检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测逻辑 OBS桶策略不允许未SSL加密的请求,视为“合规”。 OBS桶策略允许未SSL加密的请求,视为“不合规”。 根据SecureTransport或g:SecureTransport条件是否限制了桶策略所有授权的请求,来判定OBS桶策略是否禁止未SSL加密的请求。
检测逻辑 除了默认的桶ACL授权外,用户没有额外配置桶ACL授权,视为“合规”。 除了默认的桶ACL授权外,用户额外配置了桶ACL授权,视为“不合规”。 默认的桶ACL授权指授予拥有者对ACL的访问权限,无法删除或禁用。 父主题: 对象存储服务 OBS
检测逻辑 IAM用户组未添加IAM用户,视为“不合规”。 IAM用户组添加任意IAM用户,视为“合规”。 父主题: 统一身份认证服务 IAM
检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若在指定时间内有登录行为,视为“合规”。
检测逻辑 账号未创建CTS追踪器,视为“不合规”。 账号已创建CTS追踪器,但均未启用,视为“不合规”。 账号已创建并启用CTS追踪器,视为“合规”。
检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且开启了任意验证方式的登录保护,视为“合规”。 IAM用户为“启用”状态且未开启任意验证方式的登录保护,视为“不合规”。 父主题: 统一身份认证服务 IAM
检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且开启了MFA认证,视为“合规”。 IAM用户为“启用”状态且未开启MFA认证,视为“不合规”。 父主题: 统一身份认证服务 IAM
检测逻辑 无论是否为启用状态,CTS追踪器打开事件文件校验,视为“合规”。 无论是否为启用状态,CTS追踪器未打开事件文件校验,视为“不合规”。
检测逻辑 IAM用户未设置密码,视为“合规”。 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且已设置密码,若密码强度满足密码强度要求,视为“合规”。 IAM用户为“启用”状态且已设置密码,若密码强度不满足密码强度要求,视为“不合规”。
检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态,且未同时开启“编程访问”和“管理控制台访问”,视为“合规”。 IAM用户为“启用”状态,且未同时配置登录密码和访问密钥,视为“合规”。 IAM用户不满足以上场景,视为“不合规”。
检测逻辑 IAM用户未配置AccessKey,视为“合规”。 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态,且其AccessKey在指定时间内轮换,视为“合规”。 IAM用户为“启用”状态,且其AccessKey在指定时间内未轮换,视为“不合规”。
检测逻辑 账号在指定区域均已创建“启用”状态的CTS追踪器,视为“合规”。 账号在任意指定的区域,未创建“启用”状态的CTS追踪器,视为“不合规”。
检测逻辑 OBS桶策略授予的访问权限受您提供的访问身份和网络限制约束,视为“合规”。 OBS桶策略授予的访问权限不受您提供的访问身份和网络限制约束,视为“不合规”。 规则参数中的格式,与OBS桶策略的相关字段格式一致。 父主题: 对象存储服务 OBS
检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若其已开启MFA认证,视为“合规”。
检测逻辑 无论是否为启用状态,CTS追踪器配置转储到LTS,视为“合规”。 无论是否为启用状态,CTS追踪器未配置转储到LTS,视为“不合规”。
检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态,且规则参数为空列表,若IAM用户属于任意一个IAM用户组,视为“合规”。 IAM用户为“启用”状态,且规则参数为空列表,若IAM用户不属于任意一个IAM用户组,视为“不合规”。
自定义合规规则:当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写FunctionGraph函数代码,添加自定义策略来完成复杂场景的资源审计。
为合规规则创建修正配置,通过关联RFS服务的私有模板,按照您在私有模板中自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 合规规则修正配置 资源访问管理(RAM) 添加组织自定义合规规则时,需通过RAM服务将FunctionGraph函数共享给组织成员账号。
检测逻辑 如果CTS追踪器配置文件校验、加密事件文件、转储到LTS,视其满足CTS的安全最佳实践。 若规则参数列表为空,账号中存在至少一个符合安全最佳实践的“启用”状态的CTS追踪器,视为“合规”。
在资源合规的规则页签,您可以查看该规则对VPC安全组资源的检测结果。 标签审计的预设策略列表 策略名称 策略展示名 策略描述 required-all-tags 资源具有所有指定的标签键 指定标签列表,不具有所有指定标签键的资源,视为“不合规”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
