检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过Config实现资源的多维度合规审计 当企业进行云上资源合规落地时,通常会面临合规标准无法统一的问题,例如: 生产环境和测试环境的资源安全要求不同; 不同地区的法规不同,导致对资源的规范要求不同。 同时,企业内所有账号也需要配置统一的安全基准要求。配置审计通过丰富的托管规则,
通过CES实现不合规资源的告警通知 当资源配置不合规时,配置审计会将不合规资源自动投递到云监控服务(CES)。您可以在云监控服务中查询告警记录,还可以基于云监控服务发送消息通知。 应用场景 您在配置审计控制台通过预设策略“IAM用户的AccessKey在指定时间内轮换”创建一条合
通过Config实现资源自动化管理 本文为您介绍如何通过配置审计服务的资源评估和合规修正能力,自动化实现不合规资源的发现和修正。通过该流程,可以确保云上任意用户,无论有意还是无意的行为,造成了资源不合规,都可以在几分钟内被该流程自动修复,从而保证了云上的资源安全。 应用场景 具体
css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 CSS集群内部的权限控制是通过安全集群实现的,当集群开启安全模式后,访问集群时需要进行身份认证,通过Kibana可以给集群创建用户进行授权。确保CSS集群启用了认证,详见身份认证与访问控制。
查询的复杂程度不同,既可以是简单的标签或资源标识符匹配,也可以是更复杂的查询,例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现: 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性(公网IP,加密磁盘)的资源的列表。
企业上云后,云上创建的资源不断增加,有些大型企业资源数量达到十万、百万级别,一个账号内存在大量资源,企业需要进行分类管理。华为云推荐您使用标签对资源进行标记,进而实现资源的分组分类。通过标签对资源的业务归属、财务归属等资源属性进行标记,例如:按所属部门、地域或项目等。 配置审计服务通过资源合规能力,可以帮助您识别未进行正确标签标记的资源。
策略中Condition以及SecureTransport条件,详情见桶策略参数说明。 建议您在桶策略中补充如下condition,以确保实现上述目的:"Condition": {"Bool": {"g:SecureTransport": ["true"]}}。 检测逻辑 OBS
认证用的ak和sk直接写到代码中有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全; // 本示例以ak和sk保存在环境变量中来实现身份验证为例,运行本示例前请先在本地环境中设置环境变量HUAWEICLOUD_SDK_AK和HUAWEICLOUD_SDK_SK。
认证用的ak和sk直接写到代码中有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全; // 本示例以ak和sk保存在环境变量中来实现身份验证为例,运行本示例前请先在本地环境中设置环境变量HUAWEICLOUD_SDK_AK和HUAWEICLOUD_SDK_SK。
ResourceQL使用结构化查询语言(SQL) SELECT语法的子集来对当前云资源配置数据进行查询和关联查询。用户无需调用特定API来实现,也无需通过多个API下载全量数据并手动分析。ResourceQL仅支持从表resources中查询数据。 表1 resources参数含义
Zone基础场景的最佳实践的业务背景以及合规包中的默认规则。 业务背景 为满足客户更好的管理云的诉求,华为云基于华为公司多年自身企业治理经验以及帮助企业实现数字化转型的成功实践,系统性提出Landing Zone解决方案。Landing Zone解决方案旨在为企业构筑一套可持续扩展、安全、合规
开启并配置资源记录器 操作场景 资源记录器为您提供面向资源的配置记录监控能力,帮您轻松实现海量资源的自主监管,用来跟踪您在云平台上且Config支持的云服务资源变更情况。 开启并配置资源记录器的资源转储和主题功能后,当对接服务上报Config的资源变更(被创建、修改、删除等)、资
授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise
户组的权限,实现对用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM用户组中至少有一个IAM用户,空置的IAM用户组为管理盲区,可能存在管理风险。 修复项指导 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给
息,请参见《企业管理用户指南》。 分页查询 配置审计服务的部分API提供分页查询功能,通过在请求的url中添加limit和marker参数实现分页返回列表信息,marker的值必须是上次分页查询返回的值。 表1 配置审计服务的分页查询参数列表 参数名称 类型 必选 说明 limit
资源记录器概述 概述 资源记录器为您提供面向资源的配置记录监控能力,帮您轻松实现海量资源的自主监管,用来跟踪您在云平台上且Config支持的云服务资源变更情况。 资源记录器可以为您提供以下功能: 当您开启并配置消息通知SMN主题后,在资源被创建、修改或删除时发送通知给您; 当您开
规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 无 应用场景 使用OBS“基于最后一次修改时间”的生命周期功能可实现定时转换对象的存储类别和定时删除桶中的对象,详见生命周期概述。 修复项指导 通过配置生命周期规则配置桶的生命周期规则。 检测逻辑 OBS桶启用生命周期规则,视为“合规”。
组类型,最多包含10个元素。 应用场景 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 修复项指导 选择合适的用户组,将不合规的IAM用户添加到用户组中。如果确认该IAM用户后续不再使用,则可将其停用或删除。
为避免数据丢失,您可以将集群的索引数据进行备份,当数据发生丢失或者想找回某一时间段数据时,您可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时,建议将所有索引数据进行备份。 修复项指导 在“集群快照”管理页面,单击“集群快照开关”右侧开关,打开集群快照功能,详见设置自动创建快照。
规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈: 合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。资源栈是资源编排服务的概念,详见资源栈。 状态: 表1 合规规则包的部署状态 取值 状态 状态说明 CREATE_SUCCESSFUL
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
