检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
secrets 规则参数 无 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑
天数,默认值为90。 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑
blackListPolicyUrns:IAM权限或IAM策略的名称列表,不支持系统策略。 应用场景 为IAM用户、IAM用户组、IAM委托分配指定的权限,避免非必要权限带来的安全隐患,详见授予最小权限。 修复项指导 移除不合规的IAM用户、IAM用户组、IAM委托的对应权限。 检测逻辑 IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。
规则参数 specifiedKmsIdList:桶的SSE-KMS加密模式的自定义密钥ID,数组类型。 应用场景 如果您的业务对数据存储的安全性和合规性有较高要求,可使用OBS提供的服务端加密功能,对上传到OBS存储的数据进行加密保护。详见服务端加密。 修复项指导 通过服务端加密配置桶的服务端加密。
规”。 标签 obs 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 无 应用场景 如果您的业务对数据存储的安全性和合规性有较高要求,可使用OBS提供的服务端加密功能,对上传到OBS存储的数据进行加密保护,详见服务端加密。 修复项指导 通过服务端加密配置桶的服务端加密。
iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户、用户组或委托仅拥有所需操作的相关权限。为了提高账号资源的安全性,不创建允许“*”或“*:*”或“*:*:*”管理权限的自定义策略。 修复项指导 管理员可以修改不合规的IAM自定义策略,详见修改、删除自定义策略。
统一网络架构 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 统一网络架构 vpc-default-sg-closed 默认安全组关闭出、入方向流量 统一网络架构 vpc-sg-ports-check 安全组端口检查 统一网络架构 vpn-connections-active
户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆
X-Auth-Token 否 String 调用者token。 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 channel ChannelConfigBody
确保删除根访问密钥,从而帮助您限制访问权限和授权。 II-5 应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 kms-rotation-enabled 启用密钥轮换,确保密钥在加密周期结束后轮换。 II-5 应实施安全控制措施,保护存储在云端的客户信息的完整性和机密性。 iam-password-policy
虚拟私有云(VPC)是您在云上的私有网络,可以为DCS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保DCS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的Memcached绑定特定的虚拟私有云。该资源已
规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户或IAM委托操作仅限于所需的操作。为了提高账号资源的安全性,不创建允许某个云服务全部管理权限的自定义策略。 修复项指导 管理员可以在IAM页面修改不合规的IAM自定义策略,详见修改、删除自定义策略。
规则评估的资源类型 iam.users 规则参数 无 应用场景 确保IAM用户不能同时通过控制台和API访问云服务,同时赋予一个IAM用户两种访问方式将增加安全风险。访问方式分为如下两种: 编程访问:启用访问密钥,用户仅能通过API、CLI、SDK等开发工具访问华为云服务。 管理控制台访问:启用登
users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或停用IAM用户多余的访问密钥,详见管理IAM用户访问密钥。
虚拟私有云(VPC)是您在云上的私有网络,可以为GaussDB构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保GaussDB所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 GaussDB实例暂不支持直接通过控制台更换VPC。但您可以通过已有Gauss
虚拟私有云(VPC)是您在云上的私有网络,可以为DWS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保DWS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的DWS资源绑定特定的虚拟私有云。 检测逻辑 DW
X-Auth-Token 否 String 调用者token。 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 id String
视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。
虚拟私有云(VPC)是您在云上的私有网络,可以为CSS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保CSS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的CSS集群绑定特定的虚拟私有云。 检测逻辑 CS
虚拟私有云(VPC)是您在云上的私有网络,可以为CCE构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保CCE所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的CCE集群绑定特定的虚拟私有云,详见修改CCE集群配置。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
