检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
以评估出这个资源是否满足合规策略中的要求。 合规策略本身只是一个静态的逻辑,如果想要让其生效,必须将合规策略指定到一个具体的范围(例如通过设置过滤器来指定具体的资源范围)上,即生成一个具体的合规规则。 使用JSON表达式来表示一个合规策略定义,如表1所示。 表1 合规策略的定义-JSON表达式格式
check 规则展示名 IAM委托绑定策略检查 规则描述 IAM委托未绑定指定的IAM策略或权限,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.agencies 规则参数 roleIdList:指定允许的权限ID列表,不支持系统权限。 pol
在“资源清单”页面通过选择服务、资源类型和区域来筛选资源,或通过在页面中部的搜索框进行更精细的资源搜索,则仅会导出筛选和搜索出的资源信息。如何筛选资源请参见筛选资源。 图1 导出资源列表 导出的文件格式为Excel格式,文件中将包含您筛选出的全部资源上报Config特定资源属性。
IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若在指定时间内有登录行为,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若在指定时间内没有登录行为,视为“不合规”。 父主题: 统一身份认证服务
据。 如您开启资源记录器并勾选全部资源,但后续又关闭资源记录器,则高级查询语句仅能查询到资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。 父主题: 高级查询
规则展示名 在指定区域创建并启用CTS追踪器 规则描述 账号未在指定Region列表创建CTS追踪器,视为“不合规”。 标签 cts 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 regionList:指定的Region列表,数组类型。 应用场景 云审计服务C
当您开启并配置消息通知SMN主题后,在Config支持的资源关系发生变更时发送通知; 当您开启并配置资源转储OBS桶和消息通知SMN主题后,对资源变更消息进行定期(6小时)存储; 当您开启并配置资源转储OBS桶后,对资源快照进行定期(24小时)存储。 资源记录器支持监控的资源请参阅支持的服务和区域。
以及全部合规性数据。 如源账号开启资源记录器并勾选全部资源,但后续又关闭资源记录器,则资源聚合器会删除收集到的资源信息和合规性数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。 父主题: 资源聚合器
资源无法在资源清单页面查询到,请确认资源记录器是否开启,或该资源类型是否被资源记录器收集资源数据,或Config暂不支持该服务或资源类型。如何配置资源记录器请参见配置资源记录器。 如您未开启资源记录器且需查看您拥有的资源信息,请前往我的资源页面查看。 操作步骤 登录管理控制台。
Kafka队列打开内网SSL加密访问 dms DMS kafkas队列未打开内网SSL加密访问,视为“不合规” dms-kafka-not-enable-public-ssl DMS Kafka队列打开公网SSL加密访问 dms DMS kafkas队列未打开公网SSL加密访问,视为“不合规”
规则展示名 IAM用户admin权限检查 规则描述 根用户以外的IAM用户加入admin用户组,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 “admin”为缺省用户组,具有所有云服务资源的操作权限,当所
ist CSS集群未开启访问控制开关 css CSS集群未开启访问控制开关,视为“不合规” css-cluster-kibana-not-enable-white-list CSS集群Kibana未开启访问控制开关 css CSS集群Kibana未开启访问控制开关,视为“不合规”
自定义合规规则包: 用户根据自身需求编写合规规则包的模板文件,在模板文件中填入适合自身使用场景的预设规则或自定义规则,然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON,不支持tf格式和zip格式的文件内容。 合规性数据: 一个合
redis资源存在弹性公网IP,视为“不合规” dcs-redis-password-access DCS Redis实例需要密码访问 dcs dcs redis资源不需要密码访问,视为“不合规” 父主题: 合规规则包示例模板
录保护。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且开启了任意验证方式的登录保护,视为“合规”。 IAM用户为“启用”状态且未开启任意验证方式的登录保护,视为“不合规”。 父主题: 统一身份认证服务 IAM
在“资源清单”页面的资源列表中,单击需要查看的资源名称,进入资源概览页。 选择“资源时间线”页签,查看资源变更的历史记录。 在“资源时间线”页签的右上角设置筛选时间。 “资源时间线”页面默认展示过去3个月的资源变更历史记录。 您也可以通过单击“查看JSON”来查看对接服务上报Config的资源属性的当前情况。
Config资源快照导出到OBS失败 建议排查OBS桶权限 无法记录资源历史变化 SYS.RMS Config快照导出成功 提示 Config资源快照导出到OBS成功 无 无 SYS.RMS Config历史记录导出失败 重要 Config资源历史记录导出到OBS失败 建议排查OBS桶权限 无法记录资源历史变化
CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces,obs CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规” alarm-vpc-change
verified 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns:KMS的阻拦action列表,数组类型。 应用场景 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策
指定允许的镜像名称列表,ECS实例的镜像名称不在指定的范围内,视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 imageNames:镜像名称列表,镜像名称检查方式为部分匹配。 检测逻辑 ECS实例的镜像名称被参数范围内任意值匹配或部分匹配,视为“合规”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
