检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页面无法获取资源最新数据、合规规则无法创建、修改、启用和触发规则评估、资源聚合器无法聚合源账号的资源数据等,因此使用Config时您必须保持资源记录器的开启状态。 本章节指导您如何开启并配置资源记录器,用于收
安全组入站流量限制SSH端口 规则详情 表1 规则详情 参数 说明 规则名称 vpc-sg-restricted-ssh 规则展示名 安全组入站流量限制SSH端口 规则描述 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规”。 标签 vpc
ECS云服务器的备份时间检查 规则详情 表1 规则详情 参数 说明 规则名称 ecs-last-backup-created 规则展示名 ECS云服务器的备份时间检查 规则描述 ECS云服务器最近一次备份创建时间超过参数要求,视为“不合规”。 标签 cbr、ecs 规则触发方式 周期触发
ECS资源配置密钥对 规则详情 表1 规则详情 参数 说明 规则名称 ecs-instance-key-pair-login 规则展示名 ECS资源配置密钥对 规则描述 ECS未配置密钥对,视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers
弹性云服务器 ECS ECS资源规格在指定的范围 ECS实例的镜像ID在指定的范围 ECS的镜像在指定Tag的IMS的范围内 绑定指定标签的ECS关联在指定安全组ID列表内 ECS资源属于指定虚拟私有云ID ECS资源配置密钥对 ECS资源不能公网访问 检查ECS资源是否具有多个弹性公网IP
私有镜像开启加密 规则详情 表1 规则详情 参数 说明 规则名称 ims-images-enable-encryption 规则展示名 私有镜像开启加密 规则描述 私有镜像未开启加密,视为“不合规”。 标签 ims 规则触发方式 配置变更 规则评估的资源类型 ims.images
账号开启资源记录器 规则详情 表1 规则详情 参数 说明 规则名称 tracker-config-enabled-check 规则展示名 账号开启资源记录器 规则描述 如果账号未开启资源记录器,视为“不合规”。 标签 config 规则触发方式 周期触发 规则评估的资源类型 account
您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。详见如何绑定虚拟MFA。 检测逻辑 根用户已开启MFA认证,视为“合规”。 根用户未开启MFA认证,视为“不合规”。
ECS资源绑定服务主机代理防护 规则详情 表1 规则详情 参数 说明 规则名称 ecs-attached-hss-agents-check 规则展示名 ECS资源绑定服务主机代理防护 规则描述 ECS实例未绑定HSS代理并启用防护,视为“不合规”。 标签 ecs 规则触发方式 配置变更
IAM用户开启MFA 规则详情 表1 规则详情 参数 说明 规则名称 iam-user-mfa-enabled 规则展示名 IAM用户开启MFA 规则描述 IAM用户未开启MFA认证,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数
适用于弹性云服务器(ECS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 ecs-instance-key-pair-login ECS资源配置密钥对 ecs ECS未配置密钥对,视为“不合规”
AM用户开启登录保护。开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保护,多次身份认证可以提高安全性。当前可以选择通过手机、邮箱、虚拟MFA进行登录验证。 修复项指导
ECS资源不能公网访问 规则详情 表1 规则详情 参数 说明 规则名称 ecs-instance-no-public-ip 规则展示名 ECS资源不能公网访问 规则描述 ECS资源具有公网IP,视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers
CSS集群开启磁盘加密 规则详情 表1 规则详情 参数 说明 规则名称 css-cluster-disk-encryption-check 规则展示名 CSS集群开启磁盘加密 规则描述 CSS集群未开启磁盘加密,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型
修复项指导 用户可以通过接口开启Kibana公网访问配置合适的访问控制白名单。 检测逻辑 CSS集群Kibana未开启公网访问,视为“合规”。 CSS集群Kibana开启了公网访问但未开启访问控制开关,视为“不合规”。 CSS集群Kibana开启了公网访问且开启了访问控制开关,视为“合规”。
裸金属服务器 BMS BMS资源使用密钥对登录 父主题: 系统内置预设策略
BMS资源使用密钥对登录 规则详情 表1 规则详情 参数 说明 规则名称 bms-key-pair-security-login 规则展示名 BMS资源使用密钥对登录 规则描述 裸金属服务器未启用密钥对安全登录,视为“不合规”。 标签 bms 规则触发方式 配置变更 规则评估的资源类型
ECS资源附加IAM委托 规则详情 表1 规则详情 参数 说明 规则名称 ecs-instance-agency-attach-iam-agency 规则展示名 ECS资源附加IAM委托 规则描述 ECS实例未附加IAM委托,视为“不合规”。 标签 ecs 规则触发方式 配置变更
标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 weight:后端云服务器的权重,请求将根据后端服务器组配置的负载均衡算法和后端云服务器的权重进行负载分发。 权重值越大,分发的请求越多。 取值范围:0-100。 父主题: 弹性负载均衡 ELB
CSS集群开启慢日志 规则详情 表1 规则详情 参数 说明 规则名称 css-cluster-slowLog-enable 规则展示名 CSS集群开启慢日志 规则描述 CSS集群未开启慢日志,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
