检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
RocketMQ实例开启公网访问,视为“不合规”。 标签 dms 规则触发方式 配置变更 规则评估的资源类型 dms.reliabilitys 规则参数 无 应用场景 您需要通过公网地址访问RocketMQ实例时,开启实例的公网访问功能,并设置弹性IP地址。当业务不再使用公网访问功能时,需关闭实例的公网访问功能,避免将DMS
规则描述 根用户存在可使用的访问密钥,视为“不合规”。 标签 iam 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 应用场景 为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导
RabbitMQ实例开启公网访问,视为“不合规”。 标签 dms 规则触发方式 配置变更 规则评估的资源类型 dms.rabbitmqs 规则参数 无 应用场景 您需要通过公网地址访问RabbitMQ实例时,开启实例的公网访问功能,并设置弹性IP地址。当业务不再使用公网访问功能时,需关闭实例的公网访问功能,避免将DMS
CSMS凭据未启动自动轮转,视为“不合规”。 标签 csms 规则触发方式 配置变更 规则评估的资源类型 csms.secrets 规则参数 无 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。
对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果
规则参数 roleIdList:指定允许的权限ID列表,不支持系统权限。 policyIdList:指定允许的策略ID列表,不支持系统身份策略。 应用场景 为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。
iam.roles、iam.policies 规则参数 blockedActionsPatterns:KMS的阻拦action列表,数组类型。 应用场景 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。
视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户或IAM委托操作仅限于所需的操作。为了提高账号资源的安全性,不创建允许某个云服务全部管理权限的自定义策略。 修复项指导
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。
CTS追踪器未通过KMS进行加密,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 应用场景 确保CTS追踪器转储归档的审计事件到OBS桶时,数据是被加密的。 修复项指导 建议您配置独立OBS桶并配置KMS加密存储专门用于归档
标签 cts 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 trackBucket:指定的OBS桶名称,字符串类型。 应用场景 云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对用户对OBS桶中的数据的操作日志,例如上传、下载等。
"RSA2048", "EC256"]。 blockedSignatureAlgorithm:禁止使用的签名算法,数组类型,如 ["SHA256"]。 应用场景 私有CA和私有证书的加密或签名的安全性与使用的算法直接相关,随着算力越来越便宜,为了保护您的资源的安全性,建议您使用足够安全的算法。
规则触发方式 周期触发 规则评估的资源类型 csms.secrets 规则参数 maxRotationDays:最大未轮转天数,默认值为90。 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。
groups、iam.agencies 规则参数 blackListPolicyUrns:IAM权限或IAM策略的名称列表,不支持系统策略。 应用场景 为IAM用户、IAM用户组、IAM委托分配指定的权限,避免非必要权限带来的安全隐患,详见授予最小权限。 修复项指导 移除不合规的IA
API网关 APIG 部署 CodeArts Deploy MapReduce服务 MRS NAT网关 NAT VPC终端节点 VPCEP Web应用防火墙 WAF 弹性负载均衡 ELB 弹性公网IP EIP 弹性伸缩 AS 高性能弹性文件服务 SFS Turbo 弹性云服务器 ECS 分布式缓存服务
规则描述 IAM用户未开启登录保护,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,建议账号或管理员为IAM用户开启登录保护。开启登录保护后,IAM用
视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户、用户组或委托仅拥有所需操作的相关权限。为了提高账号资源的安全性,不创建允许“*”或“*:*”或“*:*:*”管理权限的自定义策略。
IAM用户直接附加了策略或权限,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 给IAM用户授权时建议您使用“继承所选用户组的策略”的方式,而不是“直接给用户授权”。这可以降低访问管理的复杂性,并减少IAM用户无
字符类型,且长度在8到32之间。 Low(低):至少包含大写字母、小写字母、数字、特殊字符和空格中的一种字符类型,且长度在8到32之间。 应用场景 确保IAM用户密码强度满足密码强度要求,详见设置强密码策略。 修复项指导 用户可以根据要求修改密码达到需要的密码强度,详见修改IAM用户密码。
IAM用户组未添加任意IAM用户,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.groups 规则参数 无 应用场景 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现对用户的授权。给已授权的用户组中添加或者移除用户,快速实现
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
