检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求,视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” iam-user-mfa-enabled IAM用户开启
COS-03 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制,管理对华为云中资源的访问。 COS-05 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。
该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。 通过IAM,您可以在华为云账号中给员工创建IAM用户,并使用策略来控制员工对华为云资源的访问范围。
用户归属指定用户组 iam IAM用户不属于指定IAM用户组,视为“不合规” 3.3 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” 3.3 mrs-cluster-kerberos-enabled
4.2 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。
用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于
用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属指定用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users
用户名 "password": "********", //IAM用户密码 "domain": { "name": "domainname" //IAM
另外,并非已对接Config的云服务资源发生的所有变化都会被Config收集,这取决于各对接服务向Config上报的资源属性,例如IAM用户的SK(SecretAccessKey )属性未上报Config,那么SK字段的变化Config不会感知。
ECS资源附加IAM委托 规则详情 表1 规则详情 参数 说明 规则名称 ecs-instance-agency-attach-iam-agency 规则展示名 ECS资源附加IAM委托 规则描述 ECS实例未附加IAM委托,视为“不合规”。 标签 ecs 规则触发方式 配置变更
IAM委托绑定策略检查 规则详情 表1 规则详情 参数 说明 规则名称 iam-agencies-managed-policy-check 规则展示名 IAM委托绑定策略检查 规则描述 IAM委托未绑定指定的IAM策略或权限,视为“不合规”。 标签 iam 规则触发方式 配置变更
修复项指导 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。详见如何绑定虚拟MFA。 检测逻辑 根用户已开启MFA认证,视为“合规”。
mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。
mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。
IAM策略中不授权KMS的禁止的action 规则详情 表1 规则详情 参数 说明 规则名称 iam-customer-policy-blocked-kms-actions 规则展示名 IAM策略中不授权KMS的禁止的action 规则描述 IAM策略中授权KMS的任一阻拦action
资源属性是用于描述资源特征的一组属性值,例如ECS资源的CPU核数信息、EVS磁盘的大小、IAM用户的密码强度等,具体请参见如何获取各对接云服务上报Config的资源属性?。
组织支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。
iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账号被盗用的事件。
选择您需要的预设策略,如“IAM用户开启MFA”,单击“下一步”。 在规则参数页面,保持默认的资源范围,单击“下一步”,完成组织规则创建。 返回组织规则列表页面,查看新建的组织合规规则的部署情况。
iam-role-has-all-permissions 确保IAM用户权限仅限于所需的操作,避免用户的权限违反最小权限和职责分离原则。 5.2.1 应制定适当的程序,以确保持续监控应用系统的性能,并及时地、全面地汇报异常情况。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
