检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
无论是否为启用状态,CTS追踪器打开事件文件校验,视为“合规”。 无论是否为启用状态,CTS追踪器未打开事件文件校验,视为“不合规”。 使用约束 组织追踪器的场景下,在成员账号上使用该合规规则时,由于Config收集组织管理员下发的追踪器资源存在时延,合规评估结果的更新可能存在最多不超过24小时的滞后。
APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议
在详情页的“资源计数”列表中单击某个“资源类型”,界面将跳转至“资源”页面并自动筛选出此聚合器中某一资源类型包含的全部资源。 在详情页的“按资源计数排序的账号”列表单击某个“账号ID”,界面将跳转至“资源”页面并自动筛选出此聚合器中某一账号包含的全部资源。 在详情页的“不合规规则”列
则会将该规则应用到此资源上,进行评估。 当触发类型为“周期执行”时,系统将按照您设定的频率,触发此规则的评估任务。 手动触发 如果您想立即使用已有合规规则进行规则评估,可随时手动触发规则评估,具体请参见以下操作步骤。 约束与限制 每个账号最多可以添加500个合规规则。 添加、修改
ETS_2024-07-24T214735Z_2024-07-24T214759Z.json.gz 关于OBS的详细使用说明请参见列举对象。 关于SMN的详细使用说明请参见《消息通知服务用户指南》。 如果您想了解关于资源变更消息存储的后台代码示例,请参见资源变更消息存储模型。 父主题:
弹性伸缩组启用多AZ部署 as 弹性伸缩组没有启用多AZ部署,视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署,视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区
IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规” iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥,视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam
DWS集群未启用KMS加密,视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密,视为“不合规” ims-images-enable-encryption 私有镜像开启加密 ims 私有镜像未开启加密,视为“不合规”
“修正管理”页签展示此合规规则的修正配置详细信息,并支持编辑、删除修正配置,以及执行修正、添加/删除修正例外等操作。 “标签”页签展示此合规规则的标签信息,且支持编辑标签。 图1 合规规则详情 合规规则的运行状态分为: 已启用:表示此合规规则可用。 已停用:表示此合规规则已停用。 评估中:表示正在使用此合规规则进行资源评估。
查看不合规资源 操作场景 当您添加并运行多个合规规则进行资源合规评估时,您可以在“资源合规”页面中的“不合规资源”页签查看当前账号下全部不合规资源的信息。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
头,其中“X-Subject-Token”就是需要获取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。 建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。 图1 管理员创建IAM用户响应消息头 响应消息体(可选) 该部分可选。响应消息体通
视为“合规”。 若规则参数列表非空,相关区域均不存在符合安全最佳实践的“启用”状态的CTS追踪器,视为“不合规”。 使用约束 组织追踪器的场景下,在成员账号上使用该合规规则时,由于Config收集组织管理员下发的追踪器资源存在时延,合规评估结果的更新可能存在最多不超过24小时的滞后。
CSS集群未多实例容灾,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 为防止数据丢失,并确保在服务中断情况下能降低集群的停机时间,从而增强集群的高可用性,请确保CSS集群的实例个数大于等于2个。 修复项指导 针对实例个数不足的CSS集群,扩容集群中实例数量。
在基础配置页面,选择预设策略中的“IAM用户的AccessKey在指定时间内轮换”,单击“下一步”。 在规则参数页面,选择评估全部区域的资源,AccessKey轮转时间使用默认值,单击“下一步”。 确认规则配置符合预期,单击“提交”,完成规则创建。 在资源合规的规则页签,您可以查看该规则对IAM资源的检测结果。
删除组织合规规则包 操作场景 如果您不再需要某个组织合规规则包时,可按如下步骤进行删除操作。 操作步骤 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左
则参数。 添加、修改组织合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,组织合规规则仅支持查看和删除操作。 操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证,视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署,视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP
Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证,这样请求才会被处理。 408 Request Timeout 请求超出了服务器的等待时间。 409 Conflict 由于冲突,请求无法被完成。
检查HTTP监听器是否配置了向HTTPS监听器的重定向,如果未配置,视为“不合规” elb-multiple-az-check ELB资源使用多AZ部署 elb 检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区,视为“不合规” 父主题: 合规规则包示例模板
具体场景:企业的安全管理员,能通过聚合器的能力,查询到组织内各个成员账号部署的合规规则,并查询到各个成员账号的不合规资源情况。 操作流程: 登录配置审计控制台。 在左侧导航栏,选择资源聚合器。 在聚合器页面,单击“创建聚合器”。 勾选“允许数据复制”,命名聚合器,并选择源类型为“添加组织”,完成聚合器创建。 在聚合器
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
