检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“计划删除密钥”或未配置“禁用密钥”的事件监控告警,视为“不合规”。 账号已配置“计划删除密钥”和“禁用密钥”的事件监控告警,视为“合规”。 CES服务目前支持监控的系统事件请参见事件监控支持的事件说明。 父主题:
创建了指定服务名的终端节点 规则详情 表1 规则详情 参数 说明 规则名称 vpcep-endpoint-enabled 规则展示名 创建了指定服务名的终端节点 规则描述 检查是否已创建指定服务名的终端节点,如果未创建则视为“不合规”。 标签 vpcep 规则触发方式 周期触发 规则评估的资源类型
函数工作流的函数并发数在指定范围内 规则详情 表1 规则详情 参数 说明 规则名称 function-graph-concurrency-check 规则展示名 函数工作流的函数并发数在指定范围内 规则描述 FunctionGraph函数的并发数不在指定的范围内,视为“不合规”。
Console侧密码登录的IAM用户开启MFA认证 规则详情 表1 规则详情 参数 说明 规则名称 mfa-enabled-for-iam-console-access 规则展示名 Console侧密码登录的IAM用户开启MFA认证 规则描述 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规”。
周期触发 规则评估的资源类型 iam.users 规则参数 maxAccessKeyAge:访问密钥最大更换天数,默认值为90。 应用场景 企业用户通常都会使用访问密钥(AK/SK)的方式对云上的资源进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 修复项指导
标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 specifiedECSTagKey:指定的ECS的标签键,字符串类型。 specifiedECSTagValue:指定的ECS的标签值列表,如果列表为空,表示允许所有值,数组类型,最多包含10个元素。
禁止使用的签名算法,数组类型,如 ["SHA256"]。 应用场景 私有CA和私有证书的加密或签名的安全性与使用的算法直接相关,随着算力越来越便宜,为了保护您的资源的安全性,建议您使用足够安全的算法。 修复项指导 请释放使用未满足您合规要求的资源,并购买满足安全算法要求的私有CA或私有证书。
服务全部管理权限的自定义策略。 修复项指导 管理员可以在IAM页面修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的任意一个云服务的全部权限,视为“不合规”。 IAM自定义策略未配置Allow的任意一个云服务的全部权限,视为“合规”。
在列表中可查看所有已创建的合规规则包,还可以查看合规规则包的合规评估结果、合规分数和状态等信息。 在列表中单击需要查看的合规规则包名称,进入合规规则包详情页,查看该合规规则包的详细信息。 在详情页中可以查看合规规则包的基本信息和配置的参数值,以及下发的合规规则列表和每条合规规则的合规评估结果。
配置审计服务的资源合规特性用于评估您的资源是否满足合规要求,针对合规规则评估出的不合规资源,合规修正功能可以帮助您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您自定义的修正逻辑对不合规资源进行快速修正,确保您的云上资源持续合规。
为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。 检测逻辑 IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。
当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写函数代码,添加组织类型的自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流(FunctionGraph)上的函数。将合规规则和函数相关联,函数接收Config发布的事件,从事件
规则参数和合规策略是对应的,例如:您选择了“资源具有指定的标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略的规则参数无法增删,但是您可以根据需要为其设置不同的参数值,将合规策略重用于不同的方案。 自定义策略的规则参数由您自行配置,您
资源关系记录了您在华为云上的不同资源之间的关联情况。例如云硬盘与云服务器之间的绑定关系,云服务器与虚拟私有云之间的归属关系等。借助资源关系,您可以方便地掌握您在云平台上拥有的所有资源的组成结构和依赖关系。仅Config支持的资源关系才会在资源概览页的“关联资源”页签中显示,请参阅支持的资源关系来了解目前支持的资源关系。
规则评估的资源类型 cbr.policy 规则参数 requiredFrequency:备份频率,请输入备份的时间间隔(以小时为单位)。 检测逻辑 CBR服务的备份策略未启用,视为“合规”。 CBR服务的备份策略执行的最大时间间隔小于等于参数要求,视为“合规”。 CBR服务的备份策
事件监控提供事件类型数据上报、查询和告警的功能。方便您将资源的合规性事件收集到云监控服务,并在事件发生时进行告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北-北京四区域。
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。
WS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保DWS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的DWS资源绑定特定的虚拟私有云。 检测逻辑 DWS集群绑定的VPC不在对应VPC列表,视为“不合规”。
配置审计(Config)服务提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 本文档提供了配置审计服务API的描述、参数说明以及示例等内容。您可以使用本文档提供的API对Config进行相关操作。支持的全部操作请参阅API概览。 在调用Config的API
如果您是组织管理员或Config服务的委托管理员,您可以添加组织类型的合规规则包,直接作用于您组织内账号状态为“正常”的成员账号中。 当组织合规规则包部署成功后,会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行,组织内的其他账号只能
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
