正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
cts-lts-enable 规则展示名 CTS追踪器启用事件分析 规则描述 CTS追踪器未启用事件分析,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 父主题: 云审计服务 CTS
区域。 检测逻辑 如果CTS追踪器配置文件校验、加密事件文件、转储到LTS,视其满足CTS的安全最佳实践。具体请参见配置追踪器。 参数配置中的任意区域,存在符合安全最佳实践的CTS追踪器,视为“合规”。规则参数为空列表,表示全部区域。 参数配置中的任意区域,均不存在符合安全最佳实
HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源,如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的
什么是配置审计 简介 配置审计(Config)服务提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页
式登录IAM用户。 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数,确保弹性云服务器(ECS)未闲置。 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规”
k 规则展示名 CTS追踪器通过KMS进行加密 规则描述 CTS追踪器未通过KMS进行加密,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 父主题: 云审计服务 CTS
eck 规则展示名 CTS追踪器打开事件文件校验 规则描述 CTS追踪器未打开事件文件校验,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 父主题: 云审计服务 CTS
CTS追踪器追踪指定的OBS桶 规则详情 表1 规则详情 参数 说明 规则名称 cts-obs-bucket-track 规则展示名 CTS追踪器追踪指定的OBS桶 规则描述 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”。 标签 cts 规则触发方式 周期触发 规则评估的资源类型
弹性负载均衡 ELB ELB资源不具有公网IP ELB监听器配置指定预定义安全策略 ELB监听器配置HTTPS监听协议 ELB后端服务器权重检查 监听器资源HTTPS重定向检查 ELB资源使用多AZ部署 父主题: 系统内置预设策略
在指定区域创建并启用CTS追踪器 规则详情 表1 规则详情 参数 说明 规则名称 multi-region-cts-tracker-exists 规则展示名 在指定区域创建并启用CTS追踪器 规则描述 账号未在指定Region列表创建CTS追踪器,视为“不合规”。 标签 cts 规则触发方式
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” 您可以通过网络配置,为不合规的ECS资源选择特定的虚拟私有云。 ecs-instance-no-public-ip ECS资源不能公网访问 ecs 由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。
如果您将多个负载均衡器添加到伸缩组,则只有在所有负载均衡器均检测到云服务器状态为正常的情况下,才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常,伸缩组会将该弹性云服务器移出伸缩组。 as-multiple-az 弹性伸缩组启用多AZ部署 as 一个AZ是一个或多个物理数据中心的
您可以使用Config预设的查询语句,或根据资源配置属性自定义查询语句,查询具体的云资源配置。 本章节包含如下内容: 新建自定义查询 基于预设查询创建自定义查询 高级查询配置样例 新建自定义查询 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
'properties'字段的结构也就不一样。 例如ecs的cloudservcer包含字段flavor,而vpc的publicips包含字段bandwidth。 各个资源类型properties内支持的字段以及类型可以通过配置审计控制台和API接口两种方式查看,具体请参见如何获
说明 规则名称 volume-unused-check 规则展示名 云硬盘闲置检测 规则描述 云硬盘未挂载给任何云服务器,视为“不合规”。 标签 evs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes 规则参数 无 父主题: 云硬盘 EVS
检测到云服务器状态为正常的情况下,才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常,伸缩组会将该弹性云服务器移出伸缩组。 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts 确保云审计服务(CTS)的追踪器已配置KMS加密存储用于归档的审计事件。
SMN主题配置访问日志 规则详情 表1 规则详情 参数 说明 规则名称 smn-lts-enable 规则展示名 SMN主题配置访问日志 规则描述 SMN主题未配置访问日志,视为“不合规”。 标签 smn 规则触发方式 配置变更 规则评估的资源类型 smn.topic 规则参数 无
送消息通知。 配置资源记录器 对象存储服务(OBS) 在配置资源记录器时,可以根据需要选择配置资源存储(OBS桶)。 说明: 如您先配置了SMN主题,则资源存储(OBS桶)可以不配置。 资源记录器会定期(6小时)将资源变更的消息存储到您配置的OBS桶中(同时需配置SMN主题);
支持的服务和区域 Config支持的服务和区域请以控制台界面为准,在“资源清单”页面单击“已支持的服务和区域”,界面将显示当前Config已支持的服务、资源类型和区域等信息。具体请参见支持的服务和区域。 图1 查看Config支持的服务和区域 父主题: 附录
建议项编号 合规规则 指导 1.1 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.1 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。