检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
表1 配置审计服务与其他服务的关系 服务名称 说明 交互功能 相关内容 消息通知服务(SMN) 在配置资源记录器时,可以根据需要选择配置消息通知主题。 说明: 如您先配置了资源存储(OBS桶),则SMN主题可以不配置。 Config支持服务的资源发生变更时,向用户发送消息通知。
重要 Config资源变化通知SMN失败 建议排查SMN主题权限 无法通过SMN通知到客户资源历史变化 SYS.RMS Config资源变化通知成功 提示 Config资源变化通知SMN成功 无 无 SYS.RMS Config资源关系变化通知失败 重要 Config资源关系变化通知
无 SYS.RMS 配置合规通知 提示 审计规则执行结果变为合规 无 无 资源记录器支持的配置审计(Config)事件请参见:资源记录器事件监控。 父主题: 资源合规
资源记录器 开启资源记录器 开启资源记录器后,才可以跟踪资源的变更情况。 配置资源记录器 配置资源监控范围、消息通知主题、资源转储,并授权资源记录器调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限。 修改资源记录器 可以修改资源记录器的相关配置。
配置审计服务在2024年会继续免费,后续存在收费可能,如果后续启动收费,我们会提前通知您。
消息通知服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs
产品介绍 什么是Config 基本概念 功能总览 与其他服务的关系 计费说明 权限管理 03 使用 您可以使用Config查看您所拥有的资源有哪些;可以查看资源详情、资源之间的关系、资源历史;Config会在资源变更时发送消息通知给您,并定期(6小时)对您的资源变更消息进行存储;Config
waf 如果账号未配置并启用WAF防护策略的域名防护,视为“不合规” waf-instance-policy-not-empty WAF防护域名配置防护策略 waf WAF防护域名未配置防护策略,视为“不合规” waf-policy-enable-geoip 启用WAF防护策略地理位置访问控制规则
修复项指导 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知,详见配置追踪器。 检测逻辑 配置数据类追踪器追踪OBS桶时,只追踪“读操作”或“写操作”,也视为追踪该OBS桶。
Web应用防火墙 WAF WAF防护域名配置防护策略 WAF防护策略配置防护规则 启用WAF实例域名防护 启用WAF防护策略地理位置访问控制规则 WAF实例启用拦截模式防护策略 父主题: 系统内置预设策略
步骤三:配置SMN主题策略 开启资源记录器时需配置SMN主题,当资源发生变更时,消息通知会推送消息到您所配置的SMN主题。如无SMN主题,则需先创建主题。创建SMN主题后,还需执行“添加订阅”和“请求订阅”操作,消息通知才会生效。
SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” 父主题: 合规规则包示例模板
开启并配置资源记录器的资源转储和主题功能后,当在资源记录器监控范围内的资源被创建、修改、删除以及资源关系发生变化时,向您发出通知,同时资源记录器还可以将您的资源变更消息和资源快照进行定期存储。具体请参见资源记录器。
附录 支持的服务和区域 支持的资源关系 支持标签的云服务和资源类型 消息通知模型 存储模型 ResourceQL语法
API网关 APIG APIG专享版实例配置安全认证类型 APIG专享版实例配置访问日志 APIG专享版实例域名均关联SSL证书 父主题: 系统内置预设策略
DEW 密钥(kms.keys) 云容器引擎 CCE 集群(cce.clusters) 云数据库 GaussDB 实例(gaussdb.instance) 节点(gaussdb.nodes) 数据库安全服务 DBSS 实例(dbss.cloudservers) 内容分发网络 CDN 域名
如未启用流日志,视为“不合规” 4.1 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的AK/SK访问密钥未在指定天数内更换,视为“不合规” 4.1 evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例
规则中文名称 涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联
数据传输加密最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL
CES配置监控VPC变更的事件监控告警 规则详情 表1 规则详情 参数 说明 规则名称 alarm-vpc-change 规则展示名 CES配置监控VPC变更的事件监控告警 规则描述 CES未配置监控VPC变更的事件监控告警,视为“不合规”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
