检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Redis实例不存在弹性公网IP dcs dcs redis资源存在弹性公网IP,视为“不合规” dcs-redis-password-access DCS Redis实例需要密码访问 dcs dcs redis资源不需要密码访问,视为“不合规” 父主题: 合规规则包示例模板
高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 SFS Turbo资源在备份存储库中 SFS Turbo资源的备份时间检查 父主题: 系统内置预设策略
SMN主题未配置访问日志,视为“不合规”。 标签 smn 规则触发方式 配置变更 规则评估的资源类型 smn.topic 规则参数 无 父主题: 消息通知服务 SMN
适用于对象存储服务(OBS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 obs-bucket-public-read-policy-check OBS桶禁止公开读 obs 桶可以被公开读,视为“不合规”
IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。 IAM委托绑定所有指定的IAM策略和权限,视为“合规”。 父主题: 统一身份认证服务 IAM
确保CTS追踪器转储归档的审计事件到OBS桶时,数据是被加密的。 修复项指导 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件,详见开启云审计服务配置OBS桶。 检测逻辑 无论是否为启用状态,CTS追踪器未配置KMS加密,视为“不合规”。 无论是否为启用状态,CTS追踪器配置KMS加密,视为“合规”。
适用于数据仓库服务(DWS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dws-clusters-no-public-ip DWS集群未绑定弹性公网IP dws DWS集群绑定弹性公网IP,视为“不合规”
IAM策略不具备Admin权限 规则详情 表1 规则详情 参数 说明 规则名称 iam-policy-no-statements-with-admin-access 规则展示名 IAM策略不具备Admin权限 规则描述 IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规”。
CSS集群具备多AZ容灾 规则详情 表1 规则详情 参数 说明 规则名称 css-cluster-multiple-az-check 规则展示名 CSS集群具备多AZ容灾 规则描述 CSS集群未多AZ容灾,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型
帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 1.2 iam-group-has-users-check 确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。
array_sort(array(T), function(<T, T>, int)) → array 返回数组a排序后的新数组。需要提供一个二元比较函数,(-1,0,1) 分别表示小于等于和大于。 array_sum(a) 返回数组a的元素和。 array_union(a, b) → array
如果您是组织管理员或Config服务的委托管理员,您还可以添加组织类型的合规规则包,直接作用于您组织内账号状态为“正常”的成员账号中。 约束与限制 每个账号最多可以创建50个合规规则包(包括组织合规规则包),最多可以创建500个合规规则。 创建合规规则包(包括组织合规规则包)需要开
IAM用户为“启用”状态且开启了任意验证方式的登录保护,视为“合规”。 IAM用户为“启用”状态且未开启任意验证方式的登录保护,视为“不合规”。 父主题: 统一身份认证服务 IAM
规则参数 无 应用场景 “admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导
ECS未配置密钥对,视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 无 父主题: 弹性云服务器 ECS
视为“不合规”。 标签 dcs 规则触发方式 配置变更 规则评估的资源类型 dcs.memcached 规则参数 无 父主题: 分布式缓存服务 DCS
Redis资源不是高可用时,视为“不合规”。 标签 dcs 规则触发方式 配置变更 规则评估的资源类型 dcs.redis 规则参数 无 父主题: 分布式缓存服务 DCS
IAM用户为“启用”状态且开启了MFA认证,视为“合规”。 IAM用户为“启用”状态且未开启MFA认证,视为“不合规”。 父主题: 统一身份认证服务 IAM
账号未配置“修改VPC”的事件监控告警,视为“不合规”。 账号已配置“修改VPC”的事件监控告警,视为“合规”。 CES服务目前支持监控的系统事件请参见事件监控支持的事件说明。 父主题: 云监控服务 CES
regionList:指定的Region列表,数组类型。 应用场景 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
