检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
或欠费导致资源记录器的相关功能无法使用,从而影响Config的其他功能也无法使用。如何充值请参见账户充值。 开启并配置资源记录器。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。且仅被资源记录器收集的资源可
指定查询范围的起始时间点,如果不设置此参数,默认为最早的时间。 later_time 否 Long 指定查询范围的结束时间点,如果不设置此参数,默认为当前时间。 chronological_order 否 String 指定返回数据的时间顺序,默认为倒序。 请求参数 表3 请求Header参数
进入“编辑规则”页面,在“基础配置”页修改“规则名称”和“规则简介”后,单击“下一步”。 进入“规则参数”页,修改规则相关配置后,单击“下一步”。 不同类型的策略支持修改的配置项存在差异,具体如下: 过滤器类型(规则“触发类型”为“配置变更”时支持修改) 资源范围(规则“触发类型”为“配置变更”时支持修改) 过
limit 否 Integer 查询记录数默认为1000,limit最多为1000,不能为负数,最小值为1 最小值:1 最大值:1000 缺省值:1000 offset 否 Integer 索引位置,从第一条数据偏移offset条数据后开始查询,默认为0(偏移0条数据,表示从第一条数据开始查询)
最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Language 否 String 选择接口返回的信息的语言,默认为"zh-cn"中文,可选值:zh-cn和en-us。 缺省值:zh-cn X-Security-Token 否 String 如果正在使
单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 “资源清单”页面默认展示在资源记录器配置的监控范围内且您拥有的全部资源信息。 图1 资源清单默认页面 您可以通过关闭“仅显示有资源的服务和区域”开关,并单击“更多服务”以查看配置审计支持服务的完整列表。
查看资源记录器 √ √ √ 开启/配置/修改资源记录器 √ √ x 关闭资源记录器 √ √ x 查看合规策略定义 √ √ √ 更新合规规则 √ √ x 创建合规规则 √ √ x 查看合规规则 √ √ √ 删除合规规则 √ √ x 创建组织合规规则 √ √ x 修改组织合规规则 √ √ x 查看组织合规规则
TaurusDB实例VPC检查 规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-in-vpc 规则展示名 TaurusDB实例VPC检查 规则描述 TaurusDB实例绑定的VPC不在对应VPC列表,视为“不合规”。 标签 taurusdb
最大长度:128 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Language 否 String 选择接口返回的信息的语言,默认为"zh-cn"中文,可选值:zh-cn和en-us。 缺省值:zh-cn X-Security-Token 否 String 如果正在使
规则详情 表1 规则详情 参数 说明 规则名称 vpc-sg-attached-ports 规则展示名 安全组连接到弹性网络接口 规则描述 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规”。 标签 vpc 规则触发方式 配置变更
gregator”。若取值为“account”,表示单账号的自定义查询语句;若取值为“aggregator”,表示聚合器的自定义查询语句。默认值为“account”。 description 否 String ResourceQL描述。 最小长度:0 最大长度:512 expression
限。为了提高账号资源的安全性,不创建允许“*”或“*:*”或“*:*:*”管理权限的自定义策略。 修复项指导 管理员可以修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的全部云服务的全部权限(action为“*:*:*”或“*:*”或“*”),视为“不合规”。
在基础配置页面,选择预设策略中的“IAM用户的AccessKey在指定时间内轮换”,单击“下一步”。 在规则参数页面,选择评估全部区域的资源,AccessKey轮转时间使用默认值,单击“下一步”。 确认规则配置符合预期,单击“提交”,完成规则创建。 在资源合规的规则页签,您可以查看该规则对IAM资源的检测结果。 步骤二:设置消息通知主题
gregator”。若取值为“account”,表示单账号的自定义查询语句;若取值为“aggregator”,表示聚合器的自定义查询语句。默认值为“account”。 description 否 String ResourceQL描述。 最小长度:0 最大长度:512 expression
户在指定时间内都不能覆盖或删除受保护的对象版本,包括账号中的根用户。详见配置对象锁定(WORM)防止对象被更改或删除。 修复项指导 通过配置对象锁定(WORM)防止对象被更改或删除配置桶的对象锁定(WORM)。 检测逻辑 OBS桶启用WORM保留策略,视为“合规”。 OBS桶未启用WORM保留策略,视为“不合规”。
来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。 修复项指导 用户可以根据合规评估结果修改IAM策略配置,详见修改、删除自定义策略。 检测逻辑 IAM策略或权限未授予指定的KMS操作权限,视为“合规”。 IAM策略或权限授予指定的KMS操作权限,视为“不合规”。
构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中创建
在左侧导航栏,选择资源合规。 在规则页面,单击“添加规则”。 选择您需要的预设策略,如“ECS实例的镜像名称在指定的范围”,单击“下一步”。 在规则参数页面,保持默认的资源范围,区域选择“全部”。 单击“过滤范围”,选择标签,标签键和标签值填入 Env 和 Prod。 完成规则创建,则合规规则只会评估生产环境中的该类型资源。
配置变更 规则评估的资源类型 elb.loadbalancers 规则参数 predefinedPolicyName:指定的预定义安全策略名称,默认值为tls-1-0。 支持的枚举值:tls-1-0、tls-1-1、tls-1-2、tls-1-0-inherit、tls-1-2-str
确保IAM用户或IAM委托操作仅限于所需的操作。为了提高账号资源的安全性,不创建允许某个云服务全部管理权限的自定义策略。 修复项指导 管理员可以在IAM页面修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的任意一个云服务的全部权限,视为“不合规”。 IAM自定义策
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
