检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
设置修正例外 操作场景 当不合规资源被添加至修正例外后,后续再执行合规修正时将不会对此资源进行修正。 将不合规资源添加至修正例外包含如下两种方式: 自动添加:当不合规资源的修正次数超出您设置的修正重试规则,也就是在规定的重试时间内资源执行修正的次数超出重试次数后,该资源将会被自动
检查函数工作流参数设置 规则详情 表1 规则详情 参数 说明 规则名称 function-graph-settings-check 规则展示名 检查函数工作流参数设置 规则描述 函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规”。 标签 fgs 规则触发方式 配置变更
CodeArts编译构建下的项目未设置参数加密 规则详情 表1 规则详情 参数 说明 规则名称 cloudbuildserver-encryption-parameter-check 规则展示名 CodeArts编译构建下的项目未设置参数加密 规则描述 CodeArts编译构建下的项目,如果设置未加密参数(除预定义参数外),则视为“不合规”。
创建时设置访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。
确保IAM用户密码强度满足密码强度要求,详见设置强密码策略。 修复项指导 用户可以根据要求修改密码达到需要的密码强度,详见修改IAM用户密码。 检测逻辑 IAM用户未设置密码,视为“合规”。 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且已设置密码,若密码强度满足密码强度要求,视为“合规”。
规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“设置桶的策略”或未配置“删除桶policy配置”的事件监控告警,视为“不合规”。 账号已配置“设置桶的策略”和“删除桶policy配置”的事件监控告警,视为“合规”。 CES服务目前支持监控
规则描述 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放所有的TCP/UDP端口时,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 检测逻辑 当安全组入方向源地址未设置为0.0.0.0/0或:
权限管理 如果您需要针对配置审计服务,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。
标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略的规则参数无法增删,但是您可以根据需要为其设置不同的参数值,将合规策略重用于不同的方案。 自定义策略的规则参数由您自行配置,您可以根据需要为自定义策略添加不同的规则参数,最多可添加10个。
修正配置概述 概述 配置审计服务的资源合规特性用于评估您的资源是否满足合规要求,针对合规规则评估出的不合规资源,合规修正功能可以帮助您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您自定义的修正逻辑对不合规资源进行快速修正,确保您的云上资源持续合规。
以评估出这个资源是否满足合规策略中的要求。 合规策略本身只是一个静态的逻辑,如果想要让其生效,必须将合规策略指定到一个具体的范围(例如通过设置过滤器来指定具体的资源范围)上,即生成一个具体的合规规则。 使用JSON表达式来表示一个合规策略定义,如表1所示。 表1 合规策略的定义-JSON表达式格式
缺省值:200 earlier_time 否 Long 指定查询范围的起始时间点,如果不设置此参数,默认为最早的时间。 later_time 否 Long 指定查询范围的结束时间点,如果不设置此参数,默认为当前时间。 chronological_order 否 String 指定返回数据的时间顺序,默认为倒序。
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 elb-loadbalancers-no-public-ip 确保弹性负载均衡(ELB)无法公网访问,管理对华为云中资源的访问。 8.1.3.2 a)应在网络边界或区域之间根据访问控制策略设置访问控制规则
合规规则类型 - 包含以下两种: builtin:预设策略,此时合规规则需要设置参数policy_definition_id。 custom:自定义策略,此时合规规则需要设置参数custom_policy。 如不设置此参数,则默认为预设策略。 name 合规规则的名称 字符串类型,最多64个字符。
托必须包含可以让资源记录器正常工作的权限(调用SMN发送通知的权限和OBS的写入权限)。 进入“部署设置”页面,根据如下示例完成配置后,单击“下一步”。 图5 部署设置 部署设置 组织单元IDs:输入组织单元(OU)的ID。当指定根组织单元(Root)的ID时,表示资源栈集将部署于整个组织。
部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 CodeArts编译构建下的项目未设置参数加密 父主题: 系统内置预设策略
合规规则修正配置 修正配置概述 创建修正配置 修正配置快速入门 手动执行修正 设置修正例外 编辑修正配置 删除修正配置 父主题: 资源合规
dy object SMN通道设置对象。跨账号授予SMN主题发送通知的权限请参考《用户指南- 资源记录器- 开启/配置/修改资源记录器》中的“跨账号授权”内容。 obs TrackerOBSChannelConfigBody object OBS设置对象。跨账号授予OBS桶转储文件的权限请参考《用户指南-
FunctionGraph 函数工作流的函数并发数在指定范围内 函数工作流使用指定VPC 函数工作流的函数不允许访问公网 检查函数工作流参数设置 函数工作流的函数启用日志配置 父主题: 系统内置预设策略
期的数据将会被删除。 如果您后续对数据保留周期进行了修改,此时新生成的资源数据将按照您新设置的保留周期进行存储,历史资源数据还将按照之前设置的数据保留周期进行存储。例如您先将数据保留周期设置为100天,此时生成的资源数据将保留100天,后续又将数据保留周期修改为30天,此时新生成
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
