检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
弹性负载均衡 ELB ELB资源不具有弹性公网IP ELB监听器配置指定预定义安全策略 ELB监听器配置HTTPS监听协议 ELB后端服务器权重检查 监听器资源HTTPS重定向检查 ELB资源使用多AZ部署 父主题: 系统内置预设策略
EVS 云硬盘的类型在指定的范围内 云硬盘创建后在指定天数内绑定资源实例 云硬盘闲置检测 已挂载的云硬盘开启加密 云硬盘开启加密 EVS资源在备份存储库保护中 EVS资源的备份时间检查 父主题: 系统内置预设策略
系统内置预设策略 预设策略列表 公共可用预设策略 API网关 APIG 部署 CodeArts Deploy MapReduce服务 MRS NAT网关 NAT VPC终端节点 VPCEP Web应用防火墙 WAF 弹性负载均衡 ELB 弹性公网IP EIP 弹性伸缩 AS 高性能弹性文件服务
ECS ECS资源规格在指定的范围 ECS实例的镜像ID在指定的范围 ECS的镜像在指定Tag的IMS的范围内 绑定指定标签的ECS关联在指定安全组ID列表内 ECS资源属于指定虚拟私有云ID ECS资源配置密钥对 ECS资源不能公网访问 检查ECS资源是否具有多个弹性公网IP 关机状态的ECS未进行任意操作的时间检查
vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有ipv4地址(0
规则名称 bms-key-pair-security-login 规则展示名 BMS资源使用密钥对登录 规则描述 裸金属服务器未启用密钥对安全登录,视为“不合规”。 标签 bms 规则触发方式 配置变更 规则评估的资源类型 bms.servers 规则参数 无 父主题: 裸金属服务器
waf-instance-enable-protect 启用WAF实例域名防护 waf 如果账号未配置并启用WAF防护策略的域名防护,视为“不合规” waf-instance-policy-not-empty WAF防护域名配置防护策略 waf WAF防护域名未配置防护策略,视为“不合规” waf-policy-enable-geoip
询和管理Elasticsearch集群日志。 修复项指导 CSS集群默认记录慢日志,用户可以将其转储在OBS桶中,详见修改日志基础配置。 检测逻辑 CSS集群未开启慢日志,视为“不合规”。 CSS集群开启慢日志,视为“合规”。 父主题: 云搜索服务 CSS
APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查
listOfAllowedFlavors:指定的CCE规格列表,枚举值请参见flavor字段当前所支持的值,例如“cce.s1.small”。 检测逻辑 CCE集群的规格在参数配置的范围内,视为“合规”。 CCE集群的规格不在参数配置的范围内,视为“不合规”。 父主题: 云容器引擎 CCE
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 使用
规则评估的资源类型 cbr.policy 规则参数 requiredFrequency:备份频率,请输入备份的时间间隔(以小时为单位)。 检测逻辑 CBR服务的备份策略未启用,视为“合规”。 CBR服务的备份策略执行的最大时间间隔小于等于参数要求,视为“合规”。 CBR服务的备份
用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑 CSMS凭据未启动自动轮转,视为“不合规”。 CSMS凭据已启动自动轮转,视为“合规”。 父主题: 数据加密服务 DEW
划外授权,从而导致恶意操作。 修复项指导 判断该IAM策略是否仍需使用,将其附加到预期的IAM用户、用户组或委托上,或删除该IAM策略。 检测逻辑 IAM策略附加到IAM用户、用户组或委托,视为“合规”。 IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务
划外授权,从而导致恶意操作。 修复项指导 判断该IAM权限是否仍需使用,将其附加到预期的IAM用户、用户组或委托上,或删除该IAM权限。 检测逻辑 IAM权限附加到IAM用户、用户组或委托,视为“合规”。 IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务
日志,例如上传、下载等。 修复项指导 用户首次进入云审计服务时,在追踪器页面单击“开通云审计服务”,系统会自动为您创建一个名为system的管理类事件追踪器,详见创建追踪器。 检测逻辑 账号未创建CTS追踪器,视为“不合规”。 账号已创建CTS追踪器,但均未启用,视为“不合规”。
功能,避免将DMS RocketMQ实例直接暴露到公网。 修复项指导 请关闭公网访问,避免将DMS RocketMQ实例直接暴露到公网。 检测逻辑 DMS RocketMQ实例开启公网访问,视为“不合规”。 DMS RocketMQ实例未开启公网访问,视为“合规”。 父主题: 分布式消息服务RocketMQ版
规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“修改VPC”的事件监控告警,视为“不合规”。 账号已配置“修改VPC”的事件监控告警,视为“合规”。 CES服务目前支持监控的系统事件请参见事件监控支持的事件说明。 父主题: 云监控服务 CES
的API授权项请参见《配置审计API参考》中的“权限策略及授权项说明”章节。 如表1 Config系统权限所示,包括了Config的所有系统权限。 表1 Config系统权限 系统策略名称 描述 依赖关系 RMS ConsoleFullAccess 配置审计服务控制台使用所有权限
添加自定义合规规则 操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写FunctionGraph函数代码,添加自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流(FunctionGraph)上的函数。将合规规
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
