检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
适用于Landing Zone基础场景的最佳实践 本文为您介绍适用于Landing Zone基础场景的最佳实践的业务背景以及合规包中的默认规则。 业务背景 为满足客户更好的管理云的诉求,华为云基于华为公司多年自身企业治理经验以及帮助企业实现数字化转型的成功实践,系统性提出Landing
虚拟网关(dcaas.vgw) 链路聚合组(dcaas.lag) 虚拟接口(dcaas.vif) 物理连接(dcaas.directConnect) 数据库和应用迁移 UGO 对象评估任务(ugo.evaluationJob) 对象迁移任务(ugo.migrationJob) DDoS高防服务 AAD
0/0或::/0,且开放TCP 22端口,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态
仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。
dws DWS集群未启用SSL加密连接,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs,vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问
资源聚合器概述 功能概述 配置审计服务提供多账号资源数据聚合能力,通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中,方便统一查询。 资源聚合器提供只读视图,仅用于查看聚合的源账号的资源信息和合规性数据。资源聚合器不提供对源账号资源数据的修改访
page_info PageInfo object 分页对象。 表3 PolicyDefinition 参数 参数类型 描述 id String 策略id。 name String 策略名称。 display_name String 策略展示名。 policy_type String
PageInfo object 分页对象。 表4 ConformancePackTemplate 参数 参数类型 描述 id String 预定义合规包模板ID。 template_key String 预定义合规包模板名称。 description String 预定义合规包模板描述。
源类型”,界面将跳转至“资源”页面并自动筛选出此聚合器中某一资源类型包含的全部资源。 在详情页的“按资源计数排序的账号”列表单击某个“账号ID”,界面将跳转至“资源”页面并自动筛选出此聚合器中某一账号包含的全部资源。 在详情页的“不合规规则”列表单击某个“规则名称”,界面将显示此合规规则的详细信息。
资源列表 total_count Integer 总记录数 表7 ResourceResp 参数 参数类型 描述 resource_id String 资源ID resource_detail Object 资源详情。 资源对象,用于扩展。默认为空 tags Array of ResourceTag
控制台显示为准或参见预设策略列表。 过滤范围(可选) 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 当“触发类型”为“配置变更”时,您可以根据需要选择配置此参数。 周期频率 设置合规规则周期执行的频率。 可选项:1小
开启并配置资源记录器 操作场景 资源记录器为您提供面向资源的配置记录监控能力,帮您轻松实现海量资源的自主监管,用来跟踪您在云平台上且Config支持的云服务资源变更情况。 开启并配置资源记录器的资源转储和主题功能后,当对接服务上报Config的资源变更(被创建、修改、删除等)、资
users 规则参数 无 应用场景 “admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。
示合规规则的配置详情。左侧的评估结果列表默认展示合规评估结果为“不合规”的资源,您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索,还支持导出全部评估结果数据。 “修正管理”页签展示此合规规则的修正配置详细信息,并支持编辑、删除修正配置,以及执行修正、添加/删除修正例外等操作。
权限策略及授权项说明 如果您需要对Config进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Config的其它功能。
基本概念 资源 资源是用户可以在云平台上使用的一种实体。例如:弹性云服务器(ECS)实例、云硬盘(EVS)磁盘、虚拟私有云(VPC)实例等。 配置审计(Config)支持的资源类型和区域请参阅支持的服务和区域。 资源关系 资源关系记录了您在云平台上的不同资源之间的关联情况。例如:
单击页面左侧的“资源聚合器”,在下拉列表中选择“授权”,进入“授权”页面。 单击页面右上角的“添加授权”。 在弹出的“添加授权”页面中,输入要添加授权的聚合器账号ID。 图1 添加授权 单击“确定”,完成授权。 授权完成后,“已授权”列表中将显示此授权记录。 接受授权 当资源聚合器需要聚合您账号中的资源
型”为“指定资源”时需配置此参数。 过滤范围(可选) 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 当“触发类型”为“配置变更”时,您可以根据需要选择配置此参数。 周期频率 设置合规规则周期执行的频率。 可选项:1小
组织:将策略部署到您组织内的所有成员账号中。 当前账号:将策略部署到当前登录的账号中。 创建组织类型的合规规则包时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID,使得该组织合规规则包不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认配置”页面,确认合规规则包信息无误后,单击“确定”,完成合规规则包的创建。
搜索(推荐实现前缀搜索),如果value为空字符串精确匹配(多数服务不存在资源名称为空的情况,因此此类情况返回空列表)。resource_id为精确匹配。第一期只做resource_name,后续再扩展。 表3 Tag 参数 是否必选 参数类型 描述 key 是 String 键。最大长度128个unicode字符。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
