-
适用于弹性云服务器(ECS)的最佳实践 - 配置审计 Config
程登录身份验证。 ecs-instance-no-public-ip ECS资源不能公网访问 ecs 由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 ECS资源具有公网IP,视为“不合规” 您可以登录弹性云服务器页面,在弹性云服务器列
-
消息通知服务 SMN - 配置审计 Config
消息通知服务 SMN SMN主题配置访问日志 父主题: 系统内置预设策略
-
适用于人工智能与机器学习场景的合规实践 - 配置审计 Config
mrs-cluster-no-public-ip MRS集群未绑定公网IP mrs 确保MapReduce服务(MRS)无法公网访问。华为云MRS集群主节点可能包含敏感信息,并且此类账号需要访问控制。 MRS集群绑定公网IP,视为“不合规” 对于不合规的MRS资源,用户可以解除其与弹性公网IP的绑定。
-
适用于日志和监控的最佳实践 - 配置审计 Config
ing-enabled APIG专享版实例配置访问日志 apig 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。 APIG专享版实例未配置访问日志,视为“不合规” 可以在API网关控制台选择启动日志记录
-
函数工作流 FunctionGraph - 配置审计 Config
函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 函数工作流使用指定VPC 函数工作流的函数不允许访问公网 检查函数工作流参数设置 父主题: 系统内置预设策略
-
云搜索服务 CSS - 配置审计 Config
CSS集群开启磁盘加密 CSS集群启用HTTPS CSS集群绑定指定VPC资源 CSS集群具备多AZ容灾 CSS集群具备多实例容灾 CSS集群不能公网访问 CSS集群开启安全模式 CSS集群白名单不生效 CSS集群kibana白名单不生效 父主题: 系统内置预设策略
-
什么是配置审计 - 配置审计 Config
建和管理合规规则,并统一查询合规性数据。 图1 配置审计服务产品架构图 访问方式 通过管理控制台、基于HTTPS请求的API(Application Programming Interface)两种方式访问配置审计服务。 管理控制台方式 管理控制台是网页形式的,您可以使用直观的界
-
适用于弹性负载均衡(ELB)的最佳实践 - 配置审计 Config
elb-loadbalancers-no-public-ip ELB资源不具有公网IP elb 确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。 ELB资源具有公网IP,视为“不合规” 用户可以解除不合规资源的公网绑定。 elb-predefined-security-policy-https-check
-
IAM用户创建时设置AccessKey - 配置审计 Config
ation 规则展示名 IAM用户创建时设置AccessKey 规则描述 对于需要登录Console的IAM用户,在其创建时设置AK/SK访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 父主题: 统一身份认证服务
-
IAM用户的AccessKey在指定时间内轮换 - 配置审计 Config
规则名称 access-keys-rotated 规则展示名 IAM用户的AccessKey在指定时间内轮换 规则描述 IAM用户的AK/SK访问密钥未在指定天数内更换,视为“不合规”。 标签 iam 规则触发方式 周期触发 规则评估的资源类型 iam.users 规则参数 maxA
-
弹性云服务器 ECS - 配置审计 Config
ECS的镜像在指定Tag的IMS的范围内 绑定指定标签的ECS关联在指定安全组ID列表内 ECS资源属于指定虚拟私有云ID ECS资源配置秘钥对 ECS资源不能公网访问 检查ECS资源是否具有多个公网IP 关机状态的ECS未进行任意操作的时间检查 ECS资源附加IAM委托 ECS实例的镜像名称在指定的范围
-
查询审计事件 - 配置审计 Config
warning:表示操作失败。 incident:表示比操作失败更严重的情况,例如引起其他故障等。 企业项目ID:输入企业项目ID。 访问密钥ID:输入访问密钥ID(包含临时访问凭证和永久访问密钥)。 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近1周内任意时间段的操作事件。
-
状态码 - 配置审计 Config
Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。
-
成长地图 - 配置审计 Config
开启并配置资源记录器 添加资源合规规则 查看规则评估结果 04 API 如果您需要将云平台上的配置审计服务集成到第三方系统,用于二次开发,您可以使用API方式访问配置审计服务。 API文档 API概览 如何调用API 资源查询 资源记录器 资源关系 资源历史 合规性 区域管理 高级查询 资源聚合器 合规规则包
-
合规规则包示例模板 - 配置审计 Config
适用于弹性伸缩(AS)的最佳实践 适用于云审计服务(CTS)的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 适用于空闲资产管理的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包
-
基本概念 - 配置审计 Config
资源发生任何属性的变化和资源关系的变化,都会在资源历史中生成一条记录,该记录会包含此时资源的属性和资源的关系。 您可以通过控制台或API访问资源历史。 资源记录器 资源记录器是用来跟踪您在云平台上的资源变更情况。当资源被创建、修改、删除以及资源关系发生变化时,向您发出通知,同时
-
概述 - 配置审计 Config
适用于弹性伸缩(AS)的最佳实践 适用于云审计服务(CTS)的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 适用于空闲资产管理的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包
-
分页查询 - 配置审计 Config
分页查询 配置审计服务的部分API提供分页查询功能,通过在请求的url中添加limit和marker参数实现分页返回列表信息,marker的值必须是上次分页查询返回的值。 表1 配置审计服务的分页查询参数列表 参数名称 类型 必选 说明 limit Integer 否 每次分页查
-
适用于空闲资产管理的最佳实践 - 配置审计 Config
实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IAM用户组未添加任意IAM用户,视为“不合规” 管理员在用户组列表中,单击新建的用户组,选择“用户组管理”,在“可
-
获取账号ID - 配置审计 Config
获取账号ID 在调用接口的时候,部分URL中需要填入账号ID(domain-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面查看账号ID。 图1 获取账号ID 父主题: