检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
以及全部合规性数据。 如源账号开启资源记录器并勾选全部资源,但后续又关闭资源记录器,则资源聚合器会删除收集到的资源信息和合规性数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。 父主题: 资源聚合器
如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。详见如何绑定虚拟MFA。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户为“启
''' 合规规则评估逻辑: 返回“Compliant” 或 “NonCompliant” 本示例中, 当资源类型为ecs.cloudservers, 且该ecs的vpcId字段不是合规规则参数所指定的vpcId时, 会返回不合规, 否则返回合规。 ''' def evaluat
''' 合规规则评估逻辑: 返回“Compliant” 或 “NonCompliant” 本示例中, 当资源类型为ecs.cloudservers, 且该ecs的vpcId字段不是合规规则参数所指定的vpcId时, 会返回不合规, 否则返回合规。 ''' def evaluat
数据复制服务实时同步任务使用公网网络,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs,vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规”
iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组
IAM策略黑名单检查 IAM策略不具备Admin权限 IAM自定义策略具备所有权限 根用户存在可使用的访问密钥 IAM用户访问模式 IAM用户创建时设置AccessKey IAM用户归属指定用户组 IAM用户在指定时间内有登录行为 IAM用户开启MFA IAM用户单访问密钥 Console侧密码登录的IAM用户开启MFA认证
ResourceQL支持lambda表达式。某些函数的参数可能是另一个函数,此时用lambda表达式就很方便。 例如,查询与所有ECS关联的EVS,可以使用如下的语句: SELECT ECS.id AS ecs_id, EVS.id AS evs_id FROM (SELECT id, transform(properties
函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” function-graph-settings-check 检查函数工作流参数设置 fgs 函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规” function-graph-logging-enabled
参数 说明 规则名称 vpc-sg-restricted-ssh 规则展示名 安全组入站流量限制SSH端口 规则描述 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc
allowed-volume-specs 规则展示名 云硬盘的类型在指定的范围内 规则描述 指定允许的云硬盘类型列表,云硬盘的类型不在指定的范围内,视为“不合规”。 标签 evs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes 规则参数 listOfAllowedSpecs:允许的云
"resource_id": "special-ecs1-with-public-ip-with-tag", "resource_name": "ecs1-with-public-ip-with-tag", "resource_provider": "ecs", "resource_type":
由配置变更触发的评估的示例事件 当触发自定义合规规则时,Config服务会发送一个事件来调用该自定义合规规则的函数。 下面的事件演示自定义合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id", "policy_assignment_id":
由配置变更触发的评估的示例事件 当触发规则时,Config服务会发送一个事件来调用该自定义组织合规规则的自定义策略的函数。 下面的事件演示自定义组织合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id", "policy_assignment_id":
数据传输加密最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”
volumes-encrypted-check 规则展示名 已挂载的云硬盘开启加密 规则描述 已挂载的云硬盘未进行加密,视为“不合规”。 标签 evs、ecs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes 规则参数 无 父主题: 云硬盘 EVS
高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密,视为“不合规” 父主题: 合规规则包示例模板
"from_resource_type": "vpc.securityGroups", "to_resource_type": "ecs.cloudservers", "relation_type": "isAssociatedWith"
{ "id": "3e62c0e6-e779-469e-b0f2-35743f6229d1", "name": "ecs-51c8", "provider": "evs", "type": "volumes", "checksum":
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
