检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
DCS Memcached资源需要密码访问 规则详情 表1 规则详情 参数 说明 规则名称 dcs-memcached-password-access 规则展示名 DCS Memcached资源需要密码访问 规则描述 DCS Memcached资源不需要密码访问,视为“不合规”。 标签
y 规则展示名 OBS桶策略授权行为使用SSL加密 规则描述 OBS桶策略授权了无需SSL加密的行为,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 无 父主题: 对象存储服务
函数工作流的函数不允许访问公网 规则详情 表1 规则详情 参数 说明 规则名称 function-graph-public-access-prohibited 规则展示名 函数工作流的函数不允许访问公网 规则描述 函数工作流的函数允许访问公网,视为“不合规”。 标签 fgs 规则触发方式
统一身份认证服务 IAM 文档数据库服务 DDS 消息通知服务 SMN 虚拟私有云 VPC 虚拟专用网络 VPN 云监控服务 CES 云容器引擎 CCE 云审计服务 CTS 云数据库 RDS 云数据库 GaussDB 云数据库 GaussDB(for MySQL) 云数据库 GeminiDB
OBS桶策略中不授权禁止的Action 规则描述 OBS桶策略中授权任意禁止的Action给外部身份,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 blockedAc
安全组 包含(contains) 弹性云服务器 ECS 云服务器 云容器引擎 CCE 集群 包含(contains) 云容器引擎 CCE 节点 节点 被包含(isContainedIn) 云容器引擎 CCE 集群 企业路由器 ER 连接 被包含(isContainedIn) 企业路由器
√(依赖RF FullAccess) √(依赖RF FullAccess) x 查看合规规则包 √ √ √ 列举合规规则包 √ √ √ 删除合规规则包 √(依赖RF FullAccess) √(依赖RF FullAccess) x 更新合规规则包 √(依赖RF FullAccess) √(依赖RF
mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 统一身份权限 iam-root-access-key-check IAM账号存在可使用的访问密钥 统一身份权限 iam-user-single-access-key IAM用户单访问密钥
适用于MapReduce服务(MRS)的最佳实践 NIST审计标准最佳实践 新加坡金融行业的最佳实践 安全身份和合规性运营最佳实践 华为云安全配置基线指南的标准合规包(level 1) 华为云安全配置基线指南的标准合规包(level 2) 静态数据加密最佳实践 数据传输加密最佳实践 适用于云备份(CBR)的最佳实践
29d1" } ], "volHostAttrHost": "regionid1a-pod01.regionid1a#0", "multiattach": false, "status": "available"
应用场景 基于NIST的部分要求,对华为云上资源的合规性进行检测。 默认规则 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam
支持的服务和资源类型 Config支持的云服务(provider)和资源类型(type)可通过如下两种方式获取: API方式 通过调用列举云服务接口查询Config支持的云服务、资源和区域列表。其中provider字段为云服务名称,resource_types中的name字段为资源类型名称。
华为云账号或组织。 资源聚合器 资源聚合器是配置审计服务中的一种新的功能,可以从多个源账号收集资源配置和合规性数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器,必须获得源账号的
安全风险。访问方式分为如下两种: 编程访问:启用访问密钥或密码,用户仅能通过API、CLI、SDK等开发工具访问华为云服务。 管理控制台访问:启用密码,用户仅能登录华为云管理控制台访问云服务。 修复项指导 修改IAM用户,访问方式只允许选择编程访问和管理控制台访问中的一种。 检测逻辑
CCE集群规格在指定的范围 规则详情 表1 规则详情 参数 说明 规则名称 allowed-cce-flavors 规则展示名 CCE集群规格在指定的范围 规则描述 CCE集群的规格不在指定的范围内,视为“不合规”。 标签 cce 规则触发方式 配置变更 规则评估的资源类型 cce
确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 COS-05 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 COS-05 mrs-cluster-no-public-ip
如何调用API 构造请求 认证鉴权 返回结果
资源记录器 查询记录器 删除记录器 创建或更新记录器 父主题: API
资源关系 列举资源关系 列举资源关系详情 父主题: API
合规性 列出内置策略 查询单个内置策略 创建合规规则 列出合规规则 更新合规规则 获取单个合规规则 删除合规规则 启用合规规则 停用合规规则 运行合规评估 获取规则的评估状态 获取资源的合规结果 获取规则的合规结果 获取用户的合规结果 更新合规评估结果 创建组织合规规则 查询组织合规规则列表
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
