检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
规则评估的资源类型 csms.secrets 规则参数 无 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。
单击页面左侧的“高级查询”,进入“高级查询”页面。 选择“自定义查询”页签。 在待修改查询所在行,单击操作列的“使用查询”,进入“使用查询”页面。 也可以单击查询名称,进入查询概览页,再单击查询概览页右下方的“使用查询”,进入“使用查询”页面。 图1 修改自定义查询 在“查询编辑器”的输入框中修改查询语句。 详细请参见高级查询配置样例。
maxRotationDays:最大未轮转天数,默认值为90。 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 修复项指导 选择合适的用户组,将不合规的IAM用户添加到用户组中。如果确认该IAM用户后续不再使用,则可将其停用或删除。 检测逻辑 IAM用户为“停用”状态,视为“合规”。
规则评估结果 当触发规则评估后,会生成相应的评估结果(PolicyState)。 使用JSON表达式来表示一个评估结果,如表1所示。 表1 规则评估结果-JSON表达式格式 参数 定义 说明 domain_id 账号ID 用于区分用户。规则评估结果的domain_id不会为空。 resource_id
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现对用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM用户组中至少有一个IAM用户,空置的IAM用户组为管理盲区,可能存在管理风险。 修复项指导 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的
cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS,视为“不合规” cdn-origin-protocol-no-http CDN回源方式使用HTTPS cdn CDN回源方式未使用HTTPS,视为“不合规” cdn-security-policy-check
rabbitmqs 规则参数 无 应用场景 您需要通过公网地址访问RabbitMQ实例时,开启实例的公网访问功能,并设置弹性IP地址。当业务不再使用公网访问功能时,需关闭实例的公网访问功能,避免将DMS RabbitMQ实例直接暴露到公网。 修复项指导 请关闭公网访问,避免将DMS RabbitMQ实例直接暴露到公网。
reliabilitys 规则参数 无 应用场景 您需要通过公网地址访问RocketMQ实例时,开启实例的公网访问功能,并设置弹性IP地址。当业务不再使用公网访问功能时,需关闭实例的公网访问功能,避免将DMS RocketMQ实例直接暴露到公网。 修复项指导 请关闭公网访问,避免将DMS RocketMQ实例直接暴露到公网。
policyState.") break 依赖包 如果依赖包缺失,则需要手动导入依赖包,详见配置依赖包。在上述示例中,使用到的依赖包为huaweicloudsdkiam和huaweicloudsdkconfig。 父主题: 自定义合规规则样例
policyState.") break 依赖包 如果依赖包缺失,则需要手动导入依赖包,详见配置依赖包。在上述示例中,使用到的依赖包为huaweicloudsdkiam和huaweicloudsdkconfig。 父主题: 自定义组织合规规则样例
as 弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略,视为“不合规” as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规”
删除组织合规规则 操作场景 如果您不需要使用某个组织合规规则时,您可以删除此规则。 操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧的“资源合规”,进入“资源合规”页面。
您在开启资源记录器并成功配置消息通知(SMN)主题(创建主题 -> 添加订阅 -> 请求订阅)后,当发生资源变更时,消息通知会推送消息到您所配置的SMN主题。 关于SMN的详细使用说明请参见《消息通知服务用户指南》。 目前,消息通知服务支持Config以下几种类型的消息通知: 资源变更(创建/修改/删除)的消息通知;
FunctionGraph函数并发数不在指定的范围内,视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC,视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网
GeminiDB未开启备份,视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密,视为“不合规” gaussdb-nosql-enable-error-log GeminiDB开启错误日志
间范围,整数类型,默认值为90。 应用场景 及时发现不活跃的IAM用户,用于减少闲置用户或降低密码泄露的风险,提升账号安全。 修复项指导 使用该闲置的IAM用户登录管理控制台,或删除该闲置的IAM用户,详见IAM用户登录或删除IAM用户。 检测逻辑 IAM用户为“停用”状态,视为“合规”。
规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或
as 弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略,视为“不合规” as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规”
IAM用户直接附加了策略或权限,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 给IAM用户授权时建议您使用“继承所选用户组的策略”的方式,而不是“直接给用户授权”。这可以降低访问管理的复杂性,并减少IAM用户无意中接收或保留过多权限的风险。详见给IAM用户授权。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
