检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在“规则”页签下的列表中,单击上一步骤添加的合规规则的规则名称。 进入规则详情的“基本信息”页。 左侧的评估结果列表默认展示合规评估结果为“不合规”的资源,您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索,还支持导出全部评估结果数据。 此合规规则的评估结
合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。 创建FunctionGraph函数 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“计算”下的“函数工作流 FunctionGraph”。 在左侧的导航栏选择“函数 > 函数列表”。
配置审计服务的资源合规特性用于评估您的资源是否满足合规要求,针对合规规则评估出的不合规资源,合规修正功能可以帮助您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您自定义的修正逻辑对不合规资源进行快速修正,确保您的云上资源持续合规。
onfig服务的委托管理员,您还可以添加组织类型的资源合规规则,直接作用于您组织内账号状态为“正常”的所有成员账号中。 针对合规规则评估出的不合规资源,合规修正功能可以帮助您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您
ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定,视为“不合规”
对于管理员创建IAM用户接口,您可以从接口的请求部分看到所需的请求参数及参数说明,将消息体加入后的请求如下所示,其中加粗的字段需要根据实际值填写。 accountid为IAM用户所属的账号ID。 username为要创建的IAM用户名。 email为IAM用户的邮箱。 **********为IAM用户的登录密码。
进入“配置确认”页面,确认配置无误后,单击页面右下角的“确定”,完成FunctionGraph函数的组织内共享。 添加自定义组织合规规则 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧的“资源合规”,进入“资源合规”页面。
e最多20个,每个key对应的value可以为空数组但结构体不能缺失。key不能重复,同一个key中values不能重复。结果返回包含所有标签的资源列表,key之间是与的关系,key-value结构中value是或的关系。无tag过滤条件时返回全量数据。 matches 否 Array
规则参数和合规策略是对应的,例如:您选择了“资源具有指定的标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略的规则参数无法增删,但是您可以根据需要为其设置不同的参数值,将合规策略重用于不同的方案。 自定义策略的规则参数由您自行配置,您
stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 创建的EVS在指定天数后仍未绑定到资源实例,视为“不合规”
CSS集群未启用安全模式,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 CSS集群内部的权限控制是通过安全集群实现的,当集群开启安全模式后,访问集群时需要进行身份认证,通过Kibana可以给集群创建用户进
dms 规则触发方式 配置变更 规则评估的资源类型 dms.reliabilitys 规则参数 无 应用场景 您需要通过公网地址访问RocketMQ实例时,开启实例的公网访问功能,并设置弹性IP地址。当业务不再使用公网访问功能时,需关闭实例的公网访问功能,避免将DMS RocketMQ实例直接暴露到公网。
GES图不支持跨AZ高可用,视为“不合规”。 标签 ges 规则触发方式 配置变更 规则评估的资源类型 ges.graphs 规则参数 无 应用场景 建议您创建跨AZ高可用部署的图实例,以提供不同可用区之间的故障转移能力和高可用性。 修复项指导 在创建图实例时,您应当开启跨AZ高可用,详见自定义创建图。
GES图未开启LTS日志,视为“不合规”。 标签 ges 规则触发方式 配置变更 规则评估的资源类型 ges.graphs 规则参数 无 应用场景 若您有查看和监控业务日志的需求,可以通过开启LTS服务来查看业务运行日志。 修复项指导 在LTS服务创建日志组和对应的日志流,并在GES服务开启LTS,详见对接LTS。 检测逻辑
查询项目标签 功能介绍 查询租户在指定Project中实例类型的所有资源标签集合。标签管理服务需要能够列出当前租户全部已使用的资源标签集合,为各服务Console打资源标签和过滤实例时提供标签联想功能。 >- 说明:该接口仅支持Config的资源类型,当前resource_type仅支持
安全身份和合规性运营最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户或IAM委托操作仅限于所需的操作。为了提高账号资源的安全性,不创建允许某个云服务全部管理权限的自定义策略。
合规规则的评估结果符合预期,强烈建议您保持资源记录器的开启状态,不同场景的说明如下: 如您未开启资源记录器,则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器,但仅在资源记录器监控范围内勾选部分资源,则资源合规规则仅会评估所选择的资源数据。
标签 dms 规则触发方式 配置变更 规则评估的资源类型 dms.rabbitmqs 规则参数 无 应用场景 您需要通过公网地址访问RabbitMQ实例时,开启实例的公网访问功能,并设置弹性IP地址。当业务不再使用公网访问功能时,需关闭实例的公网访问功能,避免将DMS RabbitMQ实例直接暴露到公网。
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
