检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = GlobalCredentials(ak
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = GlobalCredentials(ak
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = GlobalCredentials(ak
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = GlobalCredentials(ak
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = GlobalCredentials(ak
CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces, kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces, obs CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规”
添加自定义合规规则 操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写FunctionGraph函数代码,添加自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流(FunctionGraph)上的函数。将合规规
iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥,视为“不合规” iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从C
aform模板内容”。 图3 选择模板 进入“参数配置”页面,根据如下示例完成配置后,单击“下一步”。 图4 参数配置 资源栈集名称:使用系统自动生成的名称或自定义,不可与已有资源栈集名称重复。 配置参数 AllSupported:(必选,Bool类型)指定是否记录Config所
规则描述 apig-instances-authorization-type-configured APIG专享版实例配置安全认证类型 apig APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规” apig-instances-execution-logging-enabled
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = GlobalCredentials(ak
date 您的所有云资源构成了一张表,表名固定为resouces。您的资源聚合器下的资源构成了一张表,表名固定为aggregator_resources。表中每一行记录了一条数据,每一列约定如下: 表2 resources参数含义 资源参数 参数类型 含义 id String 资源ID。
用户无需调用特定API来实现,也无需通过多个API下载全量数据并手动分析。ResourceQL仅支持从表resources中查询数据。 表1 resources参数含义 资源参数 参数类型 含义 id String 资源ID name String 资源名称 provider String
organizations:delegatedAdministrators:list organizations:trustedServices:enable organizations:trustedServices:list √ x 列举组织合规规则包 GET /v1/resource-manager/organ
该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规” pca-certifi
dms-rabbitmq-public-access-enabled-check DMS RabbitMQ实例开启公网访问 dms DMS RabbitMQ实例开启公网访问,视为“不合规” dms-reliability-public-access-enabled-check DMS RocketMQ实例开启公网访问
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = GlobalCredentials(ak
权限策略及授权项说明 如果您需要对Config进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Config的其它功能。
规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig
vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规” 4.1 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的AK/SK访问密钥未在指定天数内更换,视为“不合规” 4.1 ev
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
