华为云用户手册

注册华为账号 并实名认证 如果您已有一个华为账号，请跳到下一个任务。如果您还没有华为账号，请参考以下步骤创建。 打开https://www.huaweicloud.com/，单击“注册”。 根据提示信息完成注册，详细操作请参见“如何注册华为云管理控制台的用户？”。 注册成功后，系统会自动跳转至您的个人信息界面。 参考“实名认证”完成企业账号实名认证。 当前RGC服务暂不收取费用。但您需要根据使用情况为以下服务付费： SMN 、OBS等。

卸载补丁 登录华为云管理控制台界面，在“现有集群”列表中单击需要卸载补丁的集群名称，单击“补丁管理”页签，找到需要卸载的补丁，单击“卸载”，等待补丁卸载成功后，需要按照该章节顺序依次执行相关操作。 当“状态”显示为“卸载失败”时，在“失败任务”中查看错误提示信息，查找相应日志来定位处理。 如果任务失败，选择“重试卸载”，只有当“状态”显示为“可用”时，才能进入下一步操作。 卸载失败或者重试后仍然失败，不能直接再点安装，请联系运维人员。

安装补丁 登录 MRS 管理控制台。 选择“现有集群”，选中一集群并单击集群名，进入集群基本信息页面。 进入“补丁管理”页面，在操作列表中单击“安装”。 进入“警告”页面，阅读补丁说明，并单击“确定”。 图1 安装补丁 请确保集群允许root登录，并且所有节点的root密码一致。 如果任务失败，选择“重试安装”，只有当“状态”显示为“已安装”时，才能进入下一步操作。 升级安装失败或者重试后仍然失败，不能直接回滚，请联系运维人员。

修改配置 MRS_3.2.0-LTS.1.6以及之后补丁，Spark支持视图表权限控制，开启方法（若之前有设置过，则跳过）：在JD BCS erver的自定义custom参数添加spark.ranger.plugin.viewaccesscontrol.enable值为true，并添加参数spark.ranger.plugin.viewaccesscontrol.enable=true到客户端目录下“Spark2x/spark/conf/spark-defaults.conf”配置文件中，重启JDB CS erver实例。 MRS_3.2.0-LTS.1.6以及之后补丁，Spark支持子查询字段不带聚合函数语法，开启方法（若之前有设置过，则跳过）：在JDBCServer的自定义custom参数添加spark.sql.legacy.correlated.scalar.query.enabled参数值为true，并添加参数spark.sql.legacy.correlated.scalar.query.enabled=true到客户端目录下“Spark2x/spark/conf/spark-defaults.conf”配置文件中，重启JDBCServer实例。

卸载补丁 登录华为云管理控制台界面，在“现有集群”列表中单击需要卸载补丁的集群名称，单击“补丁管理”页签，找到需要卸载的补丁，单击“卸载”，等待补丁卸载成功后，需要按照该章节顺序依次执行相关操作。 当“状态”显示为“卸载失败”时，在“失败任务”中查看错误提示信息，查找相应日志来定位处理。 如果任务失败，选择“重试卸载”，只有当“状态”显示为“可用”时，才能进入下一步操作。 卸载失败或者重试后仍然失败，不能直接再点安装，请联系运维人员。

什么是资源治理中心 资源治理中心（Resource Governance Center，简称RGC）服务为用户提供搭建安全、可扩展的多账号环境并持续治理的能力。 您可以通过RGC服务快速自动搭建Landing Zone基础多账号环境并纳管您现有的组织架构，实现业务快速上云。 您可以在搭建好的Landing Zone基础环境（以下简称Landing Zone）上设置控制策略，帮助您更快速便捷地满足云上合规诉求，而且通过RGC看板持续监控云上多账号环境的合规状态，管理控制策略启用情况并查看不合规资源详情。 您可以使用定义好的IaC（Infrastructure as Code）模板，快速创建账号，保证账号资源配置一致性的同时，实现新业务应用的快速部署上线。

VPC 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_EIP_UNBOUND_CHECK 弹性公网IP未进行任何绑定，视为“不合规”。 优化成本 中 vpc:::eipAssociate RGC-GR_CONFIG_VPC_FLOW_ LOG S_ENABLED 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规”。 建立日志记录和监控 中 vpc:::flowLog

RDS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP 未开启备份的rds资源，视为“不合规”。 提高韧性 中 rds:::instance RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的rds资源，视为“不合规”。 建立日志记录和监控 低 rds:::instance RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的rds资源，视为“不合规”。 建立日志记录和监控 低 rds:::instance RGC-GR_CONFIG_RDS_INSTANCE_LOGGING_ENABLED 未配备任何日志的rds资源，视为“不合规”。 建立日志记录和监控 中 rds:::instance RGC-GR_CONFIG_RDS_INSTANCE_MULTI_AZ_SUPPORT RDS实例仅支持一个可用区，视为“不合规”。 提高可用性 中 rds:::instance

GaussDB NoSQL 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_GAUSSDB_NOSQL_DEPLOY_IN_SINGLE_AZ GaussDB NoSQL部署在单个可用区中，视为“不合规” 提高可用性 中 gaussdb:::mongoInstance RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_BACKUP GaussDB NoSQL未开启备份，视为“不合规” 提高韧性 中 gaussdb:::mongoInstance RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_ERROR_LOG GaussDB NoSQL未开启错误日志，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mongoInstance RGC-GR_CONFIG_GAUSSDB_NOSQL_SUPPORT_SLOW_LOG GaussDB NoSQL不支持慢查询日志，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mongoInstance

GaussDB 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_AUDITLOG 未开启审计日志的gaussdb资源，视为“不合规”。 建立日志记录和监控 中 gaussdb:::opengaussInstance RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_BACKUP 未开启资源备份的gaussdb资源，视为“不合规”。 提高韧性 中 gaussdb:::opengaussInstance RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的gaussdb资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::opengaussInstance RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的gaussdb资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::opengaussInstance RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG 未开启审计日志的GaussDBforMySql资源，视为“不合规”。 建立日志记录和监控 中 gaussdb:::mysqlInstance RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP 未开启备份的GaussDBforMySql资源，视为“不合规”。 提高韧性 中 gaussdb:::mysqlInstance RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的GaussDBforMySql资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的GaussDBforMySql资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance

CTS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_DETECT_CTS_ENABLED_ON_SHARED_ACCOUNTS CTS追踪器未转储到LTS，视为“不合规”。 建立日志记录和监控 低 cts:::tracker RGC-GR_CONFIG_MULTI_REGION_CTS_TRACKER_EXISTS 账号未在指定region列表创建并启用CTS追踪器，视为“不合规”。 建立日志记录和监控 高 cts:::tracker

ELB 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_ELB_MULTIPLE_AZ_CHECK 检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区，视为“不合规”。 弹性负载均衡 中 elb:::loadbalancer RGC-GR_CONFIG_ELB_MEMBERS_WEIGHT_CHECK 后端服务器的权重为0，且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时，视为“不合规”。 提高可用性 低 elb:::member

CCE 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_CCE_CLUSTER_END_OF_MAINTENANCE_VERSION CCE集群版本为停止维护的版本，视为“不合规”。 管理漏洞 中 cce:::cluster RGC-GR_CONFIG_CCE_CLUSTER_OLDEST_SUPPORTED_VERSION 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规”。 管理漏洞 中 cce:::cluster

CSS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_CSS_CLUSTER_BACKUP_AVAILABLE CSS集群未启用快照，视为“不合规”。 提高韧性 中 css:::cluster RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_AZ_CHECK CSS集群没有多az容灾，视为“不合规”。 提高可用性 中 css:::cluster RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_INSTAN CES _CHECK CSS集群没有多实例容灾，视为“不合规”。 提高可用性 中 css:::cluster

DWS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_DWS_ENABLE_SNAPSHOT DWS集群未启用自动快照，视为“不合规”。 提高韧性 中 dws:::cluster RGC-GR_CONFIG_DWS_MAINTAIN_WINDOW_CHECK DWS集群运维时间窗不满足配置，视为“不合规”。 为事件响应做好准备 中 dws:::cluster RGC-GR_CONFIG_DWS_ENABLE_LOG_DUMP DWS集群未启用日志转储，视为“不合规”。 建立日志记录和监控 中 dws:::cluster

AS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_AS_CAPACITY_REBALANCING 弹性伸缩组扩缩容时，没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略，视为“不合规”。 提高可用性 中 as:::group RGC-GR_CONFIG_AS_GROUP_ELB_HEALTHCHECK_REQUIRED 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规”。 提高可用性 低 as:::group RGC-GR_CONFIG_AS_MULTIPLE_AZ 弹性伸缩组没有启用多AZ部署，视为“不合规”。 提高可用性 中 as:::group RGC-GR_CONFIG_AS_GROUP_IPV6_DISABLED 弹性伸缩组绑定IPv6共享带宽，视为“不合规”。 优化成本 低 as:::group

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 在总览页面，可以看到Landing Zone中整体情况。 在“组织单元和账号”区域，单击数字，可以查看组织单元和账号的概览。 在“已启用的控制策略”区域，单击数字，可以查看策略的概览。 在“不合规资源”区域，单击账号名称，可以查看不合规资源的详情。 针对不合规资源的情况，管理账号可以进行资源的调整。 图1 不合规资源 在“已注册组织单元”区域，单击OU名称，可以查看OU的详情。 在“已纳管账号”区域，单击账号名称，可以查看账号的详情。

控制策略类型介绍 预防性控制策略：策略主体为SCP服务控制策略，任何在策略中显性拒绝的操作都会被拦截。预防性控制策略在指定OU上生效之后，该OU所有直系子级账号均会继承该策略。 检测性控制策略：策略主体为Config合规规则，不合规的资源配置会被检测发现并反馈给用户，用户可以在资源治理中心服务控制台查看不合规的资源列表。检测性控制策略在指定OU上生效后，该OU所有直系子级账号均会根据规则要求检测不合规配置的发生。

实施类型 必选：这部分策略在开启RGC服务并设置Landing Zone后，便在核心OU和核心账号上强制自动生效，而且无法禁用。 强烈推荐：基于华为云治理最佳实践强烈推荐的合规遵从管控策略，大部分企业用户在云上治理多账号环境时大概率会涉及相关场景和服务，建议Landing Zone搭建完成之后，企业用户自主启用。 可选：企业云上治理过程中，部分企业用户可能会涉及相关控制策略，可以根据具体情况灵活选用相关策略。

VPC 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_VPC_SG_PORTS_CHECK 当安全组入方向源地址设置为0.0.0.0/0，且开放了所有的TCP/UDP端口时，视为“不合规”。 限制网络访问 高 networking:::secgroup RGC-GR_CONFIG_VPC_ACL_UNUSED_CHECK 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规”。 保护配置 低 vpc:::networkAcl RGC-GR_CONFIG_VPC_DEFAULT_SG_CLOSED 虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规”。 限制网络访问 高 networking:::secgroup RGC-GR_CONFIG_VPC_SG_RESTRICTED_SSH 当安全组入方向源地址设置为0.0.0.0/0，且开放TCP 22端口，视为“不合规”。 限制网络访问 高 networking:::secgroup RGC-GR_CONFIG_VPC_SG_ATTACHED_PORTS 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口（ports），视为“不合规” 限制网络访问 中 vpc:::eip

WAF 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_WAF_INSTANCE_POLICY_NOT_EMPTY WAF防护 域名 未配置防护策略，视为“不合规”。 限制网络访问 中 waf:::cloudInstance RGC-GR_CONFIG_WAF_POLICY_NOT_EMPTY WAF防护策略未配置防护规则，视为“不合规”。 限制网络访问 中 waf:::policy

PCA 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_PCA_CERTIFICATE_AUTHORITY_EXPIRATION_CHECK 私有CA在指定时间内过期，视为“不合规”。 加密传输中的数据 中 ccm:::privateCertificate RGC-GR_CONFIG_PCA_CERTIFICATE_EXPIRATION_CHECK 私有证书在指定时间内到期，视为“不合规”。 加密传输中的数据 中 ccm:::privateCertificate

IAM 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_IAM_ROOT_ACCESS_KEY_CHECK 账号存在可使用的访问密钥，视为“不合规”。 强制执行最低权限 严重 identity:::accessKey RGC-GR_CONFIG_ROOT_ACCOUNT_MFA_ENABLED 根账号未开启MFA认证，视为“不合规”。 强制执行最低权限 高 identity:::acl RGC-GR_CONFIG_IAM_GROUP_HAS_USERS_CHECK IAM用户组未添加任意IAM用户，视为“不合规”。 强制执行最低权限 中 identity:::group RGC-GR_CONFIG_IAM_USER_ACCESS_MODE IAM用户同时开启控制台访问和API访问，视为“不合规”。 强制执行最低权限 中 identity:::user RGC-GR_CONFIG_IAM_USER_CONSOLE_AND_API_ACCESS_AT_CREATION 对于从console侧访问的IAM用户，其创建时设置访问密钥，视为“不合规”。 管理机密 中 identity:::user RGC-GR_CONFIG_IAM_USER_SINGLE_ACCESS_KEY IAM用户拥有多个处于“active”状态的访问密钥，视为“不合规”。 管理机密 高 identity:::user RGC-GR_CONFIG_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS 通过console密码登录的IAM用户未开启MFA认证，视为“不合规”。 强制执行最低权限 中 identity:::user RGC-GR_CONFIG_IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS IAM策略admin权限(*:*:*或*:*或*)，视为“不合规”。 强制执行最低权限 高 identity:::protectionPolicy RGC-GR_CONFIG_IAM_ROLE_HAS_ALL_PERMISSIONS IAM自定义策略具有allow的*:*权限，视为“不合规”。 强制执行最低权限 低 identity:::role RGC-GR_CONFIG_IAM_USER_MFA_ENABLED IAM用户未开启MFA认证，视为“不合规”。 强制执行最低权限 中 identity:::user RGC-GR_CONFIG_ACCESS_KEYS_ROTATED IAM用户的访问密钥未在指定天数内轮转，视为“不合规”。 强制执行最低权限 高 identity:::accessKey RGC-GR_CONFIG_IAM_PASSWORD_POLICY IAM用户密码强度不满足密码强度要求，视为“不合规”。 使用强身份验证 高 identity:::user RGC-GR_CONFIG_IAM_USER_LAST_LOGIN_CHECK IAM用户在指定时间范围内无登录行为，视为“不合规”。 强制执行最低权限 低 identity:::user RGC-GR_CONFIG_IAM_POLICY_IN_USE IAM策略未附加到IAM用户、用户组或委托，视为“不合规”。 强制执行最低权限 低 identity:::protectionPolicy RGC-GR_CONFIG_IAM_ROLE_IN_USE IAM权限未附加到IAM用户、用户组或委托，视为“不合规”。 强制执行最低权限 低 identity:::role RGC-GR_CONFIG_IAM_USER_LOGIN_PROTECTION_ENABLED IAM用户未开启登录保护，视为“不合规”。 使用强力身份验证 中 identity:::user

ELB 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_ELB_LOADBALANCERS_NO_PUBLIC_IP ELB资源具有公网IP，视为“不合规”。 限制网络访问 中 elb:::loadBalancer RGC-GR_CONFIG_ELB_TLS_HTTPS_LISTENERS_ONLY 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规”。 加密传输中的数据 中 elb:::listener RGC-GR_CONFIG_ELB_PREDEFINED_SECURITY_POLICY_HTTPS_CHECK 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规”。 限制网络访问 中 elb:::loadBalancer RGC-GR_CONFIG_ELB_HTTP_TO_HTTPS_REDIRECTION_CHECK 检查HTTP监听器是否配置了向HTTPS监听器的重定向，如果未配置，视为“不合规”。 限制网络访问 中 elb:::listener

MRS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_MRS_CLUSTER_KERBEROS_ENABLED MRS集群未开启kerberos认证，视为“不合规”。 使用强身份验证 中 mrs:::cluster RGC-GR_CONFIG_MRS_CLUSTER_NO_PUBLIC_IP MRS集群绑定公网IP，视为“不合规”。 限制网络访问 中 mrs:::cluster

DRS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_DRS_DATA_GUARD_JOB_NOT_PUBLIC 数据复制服务 实时灾备任务使用公网网络，视为“不合规”。 限制网络访问 高 drs:::job RGC-GR_CONFIG_DRS_MIGRATION_JOB_NOT_PUBLIC 数据复制服务实时迁移任务使用公网网络，视为“不合规”。 限制网络访问 高 drs:::job RGC-GR_CONFIG_DRS_SYNCHRONIZATION_JOB_NOT_PUBLIC 数据复制服务实时同步任务使用公网网络，视为“不合规”。 限制网络访问 高 drs:::job

DWS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_DWS_ENABLE_KMS DWS集群未启用KMS加密，视为“不合规”。 加密静态数据 中 dws:::cluster RGC-GR_CONFIG_DWS_ENABLE_SSL DWS集群未启用SSL加密连接，视为“不合规”。 加密传输中的数据 中 dws:::cluster RGC-GR_CONFIG_DWS_CLUSTERS_NO_PUBLIC_IP DWS集群绑定公网IP，视为“不合规”。 限制网络访问 高 dws:::cluster

DCS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_DCS_MEMCACHED_ENABLE_SSL dcs memcached资源可以公网访问，但不支持SSL时，视为“不合规”。 加密传输中的数据 高 dcs:::instance RGC-GR_CONFIG_DCS_MEMCACHED_NO_PUBLIC_IP dcs memcached资源存在公网IP，视为“不合规”。 限制网络访问 高 dcs:::instance RGC-GR_CONFIG_DCS_MEMCACHED_PASSWORD_ACCESS dcs memcached资源不需要密码访问，视为“不合规”。 使用强身份验证 中 dcs:::instance RGC-GR_CONFIG_DCS_REDIS_ENABLE_SSL dcs redis资源可以公网访问，但不支持SSL时，视为“不合规”。 限制网络访问 高 dcs:::instance RGC-GR_CONFIG_DCS_REDIS_HIGH_TOLERANCE dcs redis资源不是高可用时，视为“不合规”。 提高可用性 低 dcs:::instance RGC-GR_CONFIG_DCS_REDIS_NO_PUBLIC_IP dcs redis资源存在公网IP，视为“不合规”。 限制网络访问 高 dcs:::instance RGC-GR_CONFIG_DCS_REDIS_PASSWORD_ACCESS dcs redis资源不需要密码访问，视为“不合规”。 使用强身份验证 中 dcs:::instance

DMS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PRIVATE_SSL DMS kafkas队列未打开内网SSL加密访问，视为“不合规”。 加密传输中的数据 中 dms:::kafkaInstance RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PUBLIC_SSL DMS kafkas队列未打开公网SSL加密访问，视为“不合规”。 加密传输中的数据 中 dms:::kafkaInstance RGC-GR_CONFIG_DMS_KAFKA_PUBLIC_ACCESS_ENABLED_CHECK DMS kafkas队列开启公网访问，视为“不合规”。 限制网络访问 高 dms:::kafkaIZnstance RGC-GR_CONFIG_DMS_RABBITMQ_NOT_ENABLE_SSL DMS rabbitmqs队列未打开SSL加密访问，视为“不合规”。 加密静态数据 高 dms:::rabbitmqInstance RGC-GR_CONFIG_DMS_ROCKETMQ_NOT_ENABLE_SSL DMS reliabilitys队列未打开SSL加密访问，视为“不合规”。 加密静态数据 高 dms:::rocketmqInstance

ECS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_ECS_INSTANCE_KEY_PAIR_LOGIN ECS未配置密钥对，视为“不合规”。 限制网络访问 高 ecs:::instanceV1 RGC-GR_CONFIG_ECS_INSTANCE_NO_PUBLIC_IP ECS资源具有公网IP，视为“不合规”。 限制网络访问 中 compute:::instance RGC-GR_CONFIG_ECS_MULTIPLE_PUBLIC_IP_CHECK ECS资源具有多个公网IP，视为“不合规”。 限制网络访问 低 compute:::instance RGC-GR_CONFIG_ECS_INSTANCE_AGENCY_ATTACH_IAM_AGENCY ECS实例未附加IAM委托，视为“不合规”。 强制执行最低权限 低 ecs:::instanceV1