检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检查HTTP监听器是否配置了向HTTPS监听器的重定向,如果未配置,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled
IAM用户访问模式 规则描述 IAM用户同时开启控制台访问和API访问,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 确保IAM用户不能同时通过控制台和API访问云服务,同时赋予一个IAM用户两种访问方式将增加安全风险。访问方式分为如下两种:
性。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段,以允许后端系统对来自API Gateway的请求进行身份验证。 2.3 使用强加密技术对所有非控制台管理访问进行加密。
这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段,以允许后端系统对来自API网关的请求进行身份验证。 1_DEVELOP GOOD CYBERSECURITY
nfig发布的事件,从事件中接收到规则参数和Config服务收集到的资源属性;函数评估该规则下资源的合规性并通过Config的Open API回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。添加组织类型的自定义合规规则还需通过RAM服务将F
onfig发布的事件,从事件中接收到规则参数和Config服务收集到的资源属性;函数评估该规则下资源的合规性并通过Config的OpenAPI回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。 本章节指导您如何通过自定义策略来添加资源合规规则,主要包含如下步骤:
涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书
ck 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” as-group-elb-healthcheck-required
用授权账号登录管理控制台,进入对应区域的SMN服务控制台。 参考设置主题策略对待授权账号授予相关SMN主题的权限。 如未对待授权账号进行授权,则该账号将无法通过此SMN主题接收资源变更消息通知。 跨账号授予OBS桶存储文件的权限 用授权账号登录管理控制台,进入OBS管理控制台。 参考自定义创建桶策略(JSON视
务、技术操作的合规性和合法性负责并承担与此相关的所有责任。 默认规则 此表中的建议项编号对应华为云安全配置基线指南文档的章节编号,供您查阅参考。 表1 华为云安全配置基线指南的标准合规包(level 2)默认规则说明 建议项编号 建议项说明 合规规则 规则中文名称 涉及云服务 规则描述
表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” as-group-elb-healthcheck-required
私有证书在指定时间内到期,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书
如果您已有一个华为账号,请忽略此步骤。如果您还没有华为账号,请参考以下步骤创建。 打开华为云官网,单击“注册”。 根据提示信息完成注册,详细操作请参见“注册华为账号并开通华为云”。 注册成功后,系统会自动跳转至您的个人信息界面。 参考个人账号如何完成实名认证或企业账号如何完成实名认证,完成个人或企业账号实名认证。
涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书
IAM用户的访问密钥未在指定天数内轮转,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书
修改合规规则包 操作场景 合规规则包创建完成后,如合规规则包未部署成功,或需要修改其名称和规则参数值,您可参考以下步骤对合规规则包进行修改更新。 创建或修改合规规则包需要开启资源记录器,资源记录器处于关闭状态时,合规规则包仅支持查看和删除操作。具体请参见配置资源记录器。 操作步骤
检查私有证书是否过期 pca 私有证书在指定时间内到期,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” cts-lts-enable CTS追踪器启用事件分析
规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或停用IAM用户多余的访问密钥,详见管理IAM用户访问密钥。
架构安全支柱运营最佳实践 网络和内容交付服务运营最佳实践 适用于空闲资产管理的最佳实践 多可用区架构最佳实践 资源稳定性最佳实践 适用于API网关(APIG)的最佳实践 适用于云容器引擎(CCE)的最佳实践 适用于内容分发网络(CDN)的最佳实践 适用于函数工作流(FunctionGraph)的最佳实践
查看组织合规规则 操作场景 组织合规规则添加完成后,您可以参考以下步骤查看组织合规规则的列表和详情。 本章节包含查看组织合规规则和查看部署至成员账号中的组织合规规则两部分内容。 查看组织合规规则 组织合规规则添加完成后,您可以查看该组织合规规则的详情。 使用创建组织合规规则的组织账号登录管理控制台。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
