检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
created_by 合规规则的创建者 - 用户创建(custom)或服务关联委托方式创建。 为避免循环评估的行为,合规规则不支持评估配置审计服务的合规规则和合规规则包两种资源类型。 如下JSON表示了一个用于检查在区域1的弹性云服务器是否具有tag(env:production)标签的预设策略:
由于可能存在敏感数据,请启用磁盘加密以保护相关数据。 修复项指导 当前CSS服务暂时不支持磁盘加密功能,请避免在CSS服务中存储敏感数据。 检测逻辑 CSS集群未开启磁盘加密,视为“不合规”。 CSS集群开启了磁盘加密,视为“合规”。 父主题: 云搜索服务 CSS
arch 7.10.2等。 检测逻辑 CSS集群不支持安全模式,视为“不合规”。 CSS集群支持安全模式,视为“合规”。 父主题: 云搜索服务 CSS
快照功能,详见设置自动创建快照。 检测逻辑 CSS集群未开启快照,视为“不合规”。 CSS集群开启了快照,视为“合规”。 父主题: 云搜索服务 CSS
适用于计算服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 as-capacity-rebalancing 弹性伸缩组均衡扩容 as 弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DIST
S桶中,详见修改日志基础配置。 检测逻辑 CSS集群未开启慢日志,视为“不合规”。 CSS集群开启慢日志,视为“合规”。 父主题: 云搜索服务 CSS
标签 ges 规则触发方式 配置变更 规则评估的资源类型 ges.graphs 规则参数 无 应用场景 由于可能存在敏感数据,应当确保图引擎服务(GES)已通过KMS进行加密。加密可帮助您保护数据的机密性,从而降低未经授权的用户访问数据的风险。 修复项指导 在创建图实例时,您应当使
CSS集群未多实例容灾,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 为防止数据丢失,并确保在服务中断情况下能降低集群的停机时间,从而增强集群的高可用性,请确保CSS集群的实例个数大于等于2个。 修复项指导 针对实例个数不足的CSS集群,扩容集群中实例数量。
适用于金融行业的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
CSS集群开启了公网访问但未开启访问控制开关,视为“不合规”。 CSS集群开启了公网访问且开启了访问控制开关,视为“合规”。 父主题: 云搜索服务 CSS
转策略和轮转周期。 检测逻辑 CSMS凭据未启动自动轮转,视为“不合规”。 CSMS凭据已启动自动轮转,视为“合规”。 父主题: 数据加密服务 DEW
适用于云搜索服务(CSS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-backup-available CSS集群启用快照 css CSS集群未启用快照,视为“不合规”
若您有查看和监控业务日志的需求,可以通过开启LTS服务来查看业务运行日志。 修复项指导 在LTS服务创建日志组和对应的日志流,并在GES服务开启LTS,详见对接LTS。 检测逻辑 GES图未开启LTS日志,视为“不合规”。 GES图开启了LTS日志,视为“合规”。 父主题: 图引擎服务 GES
OBS桶策略授权controlPolicy以外的访问,视为“不合规”。 OBS桶策略未授权controlPolicy以外的访问,视为“合规”。 父主题: 对象存储服务 OBS
OBS桶ACL允许本账号或日志投递用户组以外的身份执行“读”相关的操作,视为“不合规”。 OBS桶不满足以上场景,视为“合规”。 父主题: 对象存储服务 OBS
OBS桶ACL允许本账号或日志投递用户组以外的身份执行“写”相关的操作,视为“不合规”。 OBS桶不满足以上场景,视为“合规”。 父主题: 对象存储服务 OBS
为防止数据丢失,并确保在服务中断情况下能降低集群的停机时间,从而增强集群的高可用性,CSS服务支持跨可用区(即多可用区)部署。用户可以在同一个区域内选择两个或三个不同的可用区进行集群部署。详见规划集群可用区。 修复项指导 在创建集群时,如果用户选择了两个或三个可用区,CSS服务将自动开启跨A
CSS集群Kibana开启了公网访问但未开启访问控制开关,视为“不合规”。 CSS集群Kibana开启了公网访问且开启了访问控制开关,视为“合规”。 父主题: 云搜索服务 CSS
IAM策略附加到IAM用户、用户组或委托,视为“合规”。 IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务 IAM
在创建图实例时,您应当开启跨AZ高可用,详见自定义创建图。 检测逻辑 GES图不支持跨AZ高可用,视为“不合规”。 GES图支持跨AZ高可用,视为“合规”。 父主题: 图引擎服务 GES
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
