检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必
CTS追踪器未转储到LTS,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 应用场景 云审计服务记录了用户对云服务资源新建、修改、删除等操作的详细信息,控制台的事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储
不同,既可以是简单的标签或资源标识符匹配,也可以是更复杂的查询,例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现: 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性(公网IP,加密磁盘)的资源的列表。 成本优化。例如检
iam 根用户未开启MFA认证,视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器,视为“不合规”
Console侧密码登录的IAM用户开启MFA认证 规则详情 表1 规则详情 参数 说明 规则名称 mfa-enabled-for-iam-console-access 规则展示名 Console侧密码登录的IAM用户开启MFA认证 规则描述 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规”。
/*"。此路径中的每个字段在控制台上均表示一个文件夹层级的名称,在OBS控制台进入相关桶的“对象”页面,然后按照上述路径所示查找资源变更消息存储文件,其中*表示文件名称。 资源变更消息存储文件的名称由账号ID、存储文件类型、OBS桶所在区域的ID、资源发生变更的服务和资源类型、存
适用于空闲资产管理的最佳实践 业务背景 适用于空闲资产管理的最佳实践用于检测常见的云资源在购买后是否被闲置,涉及弹性公网IP、弹性云服务器、云硬盘等云产品。资源购买后未使用会导致企业成本的浪费,建议及时发现并治理。 默认规则 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明
户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导 进入IAM的“admin”用户组,删除企业管理员以外的IAM用户,详见用户组添加/移除用户。 检测逻辑
IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户、用户组或委托仅拥有所需操作的相关权限。为了提高账号资源的安全性
选择接口返回的信息的语言,默认为"zh-cn"中文,可选值:zh-cn和en-us。 缺省值:zh-cn X-Auth-Token 否 String 调用者token。 X-Security-Token 否 String 如果正在使用临时安全凭据,则此header是必需的,该值是临时安全凭据的安全令牌(会话令牌)。
value_name},其中value_name为授权给Config服务调用函数的委托的名字。 custom_policy指定此规则绑定的自定义策略的函数URN和调用时的鉴权方式。 parameters 合规策略的规则参数的值 parameters:Object类型 key:字符串类型,只能
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略
} else { fmt.Println(err) } } 更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 操作成功。 400 输入参数不合法。 403 用户认证失败。
您可以使用Config预设的查询语句,或根据资源配置属性自定义查询语句,查询具体的云资源配置。 本章节包含如下内容: 新建自定义查询 基于预设查询创建自定义查询 高级查询配置样例 新建自定义查询 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
内的资源,Config会在24小时内校正资源数据。如未开启资源记录器,或相关资源不在资源记录器配置的监控范围内,则Config不会校正这些资源的数据。 Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页面无法获取
适用于云备份(CBR)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密,视为“不合规” cbr
配置审计(Config)服务提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页面无法获取资源最新数据
如何获取各对接云服务上报Config的资源属性? 获取各对接云服务上报Config的资源属性有如下两种方式: 通过Config管理控制台的高级查询功能,进入查询编辑器即可在界面左侧获取,如下步骤仅为进入查询编辑器的其中一种方式。 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计
适用于对象存储服务(OBS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 obs-bucket-public-read-policy-check OBS桶禁止公开读 obs 桶可以被公开读,视为“不合规”
函数工作流的函数允许访问公网,视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器,视为“不合规”
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
