检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建组织合规规则包 操作场景 如果您是组织管理员或Config服务的委托管理员,您可以添加组织类型的合规规则包,直接作用于您组织内账号状态为“正常”的成员账号中。 当组织合规规则包部署成功后,会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只
添加预定义组织合规规则 操作场景 在使用资源合规时,如果您是组织管理员或Config服务的委托管理员,您可以添加组织类型的资源合规规则,直接作用于您组织内账号状态为“正常”的成员账号中。 当组织资源合规规则部署成功后,会在组织内成员账号的规则列表中显示此组织合规规则。且该组织合规
CTS追踪器启用事件分析 规则详情 表1 规则详情 参数 说明 规则名称 cts-lts-enable 规则展示名 CTS追踪器启用事件分析 规则描述 CTS追踪器未转储到LTS,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers
适用于弹性负载均衡(ELB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 elb-loadbalancers-no-public-ip ELB资源不具有弹性公网IP elb ELB资源具有弹性公网IP,视为“不合规”
合规规则包概述 功能概述 合规规则包是配置审计服务合规规则的集合,通过使用合规规则包可以批量部署合规规则,并统一查看合规性数据。 当合规规则包部署成功后,会在资源合规规则列表创建出一条或多条合规规则,且这些合规规则无法更新、停用和删除,只能通过合规规则包进行删除。 如果您是组织管
适用于VPC安全组的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”
适用于云数据库(GaussDB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-instance-enable-auditLog GaussDB实例开启审计日志 gaussdb 未开启审计日志的gaussdb资源,视为“不合规”
CSS集群具备多AZ容灾 规则详情 表1 规则详情 参数 说明 规则名称 css-cluster-multiple-az-check 规则展示名 CSS集群具备多AZ容灾 规则描述 CSS集群未多AZ容灾,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型
支持查看和删除操作。具体请参见配置资源记录器。 操作步骤 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“合规规则包”,进入“合规规则包”页面。
resource_id 评估结果所属资源的ID - resource_name 评估结果所属资源的名称 - resource_provider 资源所属的服务 - resource_type 资源类型 - trigger_type 触发类型 包含如下值: resource period compliance_state
适用于云数据库(RDS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源,视为“不合规” rd
静态数据加密最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密,视为“不合规” css-clust
API概览 表1 配置审计服务接口列表 类型 说明 资源查询 包括查询资源、查询资源标签、查询资源数量和概要、查询资源记录器收集的资源、列举云服务等接口。 资源记录器 包括资源记录器的增、删、改、查接口。 资源关系 查询资源关系和详情接口。 资源历史 查询资源历史接口。 合规性
添加自定义合规规则 操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写FunctionGraph函数代码,添加自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流(FunctionGraph)上的函数。将合规规
适用于弹性云服务器(ECS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 ecs-instance-key-pair-login ECS资源配置密钥对 ecs ECS未配置密钥对,视为“不合规”
适用于云审计服务(CTS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规”
查看和筛选资源 操作场景 本章节指导您如何通过Config的资源清单页面查看和筛选您账号下的资源,便于您了解拥有的资源及其所在区域、资源状态等信息。 资源清单中的资源数据依赖于资源记录器所收集的资源数据,如果相关资源无法在资源清单页面查询到,请确认资源记录器是否开启,或该资源类型
资源聚合器概述 功能概述 配置审计服务提供多账号资源数据聚合能力,通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中,方便统一查询。 资源聚合器提供只读视图,仅用于查看聚合的源账号的资源信息和合规性数据。资源聚合器不提供对源账号资源数据的修改访
适用于SWIFT CSP的标准合规包 本文为您介绍适用于SWIFT CSP的标准合规包的业务背景以及合规包中的默认规则。 业务背景 SWIFT CSP是SWIFT公司推出的一种云安全解决方案,旨在为金融机构提供更加安全、可靠的SWIFT交易网络服务。有关SWIFT CSP的更多信
配置资源记录器 操作场景 您必须先开启资源记录器,然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。 资源记录器配置完毕后,您可以随时修改资源记录器的配置或关闭资源记录器。 当前每天仅支持最多开启和修改资源记录器10次,每天0点将重置此次数。 本章节包含如下内容: 开启并配置资源记录器
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
