检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如下JSON表示了一个用于检查ECS实例的镜像ID是否在指定范围内的合规策略: { "id": "5fa265c0aa1e6afc05a0ff07", "name": "allowed-images-by-id", "description": "指定允许的镜像ID列表,ECS实例的镜像ID不在指定的范围内,视为“不合规”"
"policy_assignment_name" : "policy_assignment_name-0709", "resource_id" : "ecs_001", "compliance_state" : "NonCompliant", "evaluation_time"
获取账号ID 在调用接口的时候,部分URL中需要填入账号ID(domain-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面查看账号ID。 图1 获取账号ID 父主题:
管理员可以在IAM页面修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的任意一个云服务的全部权限,视为“不合规”。 IAM自定义策略未配置Allow的任意一个云服务的全部权限,视为“合规”。 父主题: 统一身份认证服务 IAM
iam-password-policy 规则展示名 IAM用户密码策略符合要求 规则描述 IAM用户密码强度不满足密码强度要求,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 pwdStrength:密码强度要求,参数允许值为枚举值Strong/Medium/Low,默认值为Strong。
”页签查看当前账号下全部不合规资源的信息。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧的“资源合规”,进入“资源合规”页面。 选择“不合规资源”页签,列表中展示当前账号下全部的不合规资源信息。
heck 规则展示名 IAM用户归属指定用户组 规则描述 IAM用户不属于指定IAM用户组,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 groupIds:指定的用户组ID列表,如果列表为空,表示允许所有值;数组类型,最多包含10个元素。
目标决定了此组织合规规则配置的部署位置。 组织:将策略部署到您组织内的所有成员账号中。 当前账号:将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID,使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。
单击左侧的“资源合规”,进入“资源合规”页面。 在“规则”页签下单击“添加规则”,进入“基础配置”页面。 基础配置完成后,单击页面右下角的“下一步”。 图1 基础配置 表1 基础配置参数说明 参数 说明 策略类型 选择“预设策略”。 预设策略即服务已开发的策略,在下方的预设策略列表中直接选择所需预设策略,
数据复制服务实时同步任务使用公网网络,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs,vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规”
Explorer的代码示例页签,可生成自动对应的SDK代码示例。 状态码 状态码 描述 200 操作成功。 400 输入参数不合法。 403 用户身份认证失败。 500 服务器内部错误。 错误码 请参见错误码。 父主题: 合规规则包
allowed-images-by-name ECS实例的镜像名称在指定的范围 ecs 指定允许的镜像名称列表,ECS实例的镜像名称不在指定的范围内,视为“不合规” allowed-images-by-id ECS实例的镜像ID在指定的范围 ecs, ims 指定允许的镜像ID列表,ECS实例的镜像ID不在指定的范围内,视为“不合规”
在“资源清单”页面您可以导出资源列表中的资源信息。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击列表左上方的“导出资源列表”按钮,导出列表中的资源信息。 导出资源列表功能仅会导出资源列表中展示资源的相关信息:
IAM策略中授权KMS的任一阻拦action,视为“不合规”。 标签 iam、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns:KMS的阻拦action列表,数组类型。
仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 自定义策略的规则参数最多可以设置10个,由您自行配置。 目标 目标决定了此组织合规规则配置的部署位置。 组织:将策略部署到您组织内的所有成员账号中。
理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧的“资源合规”,进入“资源合规”页面。 单击页面中部的“添加规则”,进入“基础配置”页面。 “策略类型”选择“自定义策略”,配置相关参数并进行授权,配置完成后单击“下一步”。 表1 基础配置参数说明 参数 说明
获取项目ID 操作场景 在调用接口的时候,部分URL中需要填入项目ID,所以需要获取到项目ID。有如下两种获取方式: 调用API获取项目ID 从控制台获取项目ID 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET ht
和删除操作。 操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧的“资源合规”,进入“资源合规”页面。 选择“组织规则”页签,在规则列表中单击操作列的“编辑”。
线组成。 组织合规规则包参数 组织合规规则包的参数配置与相对应的合规规则参数一致,具体请参见系统内置预设策略。 目标 目标决定了此组织合规规则包配置的部署位置。 组织:将策略部署到您组织内的所有成员账号中。 当前账号:将策略部署到当前登录的账号中。 创建组织类型的合规规则包时请选择“组织”。
进入“规则参数”页,修改规则相关配置后,单击“下一步”。 不同类型的策略支持修改的配置项存在差异,具体如下: 过滤器类型(规则“触发类型”为“配置变更”时支持修改) 资源范围(规则“触发类型”为“配置变更”时支持修改) 过滤范围(规则“触发类型”为“配置变更”时支持修改) 周期频率(
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
