检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如果您为合规规则创建了修正配置,修正配置通过关联RFS服务的私有模板或FunctionGraph服务的函数实例来对不合规资源执行修正,因此可能会产生相应的费用,具体请参见FunctionGraph计费说明。使用RFS服务本身不收取费用,但通过RFS私有模板如创建了付费资源,其相关费用请参见相应服务的计费说明。
的合规规则评估结果依然存在。 如您已开启资源记录器,但仅在资源记录器监控范围内勾选部分资源,则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计
变量:输入变量可以理解为模板的参数,通过关键字 "variable" 进行声明。通过定义输入变量,我们可以无需变更模板的源代码就能灵活修改配置。当没有变量时,不需要声明关键字 "variable" 。 Provider: Provider代表服务提供商,通过关键字 "terraform"
以及全部合规性数据。 如源账号开启资源记录器并勾选全部资源,但后续又关闭资源记录器,则资源聚合器会删除收集到的资源信息和合规性数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。 父主题: 资源聚合器
等功能,可以帮助您安全地控制华为云资源的访问。 通过IAM,您可以在华为云账号中给员工创建IAM用户,并使用策略来控制员工对华为云资源的访问范围。例如您希望部分员工拥有配置资源记录器的权限,那么您可以使用IAM为员工创建用户,通过授予配置资源记录器的权限策略,控制员工对配置审计服务的使用范围。
建议排查SMN主题权限 无法通过SMN通知到客户资源历史变化 SYS.RMS Config资源变化通知成功 提示 Config资源变化通知SMN成功 无 无 SYS.RMS Config资源关系变化通知失败 重要 Config资源关系变化通知SMN失败 建议排查SMN主题权限 无法通过SMN通知到客户资源历史变化
合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规”
您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您自定义的修正逻辑对不合规资源进行快速修正,确保您的云上资源持续合规。 约束与限制 当前仅用户自行创建的预定义或自定义合规规则支持修正配置,通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。
SDK概述 本文介绍了Config服务提供的SDK语言版本,列举了最新版本SDK的获取地址。 在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了Config服务支持的SDK列表,您可以在GitH
CES未配置监控VPC变更的事件监控告警,视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规”
云审计服务 CTS CTS追踪器通过KMS进行加密 CTS追踪器启用事件分析 CTS追踪器追踪指定的OBS桶 CTS追踪器打开事件文件校验 创建并启用CTS追踪器 在指定区域创建并启用CTS追踪器 CTS追踪器符合安全最佳实践 父主题: 系统内置预设策略
应用场景 CSS集群内部的权限控制是通过安全集群实现的,当集群开启安全模式后,访问集群时需要进行身份认证,通过Kibana可以给集群创建用户进行授权。确保CSS集群启用了认证,详见身份认证与访问控制。 修复项指导 部分集群支持开启安全模式。用户可以通过安全模式修改API接口启用安全模式。
与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规”
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的读操作。
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的写操作。
资源记录器概述 概述 资源记录器为您提供面向资源的配置记录监控能力,帮您轻松实现海量资源的自主监管,用来跟踪您在云平台上且Config支持的云服务资源变更情况。 资源记录器可以为您提供以下功能: 当您开启并配置消息通知SMN主题后,在资源被创建、修改或删除时发送通知给您; 当您开
如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。详见如何绑定虚拟MFA。 检测逻辑 根用户已开启MFA认证,视为“合规”。 根用户未开启MFA认证,视为“不合规”。 父主题: 统一身份认证服务 IAM
如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。详见如何绑定虚拟MFA。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且开启了MFA认证,视为“合规”。 IAM用
合规规则包名称的长度最大64字符,由英文字母、数字、下划线、中划线组成。 (可选)授权 此处的授权为委托授权,当您不选择自定义授权时,Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围,可选择进行自定义授权,提前在统一身份认证服务(IAM)中创建委
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
