检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
0.0.0.0/0 访问远程管理端口及高危端口 vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” C.CS.FOUNDATION
未与子网关联的网络ACL 统一网络架构 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 统一网络架构 vpc-default-sg-closed 默认安全组关闭出、入方向流量 统一网络架构 vpc-sg-ports-check 安全组端口检查 统一网络架构 vp
运行高级查询 功能介绍 执行高级查询。 调用方法 请参见如何调用API。 URI POST /v1/resource-manager/domains/{domain_id}/run-query 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID。
手动执行修正 操作场景 当合规规则的修正方法选择“手动修正”时,则您必须手动对不合规资源执行修正。 当合规规则的修正方法选择“自动修正”时,您后续也可以根据需要随时手动对不合规资源执行修正。 不合规资源的修正状态分为: 排队中:表示此不合规资源的修正操作正在排队中。 修正中:表示此不合规资源正在执行修正中。
vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0),视为“不合规” 12.2 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0
查询修正执行结果 功能介绍 查询合规规则修正执行结果详情。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/domains/{domain_id}/policy-assignments/{policy_assignment_id}/re
运行合规评估 功能介绍 根据规则ID评估此规则。 调用方法 请参见如何调用API。 URI POST /v1/resource-manager/domains/{domain_id}/policy-assignments/{policy_assignment_id}/policy
防火墙管理进出网络的流量,是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统,特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。
iam IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” C.CS.FOUNDATION.G_2.R_5 启用 VPC 流量日志功能 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”
对指定聚合器执行高级查询 功能介绍 对指定聚合器执行高级查询。 调用方法 请参见如何调用API。 URI POST /v1/resource-manager/domains/{domain_id}/aggregators/{aggregator_id}/run-query 表1 路径参数
"a6e56d05501944d3b2507ba506a43744", "name" : "console", "provider" : "cdn", "type" : "domains", "region_id" : "global", "project_id"
CTS追踪器通过KMS进行加密 规则详情 表1 规则详情 参数 说明 规则名称 cts-kms-encrypted-check 规则展示名 CTS追踪器通过KMS进行加密 规则描述 CTS追踪器未通过KMS进行加密,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型
CBR备份策略执行频率检查 规则详情 表1 规则详情 参数 说明 规则名称 cbr-policy-minimum-frequency-check 规则展示名 CBR备份策略执行频率检查 规则描述 CBR备份策略执行频率低于设定值,视为“不合规”。 标签 cbr 规则触发方式 配置变更
OBS桶策略授权行为使用SSL加密 规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-ssl-requests-only 规则展示名 OBS桶策略授权行为使用SSL加密 规则描述 OBS桶策略授权了无需SSL加密的行为,视为“不合规”。 标签 obs、acce
检查特定指标的CES告警进行特定配置 规则详情 表1 规则详情 参数 说明 规则名称 alarm-settings-check 规则展示名 检查特定指标的CES告警进行特定配置 规则描述 特定指标的CES告警没有进行特定配置,视为“不合规”。 标签 ces 规则触发方式 配置变更
适用于金融行业的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
弹性公网IP未进行任何绑定 规则详情 表1 规则详情 参数 说明 规则名称 eip-unbound-check 规则展示名 弹性公网IP未进行任何绑定 规则描述 弹性公网IP未进行任何绑定,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.publicips
高性能弹性文件服务通过KMS进行加密 规则详情 表1 规则详情 参数 说明 规则名称 sfsturbo-encrypted-check 规则展示名 高性能弹性文件服务通过KMS进行加密 规则描述 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规”。 标签
关机状态的ECS未进行任意操作的时间检查 规则详情 表1 规则详情 参数 说明 规则名称 stopped-ecs-date-diff 规则展示名 关机状态的ECS未进行任意操作的时间检查 规则描述 关机状态的ECS云主机未进行任何操作的时间超过了允许的天数,视为“不合规”。 标签
CCE集群运行的非受支持的最旧版本 规则详情 表1 规则详情 参数 说明 规则名称 cce-cluster-oldest-supported-version 规则展示名 CCE集群运行的非受支持的最旧版本 规则描述 如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
