华为云用户手册

CDN加速 OBS文件方案 华为云CDN可以有效加速网站，为用户提供良好的体验，而OBS桶提供海量文件存储。将数据存放在OBS桶中然后通过配置CDN加速，这样构造的业务系统可以在降低成本的同时，提高终端用户使用感受。当终端用户发起访问请求时，会首先通过CDN查找对此 域名 响应速度较快的CDN节点，并查询此节点是否有缓存终端用户请求的内容。如果CDN节点有缓存用户所需资源，直接将资源返回给用户；如果CDN节点无缓存，则回源请求资源返回给用户，同时将资源缓存到CDN节点。

KMS加密文件配置 CDN默认无法读取OBS桶中的加密文件，如果您的OBS桶存在此类文件，建议您慎重开启CDN加速，避免加密对象泄露。如果您因业务需求，需要加速OBS桶中的KMS加密文件，请注意： 如果您的OBS桶是公有桶，CDN将无法读取桶中的KMS加密文件，从而导致回源失败，用户无法访问到加密文件。 解决方案：将公有桶中的加密文件转移到私有桶中，再接入CDN加速。 如果您的OBS桶是私有桶，需要为“CDNAccessPrivateOBS”委托配置“KMS Administrator”权限。如此，CDN才能读取OBS私有桶中的KMS加密文件并加速，配置过程详见OBS委托授权。

背景介绍 现在越来越多的行业使用OBS桶存储图片、视频、软件包等静态资源文件，并将OBS桶作为网站、论坛、APP、游戏等业务的存储源。在需要获取这些静态资源时，用户通过URL直接从OBS桶请求数据。OBS桶能够很好的解决本地存储不够用的难题，但一般情况下文件只存储在一个区域，不同区域的用户访问OBS桶的响应速度存在差异。在需要频繁访问的场景下，直接访问OBS桶来获取相应文件，还会消耗大量的流量费用。

适用场景 通过OBS桶提供文件下载业务的应用或服务。例如：通过HTTP/HTTPS提供文件下载业务的网站、工具下载、游戏客户端、APP商店等。 通过OBS桶提供音 视频点播 业务的应用或服务。例如：在线教育类网站、在线视频分享网站、互联网电视点播平台、音乐视频点播APP等。 通过OBS桶提供图片素材等的网站。例如：包括门户网站、电商平台、资讯APP、UGC应用（User Generated Content，用户原创内容）等

约束与限制 只有版本号为3.0及以上的桶支持此方案。桶版本号可以在OBS控制台上，进入桶概览页面后，在“基本信息”中查看。 当OBS配置了镜像回源且CDN侧开启Range回源时，如果镜像源站未遵循RFC Range Requests标准，对range请求响应非206 ，CDN会回源失败。如需支持该场景，请提工单申请。 当CDN源站类型为“OBS桶域名”且接入的是OBS私有桶时，不支持文件上传操作。如果您需要通过CDN将文件上传到OBS私有桶，需要以“源站域名”的形式将OBS私有桶接入CDN，同时，客户端携带鉴权请求头上传文件。 OBS私有桶以源站域名接入CDN后，因CDN无私有桶上传权限，此时客户端无法正常访问加速域名。使用GET/HEAD等方式通过此加速域名请求资源时，也需携带鉴权请求头。

操作步骤 单击主菜单的“可视化”，默认进入“运营大屏”页面。 大屏详细说明可参见表1。 选择进入需要查看的大屏。 单击“导出”按钮可将大屏的数据导出至本地查看。 表1 可视化运营大屏 大屏名称 说明 资源总览 大屏展示了硬件资源和常用云资源的数量、云资源总览、物理资源使用率、云资源配额统计、云资源使用趋势、虚拟资源分配率、虚拟资源分配额统计和虚拟资源使用率等内容，帮助用户更加清晰直观的了解资源的使用情况。 单击大屏右上角下拉框选择时间范围，用于指定物理资源使用率、云资源使用趋势、虚拟资源使用率展示的时间范围。 计算节点资源明细大屏和存储节点资源明细大屏属于资源总览的下钻大屏，相关数据内容可参见资源总览的数据内容，各展示项说明见表 资源总览。 硬件资源 大屏展示了硬件资源数量、运行状态、告警状态等，帮助用户实时掌握资源的运行情况，及时调整资源的分配，提高资源使用率以及避免可能的风险。 各展示项说明见表 硬件资源。 硬件告警 大屏展示了硬件资源近一个月的告警总量、告警总体状态、硬件告警统计、近一个月告警增长趋势和未清除的告警列表，帮助用户了解告警的整体现状，提高告警运营质量。 各展示项说明见表 硬件告警总览。 云服务状态 大屏展示云服务总体状态及各区域所有云服务的告警状态大盘，帮助用户掌握云服务的整体状态，快速识别出处于高危、隐患等状态的云服务分布，提高运营效率。 各展示项说明见表 云服务状态。 说明： 云服务状态说明如下： 高危：已部署的云服务存在未处理的紧急告警，则状态为高危。 隐患：已部署的云服务没有未处理的紧急告警，但存在未处理的重要告警，则状态为隐患。 健康：已部署的云服务即没有未处理的紧急告警，也没有未处理的重要告警，则状态为健康。 未部署：云服务未部署。 租户维度资源大屏 大屏展示各个云资源数量总计，从租户维度统计租户云列表、云资源变化趋势，并展示租户维度资源使用列表，帮助用户从租户维度全面掌握资源的分配和使用情况。 各展示项说明见表 租户维度资源大屏。 审计日志 大屏按风险级别对操作动作进行统计，并详细展示了操作人员在具体时间点对服务器、存储、网络设备等资源进行的操作，以审计日志报告的形式展现，方便用户查看。可在大屏右上角选择需要统计的时间范围。 各展示项说明见表 审计日志。 H CS O云服务资源容量明细 大屏展示HCSO云服务中各服务资源类型统计，并将分别以物理和逻辑维度展示总量、分配量、可用量的资源使用趋势。自助按虚拟机规格查询资源池的分配量、使用量等并支持导出。 各展示项说明见表 HCSO云服务资源容量明细。 表2 资源总览 展示项 说明 硬件资源 统计硬件资源数量。 常用云资源 统计ECS统计发放的虚拟机个数，EVS发放的磁盘个数，及其他常用云服务统计管理区和租户区已发放的资源。 单击EVS右侧的“详情”链接，可查看租户区和管理区存储节点资源容量明细。 云资源总览 统计ECS统计发放的虚拟机个数，EVS发放的磁盘个数，及其他云服务统计管理区和租户区已发放的资源。 物理资源使用率 展示所选时间范围内每日CPU和内存的平均使用率。 单击物理资源使用率右侧的“详情”链接，可查看租户区和管理区计算节点资源容量明细。 云资源配额统计 统计云资源的分配量与总量（只统计租户区）。 云资源使用趋势 展示所选时间范围内每日云资源分配率的变化趋势（只统计租户区）。 虚拟资源分配率 统计虚拟资源（vCPU、内存、磁盘）的分配率（租户区和管理区均统计在内）。 虚拟资源分配额统计 统计虚拟资源（vCPU、内存、磁盘）的分配量与总量（租户区和管理区均统计在内）。 虚拟资源使用率 展示所选时间范围内每日虚拟资源（vCPU、内存、磁盘）的使用率（租户区和管理区均统计在内）。 计算节点资源明细大屏 展示ECS资源各维度（AZ、Cluster、资源类型）的资源容量明细，包括vCPU、内存、vGPU等指标（租户区和管理区均统计在内）。 存储节点资源明细大屏 展示EVS资源各维度（AZ、资源类型）的资源容量明细，包括普通IO、高IO、超高IO等磁盘类型（租户区和管理区均统计在内）。 表3 硬件资源 展示项 说明 服务器 展示服务器数量和服务器名称、告警状态、运行状态、管理IP等信息。 交换机 展示交换机数量和交换机名称、告警状态、运行状态、管理IP等信息。 路由器 展示路由器数量和路由器名称、告警状态、运行状态、管理IP等信息。 防火墙 展示防火墙数量和防火墙名称、告警状态、运行状态、管理IP等信息。 安全设备 展示安全设备数量和安全设备名称、告警状态、运行状态、管理IP等信息。 表4 租户维度资源大屏 展示项 说明 租户云资源TOP10 按租户维度统计各个云资源的资源数，以资源数TOP10排序。 租户云资源使用趋势统计 按云资源维度统计每天资源数量变化趋势。 清单详情 各个云资源数量统计。 详情列表 云资源的详情列表，展示资源的常见信息。 表5 硬件告警总览 展示项 说明 告警总量 统计近一个月的历史告警（即已清除告警）和活动告警（即未清除告警），及各个级别的告警数量（包括已清除告警和未清除告警）。 告警总体状态 统计近一个月已清除告警的数量及占告警总数的比例，未清除告警的数量及占告警总数的比例。 硬件告警统计 分别统计近一个月网络设备（包含交换机、路由器、防火墙等）和物理主机的告警数量（包括已清除告警和未清除告警）。 近一个月告警增长趋势 统计近一个月各级别告警数量（包括已清除告警和未清除告警）的趋势。 当前告警 展示近一个月未清除告警的告警名称、级别、设备ID、开始发生时间、最后一次发生时间等信息。单击告警名称可查看告警详细信息。 历史告警 展示近一个月的历史告警（即已清除告警）和活动告警（即未清除告警）的告警名称、级别、设备ID、开始发生时间、最后一次发生时间等信息。单击告警名称可查看告警详细信息。 表6 审计日志 展示项 说明 风险级别统计 根据风险级别（紧急、重要、次要、提示）对操作动作进行汇总统计。 操作日志列表 轮播展示操作日志列表，显示操作名称、风险级别、操作人等信息。支持通过日志列表的操作名称、region匹配关键字搜索。 表7 云服务状态 展示项 说明 状态分布 统计处于高危、隐患、健康、未部署状态的云服务数量。 告警状态大盘 展示各区域内各云服务的状态及告警数量。 区域数量少于5个时，横向显示所有区域，区域下方一个方格代表该区域的一个云服务，已部署的云服务方格内显示当前未处理的紧急和重要告警数量。 区域数量是5个或5个以上时，告警状态大盘显示成一个二维表格，表头横向是各区域，纵向是各云服务。已部署的云服务，鼠标悬停到单元格上时显示对应区域对应云服务当前未处理的紧急和重要告警数量。 表8 HCSO云服务资源容量明细 展示项 说明 资源类型统计列表 展示常用基础云服务的容量视图情况。包含以下云服务：OBS、BMS、SFS、RDS、DeH、EIP、VPN。 资源使用趋势 展示不同云服务下的资源变化趋势。可在右上方选择时间维度，支持以“最近一周”、“最近一月”、“最近三月”进行查询。

规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-no-public-ip-check 规则展示名 GaussDB (for MySQL)实例EIP检查 规则描述 GaussDB(for MySQL)实例如绑定EIP，视为“不合规”。 标签 gaussdbformysql 规则触发方式 配置变更 规则评估的资源类型 gaussdbformysql.instance 规则参数 无

操作场景 如果您是组织管理员或Config服务的委托管理员，您可以添加组织类型的合规规则包，直接作用于您组织内账号状态为“正常”的成员账号中。 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行，组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 组织合规规则包创建完成后，所部署的规则默认会执行一次评估，后续将根据规则的触发机制自动触发评估，也可以在资源合规规则列表中手动触发单个合规规则的评估。

数据传输加密最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书，则视为“不合规” cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS，视为“不合规” cdn-origin-protocol-no-http CDN回源方式使用HTTPS cdn CDN回源方式未使用HTTPS，视为“不合规” css-cluster-https-required CSS 集群启用HTTPS css CSS集群未启用https，视为“不合规” css-cluster-security-mode-enable CSS集群支持安全模式 css CSS集群不支持安全模式，视为“不合规” dcs-memcached-enable-ssl DCS Memcached资源支持SSL dcs dcs memcached资源可以公网访问，但不支持SSL时，视为“不合规” dcs-redis-enable-ssl DCS Redis实例支持SSL dcs dcs redis资源可以公网访问，但不支持SSL时，视为“不合规” dds-instance-enable-ssl DDS实例开启SSL dds DDS实例未开启SSL，视为“不合规” dms-kafka-not-enable-private-ssl DMS Kafka队列打开内网SSL加密访问 dms DMS kafkas队列未打开内网SSL加密访问，视为“不合规” dms-kafka-not-enable-public-ssl DMS Kafka队列打开公网SSL加密访问 dms DMS kafkas队列未打开公网SSL加密访问，视为“不合规” dms-rabbitmq-not-enable-ssl DMS RabbitMq队列打开SSL加密访问 dms DMS rabbitmqs队列未打开SSL加密访问，视为“不合规” dms-rocketmq-not-enable-ssl DMS RockctMQ打开SSL加密访问 dms DMS RockctMQ未打开SSL加密访问，视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接，视为“不合规” elb-http-to-https-redirection-check 监听器资源HTTPS重定向检查 elb 检查HTTP监听器是否配置了向HTTPS监听器的重定向，如果未配置，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” gaussdb-instance-ssl-enable GaussDB实例开启传输 数据加密 gaussdb gaussdb实例未启用SSL数据传输加密，视为“不合规” gaussdb-mysql-instance-ssl-enable gaussdbforMySql实例开启传输数据加密 gaussdbformysql gaussdb(for MySQL)实例未启用SSL数据传输加密，视为“不合规” obs-bucket-ssl-requests-only OBS桶策略授权行为使用SSL加密 obs OBS桶策略授权了无需SSL加密的行为，视为“不合规” rds-instance-ssl-enable RDS实例启用SSL加密通讯 rds RDS实例未启用SSL加密通讯，视为“不合规” 父主题： 合规规则包示例模板

操作场景 当您通过系统预设策略或自定义策略创建合规规则后，您可以为合规规则创建修正配置，按照您自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 合规规则的修正配置功能基于 RFS 服务的私有模板或FunctionGraph的函数进行资源修正，因此您需要预先创建RFS服务的私有模板或FunctionGraph的函数。本章节包含如下内容： 创建RFS私有模板 创建FunctionGraph函数 创建修正配置

创建修正配置 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的合规规则列表中，单击合规规则的规则名称，进入规则详情页。 图2 进入规则详情页 在左上方选择“修正管理”页签。 单击界面中部或右上方的“修正配置”按钮，进入修正配置信息页面。 图3 创建修正配置 选择修正方法。 自动修正：当合规规则评估出不合规资源后，将自动对不合规资源执行修正操作。 手动修正：由用户手动选择执行不合规资源的修正操作。具体请参见手动执行修正。 由于自动修正会根据您的预设参数自动修改不合规资源的配置信息，可能会影响业务的连续性，因此推荐您使用手动修正方式。 当您确保本次修正不会对业务造成影响时，可以选择修正方法为自动修正，当合规规则检测到不合规资源时，会自动执行修正。 配置修正执行的重试时间和重试次数。 当不合规资源在执行修正后仍不合规时，“自动修正”方式会循环执行修正，或您自行多次手动执行修正，这将可能产生不必要的费用和影响业务连续性。 为避免循环执行修正产生的影响，您必须设置修正执行的重试时间和重试次数，Config会检测单个资源在该重试时间内执行的修正次数，若达到设置的重试次数，该资源会自动被设置为修正例外，后续执行规则修正时将不会再对此资源进行修正。 重试时间默认为3600秒，输入值需在60到43200之间。 重试次数默认为5次，输入值需在1到25之间。 选择修正模板。 RFS模板：选择 资源编排 服务（RFS）的私有模板作为修正操作的模板，模板中定义不合规资源的具体修正逻辑。 IAM 权限委托：当选择RFS模板且修正方法为“自动修正”时需指定IAM权限委托，该委托为云服务委托，用于授予RFS服务部署资源栈执行资源配置修改时所需的权限，授权的云服务为RFS，委托权限为RFS模板中调用其他服务所需的权限，如何创建委托请参见委托其他云服务管理资源。若委托的权限不足或配置错误，会导致修正失败，您可以自行创建资源栈验证委托可用性，具体请参见创建资源栈。 RFS修正模板目前仅默认支持使用北京四（cn-north-4）区域的私有模板。 FGS模板：选择 函数工作流 （FunctionGraph）的函数实例作为修正操作的模板，函数中定义不合规资源的具体修正逻辑。 图4 修正配置信息 配置资源ID参数。 资源ID参数：指定不合规资源ID的变量名，需要与修正模板中定义的获取资源ID的变量名一致。执行修正时Config会将该变量赋值为要修正的不合规资源的具体ID值，并将其传递给修正模板获取资源ID。例如在FGS函数中使用resource_id=event.get("noncompliant_resource_id", {})语句获取不合规资源ID，则此处的资源ID参数也需配置为“noncompliant_resource_id”，执行修正时不合规资源的ID将通过变量“noncompliant_resource_id”传递给FSG函数，每个不合规资源均会传递一次资源ID用于修正模板执行修正。 参数：指定您期望由Config传递给修正模板的静态参数，最多可以添加50个参数。该参数为不合规资源修正的具体规则参数值，例如执行修正为不合规的VPC资源创建流日志时，在FGS函数中使用log_group_id=event.get("log_group_id", {})语句获取日志组ID，则此处参数配置日志组的ID（键：log_group_id；值：具体日志组ID值），执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。 图5 资源ID参数 配置完成后，单击页面右下角的“保存”。 当合规规则的修正方式选择“自动修正”时，您必须重新触发规则评估以更新评估结果，然后才会自动对不合规资源执行修正。

规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-ssl-enable 规则展示名 GaussDB(for MySQL)实例开启传输数据加密 规则描述 GaussDB(for MySQL)实例未启用SSL数据传输加密，视为“不合规”。 标签 gaussdbformysql 规则触发方式 配置变更 规则评估的资源类型 gaussdbformysql.instance 规则参数 无

示例模板概述 配置审计 服务提供合规规则包的示例模板，帮助用户通过示例模板快速创建合规规则包，每个合规规则包的示例模板中包含都多个合规规则，也就是配置审计服务的预设策略，每个预设策略的具体说明请参见系统内置预设策略。您可以通过列举预定义合规规则包模板接口查看所有的合规规则包示例模板。 配置审计服务控制台当前提供如下合规规则包的示例模板： 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于 统一身份认证 服务（IAM）的最佳实践 适用于 云监控服务 （ CES ）的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器（ECS）的最佳实践 适用于弹性负载均衡（ELB）的最佳实践 适用于管理与监管服务的最佳实践 适用于云数据库（RDS）的最佳实践 适用于弹性伸缩（AS）的最佳实践 适用于 云审计 服务（ CTS ）的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包 适用于SWIFT CSP的标准合规包 适用于德国云计算合规标准目录的标准合规包 适用于PCI-DSS的标准合规包 适用于医疗行业的合规实践 网络及数据安全最佳实践 适用于Landing Zone基础场景的最佳实践 架构安全支柱运营最佳实践 网络和内容交付服务运营最佳实践 适用于空闲资产管理的最佳实践 多可用区架构最佳实践 资源稳定性最佳实践 适用于API网关（APIG）的最佳实践 适用于云容器引擎（CCE）的最佳实践 适用于内容分发网络（CDN）的最佳实践 适用于函数工作流（FunctionGraph）的最佳实践 适用于云数据库（GaussDB）的最佳实践 适用于云数据库（GeminiDB）的最佳实践 适用于 MapReduce服务 （ MRS ）的最佳实践 NIST审计标准最佳实践 新加坡金融行业的最佳实践 安全身份和合规性运营最佳实践 华为 云安全 配置基线指南的标准合规包（level 1） 华为云安全配置基线指南的标准合规包（level 2） 静态数据加密最佳实践 数据传输加密最佳实践 适用于云备份（CBR）的最佳实践 适用于 云搜索服务 （CSS）的最佳实践 适用于分布式缓存服务（DCS）的最佳实践 适用于分布式消息服务（DMS）的最佳实践 适用于 数据仓库 服务（DWS）的最佳实践 适用于云数据库（GaussDB(for MySQL)）的最佳实践 适用于 对象存储服务 （OBS）的最佳实践 适用于VPC安全组的最佳实践 适用于 Web应用防火墙 （WAF）的最佳实践 父主题： 合规规则包示例模板

规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-enable-backup 规则展示名 GaussDB(for MySQL)实例开启备份 规则描述 未开启备份的GaussDB(for MySQL)实例，视为“不合规”。 标签 gaussdbformysql 规则触发方式 配置变更 规则评估的资源类型 gaussdbformysql.instance 规则参数 无

约束与限制 开启并配置资源记录器时，“主题”和“资源转储”至少需要配置一个。其中主题是可选配置的，但如果您先配置了 SMN 主题，则也可以不配置资源转储（OBS桶）。 在配置资源记录器时，配置了“主题”，但只创建了SMN主题，未添加订阅以及执行请求订阅，在资源发生变更时，将无法收到 消息通知 。具体请参见创建主题、添加订阅和请求订阅。 未在资源记录器监控范围内勾选的资源，不会更新资源的最新数据。 资源记录器收集到的资源配置信息数据默认保留7年（2557天）。 已对接Config的服务的资源数据同步到Config存在延迟，不同服务的延迟时间并不相同。对于已开启资源记录器且在监控范围内的资源，Config会在24小时内校正资源数据。如未开启资源记录器，或相关资源不在资源记录器配置的监控范围内，则Config不会校正这些资源的数据。 Config服务的相关功能均依赖于资源记录器收集的资源数据，不开启资源记录器将会影响其他功能的正常使用，例如资源清单页面无法获取资源最新数据、合规规则无法创建、修改、启用和触发规则评估、资源聚合器无法聚合源账号的资源数据等，因此强烈建议您保持资源记录器的开启状态。

概述 资源记录器为您提供面向资源的配置记录监控能力，帮您轻松实现海量资源的自主监管，用来跟踪您在云平台上且Config支持的云服务资源变更情况。 资源记录器可以为您提供以下功能： 当您开启并配置消息通知SMN主题后，在资源被创建、修改或删除时发送通知给您； 当您开启并配置消息通知SMN主题后，在Config支持的资源关系发生变更时发送通知； 当您开启并配置资源转储OBS桶和消息通知SMN主题后，对资源变更消息进行定期（6小时）存储； 当您开启并配置资源转储OBS桶后，对资源快照进行定期（24小时）存储。 资源记录器支持监控的资源请参阅支持的服务和区域。

评估由配置变更触发的示例函数 Config服务检测到自定义合规规则范围内的资源发生更改时，会调用函数的示例如下： import time import http.client from huaweicloudsdkcore.auth.credentials import GlobalCredentials from huaweicloudsdkcore.exceptions.exceptions import ConnectionException from huaweicloudsdkcore.exceptions.exceptions import RequestTimeoutException from huaweicloudsdkcore.exceptions.exceptions import ServiceResponseException from huaweicloudsdkconfig.v1.region.config_region import ConfigRegion from huaweicloudsdkconfig.v1.config_client import ConfigClient from huaweicloudsdkconfig.v1 import PolicyResource, PolicyStateRequestBody from huaweicloudsdkconfig.v1 import UpdatePolicyStateRequest ''' 合规规则评估逻辑: 返回“Compliant” 或 “NonCompliant” 本示例中, 当资源类型为ecs.cloudservers, 且该ecs的vpcId字段不是合规规则参数所指定的vpcId时, 会返回不合规, 否则返回合规。 ''' def evaluate_compliance(resource, parameter): if resource.get("provider") != "ecs" or resource.get("type") != "cloudservers": return "Compliant" vpc_id = resource.get("properties", {}).get("metadata", {}).get("vpcId") return "Compliant" if vpc_id == parameter.get("vpcId").get("value") else "NonCompliant" def update_policy_state(context, domain_id, evaluation): auth = GlobalCredentials( ak=context.getSecurityAccessKey(), sk=context.getSecuritySecretKey(), domain_id=domain_id ).with_security_token(context.getSecurityToken()) client = ConfigClient.new_builder() \ .with_credentials(credentials=auth) \ .with_region(region=ConfigRegion.value_of(region_id="cn-north-4")) \ .build() try: response = client.update_policy_state(evaluation) return 200 except ConnectionException as e: print("A connect timeout exception occurs while the Config performs some operations, exception: ", e.error_msg) return e.status_code except RequestTimeoutException as e: print("A request timeout exception occurs while the Config performs some operations, exception: ", e.error_msg) return e.status_code except ServiceResponseException as e: print("There is service error, exception: ", e.status_code, e.error_msg) return e.status_code def handler(event, context): domain_id = event.get("domain_id") resource = event.get("invoking_event", {}) parameters = event.get("rule_parameter") compliance_state = evaluate_compliance(resource, parameters) request_body = UpdatePolicyStateRequest(PolicyStateRequestBody( policy_resource = PolicyResource( resource_id = resource.get("id"), resource_name = resource.get("name"), resource_provider = resource.get("provider"), resource_type = resource.get("type"), region_id = resource.get("region_id"), domain_id = domain_id ), trigger_type = event.get("trigger_type"), compliance_state = compliance_state, policy_assignment_id = event.get("policy_assignment_id"), policy_assignment_name = event.get("policy_assignment_name"), evaluation_time = event.get("evaluation_time"), evaluation_hash = event.get("evaluation_hash") )) for retry in range(5): status_code = update_policy_state(context, domain_id, request_body) if status_code == http.client.TOO_MANY_REQUESTS: print("TOO_MANY_REQUESTS: retry again") time.sleep(1) elif status_code == http.client.OK: print("Update policyState successfully.") break else: print("Failed to update policyState.") break

新建自定义查询 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“高级查询”，进入“高级查询”页面。 选择“自定义查询”页签，单击页面右上角的“新建查询”。 图1 新建查询 在“查询编辑器”的输入框中输入查询语句。 页面左侧为高级查询使用的Schema信息，也就是查询语句中properties参数需要填写的内容，为各个云服务资源类型的详细属性。查询语句的配置样例请参见高级查询配置样例。 单击“保存查询”，输入查询名称和描述。 查询名称仅支持输入数字、英文字母、下划线和中划线，最大长度64个字符。 单击“确定”，保存成功。 图2 保存查询 如果自定义查询达到限额时，您将无法单击“保存查询”，同时页面右上方提示“您创建的查询已达到上限，请删除暂不需要使用的查询”。但此时您依然可以单击“运行”，直接运行查询并查看和导出查询结果。 单击“运行”，查看查询结果。目前只支持展示和导出前4000条查询结果。 单击“导出”，选择要导出的文件格式（CSV格式或JSON格式），导出查询结果。

基于预设查询创建自定义查询 您可以修改预设查询或已有自定义查询的名称、描述和查询语句，“另存为”后产生新的查询，此处以另存预设查询为例进行说明。 进入“高级查询”页面，选择“预设查询”页签。 “高级查询”页面默认展示预设查询列表。 单击目标查询操作列的“使用查询”，进入“使用查询”页面。 也可以单击查询名称，进入查询概览页，再单击查询概览页右下方的“使用查询”，进入“使用查询”页面。 图3 使用预设查询 在“查询编辑器”的输入框中修改查询语句。 详细请参见高级查询配置样例。 单击“另存为”，配置查询名称和描述。 在弹框中，单击“确定”。 通过另存预设查询操作产生的新查询，将更新在自定义查询列表中。 图4 另存预设查询

默认规则 此表中的建议项编号对应华为云安全配置基线指南文档的章节编号，供您查阅参考。 表1 华为云安全配置基线指南的标准合规包（level 2）默认规则说明 建议项编号 建议项说明 合规规则 规则中文名称 涉及云服务 规则描述 C.CS.FOUNDATION.G_1.R_3 确保不创建管理员权限的 IAM 用户 iam-user-check-non-admin-group IAM用户admin权限检查 iam 根用户以外的IAM用户加入admin用户组，视为“不合规” C.CS.FOUNDATION.G_1.R_9 启用用户登录保护 iam-user-login-protection-enabled IAM用户开启登录保护 iam IAM用户未开启登录保护，视为“不合规” C.CS.FOUNDATION.G_1.R_12 设置初始 IAM 用户时，避免对具有控制台密码的用户设置访问密钥 iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从console侧访问的IAM用户，其创建时设置访问密钥，视为“不合规” C.CS.FOUNDATION.G_1.R_13 确保任何单个 IAM 用户仅有一个可用的活动访问密钥 iam-user-single-access-key IAM用户单访问密钥 iam IAM用户拥有多个处于“active”状态的访问密钥，视为“不合规” C.CS.FOUNDATION.G_2.R_5 启用 VPC 流量日志功能 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” C.CS.FOUNDATION.G_2.R_11 启用 FuctionGraph 函数日志功能 function-graph-logging-enabled 函数工作流的函数启用日志配置 fgs 函数工作流的函数未启用日志配置，视为“不合规” C.CS.FOUNDATION.G_2.R_16 开启日志文件加密存储 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” C.CS.FOUNDATION.G_3_1.R_1 使用密钥对安全登录 ECS ecs-instance-key-pair-login ECS资源配置密钥对 ecs ECS未配置密钥对，视为“不合规” C.CS.FOUNDATION.G_3_1.R_4 确保私有镜像开启了加密 ims-images-enable-encryption 私有镜像开启加密 ims 私有镜像未开启加密，视为“不合规” C.CS.FOUNDATION.G_3_2.R_1 使用密钥对安全登录 BMS bms-key-pair-security-login BMS资源使用密钥对登录 bms 裸金属服务器未启用密钥对安全登录，视为“不合规” C.CS.FOUNDATION.G_5_1.R_4 使用双端固定对 OBS 的资源进行权限控制 obs-bucket-policy-grantee-check OBS桶策略中授权检查 obs OBS桶策略授权了不被允许的访问行为，视为“不合规” C.CS.FOUNDATION.G_5_2.R_1 确保云硬盘是加密的 volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密，视为“不合规” C.CS.FOUNDATION.G_5_3.R_1 确保SFS Turbo文件系统是加密的 sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” C.CS.FOUNDATION.G_5_4.R_1 承载备份数据的云硬盘选择加密盘 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密，视为“不合规” C.CS.FOUNDATION.G_5_4.R_4 开启强制备份 ecs-protected-by-cbr ECS资源在备份存储库中 cbr, ecs ECS资源没有关联备份存储库，视为“不合规” C.CS.FOUNDATION.G_5_4.R_4 开启强制备份 evs-protected-by-cbr EVS资源在备份存储库保护中 cbr, evs EVS磁盘没有关联备份存储库，视为“不合规” C.CS.FOUNDATION.G_5_4.R_4 开启强制备份 sfsturbo-protected-by-cbr SFSturbo资源在备份存储库中 cbr, sfsturbo SFSturbo资源没有关联备份存储库，视为“不合规” C.CS.FOUNDATION.G_6_1.R_7 开启数据库审计日志 rds-instance-enable-auditLog RDS实例启用审计日志 rds 未启用审计日志或的审计日志保存天数不足的rds资源，视为“不合规” C.CS.FOUNDATION.G_6_4.R_5 开启数据库审计日志 gaussdb-instance-enable-auditLog GaussDB实例开启审计日志 gaussdb 未开启审计日志的gaussdb资源，视为“不合规” C.CS.FOUNDATION.G_6_4.R_5 开启数据库审计日志 gaussdb-mysql-instance-enable-auditlog GaussDBForMysql实例开启审计日志 gaussdbformysql 未开启审计日志的GaussDBforMySql资源，视为“不合规” C.CS.FOUNDATION.G_6_4.R_7 开启备份功能设置合理的备份策略 gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的gaussdb资源，视为“不合规” C.CS.FOUNDATION.G_7_3.R_1 开启集群数据加密功能 dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密，视为“不合规” C.CS.FOUNDATION.G_7_3.R_4 开启 DWS 数据库审计日志转储 dws-enable-log-dump DWS集群启用日志转储 dws DWS集群未启用日志转储，视为“不合规”

操作场景 在使用资源合规时，如果您是组织管理员或Config服务的委托管理员，您可以添加组织类型的资源合规规则，直接作用于您组织内账号状态为“正常”的成员账号中。 当组织资源合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则。且该组织合规规则的修改和删除操作只能由创建规则的组织账号进行，组织内的其他账号只能触发规则评估和查看规则评估结果以及详情。 您可以选择Config提供的系统内置预设策略或者自定义策略来创建组织类型的资源合规规则，本章节指导您如何使用系统内置的预设策略来快速添加组织合规规则。

操作步骤 以组织管理员账号或者Config服务的委托管理员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击“添加规则”，进入“基础配置”页面，基础配置完成后，单击“下一步”。 图1 基础配置 表1 基础配置参数说明 参数 说明 策略类型 选择“预设策略”。 预设策略即服务已开发的策略，在下方的预设策略列表中直接选择所需预设策略，快速完成规则创建。支持输入策略名称或标签进行搜索。 预设策略详情见系统内置预设策略。 规则名称 规则名称默认复用所选择预设策略的名称，不能与已存在的合规规则名称重复，如有重复需自行修改。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 规则简介默认复用所选择预设策略的简介，也可自行修改。 目前对合规规则简介的内容不做限制。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图2 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”选择“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 此处的“规则参数”和第一步所选的“预设策略”相对应，是对第一步所选的预设策略进行具体参数设置。 例如：第一步预设策略选择“资源具有指定的标签”，指定一个标签，不具有此标签的资源，视为“不合规”，则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数，有的“预设策略”不需要添加规则参数。例如：已挂载的云硬盘开启加密（volumes-encrypted-check）。 目标 目标决定了此组织合规规则配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID，使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成预定义组织合规规则的创建。 图3 确认规则 合规规则创建后会立即自动触发首次评估。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织成员账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 组织合规规则仅会下发至账号状态为“正常”的组织成员账号中。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

适用于云数据库（GaussDB(for MySQL)）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-mysql-instance-enable-auditlog GaussDBForMysql实例开启审计日志 gaussdbformysql 未开启审计日志的GaussDBforMySql资源，视为“不合规” gaussdb-mysql-instance-enable-backup GaussDBForMysql实例开启备份 gaussdbformysql 未开启备份的GaussDBforMySql资源，视为“不合规” gaussdb-mysql-instance-enable-errorlog GaussDBForMysql实例开启错误日志 gaussdbformysql 未开启错误日志的GaussDBforMySql资源，视为“不合规” gaussdb-mysql-instance-enable-slowlog GaussDBForMysql实例开启慢日志 gaussdbformysql 未开启慢日志的GaussDBforMySql资源，视为“不合规” gaussdb-mysql-instance-multiple-az-check gaussdbforMySql实例跨AZ部署检查 gaussdbformysql gaussdb(for MySQL)实例未跨AZ部署，视为“不合规” gaussdb-mysql-instance-no-public-ip-check gaussdbforMySql实例弹性公网IP检查 gaussdbformysql gaussdb(for MySQL)实例如绑定弹性公网IP，视为“不合规” gaussdb-mysql-instance-ssl-enable gaussdbforMySql实例开启传输数据加密 gaussdbformysql gaussdb(for MySQL)实例未启用SSL数据传输加密，视为“不合规” 父主题： 合规规则包示例模板

基于FunctionGraph函数执行修正 使用预设策略“VPC启用流日志（vpc-flow-logs-enabled）”添加预定义合规规则。 由于当前账号存在未开启流日志的VPC资源，该合规规则的合规评估结果为“不合规”。 图5 合规评估结果 创建FunctionGraph函数，并填入以下函数代码。 该函数代码表示为指定的VPC资源开启流日志。 使用以下函数示例时，您需要手动添加依赖包huaweicloudsdkvpc，该依赖包并非在所有区域都可选，如果依赖包缺失，则需要手动导入依赖包，详见配置依赖包。 # -*- coding:utf-8 -*- import time import requests import random, string import http.client from huaweicloudsdkcore.exceptions.exceptions import ConnectionException from huaweicloudsdkcore.exceptions.exceptions import RequestTimeoutException from huaweicloudsdkcore.exceptions.exceptions import ServiceResponseException from huaweicloudsdkvpc.v2.region.vpc_region import VpcRegion from huaweicloudsdkvpc.v2.vpc_client import VpcClient from huaweicloudsdkvpc.v2.model import CreateFlowLogReq from huaweicloudsdkvpc.v2.model import CreateFlowLogReqBody from huaweicloudsdkvpc.v2.model import CreateFlowLogRequest from huaweicloudsdkcore.auth.credentials import BasicCredentials requests.packages.urllib3.disable_warnings() def get_random_string(length=6): letters_and_digits = string.ascii_letters + string.digits return ''.join(random.choice(letters_and_digits) for _ in range(length)) def createFlowLog(context, project_id, request): auth = BasicCredentials(ak=context.getAccessKey(), sk=context.getSecretKey())\ .with_project_id(project_id) client = VpcClient.new_builder() \ .with_credentials(credentials=auth) \ .with_region(region=VpcRegion.value_of(region_id="cn-north-4")) \ .build() try: response = client.create_flow_log(request) return 200 except ConnectionException as e: print("A connect timeout exception occurs while the vpc performs some operations, exception: ", e.error_msg) return e.status_code except RequestTimeoutException as e: print("A request timeout exception occurs while the vpc performs some operations, exception: ", e.error_msg) return e.status_code except ServiceResponseException as e: print("There is service error, exception: ", e.status_code, e.error_msg) return e.status_code def handler(event, context): project_id = event.get("project_id") request_body = CreateFlowLogRequest(CreateFlowLogReqBody( CreateFlowLogReq( name="auto" + get_random_string(4), description="to remediate vpc", resource_type="vpc", resource_id=event.get("noncompliant_resource_id", {}), traffic_type="all", log_group_id=event.get("log_group_id", {}), log_topic_id=event.get("log_topic_id", {}), index_enabled=False ) )) for retry in range(5): status_code = createFlowLog(context, project_id, request_body) if status_code == http.client.TOO_MANY_REQUESTS: time.sleep(1) else: break 创建该合规规则的修正配置，具体如下图所示。 部分示例参数的说明： 修正方法选择“自动修正”。 修正模板选择上一步中创建的FunctionGraph函数。 配置资源ID参数，Config会将该参数赋值为不合规资源的ID。在当前场景下“noncompliant_resource_id”将会被赋值为不合规资源的ID，FunctionGraph函数中使用resource_id=event.get("noncompliant_resource_id", {})语句获取不合规资源ID，每个不合规资源均会传递一次资源ID。 参数，指定您期望由Config传递给FunctionGraph函数的静态参数，该参数为不合规资源修正的具体规则参数值。例如在当前场景下此处配置日志组的ID（键：log_group_id；值：具体日志组ID值），在FGS函数中使用log_group_id=event.get("log_group_id", {})语句获取日志组ID，执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。 当前示例中的参数说明如下： project_id：项目ID，如何获取请参见获取项目ID。 log_group_id：日志组ID，如何获取请参见管理日志组。 log_topic_id：日志流ID，如何获取请参见管理日志流。 图6 创建修正配置 修正配置创建完成后，重新触发规则评估。 当该合规规则评估完成且合规评估结果仍然为不合规时，Config将自动执行修正，调用FunctionGraph函数为每个不合规的VPC资源创建流日志。 如下图所示，不合规的VPC资源在修正成功后已全部创建流日志。 图7 VPC资源已创建流日志

基于RFS私有模板执行修正 使用预设策略“创建并启用CTS追踪器（cts-tracker-exists）”添加预定义合规规则。 由于当前账号的CTS追踪器已停用，该合规规则的合规评估结果为“不合规”。 图1 CTS追踪器已停用 图2 合规评估结果 创建RFS私有模板，并填入以下模板内容。 该模板内容表示开启已关闭的CTS追踪器。 { "resource": { "huaweicloud_cts_tracker": { "tracker": { "bucket_name": "${var.bucket_name}", "file_prefix": "${var.file_prefix}", "lts_enabled": "true" } } }, "variable": { "bucket_name": { "description": "Specifies the OBS bucket to which traces will be transferred.", "type": "string", "default": "" }, "file_prefix": { "description": "Specifies the file name prefix to mark trace files that need to be stored in an OBS bucket. The value contains 0 to 64 characters. Only letters, numbers, hyphens (-), underscores (_), and periods (.) are allowed.", "type": "string", "default": "" } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.58.0" } } } } 创建该合规规则的修正配置，具体如下图所示。 部分示例参数的说明： 修正方法选择“自动修正”。 修正模板选择上一步中创建的RFS私有模板，当修正方法选择“自动修正”时还需指定IAM权限委托，例如当前场景下RFS私有模板将创建CTS追踪器，则该委托的授权云服务为RFS，委托权限为创建CTS追踪器的权限（例如CTS FullAccess）。如何创建委托请参见委托其他云服务管理资源。 配置资源ID参数，Config会将该参数赋值为不合规资源的ID。在当前场景下“file_prefix”将会被赋值为账号ID，该值会传递给RFS服务用于创建资源栈执行RF语句。 参数，指定您期望由Config传递给RFS私有模板的静态参数，Config会将这些参数原样传递给RFS服务用于创建资源栈执行RF语句。 图3 创建修正配置 修正配置创建完成后，重新触发规则评估。 当该合规规则评估完成且合规评估结果仍然为不合规时，Config将自动执行修正，调用RFS私有模板为当前账号开启CTS追踪器。 如下图所示，不合规资源自动修正成功，当前账号的CTS追踪器已启用。 图4 CTS追踪器已启用

规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-enable-slowlog 规则展示名 GaussDB(for MySQL)实例开启慢日志 规则描述 未开启慢日志的GaussDB(for MySQL)实例，视为“不合规”。 标签 gaussdbformysql 规则触发方式 配置变更 规则评估的资源类型 gaussdbformysql.instance 规则参数 无

约束与限制 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 基于RFS服务私有模板执行修正的场景下，Config当前仅默认支持使用北京四（cn-north-4）区域的私有模板创建资源栈，且对应区域的资源栈应至少预留5个配额，否则执行修正可能会因配额不足导致失败。 一个合规规则上只能创建一个修正配置。 当合规规则存在修正配置，则必须删除修正配置并且停用规则后，才可删除此合规规则。 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源，基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。 由于资源变更数据同步到Config存在延迟，因此通过合规修正功能将不合规资源修正后，立即重新触发规则评估，不合规资源的合规评估结果可能依然为不合规。对于已开启资源记录器且在监控范围内的资源，Config会在24小时内校正资源数据，也就是说最多24小时后触发规则评估，才会将已修正资源的合规评估结果更新为合规。 当合规规则执行修正后，不合规资源的修正状态为“修正成功”，则表示此资源已经成功触发RFS服务私有模板或FunctionGraph函数的修正执行，您可以前往该资源对应服务的控制台，查看资源是否已按照预期修正成功。

规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-enable-auditlog 规则展示名 GaussDB(for MySQL)实例开启审计日志 规则描述 未开启审计日志的GaussDB(for MySQL)实例，视为“不合规”。 标签 gaussdbformysql 规则触发方式 配置变更 规则评估的资源类型 gaussdbformysql.instance 规则参数 无

基本概念 示例模板： 配置审计服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模板”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规；若该值为“--”，则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。资源栈是资源编排服务的概念，详见资源栈。 状态： 合规规则包的部署状态。包括以下几种情况： 已部署：合规规则包已部署成功，合规规则均创建成功。 部署中：合规规则包正在部署中，合规规则正在创建中。 部署异常：合规规则包部署失败。 回滚成功：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 回滚中：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 回滚失败：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 删除中：合规规则包正在删除中，合规规则正在删除中。 删除异常：合规规则包删除失败。 更新成功：合规规则包修改并更新成功。 更新中：合规规则包修改更新中。 更新失败：合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务（RFS）的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 当您不选择进行自定义授权时，Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围，可选择进行自定义授权，提前在统一身份认证服务（IAM）中创建委托，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。