检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
当聚合器账号发起聚合请求时,需要源账号向聚合器账号授予收集资源配置和合规性数据的权限,资源聚合器才可以收集源账号的资源数据。授权和创建聚合器并无先后关系,先创建资源聚合器或先授权均可。 组织类型的聚合器无需授权,即可收集整个组织中所有成员账号的资源数据。 本章节将为您介绍如下内容: 添加授权 接受授权 删除授权
rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 vpcId:虚拟私有云ID,字符串类型。 父主题: 云数据库 RDS
创建资源聚合器授权 功能介绍 给资源聚合器账号授予从源账号收集数据的权限。 调用方法 请参见如何调用API。 URI PUT /v1/resource-manager/domains/{domain_id}/aggregators/aggregation-authorization
阻拦action列表,数组类型。 应用场景 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。 修复项指导 用户可以根据合规评估结果修改IAM策略配置,详见修改、删除自定义策略。 检测逻辑
Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页面无法获取资源最新数据、合规规则无法创建、修改、启用和触发规则评估、资源聚合器无法聚合源账号的资源数据等,因此强烈建议您保持资源记录器的开启状态。如何开启并配置资源记录器请参见配置资源记录器。
事件监控 事件监控提供事件类型数据上报、查询和告警的功能。方便您将资源的合规性事件收集到云监控服务,并在事件发生时进行告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监
为什么云服务资源发生了变化,“资源清单”中相应资源未发生变化? 资源数据同步到Config存在延迟。 对于已开启资源记录器且在监控范围内的资源,Config会在24小时内校正资源数据。如您未开启资源记录器,或相关资源不在资源记录器配置的监控范围内,则Config不会校正这些资源的数据。 另外,并非已对接Config
SDK概述 本文介绍了Config服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了Config服务支持的SDK列表,您可以在GitH
错误。 单次查询语句查询大量数据,会返回查询数据量过大的报错,需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 高级查询功能依赖于资源记录器所收集的资源数据,强烈建议您保持资源记录器的开启状态,不同场景的说明如下:
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。
确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 CRY-02 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在,因此在传输过程中启用加密以帮助保护该数据。 CRY-02 css-cluste
操作场景 您可以通过资源聚合器列表查看所有已创建的资源聚合器及其详情,并支持在列表中进行搜索操作。 查看组织资源聚合器聚合的资源信息和合规性数据依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations:get organization
单击页面右上角的“创建聚合器”。 在创建聚合器页面,先勾选“允许数据复制”确认框,然后配置聚合器名称和源账号信息。 如果源类型选择“添加账号”,则输入华为云账号ID,多个账号之间以逗号分隔;如果源类型选择“添加组织”,资源聚合器将直接聚合此组织下账号状态为“正常”的成员账号的数据,无需输入账号ID。 图1 创建聚合器
源信息。 单击列表中某一资源的名称,界面展示该资源的概览信息。 在列表上方,支持通过多种条件对不合规资源进行检索,还支持导出全部不合规资源数据。 图1 查看不合规资源 父主题: 资源合规
查询资源标签 功能介绍 查询指定实例的标签信息。标签管理服务需要使用该接口查询指定实例的全部标签数据。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/{resource_type}/{resource_id}/tags 表1 路径参数
和'select CoUnT(*)'没有区别。用单引号表示字符串字面量。 ResourceQL支持以下7种数据类型。其中数组类型用'[]'来索引某个位置(标号从'1'开始)。 表1 支持的数据类型 类型名 类型英文 整型 int/integer 浮点型 float/double 布尔型 boolean
ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言(SQL)SELECT语法的一部分,它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同,既可以是简单的标签或资源标识符匹配,也可以是更复杂的查询,例如查看指定具体OS版本的云服务器。
动态收集源账号的资源配置,源账号的资源发生变更后会同步更新数据至资源聚合器。 组织类型的资源聚合器仅会聚合组织下账号状态为“正常”的成员账号的数据。 资源聚合器聚合的源账号只有开启资源记录器后,源账号的资源信息和合规性数据才会聚合到资源聚合器,不同场景的说明如下: 如源账号从未开
规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 应用场景 确保CTS追踪器转储归档的审计事件到OBS桶时,数据是被加密的。 修复项指导 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件,详见开启云审计服务配置OBS桶。 检测逻辑 无论
资源合规规则添加完成后,您可以在规则列表中查看所有已添加的合规规则,进入规则详情页可查看规则的评估结果、标签、修正配置和规则详情配置等信息。 规则的评估结果数据支持全部导出;在规则详情页的右上角,您可以进行触发规则评估(立即评估)、修改规则(编辑规则)、停用/启用规则、删除规则操作;在修正管理页签