配置审计 CONFIG-适用于人工智能与机器学习场景的合规实践
适用于人工智能与机器学习场景的合规实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
---|---|---|---|---|---|
cce-cluster-end-of-maintenance-version |
CCE集群版本为处于维护的版本 |
cce |
确保CCE集群版本为处于维护中的版本。 |
CCE集群版本为停止维护的版本,视为“不合规” |
为了保证您的服务权益,建议尽快升级到最新的商用版本。集群升级流程包括升级前检查、备份、升级和升级后验证几个步骤,具体操作流程可见CCE服务说明文档的升级概述。 |
cce-cluster-oldest-supported-version |
CCE集群运行的非受支持的最旧版本 |
cce |
确保CCE集群运行的不是最旧版本 |
如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规” |
系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题,华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理,请更新您服务的独立任务以使用最新的平台版本。 |
cce-endpoint-public-access |
CCE集群资源不具有公网IP |
cce |
确保CCE集群资源不可以被公网访问 |
CCE集群资源具有公网IP,视为“不合规” |
用户可以解除集群与EIP的绑定。 |
cts-obs-bucket-track |
CTS 追踪器追踪指定的OBS桶 |
cts |
由于CTS只支持查询7天的审计事件,为了您事后审计、查询、分析等要求,启用CTS追踪器请配置OBS服务桶。 |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” |
云审计 服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 |
mrs-cluster-kerberos-enabled |
MRS 集群开启kerberos认证 |
mrs |
MRS 1.8.0版本之前未开启Kerberos认证的集群不支持访问权限细分。只有开启Kerberos认证才有角色管理权限,MRS 1.8.0及之后版本的所有集群均拥有角色管理权限。 |
MRS集群未开启kerberos认证,视为“不合规” |
MRS服务暂不支持集群创建完成后手动开启和关闭Kerberos服务,如需更换Kerberos认证状态,建议重新创建MRS集群,然后进行数据迁移。 |
mrs-cluster-no-public-ip |
MRS集群未绑定公网IP |
mrs |
确保 MapReduce服务 (MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。 |
MRS集群绑定公网IP,视为“不合规” |
对于不合规的MRS资源,用户可以解除其与弹性公网IP的绑定。 |
sfsturbo-encrypted-check |
弹性文件服务通过KMS进行加密 |
sfsturbo |
由于敏感数据可能存在并帮助保护静态数据,确保弹性文件服务(SFS Turbo)已通过KMS进行加密。 |
弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” |
可以新创建加密或者不加密的文件系统,无法更改已有文件系统的加密属性。 |