检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
企业项目)快速筛选出所需要的资源。 导出资源列表 导出所需资源列表的Excel格式文档。 查看资源合规 查看单个资源的合规性数据。 查看资源关系 查看资源之间的关联关系。 查看资源历史 查看资源的变更历史。 资源合规 添加规则 添加资源合规规则后,方可进行资源合规评估。可设置合规策略类型、合规策略的规则参数等。
资源变更消息存储周期 6小时 单个账号每天最多能开启和修改资源记录器的次数 10次 每个账号最多可以添加的合规规则数(包括由组织合规规则和合规规则包创建的托管规则) 500个 每个账号最多可以添加的合规规则包数(包括组织合规规则包) 50个 每个账号最多能创建的账号类型的资源聚合器数 30个
IAM用户admin权限检查 规则详情 表1 规则详情 参数 说明 规则名称 iam-user-check-non-admin-group 规则展示名 IAM用户admin权限检查 规则描述 根用户以外的IAM用户加入admin用户组,视为“不合规”。 标签 iam 规则触发方式
小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 rds-instance-no-public-ip 确保云数据库无法公网访问,管理对华为云中资源的访问。云数据库实例可能包含敏感信息,此类账号需要原则和访问控制。 1_DEVELOP
适用于统一身份认证服务(IAM)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
ResourceQL查询字段。 results Array of objects ResourceQL查询结果。 表5 QueryInfo 参数 参数类型 描述 select_fields Array of strings ResourceQL查询字段。 状态码: 400 表6 响应Body参数
资源标签 查询资源实例列表 查询资源实例数量 批量添加资源标签 批量删除资源标签 查询资源标签 查询项目标签 父主题: API
照您自定义的修正逻辑对不合规资源进行快速修正,确保您的云上资源持续合规。 约束与限制 每个账号最多可以添加500个合规规则(包括由组织合规规则和合规规则包创建的托管规则)。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。
ions:grantRoleToAgency需根据不同的操作授予指定权限。 表2列出了Config常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。“√”表示支持,“×”表示暂不支持。 表2 常用操作与系统权限的关系 操作 RMS ConsoleFullAccess
消息通知 您在开启资源记录器并成功配置消息通知(SMN)主题(创建主题 -> 添加订阅 -> 请求订阅)后,当发生资源变更时,消息通知会推送消息到您所配置的SMN主题。 关于SMN的详细使用说明请参见《消息通知服务用户指南》。 目前,消息通知服务支持Config以下几种类型的消息通知:
手动触发 如果您想立即使用已有合规规则进行规则评估,可随时手动触发规则评估,具体请参见以下操作步骤。 约束与限制 每个账号最多可以添加500个合规规则。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。 仅被资源
单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“资源聚合器”,在下拉列表中选择“规则”,进入“规则”页面。 在页面左上角选择需要查看的资源聚合器,列表中将展示此聚合器聚合的全部合规性数据。 在列表中单击需要查看的规则名称,即可查看此合规规则的详细信息。
操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“资源聚合器”,在下拉列表中选择“聚合器”,进入“聚合器”页面。 在列表中可查看所有已创建的资源聚合器。 您可以通过页面右上方的过
当合规规则存在修正配置,则必须删除修正配置并且停用规则后,才可删除此合规规则。 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源,基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。 由于资源变更数据同步到Config存在延迟,因此通过合规修正功能将不合规资源修正
安全身份和合规性运营最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
性云服务器、云硬盘等云产品。资源购买后未使用会导致企业成本的浪费,建议及时发现并治理。 默认规则 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查
适用于金融行业的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
API概览 表1 配置审计服务接口列表 类型 说明 资源查询 包括查询资源、查询资源标签、查询资源数量和概要、查询资源记录器收集的资源、列举云服务等接口。 资源记录器 包括资源记录器的增、删、改、查接口。 资源关系 查询资源关系和详情接口。 资源历史 查询资源历史接口。 合规性
华为云网络安全合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
也可以不配置资源转储(OBS桶)。 在配置资源记录器时,配置了“主题”,但只创建了SMN主题,未添加订阅以及执行请求订阅,在资源发生变更时,将无法收到消息通知。具体请参见创建主题、添加订阅和请求订阅。 未在资源记录器监控范围内勾选的资源,不会更新资源的最新数据。 资源记录器收集到
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
