检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配额,否则执行修正可能会因配额不足导致失败。 一个合规规则上只能创建一个修正配置。 当合规规则存在修正配置,则必须删除修正配置并且停用规则后,才可删除此合规规则。 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源,基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。
修复项指导 使用该闲置的IAM用户登录管理控制台,或删除该闲置的IAM用户,详见IAM用户登录或删除IAM用户。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若在指定时间内有登录行为,视为“合规”。
部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导 进入IAM的“admin”用户组,删除企业管理员以外的IAM用户,详见用户组添加/移除用户。
查询资源实例列表 功能介绍 使用标签过滤实例,标签管理服务需要提供按标签过滤各服务实例并汇总显示在列表中,需要各服务提供查询能力。注意:tags, tags_any, not_tags, not_tags_any等字段支持的tag的数量。 >- 说明:该接口仅支持Config的资
批量添加资源标签 功能介绍 此接口为幂等接口。为指定实例批量添加或删除标签,标签管理服务需要使用该接口批量管理实例的标签。一个资源上最多有20个标签。 >- 说明:该接口仅支持Config的资源类型,当前resource_type仅支持config:policyAssignments。
批量删除资源标签 功能介绍 此接口为幂等接口。为指定实例批量添加或删除标签,标签管理服务需要使用该接口批量管理实例的标签。一个资源上最多有20个标签。 >- 说明:该接口仅支持Config的资源类型,当前resource_type仅支持config:policyAssignments。
获取账号ID 在调用接口的时候,部分URL中需要填入账号ID(domain-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面查看账号ID。 图1 获取账号ID 父主题:
确保IAM用户、用户组或委托仅拥有所需操作的相关权限。为了提高账号资源的安全性,不创建允许“*”或“*:*”或“*:*:*”管理权限的自定义策略。 修复项指导 管理员可以修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的全部云服务的
规则参数 无 应用场景 确保IAM用户或IAM委托操作仅限于所需的操作。为了提高账号资源的安全性,不创建允许某个云服务全部管理权限的自定义策略。 修复项指导 管理员可以在IAM页面修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的
编程访问:启用访问密钥,用户仅能通过API、CLI、SDK等开发工具访问华为云服务。 管理控制台访问:启用登录密码,用户仅能登录华为云管理控制台访问云服务。 请用户不要通过密码方式进行编程访问。 修复项指导 修改IAM用户,访问方式只允许编程访问和管理控制台访问中的一种,并确保一个IAM用户上只配置登录密码和访问密钥中的一种。
示了请求响应的状态,完整的状态码列表请参见状态码。 对于管理员创建IAM用户接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求消息头,响应同样也有消息头,如“Content-type”。 对于管理员创建IAM用户接口,返回如图1所示的消息头,其中“X-
参见获取账号ID。 创建组织类型资源聚合器的账号需开通组织服务,且必须为组织的管理账号或Config服务的委托管理员账号,具体请参见添加、查看和取消委托管理员。如果创建组织类型资源聚合器的账号为组织管理账号,Config服务会调用enableTrustedService接口启用C
查询资源标签 功能介绍 查询指定实例的标签信息。标签管理服务需要使用该接口查询指定实例的全部标签数据。 >- 说明:该接口仅支持Config的资源类型,当前resource_type仅支持config:policyAssignments。 调用方法 请参见如何调用API。 URI
"name": "xxxxxxxx" //租户名称 } } } } 获取Token后,再调用其他接口时,您需要在请求消息头中添加“X-Auth-Token”,其值即为Token。例如Token值为“ABCDEFJ....”,
查询资源实例数量 功能介绍 使用标签过滤实例,标签管理服务需要提供按标签过滤各服务实例并汇总显示在列表中,需要各服务提供查询能力。注意:tags, tags_any, not_tags, not_tags_any等字段支持的tag的数量。 >- 说明:该接口仅支持Config的资
Elasticsearch和OpenSearch集群备份的日志文件主要包括废弃操作日志、运行日志、慢索引日志、慢查询日志,用户可以使用日志定位问题,详见查询和管理Elasticsearch集群日志。 修复项指导 CSS集群默认记录慢日志,用户可以将其转储在OBS桶中,详见修改日志基础配置。 检测逻辑
为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导 删除或停用根用户下的访问密钥,详见管理IAM用户访问密钥。 检测逻辑 根用户未配置“启用”状态的访问密钥,视为“合规”。 根用户配置了“启用”状态的访问密钥,视为“不合规”。 父主题:
在左上方选择“修正管理”页签,在页面下方的“资源范围”列表中可查看全量不合规资源的修正信息。 您可以单击列表右上方的刷新按钮刷新不合规资源的修正状态。 图2 查看修正结果 指定不合规资源执行修正 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计
修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户不具有创建时就存在的访问密钥,视为“合规”。 IAM用户不满足以上条件,视为“不合规”。 父主题:
可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时,建议将所有索引数据进行备份。 修复项指导 在“集群快照”管理页面,单击“集群快照开关”右侧开关,打开集群快照功能,详见设置自动创建快照。 检测逻辑 CSS集群未开启快照,视为“不合规”。 CSS集群开启了快照,视为“合规”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
