无
  • 步骤四:添加防护规则——放行访问指定EIP的入方向流量 在“访问策略管理”页面的“防护规则”页签中,单击“添加”,在弹出的“添加防护规则”中,填写以下参数。 图2 放行指定IP 参数 示例 参数说明 方向 外-内(表示入方向流量) 选择流量的方向: 外-内:互联网访问云上资产(EIP)。 内-外:云上资产(EIP)访问互联网。 源 Any 设置访问流量中发送数据的地址参数。 目的 xx.xx.xx.1 设置访问流量中的接收数据的地址参数。 服务 Any 设置协议类型、源端口和目的端口。 应用 Any 设置针对应用层协议的防护策略。 动作 放行 设置流量经过防火墙时的处理动作。 放行:防火墙允许此流量转发。 阻断:防火墙禁止此流量转发。 策略优先级 置顶(至少需高于上一条阻断规则) 设置该策略的优先级: 置顶:表示将该策略的优先级设置为最高。 移动至选中规则后:表示将该策略优先级设置到某一规则后。 单击“确认”,完成配置防护规则。
  • 操作流程 操作步骤 说明 准备工作 注册华为账号、开通华为云,为账户充值、赋予CFW权限。 步骤一:购买标准版云防火墙 购买CFW,选择防护的区域、版本规格(本文以标准版为例)等信息。 步骤二:开启指定EIP的防护 在CFW上对需要防护的EIP开启防护,使流量经过防火墙。 步骤三:添加防护规则——阻断所有入方向流量 配置一条阻断所有入方向流量的防护规则,并将它优先级置于最低。 步骤四:添加防护规则——放行访问指定EIP的入方向流量 配置一条放行指定EIP(本文以xx.xx.xx.1为例)入方向流量的防护规则,并将它优先级设置在阻断规则之上。 步骤五:通过访问控制日志查看命中详情 查看防护规则是否生效。
  • 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于LTS定义的资源类型的详细信息请参见资源类型(Resource)。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。 如果此列条件键没有值(-),表示此操作不支持指定条件键。 关于LTS定义的条件键的详细信息请参见条件(Condition)。 您可以在SCP语句的Action元素中指定以下LTS的相关操作。 表1 LTS支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 lts:logGroup:deleteLogGroup 授予权限以删除指定日志组。 write logGroup * - lts:logGroup:listLogGroup 授予权限以查询日志组列表。 list - - lts:logGroup:createLogGroup 授予权限以创建日志组。 write - - lts:logGroup:updateLogGroup 授予权限以修改指定日志组。 write logGroup * - lts:logStream:listLogStream 授予权限以查询日志流列表。 list logGroup * - lts:logStream:deleteLogStream 授予权限以删除指定日志流。 write logStream * - lts:logStream:createLogStream 授予权限以创建日志流。 write logGroup * - lts:logStream:searchLog 授予权限以查询日志。 list logStream * - lts:logStream:searchStructLog 授予权限以查询结构化日志。 list logStream * - lts:logStream:searchLogHistogram 授予权限以查询日志直方图。 list logStream * - lts:transfer:createTransfer 授予权限以创建转储任务。 write - - lts:transfer:deleteTransfer 授予权限以删除转储任务。 write transfer * - lts:transfer:listTransfer 授予权限以查询日志转储任务列表。 list - - lts:transfer:updateTransfer 授予权限以修改转储任务。 write transfer * - lts:transfer:registerDmsKafkaInstance 授予权限以注册DmsKafka实例。 write - - lts:configCenter:updateOverCollectSwitch 授予权限以修改超额采集开关。 write - - lts:structConfig:createStructConfig 授予权限以创建LTS结构化配置。 write logStream * - lts:structConfig:deleteStructConfig 授予权限以删除LTS结构化配置。 write logStream * - lts:structConfig:getStructConfig 授予权限以查询LTS结构化配置。 read logStream * - lts:structConfig:listStructTemplate 授予权限以查询结构化模板列表。 list - - lts:structConfig:updateStructConfig 授予权限以修改LTS结构化配置。 write logStream * - lts:mappingRule:create 授予权限以创建映射规则。 write - - lts:mappingRule:delete 授予权限以删除映射规则。 write - - lts:mappingRule:get 授予权限以查看映射规则详情。 read - - lts:mappingRule:list 授予权限以查询映射规则列表。 list - - lts:mappingRule:update 授予权限以修改映射规则。 write - - lts:logStream:getHistorySql 授予权限以查看日志流历史sql。 read logStream * - lts:alarmRule:createSqlAlarmRule 授予权限以创建sql告警规则的规则。 write - - lts:alarmRule:deleteSqlAlarmRule 授予权限以删除sql告警规则。 write alarmRule * - lts:alarmRule:updateSqlAlarmRule 授予权限以修改sql告警规则。 write alarmRule * - lts:alarmRule:listSqlAlarmRule 授予权限以查看sql告警规则。 list - - lts:alarmRule:createWordAlarmRule 授予权限以创建关键词告警规则。 write - - lts:alarmRule:deleteWordAlarmRule 授予权限以删除关键词告警规则。 write alarmRule * - lts:alarmRule:updateWordAlarmRule 授予权限以修改关键词告警规则。 write alarmRule * - lts:alarmRule:listWordAlarmRule 授予权限以查看关键词告警规则。 list - - lts:alarm:cleanAlarm 授予权限以删除告警。 write - - lts:alarm:listAlarm 授予权限以查看警列表。 list - - lts:logStream:listChart 授予权限以查询日志流图表。 list - - lts:alarmNoticeTemplate:create 授予权限以创建告警通知模板。 write - - lts:alarmNoticeTemplate:update 授予权限以修改告警通知模板。 write - - lts:alarmNoticeTemplate:delete 授予权限以删除告警通知模板。 write - - lts:alarmNoticeTemplate:list 授予权限以查询告警通知模板列表。 list - - lts:alarmNoticeTemplate:get 授予权限以查询告警通知模板详情。 read - - lts:hostGroup:create 授予权限以创建主机组。 write - - lts:hostGroup:delete 授予权限以删除主机组。 write hostGroup * - lts:host:list 授予权限以查询主机列表。 list - - lts:hostGroup:list 授予权限以查询主机组列表。 list accessConfig * - lts:hostGroup:update 授予权限以修改主机组。 write hostGroup * - lts:accessConfig:create 授予权限以创建日志接入。 write logStream * - lts:accessConfig:delete 授予权限以删除日志接入。 write accessConfig * - lts:accessConfig:list 授予权限以查询日志接入列表。 list - - lts:accessConfig:update 授予权限以修改日志接入。 write accessConfig * - hostGroup - lts:tag:create 授予权限以创建标签。 write - - lts:tag:delete 授予权限以删除标签。 write - - lts:logStream:createQuickQuery 授予权限以创建快速查询。 write logStream * - lts:logStream:deleteQuickQuery 授予权限以删除快速查询。 write logStream * - lts:logStream:listQuickQuery 授予权限以查询快速查询列表。 list logGroup * - lts:logFavorite:create 授予权限以创建日志收藏。 write logStream * - lts:logFavorite:delete 授予权限以删除日志收藏。 write - - lts:dashboardGroup:create 授予权限以创建仪表盘分组。 write - - lts:dashboard:create 授予权限以创建仪表盘。 write - - lts:trafficStatistic:get 授予权限以获取资源统计详情。 read - - lts:tokenizer:get 授予权限以获取已配置的分词符。 read - - lts:tokenizer:create 授予权限以保存分词符。 write - - lts:tokenizer:preview 授予权限以预览分词符。 read - - lts:usageAlarm:update 授予权限以打开或者关闭使用量预警。 write - - lts:csvTable:list 授予权限以获取关联数据源配置信息表。 list - - lts:csvTable:upload 授予权限以上传csv文件。 write - - lts:csvTable:get 授予权限以预览关联数据和查看关联数据源信息。 read - - lts:csvTable:create 授予权限以创建关联数据源。 write - - lts:csvTable:update 授予权限以更新关联数据源。 write - - lts:csvTable:delete 授予权限以删除关联数据源。 write - - lts:scheduledSql:create 授予权限以创建定时sql。 write - - lts:scheduledSql:delete 授予权限以删除定时sql。 write - - lts:scheduledSql:update 授予权限以修改定时sql。 write - - lts:scheduledSql:list 授予权限以获取定时sql列表。 list - - lts:scheduledSql:get 授予权限以获取定时sql详情。 read - - lts:scheduledSql:retry 授予权限以重试执行实例。 write - - lts:transfer:getDisList 授予权限以获取Dis通道列表。 list - - lts:transfer:listKafkaInstance 授予权限以获取kafka列表。 list - - lts:transfer:updateKafkaInstance 授予权限以更新kafka信息。 write - - lts:transfer:deleteKafkaInstance 授予权限以删除kafka信息。 write - - lts:transfer:listKafkaAuthorization 授予权限以查询用户配置kafka授权列表。 list - - lts:transfer:createKafkaAuthorization 授予权限以增加用户配置kafka授权列表。 write - - lts:transfer:deleteKafkaAuthorization 授予权限以删除用户配置kafka授权列表。 write - - lts:transfer:getTransfer 授予权限以获取转储任务的信息。 read transfer * - lts:transfer:getDwsInfo 授予权限以查询租户的dws信息。 read - - lts:transfer:registerDwsCluster 授予权限以注册dws集群。 write - - lts:hostGroup:getHost 授予权限以通过查询条件获取所有主机。 read - - lts:hostGroup:get 授予权限以通过查询条件获取单个主机组加入的所有配置。 read - - lts:accessConfig:get 授予权限以获取单个采集配置。 read accessConfig * - lts:logFavorite:list 授予权限以获取收藏列表。 list - - lts:logFavorite:update 授予权限以修改收藏。 write logStream * - lts:logGroup:getLogGroup 授予权限以查询日志组。 read logGroup * - lts:IndexConfig:list 授予权限以查询索引。 list logGroup * - lts:IndexConfig:create 授予权限以创建索引。 write logGroup * - lts:structConfig:listStructConfig 授予权限以获取日志流结构化信息。 list logStream * - lts:logStream:updateLogStream 授予权限以修改日志流。 write logStream * - lts:logStream:getRealtimeLog 授予权限以获取实时日志。 read logStream * - lts:logStream:getLogStream 授予权限以查询日志流信息。 read logStream * - lts:logStream:createLogFilterRules 授予权限以创建日志清洗规则。 write logStream * - lts:logStream:updateLogFilterRules 授予权限以修改日志清洗规则。 write logStream * - lts:logStream:deleteLogFilterRules 授予权限以删除日志清洗规则。 write logStream * - lts:logStream:listLogFilterRules 授予权限以查询日志清洗规则。 list logStream * - lts:logStream:getQuickQuery 授予权限以查看快速查询。 list logStream * - lts:logStream:updateQuickQuery 授予权限以修改快速查询。 write logStream * - lts:logStream:searchLogContext 授予权限以查询日志上下文。 read logStream * - lts:structConfig:getCustomTemplate 授予权限以查询用户自定义模板。 read - - lts:structConfig:createCustomTemplate 授予权限以创建用户自定义模板。 write - - lts:structConfig:updateCustomTemplate 授予权限以修改用户自定义模板。 write - - lts:structConfig:deleteCustomTemplate 授予权限以删除用户自定义模板。 write - - lts:structConfig:listCustomTemplate 授予权限以查询用户自定义模板列表。 read - - lts:structConfig:smartExtra 授予权限以智能提取结构化字段。 write - - lts:logStream:getAggrResult 授予权限以获取快速分析结果。 read logStream * - lts:logStream:getAggr 授予权限以查询快速分析聚合器。 read - - lts:logStream:createAggr 授予权限以创建快速分析聚合器。 write - - lts:logStream:deleteAggr 授予权限以删除快速分析聚合器。 write - - lts:logStream:getQuickAnalysisAggValue 授予权限以获取数值类型的快速分析结果。 read logStream * - lts:logStream:getWordFreqConfig 授予权限以查询用户已创建的快速分析字段。 read logStream * - lts:logStream:refreshWordFreqConfig 授予权限以修改快速分析字段。 write logStream * - lts:logCrux:list 授予权限以查询日志聚类信息。 list - - lts:logCrux:get 授予权限以获取日志聚类开关信息。 read - - lts:logCrux:enable 授予权限以开启日志聚类开关。 write - - lts:logCrux:disable 授予权限以关闭日志聚类开关。 write - - lts:logStream:updateChart 授予权限以更新用户日志看板。 write - - lts:logStream:createChart 授予权限以创建用户日志看板。 write - - lts:logStream:deleteChart 授予权限以删除用户日志看板。 write logStream * - lts:logStream:getChart 授予权限以获取用户日志看板。 read logStream * - lts:dashboard:deleteChart 授予权限以删除图表。 write dashboard * - lts:dashboard:listCharts 授予权限以展示仪表盘层级的图表。 list - - lts:dashboard:updateChart 授予权限以移动图表。 write dashboard * - lts:dashboard:getDashboard 授予权限以查询用户日志仪表盘。 read - - lts:dashboardGroup:getDashboardsGroup 授予权限以查询用户日志仪表盘分组。 read - - lts:dashboardGroup:updateDashboardsGroup 授予权限以修改用户日志仪表盘分组。 write - - lts:dashboardGroup:deleteDashboardsGroup 授予权限以更新用户日志仪表盘分组。 write - - lts:dashboard:CreateDashBoard 授予权限以根据日志仪表盘模板批量创建仪表盘。 write - - lts:dashboard:CreateDashBoardTemplate 授予权限以创建用户日志仪表盘模板。 write - - lts:dashboard:getDashBoardTemplate 授予权限以查询用户日志仪表盘模板。 read - - lts:dashboard:updateDashBoardTemplate 授予权限以修改用户日志仪表盘模板。 write - - lts:dashboard:deleteDashBoardTemplate 授予权限以删除用户日志仪表盘模板。 write - - lts:dashboardGroup:createLogDashboardTemplateGroup 授予权限以创建仪表盘模板分组。 write - - lts:dashboardGroup:updateLogDashboardTemplateGroup 授予权限以修改仪表盘模板分组。 write - - lts:dashboardGroup:deleteLogDashboardTemplateGroup 授予权限以删除用户日志仪表盘模板分组。 write - - lts:dashboard:listFilter 授予权限以查询仪表盘过滤器。 list dashboard * - lts:dashboard:createFilter 授予权限以创建仪表盘过滤器。 write dashboard * - lts:dashboard:updateFilter 授予权限以修改仪表盘过滤器。 write dashboard * - lts:dashboard:deleteFilter 授予权限以删除仪表盘过滤器。 write dashboard * - lts:alarmRule:listAlarmRules 授予权限以查询告警规则列表。 list - - lts:alarmRule:getKeywordsAlarmRule 授予权限以查询关键词告警规则。 read alarmRule * - lts:alarmRule:getSqlAlarmRule 授予权限以查询sql告警规则。 read alarmRule * - lts:alarm:listAlarmStatistic 授予权限以查询sql告警数据。 list - - lts:dashboard:update 授予权限以修改用户日志仪表盘。 write - - lts:dashboard:delete 授予权限以删除用户日志仪表盘。 write - - lts:logSearch:list 授予权限以获取集群列表,命名空间,组件,实例,日志,节点,日志文件页面组件列表,文件列表。 list - - lts:logSearch:getTime 授予权限以获取后端节点当前时间。 read - - lts:logSearch:getLogContext 授予权限以获取日志上下文。 read - - lts:logSearch:exportLogs 授予权限以下载日志。 write - - lts:ageingTime:get 授予权限以获取配额管理。 list - - lts:ageingTime:update 授予权限以修改配额管理。 write - - lts:logConfigPath:list 授予权限以查询VM日志路径配置。 list - - lts:logConfigPath:create 授予权限以新建VM日志路径配置。 write - - lts:structRule:get 授予权限以获取结构化规则。 read - - lts:structRule:create 授予权限以创建结构化规则。 write - - lts:structRule:delete 授予权限以删除结构化规则。 write - - lts:structRule:regex 授予权限以结构化提取。 write - - lts:logPail:list 授予权限以查询日志桶、桶内日志和日志柱状图。 list - - lts:structSql:list 授予权限以查询结构化日志。 list - - lts:logPail:create 授予权限以添加日志桶。 write - - lts:logPail:update 授予权限以修改日志桶。 list - - lts:logPail:delete 授予权限以删除日志桶。 write - - lts:storageRelation:list 授予权限以查询当前租户下的转储关系。 list - - lts:storageRelation:delete 授予权限以删除当前租户下的转储关系。 write - - lts:storage:batchAction 授予权限以周期性批量启停。 write - - lts:logPailDump:create 授予权限以添加日志转储。 write - - lts:statisticsRule:list 授予权限以查询统计规则。 list - - lts:statisticsRule:create 授予权限以创建统计规则。 write - - lts:statisticsRule:update 授予权限以修改统计规则。 write - - lts:statisticsRule:delete 授予权限以删除统计规则。 write - - lts:transfer:listKafkaInstanceTopic 授予权限以获取用户kafka所有topic。 list - - lts:logPackage:create 授予权限以购买资源包。 write - - lts:consumerGroup:create 授予权限以创建消费组。 write - - lts:consumerGroup:delete 授予权限以删除消费组。 write - - lts:consumerGroup:list 授予权限以查询消费组列表。 list - - lts:consumerGroup:get 授予权限以查询消费组详情。 read - - lts:consumerGroup:update 授予权限以修改消费组。 write - - lts:logStream:get 授予权限以获取日志流详情。 read - - lts:agency:listGroupAndStream 授予权限以获取委托方日志组日志流列表。 list - - lts:agency:listEps 授予权限以获取委托方EPS列表。 list - - lts:agency:listStructConfig 授予权限以获取委托方结构化配置。 list - - lts:logConverge:get 授予权限以获取多账号日志汇聚配置。 read - - lts:logConverge:update 授予权限以更新多账号日志汇聚配置。 write - - lts:logManager:createAggr 授予权限以创建快速分析聚合器。 write logStream * - lts:logManager:createAggrs 授予权限以批量创建快速分析聚合器。 write logStream * - lts:logManager:deleteAggr 授予权限以删除快速分析聚合器。 write logStream * - lts:logManager:deleteAggrs 授予权限以批量删除快速分析聚合器。 write logStream * - lts:logmanager:createLogFilter 授予权限以创建日志清洗规则。 write logStream * - lts:logmanager:listLogFilters 授予权限以查看日志清洗规则。 read logStream * - lts:logmanager:updateLogFilters 授予权限以修改日志清洗规则。 write logStream * - lts:logmanager:deleteLogFilters 授予权限以删除日志清洗规则。 write logStream * - lts:structConfig:regex 授予权限以正则结构化示例日志。 write - - LTS的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 POST /v2/{project_id}/groups lts:logGroup:createLogGroup - DELETE /v2/{project_id}/groups/{log_group_id} lts:logGroup:deleteLogGroup - GET /v2/{project_id}/groups lts:logGroup:listLogGroup - POST /v2/{project_id}/groups/{log_group_id} lts:logGroup:updateLogGroup - POST /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:createLogStream - PUT /v2/{project_id}/groups/{log_group_id}/streams-ttl/{log_stream_id} lts:logStream:updateLogStream - DELETE /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id} lts:logStream:deleteLogStream - GET /v2/{project_id}/groups/{log_group_id}/streams lts:logStream:listLogStream - GET /v2/{project_id}/log-streams lts:logStream:listLogStream - POST /v2/{project_id}/lts/keyword-count lts:logStream:searchLogHistogram - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/content/query lts:logStream:searchLog - POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/streams/{log_stream_id}/struct-content/query lts:logStream:searchStructLog - POST /v2/{project_id}/log-dump/obs lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:HeadBucket POST /v2/{project_id}/transfers lts:transfer:createTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list DELETE /v2/{project_id}/transfers lts:transfer:deleteTransfer - GET /v2/{project_id}/transfers lts:transfer:listTransfer - POST /v2/{project_id}/lts/dms/kafka-instance lts:transfer:registerDmsKafkaInstance dms:instance:list PUT /v2/{project_id}/transfers lts:transfer:updateTransfer obs:bucket:PutBucketAcl obs:bucket:GetBucketAcl obs:bucket:GetEncryptionConfiguration obs:bucket:HeadBucket dis:streams:list dis:streamPolicies:list POST /v2/{project_id}/collection/disable lts:configCenter:updateOverCollectSwitch - POST /v2/{project_id}/collection/enable lts:configCenter:updateOverCollectSwitch - POST /v3/{project_id}/lts/struct/template lts:structConfig:createStructConfig - POST /v2/{project_id}/lts/struct/template lts:structConfig:createStructConfig - DELETE /v2/{project_id}/lts/struct/template lts:structConfig:deleteStructConfig - GET /v3/{project_id}/lts/struct/customtemplate/list lts:structConfig:listStructTemplate - GET /v3/{project_id}/lts/struct/customtemplate lts:structConfig:listStructTemplate - GET /v2/{project_id}/lts/struct/template lts:structConfig:getStructConfig - PUT /v3/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - PUT /v2/{project_id}/lts/struct/template lts:structConfig:updateStructConfig - POST /v2/{project_id}/lts/aom-mapping lts:mappingRule:create - DELETE /v2/{project_id}/lts/aom-mapping lts:mappingRule:delete - GET /v2/{project_id}/lts/aom-mapping/{rule_id} lts:mappingRule:get - GET /v2/{project_id}/lts/aom-mapping lts:mappingRule:list - PUT /v2/{project_id}/lts/aom-mapping lts:mappingRule:update - GET /v2/{project_id}/lts/notifications/topics lts:alarmNoticeTemplate:list smn:topic:list POST /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:createSqlAlarmRule - DELETE /v2/{project_id}/lts/alarms/sql-alarm-rule/{sql_alarm_rule_id} lts:alarmRule:deleteSqlAlarmRule - GET /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:listSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/status lts:alarmRule:updateSqlAlarmRule - PUT /v2/{project_id}/lts/alarms/sql-alarm-rule lts:alarmRule:updateSqlAlarmRule - POST /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:createWordAlarmRule - DELETE /v2/{project_id}/lts/alarms/keywords-alarm-rule/{keywords_alarm_rule_id} lts:alarmRule:deleteWordAlarmRule - GET /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:listWordAlarmRule - PUT /v2/{project_id}/lts/alarms/keywords-alarm-rule lts:alarmRule:updateWordAlarmRule - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/clear lts:alarm:cleanAlarm - POST /v2/{project_id}/{domain_id}/lts/alarms/sql-alarm/query lts:alarm:listAlarm - GET /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/charts lts:logStream:listChart - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:create - DELETE /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:delete - POST /v2/{project_id}/{domain_id}/lts/events/notification/templates/view lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:list - GET /v2/{project_id}/{domain_id}/lts/events/notification/template/{template_name} lts:alarmNoticeTemplate:get - PUT /v2/{project_id}/{domain_id}/lts/events/notification/templates lts:alarmNoticeTemplate:update - POST /v3/{project_id}/lts/host-group lts:hostGroup:create - DELETE /v3/{project_id}/lts/host-group lts:hostGroup:delete - POST /v3/{project_id}/lts/host-list lts:host:list aom:icmgr:get aom:icmgr:list POST /v3/{project_id}/lts/host-group-list lts:hostGroup:list - PUT /v3/{project_id}/lts/host-group lts:hostGroup:update - POST /v3/{project_id}/lts/access-config lts:accessConfig:create - DELETE /v3/{project_id}/lts/access-config lts:accessConfig:delete - POST /v3/{project_id}/lts/access-config-list lts:accessConfig:list - PUT /v3/{project_id}/lts/access-config lts:accessConfig:update - POST /v1/{project_id}/{resource_type}/{resource_id}/tags/action lts:tag:create - POST /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:createQuickQuery - DELETE /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:deleteQuickQuery - GET /v1.0/{project_id}/groups/{group_id}/topics/{topic_id}/search-criterias lts:logStream:listQuickQuery - GET /v2/{project_id}/lts/history-sql lts:logStream:getHistorySql - GET /v1.0/{project_id}/lts/groups/{group_id}/search-criterias lts:logStream:listQuickQuery - POST /v1.0/{project_id}/lts/favorite lts:logFavorite:create - DELETE /v1.0/{project_id}/lts/favorite/{fav_res_id} lts:logFavorite:delete - POST /v2/{project_id}/dashboard lts:dashboard:create - POST /v2/{project_id}/lts/dashboard-group lts:dashboardGroup:create - POST /v2/{project_id}/lts/timeline-traffic-statistics lts:trafficStatistic:get - POST /v2/{project_id}/lts/topn-traffic-statistics lts:trafficStatistic:get -
  • 操作(Action) 操作(Action)即为SCP中支持的授权项。 “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。 “资源类型”列指每个操作是否支持资源级权限。 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。 关于COC定义的资源类型的详细信息请参见资源类型(Resource)。 “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。 如果此列条件键没有值(-),表示此操作不支持指定条件键。 关于COC定义的条件键的详细信息请参见条件(Condition)。 您可以在SCP语句的Action元素中指定以下COC的相关操作。 表1 COC支持的授权项 授权项 描述 访问级别 资源类型(*为必须) 条件键 coc:customDashboard:update 修改自定义看板的权限 write - - coc:customDashboard:get 查询自定义看板的权限。 read - - coc:document:create 创建文档 write document - coc:document:listRunbookAtomics 查看作业原子能力列表 list document - coc:document:getRunbookAtomicDetails 查询作业原子能力详情 read document - coc:document:list 查询文档列表 list document - coc:document:delete 删除文档 write document - coc:document:update 修改文档 write document - coc:document:get 查看文档 read document - coc:document:analyzeRisk 分析文档风险 read document - coc:systemConfig:get 获取系统配置详情的权限。 write - - coc:systemConfig:create 创建系统配置的权限。 read - - coc:job:list 查询工单详情 write job - coc:job:action 操作工单 write job - coc:instance:autoBatchInstances 实例自动化分批 list instance - coc:instance:executeDocument 在弹性云服务器上执行文档 write instance - coc:quota:get 查询配额 write - - coc:job:get 查询工单详情 write job - coc:schedule:list 查询定时任务列表的权限。 read schedule - coc:schedule:enable 启用定时任务的权限。 read schedule - coc:schedule:update 更新定时任务的权限。 list schedule - coc:schedule:disable 禁用定时任务列表的权限。 write schedule - coc:schedule:approve 审批定时任务列表的权限。 write schedule - coc:schedule:create 创建定时任务列表的权限。 write schedule - coc:schedule:delete 删除定时任务的权限。 write schedule - coc:schedule:count 查询定时任务数量的权限。 write schedule - coc:schedule:get 查询定时任务的权限。 write schedule - coc:schedule:getHistories 查询定时任务执行历史的权限。 read schedule - coc:parameter:list 查询参数列表的权限。 read parameter - coc:parameter:delete 删除参数的权限。 read parameter - coc:parameter:update 更新参数的权限。 list parameter - coc:parameter:create 创建参数的权限。 write parameter - coc:parameter:get 查询参数详情的权限 write parameter - coc:complianceReport:list 查询合规性报告列表权限。 write - - coc:patchBaseline:list 查询补丁基线列表的权限。 read - - coc:patchBaseline:get 查询补丁基线详情的权限。 list - - coc:patchBaseline:update 更新补丁基线的权限。 list - - coc:patchBaseline:registerDefault 设置默认补丁基线的权限。 write - - coc:patchBaseline:delete 删除补丁基线的权限。 write - - coc:patchBaseline:create 创建补丁基线的权限。 write - - coc:patchBaseline:getDefault 查询默认补丁基线的权限。 write - - coc:patchBaseline:opsSystemGet 查看补丁操作系统基线的权限。 write - - coc:complianceReport:get 查询合规性报告详情的权限。 read - - coc:instance:scanOSCompliance 服务器操作系统补丁扫描的权限。 read instance - coc:instance:installPatches 为弹性云服务器安装补丁的权限。 read instance - coc:patchBaseline:updateCustomBaseline 更新自定义基线的权限。 read - - coc:instance:startRDSInstance 启用RDS实例的权限。 write instance - coc:instance:stopRDSInstance 停止RDS实例的权限。 write instance - coc:instance:restartRDSInstance 重启RDS实例的权限。 write instance - coc:instance:start 启动云服务器的权限。 write instance - coc:instance:reboot 重启云服务器的权限。 write instance - coc:instance:stop 关闭云服务器的权限。 write instance - coc:serverResourcesDetail:get 获取ESC资源信息的权限。 write - - coc:instance:reinstallOS 重装弹性云服务器操作系统的权限。 write instance - coc:account:get 查询主机上已纳管的账号列表的权限 write - - coc:accountPasswordChangePolicy:get 查询已开启的改密策略的权限 write - - coc:accountEncryptionKey:list 查询已添加的DEW密钥的权限 write - - coc:accountBaseline:list 查询账号基线列表的权限 list accountBaseline - coc:accountAutoManagement:getRelations 查询已开启自动纳管的组件信息的权限 list - - coc:accountEncryptionKey:listDEWKeys 查询已拥有的DEW密钥的权限 list - - coc:accountBaseline:get 查询基线内的账号列表的权限 list accountBaseline - coc:accountBaseline:create 创建账号基线的权限 list accountBaseline - coc:accountBaseline:deleteAccount 删除基线中的账号的权限 list accountBaseline - coc:account:add 导入主机上的账号的权限 list - - coc:instance:resetPassword 重置主机的账号密码的权限 write instance - coc:accountBaseline:delete 删除账号基线的权限 write accountBaseline - coc:accountAutoManagement:updateStatus 更新自动纳管的状态的权限 write - - coc:accountAutoManagement:addRelations 按组件粒度开启自动纳管的权限 write - - coc:accountBaseline:update 修改账号基线的权限 write accountBaseline - coc:accountPasswordChangePolicy:disable 禁用改密策略的权限 write - - coc:accountAutoManagement:deleteRelations 按组件粒度关闭自动纳管的权限 write - - coc:accountPasswordChangePolicy:enable 启用改密策略的权限 write - - coc:accountEncryptionKey:add 添加加密密钥的权限 write - - coc:account:sync 同步主机上的账号的权限 write - - coc:account:getManagedStatus 查询纳管步骤状态的权限 write - - coc:account:getPassword 查询主机的账号密码的权限 write - - coc:accountAutoManagement:getStatus 查询自动纳管的开启状态的权限 write - - coc:hostiAccount:describe 账号自己的托管服务账号的信息。 read - - coc:vendorAccount:update 更新云厂商账户的权限。 read - - coc:application:GetDiagnosisTaskDetails 查询应用资源诊断任务的权限。 read application - coc:application:CreateDiagnosisTask 创建应用诊断任务的权限。 write application - coc:vendorAccount:list 查询云厂商账户列表的权限。 list - - coc:vendorAccount:create 创建云厂商账户的权限。 write - - coc:vendorAccount:delete 删除云厂商账户的权限。 list - - coc:customApplication:get 查询自定义应用详情的权限。 write application - coc:site:list 查询局点列表的权限。 write - - coc:instance:listResources 查询资源列表的权限。 list instance - coc:application:listResources 查询应用资源列表的权限。 list application - coc:application:list 查询应用列表的权限。 list application - coc:customApplication:list 查询自定义应用列表的权限。 list application - coc:application:listGroups 查询指定应用分组列表的权限。 list application - coc:region:list 查询region列表的权限。 list - - coc:application:deleteGroup 删除应用分组的权限。 list application - coc:application:updateResources 修改应用资源的权限。 list application - coc:application:create 创建应用的权限。 write application - coc:application:addResources 为应用添加资源的权限。 write application - coc:application:createGroup 创建应用分组的权限。 write application - coc:instance:syncResources 同步资源列表的权限。 write instance - coc:application:removeResources 移除应用资源的权限。 write application - coc:application:delete 删除应用的权限。 write application - coc:application:update 修改应用的权限。 write application - coc:application:updateGroup 修改应用分组的权限。 write application - coc:contingencyPlan:list 查询应急预案列表的权限。 write contingencyPlan - coc:contingencyPlan:delete 删除应急预案的权限。 write contingencyPlan - coc:contingencyPlan:create 创建应急预案的权限。 write contingencyPlan - coc:contingencyPlan:update 修改应急预案的权限。 list contingencyPlan - coc:wechatkey:create 创建企业微信应用密钥的权限。 write - - coc:wechatkey:delete 删除企业微信应用密钥的权限。 write - - coc:appkey:update 更新移动应用密钥的权限。 write - - coc:wechatkey:update 修改企业微信管理企业密钥的权限。 write - - coc:appkey:create 创建移动应用密钥的权限。 write - - coc:appkey:delete 删除移动应用密钥的权限。 write - - coc:appkey:get 查看移动应用密钥的权限。 write - - coc:wechatkey:get 查看企业微信应用密钥的权限。 write - - coc:systemConfig:update 修改系统配置的权限。 write - - coc:hostAccount:delete 托管sre账号刪除托管账号。 read - - coc:hostAccount:update 托管sre账号编辑托管账号。 read - - coc:hostAccount:disable 账号取消托管服务。 list - - coc:hostAccount:create 添加托管账号。 read - - coc:hostAccount:list 托管sre账号查询托管账号。 write - - coc:hostAccount:enable 账号开通托管服务。 write - - coc:systemConfig:list 获取系统配置列表的权限。 write - - coc:agency:create 创建租户委托的权限。 write - - coc:agency:get 查询租户下的委托信息。 read - - coc:notificationRule:get 查询通知规则详情的权限。 write - - coc:notification:listTypes 查询通知类型的权限。 write - - coc:notification:listTemplates 查询通知模板列表的权限。 read - - coc:notification:listModes 查询通知方式的权限。 list - - coc:notificationRule:list 查询通知规则列表的权限。 list - - coc:notificationRule:update 更新通知规则的权限。 list - - coc:notificationRule:delete 删除通知规则的权限。 list - - coc:notificationRule:create 创建通知规则的权限。 list - - coc:notificationRule:disable 停用通知规则的权限。 write - - coc:ticket:get 查询事件单详情的权限。 write - - coc:contingencyPlan:getHistories 查询应急预案历史的权限。 write contingencyPlan - coc:ticket:listEnumTypes 查询事件单枚举类型列表的权限。 write - - coc:ticket:listEnumValues 查询事件单枚举值列表的权限。 write - - coc:ticket:getOperationHistories 查询事件单操作历史的权限。 list - - coc:ticket:listActions 查询可以执行操作列表的权限。 list - - coc:ticket:getEnumValues 查询事件单枚举值详情的权限。 list - - coc:ticket:list 查询事件单列表的权限。 list - - coc:ticket:update 修改事件单的权限。 list - - coc:contingencyPlan:downloadFile 从应急预案下载附件的权限。 list contingencyPlan - coc:ticket:delete 删除事件单的权限。 list - - coc:ticket:downloadFile 为事件单下载附件的权限。 list - - coc:ticket:action 处理事件单的权限。 write - - coc:ticket:uploadFile 为事件单上传附件的权限。 write - - coc:ticket:create 创建事件单的权限。 write - - coc:contingencyPlan:uploadFile 为应急预案上传附件的权限。 write contingencyPlan - coc:ticket:getEnumTypes 查询事件单枚举类型详情的权限。 write - - coc:personnel:list 查询人员列表的权限。 write - - coc:personnel:update 更新人员信息的权限。 write - - coc:personnel:add 添加人员的权限。 write - - coc:personnel:remove 移除人员的权限。 read - - coc:notificationRule:confirm 确认通知规则的权限。 list - - coc:instance:changeOS 切换弹性云服务器操作系统的权限。 write instance - coc:oncall:listPersonnels 查询oncall排班人员列表的权限。 write - - coc:oncall:listScenes 查看oncall排班场景的权限。 write - - coc:oncall:listRoles 查询oncall排班角色的权限。 write - - coc:oncall:updatePersonnels 更新oncall排班人员的权限。 list - - coc:oncall:updateScene 更新oncall排班场景的权限。 list - - coc:oncall:removePersonnels 移除oncall排班人员的权限。 list - - coc:oncall:updateRole 更新oncall排班角色的权限。 write - - coc:oncall:createRole 创建oncall排班角色的权限。 write - - coc:oncall:deleteScene 删除oncall排班场景的权限。 write - - coc:oncall:deleteRole 删除oncall排班角色的权限。 write - - coc:oncall:addPersonnels 添加oncall排班人员的权限。 write - - coc:oncall:createScene 创建oncall排班场景的权限。 write - - coc:transferRule:get 查询流转规则详情的权限。 write - - coc:transferRule:list 查询流转规则列表的权限。 write - - coc:transferRule:delete 删除流转规则的权限。 write - - coc:transferRule:disable 停用流转规则的权限。 list - - coc:transferRule:enable 启用流转规则的权限。 list - - coc:transferRule:create 创建流转规则的权限。 write - - coc:transferRule:update 更新流转规则的权限。 write - - coc:notificationRule:enable 启用通知规则的权限。 write - - coc:transferRule:getHistory 查询流转最近事件消息的权限。 write - - coc:quotas:list 查询已购买配额列表的权限。 write - - coc:orders:change 更新coc订单的权限。 read - - coc:orders:create 创建coc订单的权限。 list - - coc:integration:list 查询集成配置列表的权限。 write - - coc:integration:get 查询集成配置详情的权限。 write - - coc:integration:getHistory 查询集成配置历史事件消息的权限。 list - - coc:integration:update 修改集成配置的权限。 list - - coc:integration:enable 启用集成配置的权限。 list - - coc:integration:disable 停用集成配置的权限。 write - - coc:integration:access 接入集成配置的权限。 write - - coc:integration:remove 移除集成配置的权限。 write - - coc:attackTargetRecord:list 查看攻击目标的执行记录列表的权限。 write attackTargetRecord - coc:drillPlan:list 查询演练规划列表的权限。 write drillPlan - coc:attackRecord:list 查看攻击记录列表的权限。 list attackRecord - coc:faultMode:list 查询故障模式列表的权限。 list faultMode - coc:monitorMetricRecord:list 查询监控指标数据列表的权限。 list - - coc:attackTask:list 查看攻击任务列表的权限。 list attackTask - coc:attackTarget:listCcePods 查询cce类型的攻击目标的pods列表的权限。 list - - coc:improvementTask:list 查询改进事项列表的权限。 list - - coc:drillTask:list 查看演练任务列表的权限。 list drillTask - coc:attackTarget:listCceWorkloads 查询cce类型的攻击目标的工作负载列表的权限。 list - - coc:attackTarget:listCceNamespaces 查询cce类型的攻击目标的命名空间列表的权限。 list - - coc:drillPlan:listDelay 查询演练规划延期列表的权限。 list drillPlan - coc:monitorMetric:list 查询监控指标列表的权限。 list - - coc:faultMode:delete 删除故障模式的权限。 list faultMode - coc:faultMode:update 更新故障模式的权限。 list faultMode - coc:drillTask:create 创建演练任务的权限。 write drillTask - coc:attackTargetRecord:operate 对攻击目标执行记录进行重试的权限。 write attackTargetRecord - coc:drillReport:create 创建演练报告的权限。 write - - coc:drillTask:delete 删除演练任务的权限。 write drillTask - coc:faultMode:create 创建故障模式的权限。 write faultMode - coc:drillRecord:create 启动演练的权限。 write drillRecord - coc:drillPlan:create 创建演练规划的权限。 write drillPlan - coc:drillReport:update 更新演练报告的权限。 write - - coc:application:CreateResourceTopo 创建资源topo的权限。 write application - coc:drillTask:update 修改演练任务的权限。 write drillTask - coc:improvementTask:create 创建改进事项的权限。 write - - coc:drillPlan:update 更新演练规划的权限。 write drillPlan - coc:attackRecord:changeMetricType 修改某个攻击记录下指标类型的权限。 write attackRecord - coc:improvementTask:update 处理改进事项的权限。 write - - coc:attackTask:create 创建攻击任务的权限。 write attackTask - coc:drillPlan:countStatus 查询指定演练规划状态数量的权限。 write drillPlan - coc:faultMode:get 查询指定故障模式详情的权限 read faultMode - coc:contingencyPlan:get 查询应急预案详情的权限。 read contingencyPlan - coc:drillRecord:get 查询演练记录详情的权限。 read drillRecord - coc:drillTask:get 查询演练任务详情的权限。 read drillTask - coc:drillPlan:countDelay 查询指定演练规划延期数量的权限。 read drillPlan - coc:improvementTask:get 查询改进事项详情的权限。 read - - coc:drillReport:get 查询演练报告详情的权限。 read - - coc:drillPlan:get 查询指定演练规划详情的权限 read drillPlan - coc:attackTask:get 查看攻击任务详情的权限。 read attackTask - coc:alarm:listHandleHistories 查询告警处理历史列表的权限。 read - - coc:alarm:list 查询告警列表的权限。 list - - coc:alarm:createAlarmLinkedIncident 创建告警关联事件的权限。 list - - coc:alarm:clear 清除告警的权限。 write - - coc:instance:getAlarms 查看某个资源的告警列表的权限。 write instance - coc:alarm:get 查询告警信息的权限。 read - - coc:alarm:count 查询告警数量的权限。 read - - coc:instance:listAlarms 查询全部资源的告警列表的权限。 read instance - coc:task:list 查询运维事务列表的权限。 list - - coc:task:create 创建运维事务的权限 list - - coc:task:complete 结束运维事务的权限。 write - - coc:task:cancel 取消运维事务的权限。 write - - coc:task:accept 受理运维事务的权限 write - - coc:task:get 查询运维事务详情的权限 write - - coc:task:count 查询运维事务列表的权限。 read - - coc:warroom:get 查询warroom详情的权限。 read - - coc:warroom:listConfigurations 查询warroom公共枚举配置的权限。 list - - coc:warroom:list 查询warroom列表的权限。 write - - coc:warroom:listNotificationTemplates 查询warroom通告模板列表的权限。 list - - coc:warroom:listMeetings 查询warroom会议列表的权限。 list - - coc:warroom:listRoles 查询warroom角色列表的权限。 list - - coc:warroom:listAffectedApplications 查询warroom受影响应用列表的权限。 list - - coc:warroomMeetingRule:list 查询warroom起会规则列表的权限。 list - - coc:warroom:getOperationHistory 查询warroom操作历史的权限。 list - - coc:warroom:addRolePersonnels 在warroom中添加角色用户的权限。 list - - coc:warroom:modifyBasicInformation 修改warroom基本信息的权限。 list - - coc:warroomMeetingRule:delete 删除warroom起会规则的权限。 list - - coc:warroom:addAffectedApplications 在warroom中添加受影响应用的权限。 write - - coc:warroom:addPersonnels 在warroom中添加人员的权限。 write - - coc:warroomMeetingRule:update 更新warroom起会规则的权限。 write - - coc:warroom:removeAffectedApplications 在warroom中移除受影响应用的权限。 write - - coc:warroom:sendNotification 在warroom中更新/发送通告的权限。 write - - coc:warroom:removePersonnels 在warroom中移除人员的权限。 write - - coc:warroom:create 创建warroom的权限。 write - - coc:warroom:sendNotificationBriefing 在warroom中发送通知简报的权限。 write - - coc:warroom:updateAffectedApplications 在warroom中更新受影响应用的权限。 write - - coc:warroomMeetingRule:create 创建warroom起会规则的权限。 write - - coc:slo:list 查询slo列表的权限。 write - - coc:slo:listSli 查询sli列表的权限。 write - - coc:slo:update 修改slo的权限。 write - - coc:slo:delete 删除slo的权限。 list - - coc:slo:updateSli 更新sli列表的权限。 list - - coc:slo:listInterruptRecords 查询中断记录列表的权限。 write - - coc:slo:listInterruptRecordsChangeHistory 创建中断记录修改历史的权限。 write - - coc:slo:updateInterruptRecords 更新中断记录的权限。 write - - coc:slo:createInterruptRecords 创建中断记录的权限。 list - - coc:slaTemplate:list 查询sla模板列表的权限。 list slaTemplate - coc:slaRecord:list 查询sla工单列表的权限。 write - - coc:slo:get 查询slo详情的权限。 write - - coc:slaTemplate:update 修改sla模板的权限。 list slaTemplate - coc:slaTemplate:enable 启用sla模板的权限。 list slaTemplate - coc:slaTemplate:delete 删除sla模板的权限。 list slaTemplate - coc:slaTemplate:disable 禁用sla模板的权限。 write slaTemplate - coc:slaTemplate:create 创建sla模板的权限。 write slaTemplate - coc:slo:create 创建slo的权限。 write - - coc:slaTemplate:get 查询sla模板详情的权限。 write slaTemplate - coc:slaRecord:get 查询sla工单详情的权限。 write - - coc:prrTemplate:list 查看prr模板列表的权限。 write - - coc:prrReview:list 查看prr评审列表的权限。 read - - coc:prrCheckItem:list 查看prr检查项列表的权限。 read - - coc:prrTemplate:create 创建prr模板的权限。 list - - coc:prrReview:create 发起prr评审的权限。 list - - coc:prrReview:addImprovementTask 添加PRR改进事项的权限。 list - - coc:prrReview:update 继续发起prr评审的权限。 write - - coc:prrTemplate:delete 删除prr模板的权限。 write - - coc:prrTemplate:update 修改prr模板的权限。 write - - coc:prrReview:auditResult 录入prr审核结论的权限。 write - - coc:prrReview:delete 撤销prr评审的权限。 write - - coc:prrReview:recordSummary 录入prr评审纪要的权限。 write - - coc:prrTemplate:get 查询prr模板详情的权限。 write - - coc:prrReview:get 查询prr评审详情的权限。 write - - coc:tag:list 查询标签列表的权限。 write - - coc:tag:create 创建标签的权限。 read - - coc:*:listSSHKeypairs 查询SSH秘钥列表的权限。 read - - COC的API通常对应着一个或多个授权项。表2 API与授权项的关系展示了API与授权项的关系,以及该API需要依赖的授权项。 表2 API与授权项的关系 API 对应的授权项 依赖的授权项 GET /v1/patch/instance/compliant coc:instance:scanOSCompliance - GET /v1/patch/instance/compliant/{instance_compliant_id} coc:instance:scanOSCompliance - POST /v1/job/scripts coc:document:create - DELETE /v1/job/scripts/{script_uuid coc:document:delete - POST /v1/job/scripts/{script_uuid} coc:instance:executeDocument - GET /v1/job/scripts/{script_uuid} coc:document:get - GET /v1/job/scripts coc:document:list - PUT /v1/job/scripts/{script_uuid} coc:document:update - GET /v1/job/script/orders/{execute_uuid}/batches/{batch_index} coc:instance:autoBatchInstances - GET /v1/job/script/orders/{execute_uuid} coc:job:get - GET /v1/job/script/orders/{execute_uuid}/statistics coc:job:get - GET /v1/job/script/orders/{execute_uuid}/batches coc:instance:autoBatchInstances - GET /v1/job/script/orders coc:job:list - PUT /v1/job/script/orders/{execute_uuid}/operation coc:job:action - GET /v1/resources coc:instance:countResources - POST https://coc-intl.myhuaweicloud.com/v1/resources/sync coc:instance:syncResources - GET https://coc-intl.myhuaweicloud.com/v1/applications coc:application:countResourceRelations -
  • 条件(Condition) 条件(Condition)是SCP生效的特定条件,包括条件键和运算符。 条件键表示SCP语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。 服务级条件键(前缀为服务缩写,如config:)仅适用于对应服务的操作,详情请参见表4。 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个 VPC终端节点 发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,SCP才能生效。支持的运算符请参见:运算符。 Config定义了以下可以在SCP的Condition元素中使用的条件键,您可以使用这些条件键进一步细化SCP语句应用的条件。 表4 Config支持的服务级条件键 服务级条件键 类型 单值/多值 说明 rms:AuthorizedAccountOrgPath string 单值 根据指定的资源聚合授权账号的Organizations Path过滤访问。 rms:TrackerBucketName String 单值 根据指定的转储目标桶名称进行过滤访问。 rms:TrackerBucketPathPrefix String 单值 根据指定的转储目标桶桶前缀进行过滤访问。
  • 默认规则 此表中的建议项编号对应C5_2020中参考文档的章节编号,供您查阅参考。 表1 适用于德国云计算合规标准目录的标准合规包默认规则说明 建议项编号 合规规则 指导 COS-03 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 COS-03 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 COS-03 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 COS-03 ecs-instance-no-public-ip 由于华为云E CS 实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 COS-03 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 COS-03 css-cluster-in-vpc 确保 云搜索服务 位于虚拟私有云中。 COS-03 css-cluster-in-vpc 确保 云搜索 服务位于虚拟私有云中。 COS-03 mrs-cluster-no-public-ip 确保 MapReduce服务 MRS )无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。 COS-03 function-graph-public-access-prohibited 确保 函数工作流 的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 COS-03 rds-instance-no-public-ip 确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 COS-03 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。 COS-03 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 COS-03 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 COS-03 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 COS-05 iam-user-mfa-enabled 确保为所有 IAM 用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 COS-05 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 COS-05 root-account-mfa-enabled 确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 COS-05 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 COS-05 mrs-cluster-no-public-ip 确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。 COS-05 rds-instance-no-public-ip 确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 COS-05 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址,确保对安全组内资源实例的访问。 COS-05 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 COS-05 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 COS-05 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 CRY-02 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段,以允许后端系统对来自API网关的请求进行身份验证。 CRY-02 elb-predefined-security-policy-https-check 确保独享型负载均衡器使用了指定的安全策略。在创建和配置HTTPS监听器时,您可以选择使用安全策略,可以提高您的业务安全性。 CRY-02 css-cluster-https-required 开启HTTPS访问后,访问集群将进行通讯加密。关闭HTTPS访问后,会使用HTTP协议与集群通信,无法保证数据安全性,并且无法开启公网访问功能。 CRY-02 css-cluster-disk-encryption-check 确保 CSS 集群开启磁盘加密。由于敏感数据可能存在,请在传输中启用加密以帮助保护该数据。 CRY-02 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 CRY-02 dws-enable-ssl 确保 数据仓库 服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在,因此在传输过程中启用加密以帮助保护该数据。 CRY-02 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在,请在传输中启用加密以帮助保护该数据。 CRY-03 cts-kms-encrypted-check 确保 云审计 服务的追踪器已配置KMS加密存储用于归档的审计事件。 CRY-03 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据,确保高性能弹性文件服务已通过KMS进行加密。 CRY-03 volumes-encrypted-check 由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 CRY-03 rds-instances-enable-kms 为了帮助保护静态数据,请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中,因此启用静态加密有助于保护该数据。 CRY-04 kms-rotation-enabled 确保 数据加密 服务密钥启用密钥轮换。 DEV-07 cts-lts-enable 确保使用 云日志 服务集中收集云审计服务的数据。 DEV-07 cts-tracker-exists 确保账号已经创建了 CTS 追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。 DEV-07 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 DEV-07 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 DEV-07 multi-region-cts-tracker-exists 云审计服务提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 IDM-01 access-keys-rotated 确保根据组织策略轮换IAM访问密钥,这缩短了访问密钥处于活动状态的时间,并在密钥被泄露时减少业务影响。 IDM-01 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos,可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 IDM-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-01 iam-root-access-key-check 确保根访问密钥已删除。 IDM-01 iam-user-group-membership-check 确保用户至少是一个组的成员,帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限,可能会违反最小权限和职责分离的原则。 IDM-01 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 IDM-01 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 IDM-01 root-account-mfa-enabled 确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 IDM-01 iam-group-has-users-check 确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IDM-01 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 IDM-08 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 CRY-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-09 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 IDM-09 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 IDM-09 root-account-mfa-enabled 确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 OPS-01 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时,华为云RDS会自动创建主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行,并且经过精心设计,高度可靠。如果发生基础设施故障,华为云RDS会自动故障转移到备用数据库,以便您可以在故障转移完成后立即恢复数据库操作。 OPS-02 as-group-elb-healthcheck-required 弹性负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。这条规则确保与负载均衡器关联的伸缩组使用弹性负载均衡健康检查。 OPS-02 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时,华为云RDS会自动创建主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行,并且经过精心设计,高度可靠。如果发生基础设施故障,华为云RDS会自动故障转移到备用数据库,以便您可以在故障转移完成后立即恢复数据库操作。 OPS-07 rds-instance-enable-backup 确保云数据库资源开启备份。 OPS-07 dws-enable-snapshot 自动快照采用差异增量备份,当创建集群时,自动快照默认处于启用状态。当集群启用了自动快照时,DWS将按照设定的时间和周期以及快照类型自动创建快照,默认为每8小时一次。用户也可以对集群设置自动快照策略,并根据自身需求,对集群设置一个或多个自动快照策略。 OPS-07 gaussdb-nosql-enable-backup 确保GeminiDB开启备份。 OPS-14 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验,以避免日志文件存储后被修改、删除。 OPS-14 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 OPS-15 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。 OPS-15 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 OPS-15 dws-enable-log-dump 要获取有关华为云DWS集群上用户活动的信息,请确保启用日志转储。 OPS-15 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息,帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 OPS-15 cts-tracker-exists 确保账号已经创建了CTS追踪器,云审计服务用于记录华为云管理控制台操作。 OPS-15 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 OPS-15 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 OPS-15 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 PSS-05 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 PSS-05 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 PSS-05 root-account-mfa-enabled 确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 PSS-07 iam-password-policy 确保IAM用户密码强度满足密码强度要求。
  • 规则详情 表1 规则详情 参数 说明 规则名称 iam-user-group-membership-check 规则展示名 IAM用户归属指定用户组 规则描述 IAM用户不属于指定IAM用户组,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 groupIds:指定的用户组ID列表,如果列表为空,表示允许所有值;数组类型,最多包含10个元素。
  • 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态,且规则参数为空列表,若IAM用户属于任意一个IAM用户组,视为“合规”。 IAM用户为“启用”状态,且规则参数为空列表,若IAM用户不属于任意一个IAM用户组,视为“不合规”。 IAM用户为“启用”状态,且规则参数非空列表,若IAM用户属于任意一个指定的IAM用户组,视为“合规”。 IAM用户为“启用”状态,且规则参数非空列表,若IAM用户不属于任意一个指定视为IAM用户组,视为“不合规”。
  • 适用于人工智能与机器学习场景的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本,视为“不合规” cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规” cce-endpoint-public-access CCE集群资源不具有弹性公网IP cce CCE集群资源具有弹性公网IP,视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证,视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” 父主题: 合规规则包示例模板
  • 规则详情 表1 规则详情 参数 说明 规则名称 vpc-sg-restricted-common-ports 规则展示名 安全组入站流量限制指定端口 规则描述 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 blockedPorts:需要限制的端口列表,数组类型,默认值为(20,21,3306,3389)。 20:文件传输协议-数据端口。 21:文件传输协议-控制端口。 3306:mysql端口。 3389:远程桌面协定端口。
  • 检测逻辑 当安全组的入站流量未放通参数指定端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。 当安全组的入站流量放通参数指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”。 安全组内一般包含多个安全组规则,流量匹配时生效机制复杂,见流量匹配安全组规则的顺序。Config进行分析时会忽略策略为“拒绝”的安全组规则,而只关心您可能放通了哪些流量。
  • 安全身份和合规性运营最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规” pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期,视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书在指定时间内到期,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未转储到LTS,视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建并启用CTS追踪器,视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验,视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换,视为“不合规” iam-customer-policy-blocked-kms-actions IAM策略中不授权KMS的禁止的action iam, access-analyzer-verified IAM策略中授权KMS的任一阻拦action,视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户,视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求,视为“不合规” iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规” iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥,视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组,视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态,视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过console密码登录的IAM用户未开启MFA认证,视为“不合规” rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的rds资源,视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6端口(::/0),视为“不合规” root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证,视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了所有的TCP或UDP端口时,视为“不合规” 父主题: 合规规则包示例模板
  • 适用于医疗行业的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”。 as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密,视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https,视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的vpc资源绑定,视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验,视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器,视为“不合规” drs-data-guard-job-not-public 数据复制服务 实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络,视为“不合规” drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络,视为“不合规” drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络,视为“不合规” dws-enable-log-dump DWS集群启用日志转储 dws DWS集群未启用日志转储,视为“不合规” dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照,视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs,vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定,视为“不合规” eip-use-in-specified-days EIP在指定天数内绑定到资源实例 eip EIP创建指定天数内未使用,视为“不合规” elb-predefined-security-policy-https-check ELB监听器配置指定预定义安全策略 elb 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规“ elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” gaussdb-nosql-enable-backup GeminiDB开启备份 gaussdb nosql GeminiDB未开启备份,视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gaussdb nosql GeminiDB未使用磁盘加密,视为“不合规” iam-customer-policy-blocked-kms-actions IAM策略中不存在KMS的任一阻拦action iam IAM策略存在允许的任一KMS阻拦的action,视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求,视为“不合规” iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM策略admin权限(*:*:*或*:*或*),视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的*:*权限,视为“不合规” iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥,视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态,视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证,视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定region列表创建CTS追踪器,视为“不合规” pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期,视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书没有标记在指定时间内到期,视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定,视为“不合规” rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源,视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区,视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP,视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源,视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证,视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs,evs 已挂载的云硬盘未进行加密,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有ipv4地址(0.0.0.0/0),视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规” vpn-connections-active VPN连接状态为“正常” vpnaas VPN连接状态不为“正常”,视为“不合规” 父主题: 合规规则包示例模板
  • 默认规则 此表中的建议项编号对应GB/T 22239-2019中参考文档的章节编号,供您查阅参考。 表1 建议项编号 建议项说明 华为云合规规则 指导 8.1.2.1 b)应保证网络各个部分的带宽满足业务高峰期需要。 eip-bandwidth-limit 确保带宽满足业务高峰期需要。 8.1.2.1 c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 dcs-redis-in-vpc 确保分布式缓存服务(DCS)所有流量都安全地保留在虚拟私有云(VPC)中。 8.1.2.1 c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 ecs-instance-in-vpc 确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 8.1.2.1 c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。 rds-instances-in-vpc 确保关系型数据库(RDS)所有流量都安全地保留在虚拟私有云(VPC)中。 8.1.2.1 d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 dcs-redis-in-vpc 确保分布式缓存服务(DCS)所有流量都安全地保留在虚拟私有云(VPC)中。 8.1.2.1 d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 ecs-instance-in-vpc 确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 8.1.2.1 d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 rds-instances-in-vpc 确保关系型数据库(RDS)所有流量都安全地保留在虚拟私有云(VPC)中。 8.1.3.1 b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 8.1.3.1 b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 elb-loadbalancers-no-public-ip 确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。 8.1.3.1 b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 rds-instance-no-public-ip 确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 8.1.3.2 a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 8.1.3.2 a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 elb-loadbalancers-no-public-ip 确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。 8.1.3.2 a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 rds-instance-no-public-ip 确保云数据库(RDS)无法公网访问,管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 8.1.3.5 c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 cts-tracker-exists 确保账号已经创建了CTS追踪器,云审计服务(CTS)用于记录华为云管理控制台操作。 8.1.4.1 d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。 8.1.4.7 a)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 8.1.4.7 b)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 volumes-encrypted-check 由于敏感数据可能存在,为了帮助保护静态数据,确保已挂载的云硬盘已进行加密。 8.1.4.9 c)应提供重要数据处理系统的热冗余,保证系统的高可用性。 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时,华为云 RDS会自动创建主数据库实例,并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行,并且经过精心设计,高度可靠。如果发生基础设施故障,华为云 RDS 会自动故障转移到备用数据库,以便您可以在故障转移完成后立即恢复数据库操作。
  • 适用于管理与监管服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了 CES 告警操作 ces CES告警操作未启用,视为“不合规” alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces,obs CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规” alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces,vpc CES未配置监控VPC变更的事件监控告警,视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验,视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器,视为“不合规” tracker-config-enabled-check 账号开启资源记录器 config 如果账号未开启资源记录器,视为“不合规” 父主题: 合规规则包示例模板
  • 适用于云数据库(GeminiDB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-nosql-deploy-in-single-az GeminiDB部署在单个可用区 gemini db GeminiDB部署在单个可用区中,视为“不合规” gaussdb-nosql-enable-backup GeminiDB开启备份 gemini db GeminiDB未开启备份,视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密,视为“不合规” gaussdb-nosql-enable-error-log GeminiDB开启错误日志 gemini db GeminiDB未开启错误日志,视为“不合规” gaussdb-nosql-support-slow-log GeminiDB开启慢查询日志 gemini db GeminiDB不开启慢查询日志,视为“不合规” 父主题: 合规规则包示例模板
共100000条