检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
否则返回合规。 实现方式是调用IAM服务的接口ShowDomainLoginPolicy。 该场景下,可能需要适当增加函数的执行超时时间和内存限制。 """ def evaluate_compliance(context, domain_id): credentials
过配置审计控制台和API接口两种方式查看,具体请参见如何获取各对接云服务上报Config的资源属性?。 对于某个具体的资源类型,我们可以用'.'嵌套的方式去查询'properties'下的具体字段。例如,弹性云服务器的'properties'里有'status'和'address
修改资源聚合器 操作场景 资源聚合器创建完成后,您可以根据需要随时修改账号类型资源聚合器的名称和源账号,组织类型的资源聚合器仅支持修改聚合器名称。 如下步骤以修改账号类型的聚合器为例进行说明。 修改组织类型的资源聚合器依赖于组织服务的相关授权项,您需要具有如下权限: organi
列举云服务 功能介绍 查询支持的云服务、资源和区域列表。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/domains/{domain_id}/providers 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是
ed 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 无 应用场景 确保您的数据在传输到OBS过程中不被窃取和篡改。 修复项指导 为避免客户端误使用HTTP协议进行OBS业务操作,建议通过桶策略中的SecureTransport条件进行限制,限制是否
资源变更消息存储 您在开启资源记录器,并成功配置消息通知(SMN)主题(创建主题 -> 添加订阅 -> 请求订阅)和对象存储桶(OBS)后,Config会定期(6小时)将您的资源变更消息存储到您配置的OBS桶中。 无论是将资源变更消息文件存储至您账号的桶还是另一账号的桶,该文件在
否则返回合规。 实现方式是调用IAM服务的接口ShowDomainLoginPolicy。 该场景下,可能需要适当增加函数的执行超时时间和内存限制。 """ def evaluate_compliance(ak, sk, domain_id): credentials
可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑 CSMS凭据未启动自动轮转,视为“不合规”。 CSMS凭据已启动自动轮转,视为“合规”。 父主题: 数据加密服务 DEW
获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下,其中projects下的“id”即为项目ID。 { "projects":
修正配置示例 本章节提供基于RFS私有模板和FunctionGraph函数执行修正的配置示例,帮助您快速了解合规规则修正配置功能的整体流程,以及如何使用此功能修正不合规资源,包含如下内容: 基于RFS私有模板执行修正 基于FunctionGraph函数执行修正 基于RFS私有模板执行修正
查看聚合的资源 操作场景 您可以在资源列表中查看资源聚合器聚合的全部资源。该列表可帮助您筛选不同资源聚合器聚合的资源,且支持通过资源名称、账号ID和资源类型进一步筛选,还可以查看每个资源的详情。 查看组织资源聚合器聚合的资源信息依赖于组织服务的相关授权项,您需要具有如下权限: organ
计费说明 如果您配置了资源记录器,那么资源记录器使用的消息通知服务(SMN)或对象存储服务(OBS)可能会产生相应的费用,具体请参见SMN计费说明和OBS计费说明。 如果您配置了自定义合规规则,那么自定义合规规则使用的函数工作流(FunctionGraph)可能会产生相应的费用,具体请参见FunctionGraph计费说明。
vpc.securityGroups 规则参数 无 检测逻辑 当安全组的入站流量未放通TCP 22端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。 当安全组的入站流量放通TCP 22端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”。
Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页面无法获取资源最新数据、合规规则无法创建、修改、启用和触发规则评估、资源聚合器无法聚合源账号的资源数据等,因此强烈建议您保持资源记录器的开启状态。如何开启并配置资源记录器请参见配置资源记录器。 产品架构
3306:mysql端口。 3389:远程桌面协定端口。 检测逻辑 当安全组的入站流量未放通参数指定端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。 当安全组的入站流量放通参数指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”。
添加合规规则时,规则参数指的是什么? 规则参数和合规策略是对应的,例如:您选择了“资源具有指定的标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略的规则参数无法增删,但是您可以根据需要为其设置不同的参数值,将合规策略重用于不同的方案。 自定义策略的规则
范围内,则Config不会校正这些资源的数据。 24小时 资源快照存储周期 24小时 资源变更消息存储周期 6小时 单个账号每天最多能开启和修改资源记录器的次数 10次 每个账号最多可以添加的合规规则数(包括由组织合规规则和合规规则包创建的托管规则) 500个 每个账号最多可以添加的合规规则包数(包括组织合规规则包)
操作场景 您可以在规则列表中查看资源聚合器聚合的全部合规性数据。该列表可帮助您筛选不同资源聚合器聚合的合规性数据,且支持通过规则名称、合规评估结果和账号ID进一步筛选,还可以查看每个合规规则的详情。 查看组织资源聚合器聚合的合规性数据依赖于组织服务的相关授权项,您需要具有如下权限: or
进入规则详情页面,选择“修正管理”,单击“修正配置”。 选择“手动修正”或“自动修正”,重试时间和重试次数使用默认值。 选择“FGS模版”,选中前一步中所配置的函数。 依赖于资源类型设置为“bucket_name”,参数中键和值分别输入domain_id 和 账号ID的值。 单击“保存”,完成合规修正的配置。 资源的手动修正:
确保IAM群组至少有一个用户,从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。 I-2 根据采用的云部署模型,包括多租户风险,以及集中风险。 iam-user-group-membership-check 确保用户是至少一个群组的成员,从而帮助您限制访问权限和授权。 I-2 根据采用的云部署模型,包括多租户风险,以及集中风险。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
