华为云用户手册

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 Content-Type：消息体的类型（格式），必选，默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token：用户Token，可选，当使用Token方式认证时，必须填充该字段。用户Token也就是调用获取用户Token获取请求认证接口的响应值，该接口是唯一不需要认证的接口。 公有云API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见认证鉴权。 X-Project-ID：子项目ID，可选，在多项目场景中使用。 X-Domain-ID：账号ID。 对于获取用户Token获取请求认证接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 GET：请求服务器返回指定资源。 PUT：请求服务器更新指定资源。 POST：请求服务器新增资源或执行特殊操作。 DELETE：请求服务器删除指定资源，如删除对象等。 HEAD：请求服务器资源头部。 PATCH：请求服务器更新资源的部分内容。当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token获取请求认证的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

基本概念 账号 用户注册账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用它们进行日常管理工作。 用户 由账号在 IAM 中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region。 通用Region指面向公共租户提供通用云服务的Region。 专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 用户在需求管理中创建的项目，根据模板创建项目，根据您选择的项目模板，还包含有预置的工作项、代码或资源等。通过管理项目IAM用户（即“团队成员”）所需的权限。将IAM用户作为团队成员添加到项目，给每个团队成员分配角色并赋予项目及其资源的操作权限。 项目模板 使用模板创建项目，模板项目是指默认预置模板类型的项目，即基于Scrum和看板形式，由需求管理预置好一些工作项和流程。选择项目模板后，会自动生成对应样例模板，供用户参考和使用，用户也可以新建自己的开发任务。 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 父主题： 使用前必读

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 status String 状态 message String 失败信息 result Array of ProjectInfoVO objects 项目列表 表3 ProjectInfoVO 参数 参数类型 描述 id String 项目id name String 项目名称 project_type String 项目类型区分ipd/scrum/xboard domain_id String 项目所属域id model_id String IPD项目模型Id，取值为10001|10002|10003，分别表示系统设备类、自运营软件类、云服务类

响应示例 状态码： 200 成功响应 { "status" : "success", "message" : null, "result" : [ { "id" : "e44fbbd512b6470886b0f95663d4789a", "name" : "IPD-自运营软件/云服务类-0403-0", "project_type" : "ipd", "domain_id" : "982241044173205505", "model_id" : "10003" } ] }

URI DELETE /v1/planservice/projects/{project_id}/plans/batch-delete 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释：项目的32位uuid，项目唯一标识，可以通过查询项目列表接口获取，响应消息体中的project_id字段的值就是项目ID 约束限制：正则表达式，^[A-Za-z0-9]{32}$ 默认取值：不涉及

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 x-auth-token 是 String 参数解释：用户token。通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值) 约束限制：不涉及 取值范围：最小长度10，最大长度：32768 默认取值：不涉及 表3 请求Body参数 参数 是否必选 参数类型 描述 BatchDeletePlansRequestBody 是 Object 删除计划的请求体

响应参数 状态码：200 表4 响应Body参数 参数 参数类型 描述 result BatchResultVO object 批量删除返回结果 表5 BatchResultVO 参数 参数类型 描述 success_num Number 成功数量 fail_num Number 失败数量 success Array of BatchOperateInfo objects 成功的结果 failed Array of BatchOperateInfo objects 失败的结果 表6 BatchOperateInfo 参数 参数类型 描述 id String 发布/迭代计划的id modified_by String 更新者 状态码：400 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

功能介绍 用户可以一键启动Landing Zone治理检测，扫描云上多账号环境是否符合Landing Zone治理最佳实践，获取风险评估结果并下载详细检测报告，检测范围支持以下八个领域： 组织与账号：采用合理的组织架构，基于账号实现职责分离，无游离的企业账号。 身份权限：精细化的权限分配与统一的身份管理，消减过度授权风险。 网络规划：公共网络资源集中管理，保障网络安全和高可用。 安全合规：相关数据介质正确加密，主机与数据落地安全保护。 合规审计：完整收集并设置日志的长期留存，保障审计的有效性。 数据边界：正确设置权限边界，预防非预期的访问操作。 财务治理：精细化的财务管理，无浪费或异常成本。 运维监控：基于最佳实践收集基础云服务指标，实时监控并及时通知。

操作步骤 以RGC管理员身份登录华为云，进入华为云RGC控制台。 进入Landing Zone设置页，选择“版本”页签。 选择需要更新的版本。 图1 选择版本 单击“更新版本”。 图2 更新Landing Zone 完成Landing Zone更新后，您将无法撤销更新或降级到先前的版本。 更新区域设置。可以选择除主区域之外还需要治理的区域。设置后，您可以在治理范围中添加区域。移除某个区域并不妨碍您在该区域部署资源，但这些资源将不在RGC的治理范围之内。 图3 更新区域设置 更新核心组织单元和账号。 更新管理账号： 开通IAM身份中心：RGC将在IAM身份中心创建RGC管理员，该IAM身份中心用户拥有管理员权限。若IAM身份中心已连接外部身份源，则RGC默认创建的IAM身份中心用户无法登录。 不开通IAM身份中心：如果不希望RGC在IAM身份中心创建RGC管理员身份的用户以及其他用户组、权限集等资源，则选择不开通IAM身份中心。 更新告警邮箱： 输入审计账号的告警邮箱，该邮箱用于接收RGC预置告警通知，请谨慎选择。告警邮箱地址不得与现有华为云账号使用的邮箱地址相同。长度范围为0至64个字符。 图4 更新核心组织单元和账号 单击“下一步”。 更新日志配置。 选择是否启用 CTS ： 如果您未在搭建Landing Zone页面启用CTS，则RGC将不会管理您的CTS操作审计日志。RGC强烈建议您启用CTS。预置强制控制策略将会检测已纳管的账号是否已启用CTS。 更新OBS日志配置： 创建OBS桶：需要配置日志在OBS桶中的保留时长。日志将会自动存放至系统创建的两个默认OBS桶中，不支持自定义OBS桶名。 日志汇聚桶数据保留时长：默认设置为1年。最长设置为15年。 该桶用于存储组织内所有账号的CTS记录的操作审计日志和已纳管账号的Config记录的资源快照，并且存放于名为“rgcservice-managed-audit-logs-{管理账号ID}”的桶中，{}中表示变量，根据实际情况进行显示。 OBS桶访问日志保留时长：默认设置为10年。最长设置为15年。 该桶将会存放访问上述日志汇聚桶而产生的日志，并且存放于名为“rgcservice-managed-access-logs-{管理账号ID}”的桶中，{}中表示变量，根据实际情况进行显示。 使用现有OBS桶：需要输入日志账号下的OBS桶名称，如使用其他OBS桶则将会导致Landing Zone搭建失败。为了您的数据安全，建议使用桶策略为私有的OBS桶。 图5 更新日志配置 单击“下一步”。 确认更新的设置信息无误，单击“确定”。RGC将会开始对Landing Zone进行更新。 更新成功后，RGC界面将会出现更新成功的提示。 如果更新失败，RGC不会退回到之前的Landing Zone版本，Landing Zone可能将会处于不确定的状态。如果出现该问题，请提交工单。

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入组织管理页，单击需要注册OU所在行“操作”列的“重新注册”。 图1 重新注册OU 确认子账号和OU上控制策略的信息。确认无误后，勾选“我了解重新注册组织单元的相关风险，并且我同意RGC服务将必要的角色和权限应用于我的组织单元和账号。”。 图2 确认OU信息 单击“重新注册”，重新注册OU需要等待一段时间。可以在组织结构中查看OU的重新注册结果。重新注册成功后，OU将会受到Landing Zone的监管。

支持审计的关键操作列表 表1 云审计 服务支持的RGC操作列表 操作名称 资源类型 事件名称 搭建Landing Zone前检查 LandingZone checkLaunch 删除Landing Zone LandingZone deleteLandingZone 搭建Landing Zone LandingZone setupLandingZone 关闭控制策略 Control DisableGovernancePolicy 开启控制策略 Control EnableGovernancePolicy 创建账号 Account createAccount 纳管账号 Account enrollAccount 取消纳管账号 Account unEnrollAccount 更新被管理账号 Account updateManagedAccount 创建组织单元 OrganizationUnit createManagedOrganizationalUnit 删除组织单元 OrganizationUnit deleteManagedOrganizationalUnits 重新注册组织单元 OrganizationUnit reRegisterOrganizationalUnit 注册组织单元 OrganizationUnit registerOrganizationalUnit 取消注册组织单元 OrganizationUnit deregisterOrganizationalUnit 创建一个模板 Template createTemplate 删除一个模板 Template deleteTemplate 最佳实践检测 BestPractice bestPracticeDetect 最佳实践详情 BestPractice bestPracticeDetails

漂移概述 搭建Landing Zone时，账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时，由于可以同时从RGC和组织服务对组织和SCP进行操作，操作入口的不唯一就可能导致纳管资源的合规状态发生改变。当RGC纳管的资源不满足治理策略时，就会发生以下两类漂移现象： SCP： RGC为各个OU配置的SCP与在组织服务中内容不一致，或者SCP在组织服务中不存在。 组织结构 RGC监管的OU和账号与组织服务里的OU或账号存在不一致。 当存在不一致时，意味着当前Landing zone环境发生了不合规情况，可能会造成意外甚至严重的后果。 当前RGC已支持定期进行账号、OU和SCP的漂移检测，并使用告警提醒您存在漂移现象。检测漂移后，您可以通过更新、修复等操作消除漂移。 当核心OU或核心账号存在漂移时，RGC的创建账号功能将无法使用。

漂移检测概述 RGC会自动检测是否存在漂移现象。检测漂移将需要RG CS erviceExecutionAgency服务委托持续访问您的管理账号，RGC将会使用只读权限的API调用组织服务。调用API的操作将会记录在CTS事件中。 漂移现象的消息将汇总至 消息通知 服务（Simple Message Notification， SMN ）中。管理账号可以订阅SMN消息通知，以便在出现漂移现象时，接收漂移信息并及时修复漂移。在RGC中可以检测到的治理漂移类型如下： 组织架构漂移的类型 SCP被更新 SCP被删除 SCP关联至OU SCP关联至账号 SCP从OU解绑 SCP从账号解绑 账号漂移的类型 账号被移动到其他OU 账号被关闭 账号被移出组织 如果同一组资源多次出现相同类型的漂移，RGC将仅针对第一个出现漂移的资源发送SMN通知。 如果RGC检测到发生漂移的资源已得到修复，则仅当相同的资源再次出现漂移时，才会再次发送SMN通知。 例如： 如果您多次修改同一个SCP的策略内容，则仅在首次修改时会收到消息通知。 如果您通过修改SCP后修复了漂移，然后再次对其进行修改再次产生漂移，则您将会收到两条消息通知。

需要立即修复的漂移类型 当出现漂移现象时，您可以通过更新/修复等操作消除漂移，以确保Landing Zone处于合规的状态。漂移检测是系统自动进行的，但您需要在RGC控制台进行操作才可以修复漂移。 大多数类型的漂移可以由管理员解决，但有些类型的漂移则必须立即解决，包括删除RGC Landing zone所需的OU等。以下列举的是如何避免产生立即解决的漂移示例： 不要删除核心OU：不应在组织服务中删除RGC在搭建Landing Zone期间默认名为 “Security” 的核心OU。如果将其删除，则会出现漂移现象。您将会在RGC控制台看到一条错误消息，提示您立即更新/修复Landing Zone。在更新/修复完成之前，您将无法在RGC中执行任何其他操作。 不要删除核心账号：如果您从核心OU中删除核心账号，例如从核心OU中删除日志存档账号，则Landing Zone将处于漂移状态。您必须先更新/修复Landing Zone，然后才能继续使用RGC控制台。

查看、修改模板 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入模板管理页，单击目标模板名称。 图1 单击模板名称 进入模板详情页面，可以查看到模板的详细信息。 图2 查看模板详情 如果模板内容需要修改，您可以单击“版本信息”模块中目标模板版本“操作”列的“编辑”。 配置模板的相关语法等详细说明请参阅模板简介。 图3 修改模板 修改模板完成后，单击右上角的“保存模板”。完成模板修改。

模板简介 模板是一个HCL语法文本描述文件，支持tf、tf.json、zip包文件格式，用于描述您的云资源。模板中可以定义大批量、不同服务、不同规格的资源实例，通过编写模板即可完成应用设计与资源的规划，实现众多资源的自动化部署或销毁操作，使业务的组织和管理变得轻松。且同一模板可以多次重复使用，提升了工作效率。 RGC的账号工厂功能支持通过模板快速创建账号，以满足业务需求。管理账号可以直接在RGC或 RFS 中设置账号的基线模板。后续管理账号在指定组织单元下创建新的成员账号，新建账号内会基于最佳实践自动配置账号基线。 RGC服务基于RFS资源栈集管理Landing Zone环境内的资源，通过将最佳实践固化在模板中，并通过资源栈集在各个成员账号内生成资源栈，将模板描述的所有云服务资源作为一个整体来进行创建、删除、更新、查询等。 更多关于模板的信息，请参阅 资源编排 服务用户指南。

场景预置模板 RGC提供以下场景预置模板供您使用： 组织与账号管理模块 CreateAccount：该模板支持激活后通过RFS控制台创建账号，不适用于在账号工厂创建账号时选用。 运维监控模块 CreateAomPrometheus：该模板用于创建 AOM prometheus实例资源。 CreateCesAlarmRule：该模板用于创建 云监控 告警规则资源。 CreateSmnTopicSubscription：该模板用于创建SMN主题资源。 身份权限模块 CreateIdentityAgencyWithService：该模板可用于创建云服务委托。 合规审计模块 CreateLtsGroupStream：该模板用于创建日志流资源。 CreateLtsStreamToGroup：该模板用于创建日志流并添加到已有日志组。 CreateObsBucketPolicy：该模板用于将策略绑定到OBS桶资源。 安全合规模块 CreatePostPaidCFW：该模板用于创建按需计费 云防火墙 。 CreatePostPaidWAF：该模板用于创建按需计费web应用防火墙。 CreatePrePaidCFW：该模板用于创建包年/包月计费云防火墙。 CreatePrePaidWAF：该模板用于创建包年/包月计费web应用防火墙。 网络规划模块 CreateRamErShare：该模板可使用网络账号共享ER给业务账号。 CreateRamVpcSubnetShare：该模板可使用网络账号创建VPC并共享给业务账号。 DNS：该模板可进行DNS Endpoint配置、DNS规则配置以及关联VPC。 ER：该模板可直接创建ER及路由配置，并且创建和已有VPC的连接。 VPC：该模板可直接创建VPC和subnet。 财务治理模块 CreateResourceTags：该模板用于创建其他服务资源的标签。

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入账号工厂页，单击右上角“创建账号”。 图1 创建账号 配置账号基本信息。输入账号名、手机号。不能与其他账号重复。 基本信息中的手机号，仅展示作用，不用于密码找回等场景。 图2 填写基本信息 配置IAM身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后，系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录，并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元，并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 （可选）配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本，如选择通过模板创建账号，可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息，请参考RFS模板介绍。 选择模板：选择在RFS中创建好的模板。 模板版本：选择模板的版本。 配置参数：根据业务需求，修改模板中的参数配置。 图5 配置模板 单击“创建账号”，创建成功的账号将会显示在列表中。

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入组织管理页，单击需要查看的账号名称。 图1 查看账号详情 在基本信息中，可以查看账号的状态、组织单元、受监管区域的数量、合规状态、以及已启用的控制策略数量。 如账号下存在不合规资源，将会展示为“不合规”状态。 图2 查看账号基本信息 选择“不合规资源”页签，将会显示当前账号下存在的不合规资源，以及不合规资源ID、相关的控制策略、类型、服务和所在区域等。 图3 查看不合规资源 选择“已启用控制策略”页签，将会显示针对当前账号已启用的控制策略。 如需了解控制策略详情，请参考查看控制策略详情。 图4 查看已启用控制策略 选择“模板详情”页签，将会显示该账号使用的RFS模板详情。如果该账号未使用模板，则将不会显示相关信息。 图5 查看模板详情 选择“区域”页签，将会显示该账号受监管的区域详情。账号以及账号的资源将在展示的区域中，受到Landing Zone的监管。其他区域的资源则不受监管。 图6 查看账号受监管的区域 选择“外部Config规则”页签，将会显示该账号除当前Landing Zone开启的Config规则外，账号下的其他Config规则，以及对应规则作用的区域。 图7 查看外部Config规则

后续操作 停用Landing Zone后，以下资源需要进行手动删除，才能够设置新的Landing Zone。 如果新设置的Landing Zone需要使用和原Landing Zone同名的核心组织单元，则需要手动将原核心组织单元进行删除。删除组织单元的操作，请参考删除组织单元。 如果原Landing Zone使用了IAM身份中心，新设置的Landing Zone需要更换主区域，则需要将原IAM身份中心进行重置。重置IAM身份中心的操作，请参考删除IAM身份中心配置。 用于存放日志的OBS桶。删除OBS桶的操作，请参考删除桶。 RFS中的RGCLoggingResources资源栈集。删除资源栈集的操作，请参考删除资源栈集。 RFS中用户自行创建的模板。 IAM中的委托，包括：RGCAgencyForStack、RGCBlueprintExecutionAgency、RGCBlueprintStackSetAdminAgency、RGCIAMTokenAccess、RGCAdminAgency。删除委托的操作，请参考删除或修改委托。

相关说明 后续需要对现有的组织单元和成员账号进行部署和管理，请参见组织管理概述。 Landing Zone搭建成功后，系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后，系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略，详细的桶策略内容可以前往OBS控制台进行查看。 Landing Zone搭建成功后，系统将为存放日志的OBS桶自动配置“对象读权限”，使核心账号拥有查看桶内日志的权限。

背景说明 通过RGC服务，预计可实现以下功能： RGC将会拥有必要的权限来治理Organizations内的所有组织单元以及成员账号。 您需要在RGC中搭建Landing Zone，并且设置您的多账号环境治理范围。RGC不会将云上环境治理扩展到您组织服务内现有的其他组织单元和成员账号。 当您将现有组织单元由RGC纳入治理范围的过程，称为注册组织单元。 在搭建Landing Zone后，您可以在RGC中注册现有的组织单元。 搭建Landing Zone时，RGC将执行以下操作： 启动组织服务并开启组织，创建两个组织单元：核心组织单元（可选）和附加组织单元（可选）。 创建或添加两个核心账号：日志存档账号和审计账号。 根据默认配置会开通IAM身份中心用于组织内多账号内身份权限的集中管控。 应用所有必选的控制策略（包括必选的预防性控制策略和检测性控制策略）。 收集所有已纳管账号的操作和资源配置的日志，并创建OBS桶或使用现有OBS桶用于日志的长期存储。 搭建Landing Zone时，会创建SMN、RFS等诸多云服务资源。随意删除或修改这些资源将导致Landing Zone使用异常，请严格按照用户文档指导进行操作。

VPC 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_EIP_UNBOUND_CHECK 弹性公网IP未进行任何绑定，视为“不合规”。 优化成本 中 vpc:::eipAssociate 不涉及 RGC-GR_CONFIG_VPC_FLOW_ LOG S_ENABLED 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规”。 建立日志记录和监控 中 vpc:::flowLog 不涉及 RGC-GR_CONFIG_EIP_BANDW IDT H_LIMIT 弹性公网IP可用带宽小于指定参数值，视为“不合规” 提高可用性 中 vpc:::eip 是 RGC-GR_RFS_VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS_CHECK 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于80和443以外的端口。 限制网络访问 高 networking:::secgroupRule 不涉及 RGC-GR_RFS_VPC_SG_RESTRICTED_COMMON_PORTS_CHECK 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于特定的高风险端口。 限制网络访问 严重 networking:::secgroupRule 不涉及

WAF 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_WAF_GLOBAL_ACL_NOT_EMPTY_CHECK 要求任何WAF全局ACL拥有规则。 限制网络访问 中 waf:::ruleGlobalProtectionWhitelist 不涉及 RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK 要求WAF规则组为非空。 限制网络访问 中 waf:::addressGroup 不涉及

TaurusDB 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG 未开启审计日志的TaurusDB资源，视为“不合规”。 建立日志记录和监控 中 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP 未开启备份的TaurusDB资源，视为“不合规”。 提高韧性 中 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的TaurusDB资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的TaurusDB资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_MULTIPLE_AZ_CHECK TaurusDB实例未跨AZ部署，视为“不合规”。 提高可用性 中 gaussdb:::mysqlInstance 不涉及

TMS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_REQUIRED_ALL_TAGS 指定标签列表，不具有所有指定标签键的资源，视为“不合规”。 保护配置 低 tms:::resourceTags TagKeys：是 TagValues：否 RGC-GR_CONFIG_REQUIRED_TAG_CHECK 指定一个标签，不具有此标签的资源，视为“不合规”。 保护配置 低 tms:::resourceTags specifiedTagKey：是 specifiedTagValue：否 RGC-GR_CONFIG_REQUIRED_TAG_EXIST 指定标签列表，不具有任一指定标签的资源，视为“不合规”。 保护配置 低 tms:::resourceTags TagKeys：是 TagValues：否 RGC-GR_CONFIG_RESOURCE_TAG_KEY_PREFIX_SUFFIX 指定前缀和后缀，资源不具有任意匹配前后缀的标签键，视为“不合规”。 保护配置 低 tms:::resourceTags tagKeyPrefix：否 tagKeySuffix：否 RGC-GR_CONFIG_RESOURCE_TAG_NOT_EMPTY 资源未配置标签，视为“不合规”。 保护配置 低 tms:::resourceTags 不涉及

OBS、Access Analyzer 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_OBS_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED OBS桶策略中授权任意禁止的action给外部身份，视为“不合规”。 强制执行最低权限 高 obs:::bucket 否 RGC-GR_CONFIG_OBS_BUCKET_SSL_REQUESTS_ONLY OBS桶策略授权了无需SSL加密的行为，视为“不合规”。 加密传输中的数据 中 obs:::bucket 不涉及

OBS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_OBS_BUCKET_DEFAULT_ENCRYPTION_KMS_CHECK 要求OBS存储桶使用KMS密钥配置服务器端加密。 加密静态数据 中 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_VERSIONING_ENABLED_CHECK 要求OBS存储桶启用版本控制。 提高可用性 低 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_LOGGING_ENABLED_CHECK 要求OBS存储桶配置服务器访问日志记录。 建立日志记录和监控 中 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_MULTIPLE_AZ_CHECK 要求OBS桶配置多个可用区以实现高可用性。 提高可用性 低 obs:::bucket 不涉及

MRS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_MRS_CLUSTER_MULTIAZ_DEPLOYMENT MRS集群没有多az部署，视为“不合规”。 提高可用性 中 mrs:::cluster 不涉及 RGC-GR_CONFIG_MRS_CLUSTER_ENCRYPT_ENABLE KMS密钥不处于“计划删除”状态。 保护数据完整性 中 mrs:::cluster 不涉及