检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或停用IAM用户多余的访问密钥,详见管理IAM用户访问密钥。
无论是否为启用状态,CTS追踪器未配置KMS加密,视为“不合规”。 无论是否为启用状态,CTS追踪器配置KMS加密,视为“合规”。 使用约束 组织追踪器的场景下,在成员账号上使用该合规规则时,由于Config收集组织管理员下发的追踪器资源存在时延,合规评估结果的更新可能存在最多不超过24小时的滞后。 父主题:
组织合规规则和组织合规包创建完成后,为什么会在部分组织成员账号中部署异常,且提示“tracker-config needs to be enabled”? 是因为这些组织成员账号未开启资源记录器导致的部署异常。 Config服务的相关功能均依赖于资源记录器收集的资源数据,因此账号必须开启资源记录器才可正常使用合规规则和合规规则包功能。
led APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规”
APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未转储到LTS,视为“不合规”
"domain": { "name": "domainname" //IAM用户所属账号名 } } } },
访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。
关闭资源记录器 跨账号授权 跨账号授予SMN主题发送通知的权限 用授权账号登录管理控制台,进入对应区域的SMN服务控制台。 参考设置主题策略对待授权账号授予相关SMN主题的权限。 如未对待授权账号进行授权,则该账号将无法通过此SMN主题接收资源变更消息通知。 跨账号授予OBS桶存储文件的权限
查看所有资源列表 操作场景 如果您需要查看当前账号下的资源,可以通过“资源清单”页面查看。 资源数据同步到Config存在延迟,因此资源发生变化时不会实时更新“资源清单”中的数据。对于已开启资源记录器的用户,Config会在24小时内校正资源数据。 资源清单中的资源数据依赖于资源
allowedInactivePeriod:指定的时间范围,整数类型,默认值为90。 应用场景 及时发现不活跃的IAM用户,用于减少闲置用户或降低密码泄露的风险,提升账号安全。 修复项指导 使用该闲置的IAM用户登录管理控制台,或删除该闲置的IAM用户,详见IAM用户登录或删除IAM用户。 检测逻辑 IAM用户为“停用”状态,视为“合规”。
ecs-protected-by-cbr ECS资源在备份存储库中 cbr, ecs ECS资源没有关联备份存储库,视为“不合规” evs-protected-by-cbr EVS资源在备份存储库保护中 cbr, evs EVS磁盘没有关联备份存储库,视为“不合规” sfsturbo-protected-by-cbr
添加预定义合规规则 操作场景 本章节指导您如何使用系统内置的预设策略来快速添加资源合规规则。 约束与限制 每个账号最多可以添加500个合规规则。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。 仅被资源记录
增加安全风险。访问方式分为如下两种: 编程访问:启用访问密钥,用户仅能通过API、CLI、SDK等开发工具访问华为云服务。 管理控制台访问:启用登录密码,用户仅能登录华为云管理控制台访问云服务。 请用户不要通过密码方式进行编程访问。 修复项指导 修改IAM用户,访问方式只允许编程
APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” 父主题: 合规规则包示例模板
pal或condition的格式一致。 应用场景 桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。
Openstack中的项目ID。 project_name String Openstack中的项目名称。 ep_id String 企业项目ID。 ep_name String 企业项目名称。 checksum String 资源详情校验码。 created String 资源创建时间。 updated
支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源
Openstack中的项目ID。 project_name String Openstack中的项目名称。 ep_id String 企业项目ID。 ep_name String 企业项目名称。 checksum String 资源详情校验码。 created String 资源创建时间。 updated
m的管理类事件追踪器,详见创建追踪器。 检测逻辑 账号在指定区域均已创建“启用”状态的CTS追踪器,视为“合规”。 账号在任意指定的区域,未创建“启用”状态的CTS追踪器,视为“不合规”。 使用约束 组织追踪器的场景下,在成员账号上使用该合规规则时,由于Config收集组织管理员
配置数据类追踪器追踪OBS桶时,只追踪“读操作”或“写操作”,也视为追踪该OBS桶。 账号下存在“启用”状态的CTS追踪器追踪指定的OBS桶,视为“合规”。 账号下所有“启用”状态的CTS追踪器均未追踪指定的OBS桶,视为“不合规”。 账号下不存在“启用”状态的CTS追踪器,视为“不合规”。 父主题: 云审计服务
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
