检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置审计(Config)服务提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页面无法获取资源最新数据、合规规则无法创建、修改、启用和触发规
用户当前的单个或多个区域的资源配置状态。 高级查询支持用户自定义查询和浏览云服务资源,用户可以通过ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言(SQL)SELECT语法的一部分,它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度
该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑 如果CSMS凭据创建时间和当前时间的间隔小于等于指定天数,无论是否轮转过,均视为“合规”。 如果CSMS凭据创建时间和当前时间的间隔大于指定天数,且CSMS凭据未在指定天数内轮转,视为“不合规”。
组织合规规则添加完成后,您可以随时修改组织合规规则的规则名称、规则简介和规则参数。 添加、修改组织合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,组织合规规则仅支持查看和删除操作。 操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计
管理控制台访问:启用密码,用户仅能登录华为云管理控制台访问云服务。 修复项指导 修改IAM用户,访问方式只允许选择编程访问和管理控制台访问中的一种。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态,且未同时开启“编程访问”和“管理控制台访问”,视为“合规”。
查看查询 操作场景 如果您需要查看某个查询的名称、描述和查询语句,可按如下操作查看查询。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“高级查询”,进入“高级查询”页面。
如果您需要修改某个自定义查询的查询语句、名称和描述,可按如下操作修改查询。 预设查询支持修改查询语句、名称和描述后另存为新的自定义查询,具体请参见基于预设查询创建自定义查询。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
查询聚合合规规则列表 功能介绍 查询合规和不合规规则的列表,其中包含合规和不合规规则的资源数量。 调用方法 请参见如何调用API。 URI POST /v1/resource-manager/domains/{domain_id}/aggregators/aggregate-da
onfig发布的事件,从事件中接收到规则参数和Config服务收集到的资源属性;函数评估该规则下资源的合规性并通过Config的OpenAPI回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。 本章节指导您如何通过自定义策略来添加资源合规规则,主要包含如下步骤:
列举指定类型的资源 功能介绍 返回当前用户下特定资源类型的资源,需要当前用户有rms:resources:list权限。比如查询云服务器,对应的资源类型是ecs.cloudservers,其中provider为ecs,type为cloudservers。支持的云服务(provid
指定资源ID,返回该资源的详细信息,需要当前用户有rms:resources:get权限。比如查询云服务器,对应的资源类型是ecs.cloudservers,其中provider为ecs,type为cloudservers。支持的云服务(provider)和资源类型(type)请参见“附录-支持的服务和资源类型”章节。
当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写函数代码,添加组织类型的自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流(FunctionGraph)上的函数。将合规规则和函数相关联,函数接收Config发布的事件,从事件
配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns:KMS的阻拦action列表,数组类型。 应用场景 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。
Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。 406 Not Acceptable 服务器生成的响应无法被客户端所接受。
事件监控提供事件类型数据上报、查询和告警的功能。方便您将资源的合规性事件收集到云监控服务,并在事件发生时进行告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北-北京四区域。
的修正配置;在标签页签您还可以查看和编辑合规规则的标签。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计
onfig服务的委托管理员,您可以添加组织类型的资源合规规则,直接作用于您组织内账号状态为“正常”的成员账号中。 当组织资源合规规则部署成功后,会在组织内成员账号的规则列表中显示此组织合规规则。且该组织合规规则的修改和删除操作只能由创建规则的组织账号进行,组织内的其他账号只能触发规则评估和查看规则评估结果以及详情。
登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 修复项指导 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft
登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。 修复项指导 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft
支持云审计的关键操作 操作场景 平台提供了云审计服务。通过云审计服务,您可以记录与配置审计服务相关的操作事件,便于后续的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的Config操作列表 操作名称 资源类型 事件名称 创建合规规则