检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
listOfAllowedFlavors:指定的CCE规格列表,枚举值请参见flavor字段当前所支持的值,例如“cce.s1.small”。 检测逻辑 CCE集群的规格在参数配置的范围内,视为“合规”。 CCE集群的规格不在参数配置的范围内,视为“不合规”。 父主题: 云容器引擎 CCE
所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的CSS集群绑定特定的虚拟私有云。 检测逻辑 CSS集群绑定的VPC不在对应VPC列表,视为“不合规”。 CSS集群绑定的VPC在对应VPC列表,视为“合规”。 父主题: 云搜索服务
P端口时,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 检测逻辑 当安全组入方向源地址未设置为0.0.0.0/0或::/0,或未开放所有的TCP/UDP端口时,视为“合规”。 当安全组入方向源地址设置为0
建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。
修复项指导 开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前用户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流,详见配置云审计事件转储至LTS并查看。 检测逻辑 无论是否为启用状态,CTS追踪器配置转储到LTS,视为“合规”。
规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“修改VPC”的事件监控告警,视为“不合规”。 账号已配置“修改VPC”的事件监控告警,视为“合规”。 CES服务目前支持监控的系统事件请参见事件监控支持的事件说明。 父主题: 云监控服务 CES
组织 Organizations 账号加入组织 父主题: 系统内置预设策略
用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑 CSMS凭据未启动自动轮转,视为“不合规”。 CSMS凭据已启动自动轮转,视为“合规”。 父主题: 数据加密服务 DEW
白名单列表中的IP通过公网IP访问集群。详见配置公网访问。 修复项指导 用户可以通过接口开启公网访问控制白名单配置合适的访问控制白名单。 检测逻辑 CSS集群未开启公网访问,视为“合规”。 CSS集群开启了公网访问但未开启访问控制开关,视为“不合规”。 CSS集群开启了公网访问且开启了访问控制开关,视为“合规”。
规则评估的资源类型 cbr.policy 规则参数 requiredFrequency:备份频率,请输入备份的时间间隔(以小时为单位)。 检测逻辑 CBR服务的备份策略未启用,视为“合规”。 CBR服务的备份策略执行的最大时间间隔小于等于参数要求,视为“合规”。 CBR服务的备份
修复项指导 MRS集群创建完成后不支持切换虚拟私有云,请谨慎选择所属虚拟私有云。当前仅支持切换VPC子网,详见切换MRS集群VPC子网。 检测逻辑 MRS集群的VPC不是指定的VPC,视为“不合规”。 MRS集群使用的VPC是指定的VPC,视为“合规”。 父主题: MapReduce服务
可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的读操作。 检测逻辑 OBS桶策略允许本账号以外的身份执行“读”相关的操作,视为“不合规”。 OBS桶ACL允许本账号或日志投递用户组以外的身份执行“读”相关的操作,视为“不合规”。
可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的写操作。 检测逻辑 OBS桶策略允许本账号以外的身份执行“写”相关的操作,视为“不合规”。 OBS桶ACL允许本账号或日志投递用户组以外的身份执行“写”相关的操作,视为“不合规”。
account 规则参数 无 检测逻辑 账号未配置“设置桶的策略”或未配置“删除桶policy配置”的事件监控告警,视为“不合规”。 账号已配置“设置桶的策略”和“删除桶policy配置”的事件监控告警,视为“合规”。 CES服务目前支持监控的系统事件请参见事件监控支持的事件说明。
划外授权,从而导致恶意操作。 修复项指导 判断该IAM策略是否仍需使用,将其附加到预期的IAM用户、用户组或委托上,或删除该IAM策略。 检测逻辑 IAM策略附加到IAM用户、用户组或委托,视为“合规”。 IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务
建议您创建跨AZ高可用部署的图实例,以提供不同可用区之间的故障转移能力和高可用性。 修复项指导 在创建图实例时,您应当开启跨AZ高可用,详见自定义创建图。 检测逻辑 GES图不支持跨AZ高可用,视为“不合规”。 GES图支持跨AZ高可用,视为“合规”。 父主题: 图引擎服务 GES
帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的身份或网络。 检测逻辑 OBS桶策略授权controlPolicy以外的访问,视为“不合规”。 OBS桶策略未授权controlPolicy以外的访问,视为“合规”。
AM权限或IAM策略的名称列表,不支持系统策略。 应用场景 为IAM用户、IAM用户组、IAM委托分配指定的权限,避免非必要权限带来的安全隐患,详见授予最小权限。 修复项指导 移除不合规的IAM用户、IAM用户组、IAM委托的对应权限。 检测逻辑 IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。
规则评估的资源类型 iam.agencies 规则参数 roleIdList:指定允许的权限ID列表,不支持系统权限。 policyIdList:指定允许的策略ID列表,不支持系统身份策略。 应用场景 为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所
云备份 CBR CBR备份被加密 CBR备份策略执行频率检查 CBR存储库最低保留天数 父主题: 系统内置预设策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
