检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在“选择模板”页面中,选择示例模板、上传本地模板文件或输入OBS模板URL后,单击“下一步”。 示例模板:使用配置审计服务提供的合规规则包示例模板,在下拉列表中选择一个示例模板。 关于每个示例模板包含的具体合规规则请参见:合规规则包示例模板。 本地模板:从本地上传模板文件,您可以根据自身的需求编写合规规则包的模板文件,然后上传并使用。
华为云网络安全合规实践 适用于统一身份认证服务(IAM)的最佳实践 适用于云监控服务(CES)的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器(ECS)的最佳实践 适用于弹性负载均衡(ELB)的最佳实践 适用于管理与监管服务的最佳实践 适用于云数据库(RDS)的最佳实践 适用于弹性伸缩(AS)的最佳实践
未开启慢日志的RDS资源,视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区,视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP,视为“不合规”
合规规则修正配置 资源访问管理(RAM) 添加组织自定义合规规则时,需通过RAM服务将FunctionGraph函数共享给组织成员账号。 自定义策略是一个用户开发并发布在FunctionGraph上的函数,当创建组织类型的自定义合规规则时,需要通过RAM服务将FunctionGraph函数共
资源聚合器概述 功能概述 配置审计服务提供多账号资源数据聚合能力,通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中,方便统一查询。 资源聚合器提供只读视图,仅用于查看聚合的源账号的资源信息和合规性数据。资源聚合器不提供对源账号资源数据的修改访
查看聚合的资源 操作场景 您可以在资源列表中查看资源聚合器聚合的全部资源。该列表可帮助您筛选不同资源聚合器聚合的资源,且支持通过资源名称、账号ID和资源类型进一步筛选,还可以查看每个资源的详情。 查看组织资源聚合器聚合的资源信息依赖于组织服务的相关授权项,您需要具有如下权限: o
查看聚合的合规规则 操作场景 您可以在规则列表中查看资源聚合器聚合的全部合规性数据。该列表可帮助您筛选不同资源聚合器聚合的合规性数据,且支持通过规则名称、合规评估结果和账号ID进一步筛选,还可以查看每个合规规则的详情。 查看组织资源聚合器聚合的合规性数据依赖于组织服务的相关授权项,您需要具有如下权限:
单击左侧的“资源合规”,进入“资源合规”页面。 在“规则”页签下的合规规则列表中,单击已创建修正配置的合规规则的规则名称,进入规则详情页。 在“资源范围”列表中,您可以选择一个或者多个不合规资源,然后单击列表上方的“执行修正”。 在弹出的确认框中,单击“确定”,基于所选不合规资源的修正执行下方成功。 图3 执行修正
organizations:trustedServices:list 说明: 仅组织类型的资源聚合器依赖这些授权项。 √ x 查询聚合器中一个或多个账号的合规概况 POST /v1/resource-manager/domains/{domain_id}/aggregators/
DCS Redis实例需要密码访问 dcs DCS Redis资源不需要密码访问,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规” elb-loadbalancers-no-public-ip
云服务委托,用于授予RFS服务部署资源栈执行资源配置修改时所需的权限,授权的云服务为RFS,委托权限为RFS模板中调用其他服务所需的权限,如何创建委托请参见委托其他云服务管理资源。若委托的权限不足或配置错误,会导致修正失败,您可以自行创建资源栈验证委托可用性,具体请参见创建资源栈。
在“资源清单”页面通过选择服务、资源类型和区域来筛选资源,或通过在页面中部的搜索框进行更精细的资源搜索,则仅会导出筛选和搜索出的资源信息。如何筛选资源请参见筛选资源。 图1 导出资源列表 导出的文件格式为Excel格式,文件中将包含您筛选出的全部资源上报Config特定资源属性。
资源合规常见问题 最多可以添加多少个合规规则? 每个账号最多可以添加500个合规规则。 添加合规规则时,规则参数指的是什么? 规则参数和合规策略是对应的,例如:您选择了“资源具有指定的标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略
适用于弹性负载均衡(ELB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 elb-loadbalancers-no-public-ip ELB资源不具有弹性公网IP elb ELB资源具有弹性公网IP,视为“不合规”
数据复制服务实时同步任务使用公网网络,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs,vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规”
allowed-volume-specs 规则展示名 云硬盘的类型在指定的范围内 规则描述 指定允许的云硬盘类型列表,云硬盘的类型不在指定的范围内,视为“不合规”。 标签 evs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes 规则参数 listOfAllowedSpecs:允许的云
volumes-encrypted-check 规则展示名 已挂载的云硬盘开启加密 规则描述 已挂载的云硬盘未进行加密,视为“不合规”。 标签 evs、ecs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes 规则参数 无 父主题: 云硬盘 EVS
修改自定义查询 操作场景 如果您需要修改某个自定义查询的查询语句、名称和描述,可按如下操作修改查询。 预设查询支持修改查询语句、名称和描述后另存为新的自定义查询,具体请参见基于预设查询创建自定义查询。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计
权限管理 如果您需要针对配置审计服务,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。
查看资源聚合器 操作场景 您可以通过资源聚合器列表查看所有已创建的资源聚合器及其详情,并支持在列表中进行搜索操作。 查看组织资源聚合器聚合的资源信息和合规性数据依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations:get org
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
