检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
t,标签值您可以根据实际情况自行定义,能区分不同环境中的资源即可。 操作流程: 登录配置审计控制台。 在左侧导航栏,选择资源合规。 在规则页面,单击“添加规则”。 选择您需要的预设策略,如“ECS实例的镜像名称在指定的范围”,单击“下一步”。 在规则参数页面,保持默认的资源范围,区域选择“全部”。
APIG专享版实例配置安全认证类型 规则详情 表1 规则详情 参数 说明 规则名称 apig-instances-authorization-type-configured 规则展示名 APIG专享版实例配置安全认证类型 规则描述 APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规”。
定IAM权限委托,例如当前场景下RFS私有模板将创建CTS追踪器,则该委托的授权云服务为RFS,委托权限为创建CTS追踪器的权限(例如CTS FullAccess)。如何创建委托请参见委托其他云服务管理资源。 配置资源ID参数,Config会将该参数赋值为不合规资源的ID。在当前
"stopped-ecs", "type" : "account", "description" : "查询关机状态的云服务器。", "expression" : "SELECT id, name FROM resources WHERE provider = 'ecs' AND
适用于管理与监管服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” alar
注意,'CROSS JOIN'只能用于和 'UNNEST'连接,ResourceQL不支持其他格式的'CROSS JOIN'。 上述查询ECS和EVS关联的例子还可以写成如下形式: SELECT ECS_EVS.id AS ecs_id, EVS.id AS evs_id FROM
预设查询支持修改查询语句、名称和描述后另存为新的自定义查询,具体请参见基于预设查询创建自定义查询。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“高级查询”,进入“高级查询”页面。
状态时,组织合规规则包仅支持查看和删除操作。具体请参见配置资源记录器。 操作步骤 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“合规规则包”,进入“合规规则包”页面。
文档数据库服务 DDS DDS实例开启SSL DDS实例属于指定实例类型 DDS实例未绑定弹性公网IP DDS实例端口检查 DDS实例数据库版本检查 DDS实例属于指定虚拟私有云ID 父主题: 系统内置预设策略
参数类型 描述 error_code String 错误码。 error_msg String 错误消息内容。 请求示例 查询当前组织下所有虚拟机的ID。 POST https://{endpoint}/v1/resource-manager/domains/{domain_id}/
创建资源聚合器 操作场景 您可以创建账号类型或组织类型的资源聚合器。 账号类型的资源聚合器必须获得源账号的授权才能聚合数据,具体请参见授权资源聚合器账号。 创建组织类型的资源聚合器依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations:get
无 应用场景 由于可能存在敏感数据,应当确保图引擎服务(GES)已通过KMS进行加密。加密可帮助您保护数据的机密性,从而降低未经授权的用户访问数据的风险。 修复项指导 在创建图实例时,您应当使用KMS对图实例进行加密,详见自定义创建图。 检测逻辑 GES图未通过KMS进行加密,视为“不合规”。
查看资源聚合器 操作场景 您可以通过资源聚合器列表查看所有已创建的资源聚合器及其详情,并支持在列表中进行搜索操作。 查看组织资源聚合器聚合的资源信息和合规性数据依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations:get org
约束与限制 以下为使用配置审计(Config)服务的主要约束与限制: 表1 Config约束与限制 描述 限制值 资源数据同步周期 说明: 已对接Config的服务的资源数据同步到Config存在延迟,不同服务的延迟时间并不相同。 对于已开启资源记录器且在监控范围内的资源,Con
a04d", "name" : "volume-inuse-check", "description" : "云硬盘未挂载给任何云服务器,视为“不合规”。", "policy_filter" : { "region_id" : null, "resource_provider"
定义授权,但必须包含可以让合规规则包正常工作的权限(授权资源编排服务创建、更新和删除合规规则的权限)。 创建合规规则包 通过IAM控制用户访问Config的权限。 通过IAM服务为用户授予不同的Config系统权限或自定义策略,以控制用户在Config中可执行的操作。 权限管理 云审计服务(CTS)
为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。 检测逻辑 IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。
规则参数 blockedActionsPatterns:KMS的阻拦action列表,数组类型。 应用场景 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。 修复项指导 用户可以根据合规评估
该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-multiple-az-check CSS集群具备多AZ容灾 css CSS集群没有多az容灾,视为“不合规” gaussdb-nosql-deploy-in-single-az
种机制触发规则评估,然后查看合规规则的评估结果来了解资源的合规情况。 本章节以添加预设策略“IAM用户在指定时间内有登录行为”为例,用于及时发现账号下不活跃的IAM用户,减少闲置用户或降低密码泄露的风险,提升账号安全。 准备工作 如果您已有一个华为账号,请忽略此步骤。如果您还没有华为账号,请参考以下步骤创建。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
