检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
批量添加资源标签 功能介绍 此接口为幂等接口。为指定实例批量添加或删除标签,标签管理服务需要使用该接口批量管理实例的标签。一个资源上最多有20个标签。 调用方法 请参见如何调用API。 URI POST /v1/resource-manager/{resource_type}/{
” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” cts-tracker-enabled-security CTS追踪器符合安全最佳实践 cts 不存在满足安全最佳实践的CTS追踪器,视为“不合规”
启用WAF防护策略地理位置访问控制规则 规则详情 表1 规则详情 参数 说明 规则名称 waf-policy-enable-geoip 规则展示名 启用WAF防护策略地理位置访问控制规则 规则描述 如果账号未配置并启用WAF防护策略的地理位置访问控制规则,视为“不合规”。 标签 waf
周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“计划删除密钥”或未配置“禁用密钥”的事件监控告警,视为“不合规”。 账号已配置“计划删除密钥”和“禁用密钥”的事件监控告警,视为“合规”。 CES服务目前支持监控的系统事件请参见事件监控支持的事件说明。 父主题:
资源合规常见问题 最多可以添加多少个合规规则? 每个账号最多可以添加500个合规规则。 添加合规规则时,规则参数指的是什么? 规则参数和合规策略是对应的,例如:您选择了“资源具有指定的标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略的规则参数无法
CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验
VPC启用流日志 规则描述 检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.vpcs 规则参数 无 父主题: 虚拟私有云 VPC
为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导 删除或停用根用户下的访问密钥,详见管理IAM用户访问密钥。 检测逻辑 根用户未配置“启用”状态的访问密钥,视为“合规”。 根用户配置了“启用”状态的访问密钥,视为“不合规”。
规则评估的资源类型 iam.users、iam.groups、iam.agencies 规则参数 blackListPolicyUrns:IAM权限或IAM策略的名称列表,不支持系统策略。 应用场景 为IAM用户、IAM用户组、IAM委托分配指定的权限,避免非必要权限带来的安全隐患,详见授予最小权限。
组织 Organizations 账号加入组织 父主题: 系统内置预设策略
Integer 策略参数的最小字符串长度或每项的最小字符串长度,当参数类型为String或Array时生效。 max_length Integer 策略参数的最大字符串长度或每项的最大字符串长度,当参数类型为String或Array时生效。 pattern String 策略参数的字符串正
规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户或IAM委托操作仅限于所需的操作。为了提高账号资源的安全性,不创建允许某个云服务全部管理权限的自定义策略。 修复项指导 管理员可以在IAM页面修改不合规的IAM自定义策略,详见修改、删除自定义策略。
检测逻辑 OBS桶策略不允许未SSL加密的请求,视为“合规”。 OBS桶策略允许未SSL加密的请求,视为“不合规”。 根据SecureTransport或g:SecureTransport条件是否限制了桶策略所有授权的请求,来判定OBS桶策略是否禁止未SSL加密的请求。 父主题: 对象存储服务
支持标签的云服务和资源类型 当前华为云大部分云服务资源均支持添加标签,但部分云服务资源(如OBS桶)的标签信息暂未上传至Config服务,因此无法在Config服务中使用标签相关的能力,例如无法在“资源清单”页面通过标签搜索到相应资源,或无法使用涉及标签场景的资源合规规则等。 当
云备份 CBR CBR备份被加密 CBR备份策略执行频率检查 CBR存储库最低保留天数 父主题: 系统内置预设策略
部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 CodeArts编译构建下的项目未设置参数加密 父主题: 系统内置预设策略
云硬盘 EVS 云硬盘的类型在指定的范围内 云硬盘创建后在指定天数内绑定资源实例 云硬盘闲置检测 已挂载的云硬盘开启加密 云硬盘开启加密 EVS资源在备份存储库保护中 EVS资源的备份时间检查 父主题: 系统内置预设策略
配置审计 Config 账号开启资源记录器 父主题: 系统内置预设策略
配置审计服务控制台当前提供如下合规规则包的示例模板: 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于统一身份认证服务(IAM)的最佳实践 适用于云监控服务(CES)的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器(ECS)的最佳实践 适用于弹性负载均衡(ELB)的最佳实践
规则描述 账号未加入组织中,视为“不合规”。 标签 organizations 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 domainId:账号所属组织的组织管理员账号ID,空字符串表示任意账号ID。 父主题: 组织 Organizations
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
