检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据复制服务实时迁移任务不使用公网网络 规则详情 表1 规则详情 参数 说明 规则名称 drs-migration-job-not-public 规则展示名 数据复制服务实时迁移任务不使用公网网络 规则描述 数据复制服务实时迁移任务使用公网网络,视为“不合规”。 标签 drs 规则触发方式
show_resource_detail(ShowResourceDetailRequest(resource_id)).to_json_object() return resource.get("region_id") def getBucketPolicy(obsClient, bucket_name):
数据复制服务实时灾备任务不使用公网网络 规则详情 表1 规则详情 参数 说明 规则名称 drs-data-guard-job-not-public 规则展示名 数据复制服务实时灾备任务不使用公网网络 规则描述 数据复制服务实时灾备任务使用公网网络,视为“不合规”。 标签 drs 规则触发方式
绑定指定标签的ECS关联在指定安全组ID列表内 规则详情 表1 规则详情 参数 说明 规则名称 ecs-in-allowed-security-groups 规则展示名 绑定指定标签的ECS关联在指定安全组ID列表内 规则描述 指定高危安全组ID列表,未绑定指定标签的ECS资源关联其中任意安全组,视为“不合规”。
resource_type String 资源类型。 event_type Enum 事件类型(CREATE|UPDATE|DELETE)。 capture_time String 事件捕获时间。 具有固定格式:遵循ISO8601格式,UTC时区(例如:2018-11-14T08:59:14Z)。
vars_structure Array of VarsStructure objects 合规规则包参数。 created_at String 组织合规规则包创建时间。 updated_at String 组织合规规则包更新时间。 表5 VarsStructure 参数 参数类型
如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” css-cluster-in-vpc
excluded_accounts Array of strings 排除配置合规包的账号。 vars_structure Array of VarsStructure objects 合规规则包参数。 created_at String 组织合规规则包创建时间。 updated_at
根用户开启MFA认证 iam 根用户未开启MFA认证,视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” stopped-ecs-date-diff
根账号开启MFA认证 iam 根账号未开启MFA认证,视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” stopped-ecs-date-diff
CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本,视为“不合规” C.CS.FOUNDATION.G_3_3.R_6 集群节点不要暴露到公网 cce-endpoint-public-access CCE集群资源不具有弹性公网IP cce CCE集群资源具有弹性公网IP,视为“不合规”
ECS资源附加IAM委托 ecs ECS实例未附加IAM委托,视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” css-cluster-in-vpc
告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北-北京四区域。 资源记录器目前支持的系统事件如下表所示: 表1 资源记录器事件监控支持的配置审计(Config)事件
告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北-北京四区域。 资源合规目前支持的系统事件如下表所示: 表1 资源合规事件监控支持的配置审计(Config)事件
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。
kms-not-scheduled-for-deletion 确保数据加密服务密钥未处于“计划删除”状态,以防止误删除密钥。 2.5A sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据,确保高性能弹性文件服务已通过KMS进行加密。 2.5A vo
用户id。 resource_id String 资源id。 resource_type String 资源类型。 capture_time String 该资源系统捕获时间。 status String 资源状态。 relations Array of ResourceRelation
resourceId: 81fa****a864 resourceType: iam.users captureTime: 2023-09-21T15:39:27.632Z status: ResourceChanged.CREATE
RDS实例开启存储加密 rds 未开启存储加密的RDS资源,视为“不合规” 3.11 sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” 3.11 volumes-encrypted-check
添加自定义合规规则 操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写FunctionGraph函数代码,添加自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流(FunctionGraph)上的函数。将合规规
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
