检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
mrs:::cluster RDS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP 未开启备份的rds资源,视为“不合规”。 提高韧性 中 rds:::instance RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG
ccm:::privateCertificate RDS 控制策略名称 功能 场景 严重程度 资源 RGC-GR_CONFIG_RDS_INSTANCE_NO_PUBLIC_IP RDS资源具有公网IP,视为“不合规”。 限制网络访问 高 rds:::instance RGC-GR_CONFIG_RDS_INSTANCES_ENABLE_KMS
RGC-GR_CT_AUDIT_BUCKET_ENCRYPTION_CHANGES_PROHIBITED 实现:SCP 类型:Preventive 功能:防止对RGC创建的OBS桶的加密配置进行更改。 { "Version": "5.0", "Statement": [{ "Sid": "A
用户可以通过RGC服务创建一个Landing Zone,包含一个管理账号和多个成员账号,同时对这些账号进行各种自动化的护栏配置,帮助客户方便快速安全上云。 您可以使用本文档提供API对RGC进行相关操作,如创建、删除、更新、查询等。支持的全部操作请参见API概览。 在调用RGC
使用CTS审计RGC操作事件 操作场景 资源治理中心支持通过云审计服务对资源治理中心的操作进行记录,以便查询事件列表,用以审计和回溯历史操作。 前提条件 已开通CTS。 支持审计的关键操作列表 表1 云审计服务支持的RGC操作列表 操作名称 资源类型 事件名称 设置Landing
Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见:API签名指南。 签名SDK
云服务在IAM预置了常用授权项,称为系统策略。如果IAM系统策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义策略来进行精细的访问控制,IAM自定义策略是对系统策略的扩展和补充。 除IAM服务外,Organizations服务中的服务控制策略(Service Control Policies,以
Zone时,账号、所有OU和资源都将符合控制策略管控下的管理规则。当您和组织成员使用Landing Zone时,由于可以同时从RGC和Organizations服务对组织和SCP进行操作,操作入口的不唯一就可能导致纳管资源的合规状态发生改变。当RGC纳管的资源不满足治理策略时,就会发生以下三类漂移现象: SCP:
署Landing Zone环境,加速企业上云。 图1 自动部署Landing Zone多账号环境 预防并检测组织内成员不合规行为 企业上云对云上合规治理要求较高,每个企业均会有云上治理红线需要组织内所有成员遵从,资源治理中心提供场景化合规控制策略包,供企业灵活选用,快速部署,满足企业内部合规管控诉求。
Zone搭建失败。为了您的数据安全,建议使用桶策略为私有的OBS桶。 单击“下一步”。 确认更新的设置信息无误,单击“确定”。RGC将会开始对Landing Zone进行更新。 更新成功后,RGC界面将会出现更新成功的提示。 如果更新失败,RGC不会退回到之前的Landing Zone版本,Landing
账号ID:需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。 图6 配置日志存档账号 配置审计账号。审计账号具有对组织内所有成员账号的访问权限,建议对访问该账号的身份进行强管控。 “账号类型”选择“创建新账号”: 告警邮箱:输入审计账号的告警邮箱,该邮箱用于接收RGC预置
账号ID:需要输入华为云已注册账号的账号ID。该账号ID不能为管理账号或其他组织下成员账号的账号ID。 图6 配置日志存档账号 配置审计账号。审计账号具有对组织内所有成员账号的访问权限,建议对访问该账号的身份进行强管控。 “账号类型”选择“创建新账号”: 告警邮箱:输入审计账号的告警邮箱,该邮箱用于接收RGC预置
X-Sdk-Date 请求发起端的日期和时间。例如:20221107T020014Z。 是 API支持使用AK/SK认证,AK/SK认证是使用SDK对请求进行签名,签名过程会自动往请求中添加Authorization(签名认证信息)和X-Sdk-Date(请求发送的时间)请求头。AK/SK认证的详细说明请参见:AK/SK认证。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
