检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
规则触发方式 配置变更 规则评估的资源类型 iam.policies 规则参数 无 应用场景 避免长期存在未绑定的IAM策略,防止因管理疏漏引发计划外授权,从而导致恶意操作。 修复项指导 判断该IAM策略是否仍需使用,将其附加到预期的IAM用户、用户组或委托上,或删除该IAM策略。 检测逻辑
规则参数 无 应用场景 由于可能存在敏感数据,应当确保图引擎服务(GES)已通过KMS进行加密。加密可帮助您保护数据的机密性,从而降低未经授权的用户访问数据的风险。 修复项指导 在创建图实例时,您应当使用KMS对图实例进行加密,详见自定义创建图。 检测逻辑 GES图未通过KMS进行加密,视为“不合规”。
规则触发方式 配置变更 规则评估的资源类型 iam.roles 规则参数 无 应用场景 避免长期存在未绑定的IAM权限,防止因管理疏漏引发计划外授权,从而导致恶意操作。 修复项指导 判断该IAM权限是否仍需使用,将其附加到预期的IAM用户、用户组或委托上,或删除该IAM权限。 检测逻辑
号,组织类型的资源聚合器仅支持修改聚合器名称。 如下步骤以修改账号类型的聚合器为例进行说明。 修改组织类型的资源聚合器依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations:get organizations:accounts:list
secrets 规则参数 无 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑
的资源,且支持通过资源名称、账号ID和资源类型进一步筛选,还可以查看每个资源的详情。 查看组织资源聚合器聚合的资源信息依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations:get organizations:delegatedAdministrators:list
HTTP协议明文传输数据。建议确认访问环境的安全性,勿将访问接口暴露到公网环境上。安全模式的集群需要通过安全认证才能访问,且支持对集群进行授权、加密等功能。采用HTTPS协议进行通信加密,使数据更安全。详见更改Elasticsearch集群安全模式。 修复项指导 部分集群版本不支
应用场景 CSS集群内部的权限控制是通过安全集群实现的,当集群开启安全模式后,访问集群时需要进行身份认证,通过Kibana可以给集群创建用户进行授权。确保CSS集群启用了认证,详见身份认证与访问控制。 修复项指导 部分集群支持开启安全模式。用户可以通过安全模式修改API接口启用安全模式。
支持通过规则名称、合规评估结果和账号ID进一步筛选,还可以查看每个合规规则的详情。 查看组织资源聚合器聚合的合规性数据依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations:get organizations:delegatedAdministrators:list
可参考以下步骤: 用授权账号登录管理控制台,进入数据加密服务的“密钥管理”界面。 单击目标自定义密钥的别名,进入密钥详细信息的授权页面。 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。 “被授权对象”选择“账号”,并输入待授权账号的账号ID。 “授权操作”勾选“创建数据
maxRotationDays:最大未轮转天数,默认值为90。 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑
新增运行修正执行接口。 新增查询修正执行结果接口。 “权限和授权项”下的“合规性”章节新增以上接口相关授权项。 2024-05-15 第十次正式发布,本次变更如下: 新增资源标签相关接口。 “权限和授权项”下新增“资源标签”接口的相关授权项。 2023-12-20 第九次正式发布,本次变更如下:
对象存储服务 OBS OBS桶策略中不授权禁止的Action OBS桶策略中授权检查 OBS桶策略授权约束 OBS桶禁止公开读 OBS桶禁止公开写 OBS桶策略授权行为使用SSL加密 父主题: 系统内置预设策略
查看聚合的合规规则 √ √ √ 查看聚合的资源 √ √ √ 授权资源聚合器账号 √ √ x 删除资源聚合器账号授权 √ √ x 删除资源聚合器的待授权请求 √ √ x 查看资源聚合器的待授权列表 √ √ √ 运行资源聚合器高级查询 √ √ x 查看授权列表 √ √ √ 创建合规规则包 √(依赖RF
使用双端固定对 OBS 的资源进行权限控制 obs-bucket-policy-grantee-check OBS桶策略中授权检查 obs OBS桶策略授权了不被允许的访问行为,视为“不合规” C.CS.FOUNDATION.G_5_2.R_1 确保云硬盘是加密的 volumes-encrypted-check
查询指定资源聚合器 查询指定资源聚合器聚合账号的状态信息 更新资源聚合器 删除资源聚合器 创建资源聚合器授权 查询资源聚合器授权列表 删除资源聚合器授权 查询所有挂起的聚合请求列表 删除聚合器账号中挂起的授权请求 查询聚合器中账号资源的计数 查询聚合器中资源的列表 查询源账号中资源的详情 对指定聚合器执行高级查询
数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器,必须获得源账号的授权才能聚合数据;源类型为组织的资源聚合器,则无需授权即可聚合整个组织中所有成员账号的数据。 父主题: 资源聚合器
线、中划线组成。 (可选)授权 此处的授权为委托授权,当您不选择自定义授权时,Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围,可选择进行自定义授权,提前在统一身份认证服务(IAM)中创建委托,并进行自定义授权,但必须包含可以让合规规则
持选择其他账号下的OBS桶或SMN主题,但需先使用其他账号对当前账号进行授权,具体操作请参见跨账号授权。 在资源记录器的“授权”时,您可自行在统一身份认证服务(IAM)中创建委托,并进行“自定义授权”,授权对象为云服务Config,但必须包含可以让资源记录器正常工作的权限(调用消
在配置资源记录器时,需要委托授权。 快速授权包含授予Config调用SMN发送通知权限,以及OBS的写入权限。如需控制权限范围,请使用自定义授权。 配置资源记录器 创建合规规则包时,可根据需要进行自定义委托授权。 创建合规规则包时,当您不选择自定义授权时,Config将通过服务关
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
