检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
OBS桶策略授权约束 规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-policy-not-more-permissive 规则展示名 OBS桶策略授权约束 规则描述 OBS桶策略授权了控制策略以外的访问行为,视为“不合规”。 标签 obs、access-analyzer-verified
OBS桶禁止公开读 规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-public-read-policy-check 规则展示名 OBS桶禁止公开读 规则描述 OBS桶可以被公开读,视为“不合规”。 标签 obs、access-analyzer-verified
OBS桶策略中不授权禁止的Action 规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-blacklisted-actions-prohibited 规则展示名 OBS桶策略中不授权禁止的Action 规则描述 OBS桶策略中授权任意禁止的Action给外部身份,视为“不合规”。
规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈: 合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。资源栈是资源编排服务的概念,详见资源栈。 状态: 合规规则包的部署状态。包括以下几种情况: 已部署:合规规则包已部署成功,合规规则均创建成功。
ResourceQL使用结构化查询语言(SQL) SELECT语法的子集来对当前云资源配置数据进行查询和关联查询。用户无需调用特定API来实现,也无需通过多个API下载全量数据并手动分析。ResourceQL仅支持从表aggregator_resources中查询数据。 表1 a
资源进行快速修正。 合规规则修正配置 资源编排服务(RFS) 合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。 合规规则包是多个合规规则的集合,其下发的合规规则是基于RFS服务的资源栈统一进行创建、更新和删除操作。 合规规则包 合规修正配置功能
资源聚合器概述 功能概述 配置审计服务提供多账号资源数据聚合能力,通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中,方便统一查询。 资源聚合器提供只读视图,仅用于查看聚合的源账号的资源信息和合规性数据。资源聚合器不提供对源账号资源数据的修改访
返回结果 状态码 请求发送以后,您会收到响应,其中包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于管理员创建IAM用户接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联,实现对子网的防护。 1.1 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 1.2 i
8.1.4.1 d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外
apig-instances-execution-logging-enabled API网关日志记录访问API的用户的详细视图以及访问API的方式,实现用户活动的可见性。 2.8.1 应保存适当和最新的资料记录,可供金管局检查。 cts-lts-enable 使用云审计服务集中收集和管理日志事件活动。
合规规则评估逻辑:返回“Compliant”或“NonCompliant”。 本示例中, 当账号设置的登录会话失效时间大于30分钟, 会返回不合规, 否则返回合规。 实现方式是调用IAM服务的接口ShowDomainLoginPolicy。 该场景下,可能需要适当增加函数的执行超时时间和内存限制。 """
合规规则评估逻辑:返回“Compliant”或“NonCompliant”。 本示例中, 当账号设置的登录会话失效时间大于30分钟, 会返回不合规, 否则返回合规。 实现方式是调用IAM服务的接口ShowDomainLoginPolicy。 该场景下,可能需要适当增加函数的执行超时时间和内存限制。 """
y为固定字典值,不能包含重复的key或不支持的key。根据key的值确认是否需要模糊匹配,如resource_name默认为精确搜索(推荐实现前缀搜索),如果value为空字符串精确匹配(多数服务不存在资源名称为空的情况,因此此类情况返回空列表)。resource_id为精确匹配
y为固定字典值,不能包含重复的key或不支持的key。根据key的值确认是否需要模糊匹配,如resource_name默认为精确搜索(推荐实现前缀搜索),如果value为空字符串精确匹配(多数服务不存在资源名称为空的情况,因此此类情况返回空列表)。resource_id为精确匹配
编辑资源合规规则 操作场景 资源合规规则添加完成后,您可以随时对其进行修改、停用、启用、删除操作。 您可以在规则列表的操作列或规则详情页中进行这些操作,本章节以规则列表的操作为例进行说明,包含如下内容: 停用合规规则 启用合规规则 修改合规规则 删除合规规则 添加、修改、启用合规
手动执行修正 操作场景 当合规规则的修正方法选择“手动修正”时,则您必须手动对不合规资源执行修正。 当合规规则的修正方法选择“自动修正”时,您后续也可以根据需要随时手动对不合规资源执行修正。 不合规资源的修正状态分为: 排队中:表示此不合规资源的修正操作正在排队中。 修正中:表示此不合规资源正在执行修正中。
授权资源聚合器账号 操作场景 当聚合器账号发起聚合请求时,需要源账号向聚合器账号授予收集资源配置和合规性数据的权限,资源聚合器才可以收集源账号的资源数据。授权和创建聚合器并无先后关系,先创建资源聚合器或先授权均可。 组织类型的聚合器无需授权,即可收集整个组织中所有成员账号的资源数据。
修正配置示例 本章节提供基于RFS私有模板和FunctionGraph函数执行修正的配置示例,帮助您快速了解合规规则修正配置功能的整体流程,以及如何使用此功能修正不合规资源,包含如下内容: 基于RFS私有模板执行修正 基于FunctionGraph函数执行修正 基于RFS私有模板执行修正
删除查询 操作场景 如果您不需要使用某个自定义的查询,可按如下操作删除查询。 预设查询不支持删除操作。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“高级查询”,进入“高级查询”页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
