检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
不存在满足安全最佳实践的CTS追踪器,视为“不合规”。 标签 cts 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 regions:区域列表,如果为空列表,则表示任意区域。 应用场景 云审计服务,是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存
value_name},其中value_name为授权给Config服务调用函数的委托的名字。 custom_policy指定此规则绑定的自定义策略的函数URN和调用时的鉴权方式。 parameters 合规策略的规则参数的值 parameters:Object类型 key:字符串类型,只能
CSMS凭据未启动自动轮转,视为“不合规” csms-secrets-rotation-success-check 检查CSMS凭据轮转成功 csms CSMS凭据轮转失败,视为“不合规” csms-secrets-using-cmk CSMS凭据使用指定KMS csms CSMS凭据未使用指定的KMS,视为“不合规”
完成聚合器创建。 在聚合器的规则页面,选择聚合器,则可以看到聚合到的各账号的规则情况。 单击规则名称,则可以看到该账号的这条规则所评估的资源的合规性情况。 常见问题 控制台为什么没有组织规则的页面? 账号是组织管理员,或加入组织并成为Config服务的委托管理员,才能看到该页面。
CSMS凭据启动自动轮转 规则详情 表1 规则详情 参数 说明 规则名称 csms-secrets-auto-rotation-enabled 规则展示名 CSMS凭据启动自动轮转 规则描述 CSMS凭据未启动自动轮转,视为“不合规”。 标签 csms 规则触发方式 配置变更 规则评估的资源类型
ECS实例的镜像名称在指定的范围 规则详情 表1 规则详情 参数 说明 规则名称 allowed-images-by-name 规则展示名 ECS实例的镜像名称在指定的范围 规则描述 指定允许的镜像名称列表,ECS实例的镜像名称不在指定的范围内,视为“不合规”。 标签 ecs 规则触发方式
新加坡金融行业的最佳实践 应用场景 新加坡金融管理局针对云计算的监管预期,制定了MAS准则,用于规范金融机构的实践,关于该指南的更多信息,请参见Technology Risk Management Guidelines。 默认规则 该示例模板中对应的合规规则的说明如下表所示: 表1
轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑 如果CSMS凭据创建时间和当前时间的间隔小于等于指定天数,无论是否轮转过,均视为“合规”。 如果CSMS凭据创建时间和当前时间的间隔大于指定天数,且CSMS凭据未在指定天数内轮转,视为“不合规”。
gaussdb 规则触发方式 配置变更 规则评估的资源类型 gaussdb.instance 规则参数 vpcId:GaussDB使用的VPC ID。 应用场景 虚拟私有云(VPC)是您在云上的私有网络,可以为GaussDB构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定
安全、快捷的网络变更。同时,您可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。 虚拟私有云更多信息,详见虚拟私有云产品介绍。 修复项指导 ECS弹性云服务器创建完成后不支持切换虚拟私有云,请谨慎选择所属虚拟私有云。 检测逻辑 ECS实例使用的VPC不是指定的VPC,视为“不合规”。
stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS云主机未进行任何操作的时间超过了允许的天数,视为“不合规” 1.1 vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规”
修正。 将不合规资源添加至修正例外包含如下两种方式: 自动添加:当不合规资源的修正次数超出您设置的修正重试规则,也就是在规定的重试时间内资源执行修正的次数超出重试次数后,该资源将会被自动添加至修正例外。通过此方式被自动添加至修正例外的资源没有配额限制。 手动添加:您可以随时手动将
规则评估的资源类型 rds.instances 规则参数 vpcId:RDS实例使用的VPC ID。 应用场景 虚拟私有云(VPC)是您在云上的私有网络,可以为RDS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保RDS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。
stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs,evs 已挂载的云硬盘未进行加密,视为“不合规” vpc-acl-unused-check
ted-version 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题,华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理,请更新您服务的独立任务以使用最新的平台版本。 6_SECURE DEVICES:
IAM策略中不授权KMS的禁止的action 规则详情 表1 规则详情 参数 说明 规则名称 iam-customer-policy-blocked-kms-actions 规则展示名 IAM策略中不授权KMS的禁止的action 规则描述 IAM策略中授权KMS的任一阻拦action,视为“不合规”。
规则触发方式 周期触发 规则评估的资源类型 iam.users 规则参数 maxAccessKeyAge:访问密钥最大更换天数,默认值为90。 应用场景 企业用户通常都会使用访问密钥(AK/SK)的方式对云上的资源进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。
Memcached资源,视为“不合规”。 标签 dcs 规则触发方式 配置变更 规则评估的资源类型 dcs.memcached 规则参数 vpcId:虚拟私有云ID,字符串类型。 应用场景 虚拟私有云(VPC)是您在云上的私有网络,可以为DCS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络
骤二创建的SMN主题,其它配置使用默认值。 触发条件勾选“出现告警”。 点击“立即创建”,完成告警规则的创建。 告警规则创建完成后,如果再评估到不合规的资源,则会通过短信方式接受到不合规的消息通知,并在告警记录中查询到相关告警。 相关文档 查看事件监控数据 创建事件监控的告警通知
详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的DCS资源绑定特定的虚拟私有云,详见查看和修改DCS实例基本信息。 检测逻辑 Redis使用的VPC不是指定的VPC,视为“不合规”。 Redis使用的VPC是指定的VPC,视为“合规”。 父主题: 分布式缓存服务
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
