检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
适用于自动驾驶场景的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密,视为“不合规”
查询组织合规规则列表 查询指定组织合规规则 删除组织合规规则 更新组织合规规则 查询组织合规规则部署状态 查询组织内每个成员账号合规规则部署的详细状态 创建或更新修正配置 查询修正配置 删除修正配置 批量创建修正例外 批量删除修正例外 查询修正例外 运行修正执行 查询修正执行结果 列举修正最新记录
资源清单 查看资源 查看资源合规 查看资源关系 查看资源历史
资源标签 查询资源实例列表 查询资源实例数量 批量添加资源标签 批量删除资源标签 查询资源标签 查询项目标签 父主题: API
创建合规规则包 查看合规规则包 删除合规规则包 更新合规规则包 列举合规规则包的结果概览 列举合规规则包的评估结果 列举合规规则包的评估结果详情 列举合规规则包分数 列举预定义合规规则包模板 查看预定义合规规则包模板 创建组织合规规则包 列举组织合规规则包 查看组织合规规则包 删除组织合规规则包
函数工作流的函数允许访问公网,视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器,视为“不合规”
合规规则创建修正配置,按照您自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 合规规则的修正配置功能基于RFS服务的私有模板或FunctionGraph的函数进行资源修正,因此您需要预先创建RFS服务的私有模板或FunctionGraph的函数。本章节包含如下内容: 创建RFS私有模板
授权项 依赖的授权项 IAM项目 企业项目 查询资源实例列表 POST /v1/resource-manager/{resource_type}/resource-instances/filter rms:resources:listResourcesByTag - √ x 查询资源实例数量
在左上方选择“修正管理”页签,在页面下方的“资源范围”列表中可查看全量不合规资源的修正信息。 您可以单击列表右上方的刷新按钮刷新不合规资源的修正状态。 图2 查看修正结果 指定不合规资源执行修正 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
合规性 权限 对应API接口 授权项 依赖的授权项 IAM项目 企业项目 列出内置策略 GET /v1/resource-manager/policy-definitions rms:policyDefinitions:get - √ x 查询单个内置策略 GET /v1/resou
特别地,运算符'||'会对左右两边的值进行连接并返回连接后的新值,左右两侧类型相同且均为数组或字符串。 时间类型 ResourceQL支持查询时间类型的字段。查询结果会折算成零时区并以ISODate的标准格式返回,保留至毫秒。 时间类型可以用比较运算符连接。如果想使用表示时间的字面量,请写作timestamp
com/v3/projects" } } 从控制台获取项目ID 从控制台获取项目ID的步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中查看项目ID。 图1 查看项目ID 父主题: 附录
完成后,资源聚合器聚合您账号中的资源数据时,无需再次向您发送授权请求,即可聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“资源聚合器”,在下拉列表中选择“授权”,进入“授权”页面。
适用于云审计服务(CTS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规”
CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces,obs CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规”
周期触发 规则评估的资源类型 iam.users 规则参数 maxAccessKeyAge:访问密钥最大更换天数,默认值为90。 应用场景 企业用户通常都会使用访问密钥(AK/SK)的方式对云上的资源进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 修复项指导
云审计服务 CTS CTS追踪器通过KMS进行加密 CTS追踪器启用事件分析 CTS追踪器追踪指定的OBS桶 CTS追踪器打开事件文件校验 创建并启用CTS追踪器 在指定区域创建并启用CTS追踪器 CTS追踪器符合安全最佳实践 父主题: 系统内置预设策略
列举合规规则包的结果概览 GET /v1/resource-manager/domains/{domain_id}/conformance-packs/compliance/summary rms:conformancePacks:list - √ x 列举合规规则包的评估结果 GET
合规策略是一个可以用于评估资源是否合规的逻辑表达式。将合规策略应用到资源上时,可以评估出这个资源是否满足合规策略中的要求。 合规策略本身只是一个静态的逻辑,如果想要让其生效,必须将合规策略指定到一个具体的范围(例如通过设置过滤器来指定具体的资源范围)上,即生成一个具体的合规规则。 使用JSON
规则参数和合规策略是对应的,例如:您选择了“资源具有指定的标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略的规则参数无法增删,但是您可以根据需要为其设置不同的参数值,将合规策略重用于不同的方案。 自定义策略的规则参数由您自行配置,您
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
