检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
高级查询:Config提供高级查询能力,通过使用ResourceQL语法来自定义查询云资源。 资源聚合器:Config提供多账号资源数据聚合能力,通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中,方便统一查询。 合规规则包:Config提供合规规则包能力,合规规则包是多个合规
如果源类型选择“添加账号”,则输入华为云账号ID,多个账号之间以逗号分隔;如果源类型选择“添加组织”,资源聚合器将直接聚合此组织下账号状态为“正常”的成员账号的数据,无需输入账号ID。 图1 创建聚合器 账号类型的资源聚合器仅支持聚合华为云账号下的资源,因此源账号ID需输入华为云账号ID(dom
账号。源账号可以是华为云账号或组织。 资源聚合器 资源聚合器是配置审计服务中的一种新的功能,可以从多个源账号收集资源配置和合规性数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器
源。 应用场景 企业上云后,云上创建的资源不断增加,有些大型企业资源数量达到十万、百万级别,一个账号内存在大量资源,企业需要进行分类管理。华为云推荐您使用标签对资源进行标记,进而实现资源的分组分类。通过标签对资源的业务归属、财务归属等资源属性进行标记,例如:按所属部门、地域或项目等。
如果您需要对Config进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Config的其它功能。 策略是以JSON格式描述权限
概述 资源聚合器提供高级查询能力,通过使用ResourceQL自定义查询单个或多个聚合源账号的资源配置状态。 高级查询支持用户自定义查询和浏览华为云云服务资源,用户可以通过ResourceQL在查询编辑器中编辑和查询。 您可以使用Config预设的查询语句,或根据资源配置属性自定义查询语句,查询具体的云资源配置。
EVS资源在备份存储库保护中 cbr, evs EVS磁盘没有关联备份存储库,视为“不合规” sfsturbo-protected-by-cbr SFSturbo资源在备份存储库中 cbr, sfsturbo SFSturbo资源没有关联备份存储库,视为“不合规” ecs-last-backup-created
List<VarsStructure> listbodyVarsStructure = new ArrayList<>(); listbodyVarsStructure.add( new VarsStructure()
List<VarsStructure> listbodyVarsStructure = new ArrayList<>(); listbodyVarsStructure.add( new VarsStructure()
List<VarsStructure> listbodyVarsStructure = new ArrayList<>(); listbodyVarsStructure.add( new VarsStructure()
算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该
支持云审计的关键操作 操作场景 平台提供了云审计服务。通过云审计服务,您可以记录与配置审计服务相关的操作事件,便于后续的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的Config操作列表 操作名称 资源类型 事件名称 创建合规规则
确保为root用户启用多因素身份验证(MFA)。 3.3.1 监控系统资源的使用,以侦测是否有异常或未经授权进行的活动。 cts-tracker-exists 启用云审计服务,可以记录华为云管理控制台操作和API调用。 3.3.1 监控系统资源的使用,以侦测是否有异常或未经授权进行的活动。 cts-lts-enable
"cloudservers": return "Compliant" vpc_id = resource.get("properties", {}).get("metadata", {}).get("vpcId") return "Compliant" if vpc_id
"cloudservers": return "Compliant" vpc_id = resource.get("properties", {}).get("metadata", {}).get("vpcId") return "Compliant" if vpc_id
MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” 父主题: 合规规则包示例模板
RDS实例开启存储加密 rds 未开启存储加密的rds资源,视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” volumes-encrypted-check
CSS集群启用快照 规则详情 表1 规则详情 参数 说明 规则名称 css-cluster-backup-available 规则展示名 CSS集群启用快照 规则描述 CSS集群未启用快照,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters
CCE集群VPC检查 规则详情 表1 规则详情 参数 说明 规则名称 cce-cluster-in-vpc 规则展示名 CCE集群VPC检查 规则描述 CCE集群绑定的VPC不在对应VPC列表,视为“不合规”。 标签 cce 规则触发方式 配置变更 规则评估的资源类型 cce.clusters
TaurusDB实例VPC检查 规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-in-vpc 规则展示名 TaurusDB实例VPC检查 规则描述 TaurusDB实例绑定的VPC不在对应VPC列表,视为“不合规”。 标签 taurusdb
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
