检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件,详见开启云审计服务配置OBS桶。 检测逻辑 无论是否为启用状态,CTS追踪器未配置KMS加密,视为“不合规”。 无论是否为启用状态,CTS追踪器配置KMS加密,视为“合规”。 使用约束 组织追踪器的场景下,在成员账号上
使用该闲置的IAM用户登录管理控制台,或删除该闲置的IAM用户,详见IAM用户登录或删除IAM用户。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若在指定时间内有登录行为,视为“合规”。 IAM用
修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户不具有创建时就存在的访问密钥,视为“合规”。 IAM用户不满足以上条件,视为“不合规”。 父主题:
规则详情 参数 说明 规则名称 css-cluster-backup-available 规则展示名 CSS集群启用快照 规则描述 CSS集群未启用快照,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 为避
规则描述 IAM用户组未添加任意IAM用户,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.groups 规则参数 无 应用场景 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现对用户的授权。给已授权的用户组中添加或者
支持云审计的关键操作 操作场景 平台提供了云审计服务。通过云审计服务,您可以记录与配置审计服务相关的操作事件,便于后续的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的Config操作列表 操作名称 资源类型 事件名称 创建合规规则 policy
除后,不会对已修正的资源产生影响。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧的“资源合规”,进入“资源合规”页面。 在“规则”页签下的合规规则列表中,单击已创建修正配置的合规规则的规则名称,进入规则详情页。
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验,视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建并启用CTS追踪器,视为“不合规”
volumes-encrypted-check 已挂载的云硬盘开启加密 ecs,evs 已挂载的云硬盘未进行加密,视为“不合规” ecs-attached-hss-agents-check ECS资源绑定服务主机代理防护 ecs ECS实例未绑定HSS代理并启用防护,视为“不合规” e
标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 检测逻辑 当安全组的入站流量未放通TCP 22端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。 当安全组的入站流量放通TCP 22端口的所有IPv4地址(0
桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的action操作。 检测逻辑 OBS桶策略未授予的本华为云账号以外的身份指定操作权限,视为“合规”。 OBS桶策略授予的本华为云账号以外的身份指定操作权限,视为“不合规”。 父主题: 对象存储服务
检测逻辑 私有证书管理服务的私有CA或私有证书使用禁止的密钥算法或签名哈希算法,视为“不合规”。 私有证书管理服务的私有CA或私有证书未使用禁止的密钥算法或签名哈希算法,视为“合规”。 父主题: 云证书管理服务 CCM
20:文件传输协议-数据端口。 21:文件传输协议-控制端口。 3306:mysql端口。 3389:远程桌面协定端口。 检测逻辑 当安全组的入站流量未放通参数指定端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。 当安全组的入站流量放通参数指定端口的所有IPv4地址(0
配置变更 css.clusters CSS集群支持安全模式 配置变更 css.clusters CSS集群未开启访问控制开关 配置变更 css.clusters CSS集群Kibana未开启访问控制开关 配置变更 css.clusters CSS集群开启慢日志 配置变更 css.clusters
区域信息项列表。 表4 Region 参数 参数类型 描述 region_id String 区域ID。 display_name String 显示名称。 状态码: 400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证,视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” C.CS.FOUNDATION.G_2.R_11 启用 FuctionGraph 函数日志功能 function-graph-logging-enabled 函数工作流的函数启用日志配置 fgs 函数工作流的函数未启用日志配置,视为“不合规”
规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs,evs 已挂载的云硬盘未进行加密,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规”
CSS集群未开启磁盘加密,视为“不合规” 3.1 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS,视为“不合规” 3.1 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规”
evs 云硬盘未挂载给任何云服务器,视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
