检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-authorization-type-configured APIG专享版实例配置安全认证类型 apig APIG专享版实例中如果存在
cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本,视为“不合规” cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce
被包含(isContainedIn) 统一身份认证服务 IAM 用户组 云数据库 RDS 实例 包含(contains) 云数据库 RDS 节点 节点 被包含(isContainedIn) 云数据库 RDS 实例 配置审计 Config 合规规则包 包含(contains) 配置审计
高级查询使用限制 为避免单用户长时间查询占用资源,影响其他用户,对高级查询功能做以下限制: 单次查询语句的执行时长不能超过15秒,否则会返回超时错误。 单次查询语句查询大量数据,会返回查询数据量过大的报错,需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。
适用于数据仓库服务(DWS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dws-clusters-no-public-ip DWS集群未绑定弹性公网IP dws DWS集群绑定弹性公网IP,视为“不合规”
桶可以被公开写,视为“不合规” obs-bucket-ssl-requests-only OBS桶策略授权行为使用SSL加密 obs OBS桶策略授权了无需SSL加密的行为,视为“不合规” obs-bucket-logging-enabled OBS桶启用日志记录 obs OBS桶未启用日志记录,视为“不合规”
在主题页面,右上角单击“创建主题”。 设置合适的主体名称和显示名,单击“确定”,完成主题创建。 以短信方式为例,添加订阅。 单击“添加订阅”。 选择协议为“短信”。 订阅终端中输入需要通知的有效手机号码。 单击“确定”。 在订阅页签,点击“请求订阅”。 添加订阅的手机上,会收到确认短信,按照短信指示完成订阅确认。
适用于人工智能与机器学习场景的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本,视为“不合规”
IAM用户不属于指定IAM用户组,视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规”
在CTS追踪器的配置转储页面打开“文件校验”开关,即可开启事件文件完整性校验功能,详见开启事件文件完整性校验功能。 检测逻辑 无论是否为启用状态,CTS追踪器打开事件文件校验,视为“合规”。 无论是否为启用状态,CTS追踪器未打开事件文件校验,视为“不合规”。 使用约束 组织追踪器的场景下,在成员账号上使用
授权方式,能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分,权限的最小粒度为API授权项(action),Config支持的API授权项请参见《配置审计API参考》中的“权限策略及授权项说明”章节。 如表1 Config系统权限所示,包括了Config的所有系统权限。
路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID。 最大长度:36 conformance_pack_id 是 String 合规规则包ID。 最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token
路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID。 最大长度:36 policy_assignment_id 是 String 规则ID。 最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
单”页面查看。 资源数据同步到Config存在延迟,因此资源发生变化时不会实时更新“资源清单”中的数据。对于已开启资源记录器的用户,Config会在24小时内校正资源数据。 资源清单中的资源数据依赖于资源记录器所收集的资源数据,如果相关资源无法在资源清单页面查询到,请确认资源记录
包,可以参考本节中的示例模板编写合规规则包模板文件,通过在创建合规规则包时选择“上传模板”或“OBS存储桶”的方式上传并使用。 概念介绍 Resource:Resource是模板中最重要的元素,通过关键字 "resource" 进行声明。当前"resource"中只支持"huaw
在“资源清单”页面您可以导出资源列表中的资源信息。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击列表左上方的“导出资源列表”按钮,导出列表中的资源信息。 导出资源列表功能仅会导出资源列表中展示资源的相关信息:
路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID。 最大长度:36 policy_assignment_id 是 String 规则ID。 最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID。 最大长度:36 policy_assignment_id 是 String 规则ID。 最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
参数类型 描述 organization_id 是 String 组织ID。 最大长度:34 organization_policy_assignment_id 是 String 组织合规规则ID。 最大长度:32 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Security-Token
} 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 账号ID。 最大长度:36 query_id 是 String 查询ID。 最大长度:36 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 否
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
