检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IAM策略不具备Admin权限 iam IAM策略中存在admin权限(Action为*:*:*或*:*或*),视为“不合规” 3.3 iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的云服务的全部权限,视为“不合规”
policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users IAM委托绑定策略检查 配置变更 iam.agencies IAM用户admin权限检查 配置变更 iam.users IAM用户不直接附加策略或权限 配置变更 iam
例如:第一步预设策略选择“资源具有指定的标签”,指定一个标签,不具有此标签的资源,视为“不合规”,则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数,有的“预设策略”不需要添加规则参数。例如:已挂载的云硬盘开启加密(volumes-encrypted-check)。
您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径,即API访问路径。从具体API的URI模块获取,例如“获取用户Token”API的
查看组织合规规则包 功能介绍 根据ID获取单个组织合规规则包详情。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/organizations/{organization_id}/conformance-packs/{conformance_pack_id}
功能介绍 根据ID获取单个合规规则包。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/domains/{domain_id}/conformance-packs/{conformance_pack_id} 表1 路径参数 参数 是否必选 参数类型
s IAM策略不具备Admin权限 iam IAM策略admin权限(*:*:*或*:*或*),视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的*:*权限,视为“不合规” iam-root-access-key-check
例如:第一步预设策略选择“资源具有指定的标签”,指定一个标签,不具有此标签的资源,视为“不合规”,则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数,有的“预设策略”不需要添加规则参数。例如:已挂载的云硬盘开启加密(volumes-encrypted-check)。
tag_key:字符串类型,最多128个字符。 tag_value:字符串类型,最多256个字符。 说明: 资源类型(resource_provider)是判断过滤器类型(指定资源/所有资源)的依据,如果policy_filter中资源类型存在,则过滤器类型为“指定资源”;如果policy_fil
完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。
ph函数,单击页面右下角的“下一步:权限配置”。 图1 指定共享资源 进入“权限配置”页面,选择共享权限“default FunctionGraph function statement”,单击页面右下角的“下一步:指定使用者”。 图2 权限配置 进入“指定使用者”页面,指定共享
查看预定义合规规则包模板 功能介绍 根据ID获取单个预定义合规规则包模板。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/conformance-packs/templates/{template_id} 表1 路径参数 参数 是否必选 参数类型 描述 template_id
main_id}/tracker-config 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID。 最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 否 String 调用者token。
ConfigAgencyName:(必选,字符串类型)指定自定义IAM委托的名称。此委托必须包含可以让资源记录器正常工作的权限(调用SMN发送通知的权限和OBS的写入权限)。 进入“部署设置”页面,根据如下示例完成配置后,单击“下一步”。 图5 部署设置 部署设置 组织单元IDs:输入
、评估自己在云平台上的资源。 产品介绍 什么是Config 基本概念 功能总览 与其他服务的关系 计费说明 权限管理 03 使用 您可以使用Config查看您所拥有的资源有哪些;可以查看资源详情、资源之间的关系、资源历史;Config会在资源变更时发送消息通知给您,并定期(6小时
Console侧密码登录的IAM用户开启MFA认证 根用户开启MFA认证 IAM策略使用中 IAM权限使用中 IAM用户开启登录保护 IAM委托绑定策略检查 IAM用户admin权限检查 IAM用户不直接附加策略或权限 父主题: 系统内置预设策略
main_id}/tracker-config 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID。 最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 否 String 调用者token。
内校正资源数据。 资源清单中的资源数据依赖于资源记录器所收集的资源数据,如果相关资源无法在资源清单页面查询到,请确认资源记录器是否开启,或该资源类型是否被资源记录器收集资源数据,或Config暂不支持该服务或资源类型。如何配置资源记录器请参见配置资源记录器。 如您未开启资源记录器
适用于空闲资产管理的最佳实践 业务背景 适用于空闲资产管理的最佳实践用于检测常见的云资源在购买后是否被闲置,涉及弹性公网IP、弹性云服务器、云硬盘等云产品。资源购买后未使用会导致企业成本的浪费,建议及时发现并治理。 默认规则 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明
涉及云服务 规则描述 C.CS.FOUNDATION.G_1.R_3 确保不创建管理员权限的 IAM 用户 iam-user-check-non-admin-group IAM用户admin权限检查 iam 根用户以外的IAM用户加入admin用户组,视为“不合规” C.CS.FOUNDATION
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
