检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“资源聚合器”,在下拉列表中选择“聚合器”,进入“聚合器”页面。 在资源聚合器列表中选择需要修改的聚合器,单击“操作”列的“编辑”按钮。 在资源
当您不再需要某条合规规则的修正配置时,可以对其执行删除操作。合规规则的修正配置删除后,不会对已修正的资源产生影响。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧的“资源合规”,进入“资源合规”页面。
选择“FGS模版”,选中前一步中所配置的函数。 依赖于资源类型设置为“bucket_name”,参数中键和值分别输入domain_id 和 账号ID的值。 单击“保存”,完成合规修正的配置。 资源的手动修正: 如果您在上一步的修正方法中选择“手动修正”,则需要进行如下操作。 重新进入修正配置的页面。 在资源范围页面勾选您需要处理的资源:
触发规则评估 操作场景 触发规则评估的方式包括自动触发和手动触发。 自动触发 新创建一个合规规则时,会触发此规则的评估任务。 合规规则更新时,会触发此规则的评估任务。 合规规则被重新启用时,会触发此规则的评估任务。 当触发类型为“配置变更”时,合规规则范围内的资源发生变更,则会将该规则应用到此资源上,进行评估。
onfig服务的委托管理员,您还可以添加组织类型的资源合规规则,直接作用于您组织内账号状态为“正常”的所有成员账号中。 针对合规规则评估出的不合规资源,合规修正功能可以帮助您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您
配置变更 规则评估的资源类型 iam.users 规则参数 groupIds:指定的用户组ID列表,如果列表为空,表示允许所有值;数组类型,最多包含10个元素。 应用场景 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。
为“合规”。 账号在任意指定的区域,未创建“启用”状态的CTS追踪器,视为“不合规”。 使用约束 组织追踪器的场景下,在成员账号上使用该合规规则时,由于Config收集组织管理员下发的追踪器资源存在时延,合规评估结果的更新可能存在最多不超过24小时的滞后。 父主题: 云审计服务 CTS
每个账号最多可以添加的合规规则包数(包括组织合规规则包) 50个 每个账号最多能创建的账号类型的资源聚合器数 30个 单个资源聚合器最多能聚合的源账号数 30个 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数 1000个 单个账号最多能创建的组织类型的资源聚合器数 1个
逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保CCE所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的CCE集群绑定特定的虚拟私有云,详见修改CCE集群配置。 检测逻辑 CCE集群绑定的VPC不在对应VPC列表,视为“不合规”。
示例函数(Python) 评估由配置变更触发的示例函数 Config服务检测到自定义组织合规规则范围内的资源发生更改时,会调用函数的示例如下: import time import http.client from huaweicloudsdkcore.auth.credentials
查看当前账号下某个具体资源的资源详情。包含资源的名称、创建时间、规格等。 筛选资源 通过设置筛选条件(资源名称、资源ID、标签、企业项目)快速筛选出所需要的资源。 导出资源列表 导出所需资源列表的Excel格式文档。 查看资源合规 查看单个资源的合规性数据。 查看资源关系 查看资源之间的关联关系。
可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略
BS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的读操作。 检测逻辑 OBS桶策略允许本账号以外的身份执行“读”相关的操作,视为“不合规”。 OBS桶ACL允许本账号或日志投递用户组以外的身份执行“读”相关的操作,视为“不合规”。
BS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的写操作。 检测逻辑 OBS桶策略允许本账号以外的身份执行“写”相关的操作,视为“不合规”。 OBS桶ACL允许本账号或日志投递用户组以外的身份执行“写”相关的操作,视为“不合规”。
“资源清单”页面的资源列表默认展示资源的部分属性,如果您需要查看某个资源的资源详情,可按如下操作查看。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 在“资源清单”页面的资源列表中,单击需要查看的资源名称,进入资源概览页。
} } 创建该合规规则的修正配置,具体如下图所示。 部分示例参数的说明: 修正方法选择“自动修正”。 修正模板选择上一步中创建的RFS私有模板,当修正方法选择“自动修正”时还需指定IAM权限委托,例如当前场景下RFS私有模板将创建CTS追踪器,则该委托的授权云服务为RFS,委托
构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保AS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的AS弹性伸缩组绑定特定的虚拟私有云。 检测逻辑 AS弹性伸缩组绑定的VPC不在对应VPC列表,视为“不合规”。
CTS追踪器未转储到LTS,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 应用场景 云审计服务记录了用户对云服务资源新建、修改、删除等操作的详细信息,控制台的事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储
聚合器,创建的组织类型资源聚合器被删除后在24小时内无法再次创建。 资源聚合器聚合的源账号必须开启资源记录器,资源聚合器才会动态收集源账号的资源配置,源账号的资源发生变更后会同步更新数据至资源聚合器。 组织类型的资源聚合器仅会聚合组织下账号状态为“正常”的成员账号的数据。 资源聚
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
