检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
RDS实例支持多可用区 规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-multi-az-support 规则展示名 RDS实例支持多可用区 规则描述 RDS实例仅支持一个可用区,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型
CSS集群启用快照 规则详情 表1 规则详情 参数 说明 规则名称 css-cluster-backup-available 规则展示名 CSS集群启用快照 规则描述 CSS集群未启用快照,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters
统一身份认证服务 IAM IAM用户的AccessKey在指定时间内轮换 IAM策略中不授权KMS的禁止的action IAM用户组添加了IAM用户 IAM用户密码策略符合要求 IAM策略黑名单检查 IAM策略不具备Admin权限 IAM自定义策略具备所有权限 根用户存在可使用的访问密钥
数据加密服务 DEW KMS密钥不处于“计划删除”状态 KMS密钥启用密钥轮换 检查CSMS凭据轮转成功 CSMS凭据启动自动轮转 CSMS凭据使用指定KMS CSMS凭据在指定时间内轮转 父主题: 系统内置预设策略
vel 2)的应用场景以及合规包中的默认规则。 应用场景 华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。 免责条款 本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合
regionList:指定的Region列表,数组类型。 应用场景 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更
vel 1)的应用场景以及合规包中的默认规则。 应用场景 华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。 免责条款 本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合
b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 8.1.3.1 b)应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 elb-lo
CSP的标准合规包默认规则说明 建议项编号 合规规则 指导 1.1 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.1 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。
未开启慢日志的gaussdb资源,视为“不合规” gaussdb-instance-in-vpc GaussDB资源属于指定虚拟私有云ID gaussdb 指定虚拟私有云ID,不属于此VPC的gaussdb资源,视为“不合规” 父主题: 合规规则包示例模板
如果源类型选择“添加账号”,则输入华为云账号ID,多个账号之间以逗号分隔;如果源类型选择“添加组织”,资源聚合器将直接聚合此组织下账号状态为“正常”的成员账号的数据,无需输入账号ID。 图1 创建聚合器 账号类型的资源聚合器仅支持聚合华为云账号下的资源,因此源账号ID需输入华为云账号ID(domai
源账号可以是华为云账号或组织。 资源聚合器 资源聚合器是配置审计服务中的一种新的功能,可以从多个源账号收集资源配置和合规性数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器,必
0/0或::/0,且开放TCP 22端口,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” private-nat-gateway-authorized-vpc-only
适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包 适用于SWIFT CSP的标准合规包 适用于德国云计算合规标准目录的标准合规包 适用于PCI-DSS的标准合规包 适用于医疗行业的合规实践
数据复制服务实时同步任务使用公网网络,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs,vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问
如果您需要对Config进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Config的其它功能。 策略是以JSON格式描述权限集的
为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。 检测逻辑 IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。
使用前必读 配置审计(Config)服务提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 本文档提供了配置审计服务API的描述、参数说明以及示例等内容。您可以使用本文档提供的API对Config进行相关操作。支持的全部操作请参阅API概览。
可以通过ResourceQL在查询编辑器中编辑和查询。 您可以使用Config预设的查询语句,或根据资源配置属性自定义查询语句,查询具体的云资源配置。 ResourceQL是结构化的查询语言(SQL)SELECT语法的一部分,它可以对当前资源数据执行基于属性的查询和聚合。查询的复
新建自定义查询 操作场景 您可以使用Config预设的查询语句,或根据资源配置属性自定义查询语句,查询具体的云资源配置。 本章节包含如下内容: 新建自定义查询 基于预设查询创建自定义查询 高级查询配置样例 新建自定义查询 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
