检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
"resource_id": "special-ecs1-with-public-ip-with-tag", "resource_name": "ecs1-with-public-ip-with-tag", "resource_provider": "ecs", "resource_type":
由配置变更触发的评估的示例事件 当触发规则时,Config服务会发送一个事件来调用该自定义组织合规规则的自定义策略的函数。 下面的事件演示自定义组织合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id", "policy_assignment_id":
消息通知 您在开启资源记录器并成功配置消息通知(SMN)主题(创建主题 -> 添加订阅 -> 请求订阅)后,当发生资源变更时,消息通知会推送消息到您所配置的SMN主题。 关于SMN的详细使用说明请参见《消息通知服务用户指南》。 目前,消息通知服务支持Config以下几种类型的消息通知:
由配置变更触发的评估的示例事件 当触发自定义合规规则时,Config服务会发送一个事件来调用该自定义合规规则的函数。 下面的事件演示自定义合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id", "policy_assignment_id":
计费说明 如果您配置了资源记录器,那么资源记录器使用的消息通知服务(SMN)或对象存储服务(OBS)可能会产生相应的费用,具体请参见SMN计费说明和OBS计费说明。 如果您配置了自定义合规规则,那么自定义合规规则使用的函数工作流(FunctionGraph)可能会产生相应的费用,
资源记录器事件监控 事件监控提供事件类型数据上报、查询和告警的功能。方便您将资源的合规性事件收集到云监控服务,并在事件发生时进行告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Confi
volumes-encrypted-check 规则展示名 已挂载的云硬盘开启加密 规则描述 已挂载的云硬盘未进行加密,视为“不合规”。 标签 evs、ecs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes 规则参数 无 父主题: 云硬盘 EVS
使用Config创建合规规则 示例简介 该示例展示了如何通过Java版本SDK为Config服务创建合规规则和查询合规规则。 合规规则通过指定合规策略和合规策略所应用的范围(如:在某一区域的某些资源)来构成合规规则。 开发前准备 获取华为云开发工具包(SDK),您也可以查看安装JAVA SDK。 您需要拥有华为云账号以及该账号对应的
urces/summary 响应示例 状态码:200 Successful Operation [ { "provider" : "ecs", "types" : [ { "type" : "buckets", "regions" : [ { "region_id"
规则触发方式 周期触发 规则评估的资源类型 iam.users 规则参数 maxAccessKeyAge:访问密钥最大更换天数,默认值为90。 应用场景 企业用户通常都会使用访问密钥(AK/SK)的方式对云上的资源进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。
''' 合规规则评估逻辑: 返回“Compliant” 或 “NonCompliant” 本示例中, 当资源类型为ecs.cloudservers, 且该ecs的vpcId字段不是合规规则参数所指定的vpcId时, 会返回不合规, 否则返回合规。 ''' def evaluat
''' 合规规则评估逻辑: 返回“Compliant” 或 “NonCompliant” 本示例中, 当资源类型为ecs.cloudservers, 且该ecs的vpcId字段不是合规规则参数所指定的vpcId时, 会返回不合规, 否则返回合规。 ''' def evaluat
查看所有资源列表 操作场景 如果您需要查看当前账号下的资源,可以通过“资源清单”页面查看。 资源数据同步到Config存在延迟,因此资源发生变化时不会实时更新“资源清单”中的数据。对于已开启资源记录器的用户,Config会在24小时内校正资源数据。 资源清单中的资源数据依赖于资源
功能总览 表1列出了配置审计服务的常用功能。 在使用配置审计服务之前,建议您先了解配置审计服务的基本概念,以便更好地理解本服务提供的各项功能。 表1 配置审计服务常用功能 功能分类 功能名称 功能描述 资源清单 查看所有资源列表 查看当前账号下的全部资源。包含资源的名称、所在区域、所属服务、资源类型、所属企业项目。
权限管理 如果您需要针对配置审计服务,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。
GES图未开启LTS日志,视为“不合规”。 标签 ges 规则触发方式 配置变更 规则评估的资源类型 ges.graphs 规则参数 无 应用场景 若您有查看和监控业务日志的需求,可以通过开启LTS服务来查看业务运行日志。 修复项指导 在LTS服务创建日志组和对应的日志流,并在GES服务开启LTS,详见对接LTS。
适用于云审计服务(CTS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规”
支持云审计的关键操作 操作场景 平台提供了云审计服务。通过云审计服务,您可以记录与配置审计服务相关的操作事件,便于后续的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的Config操作列表 操作名称 资源类型 事件名称 创建合规规则
CSS集群未开启磁盘加密,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 由于可能存在敏感数据,请启用磁盘加密以保护相关数据。 修复项指导 当前CSS服务暂时不支持磁盘加密功能,请避免在CSS服务中存储敏感数据。
CSS集群开启公网访问,视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 确保CSS集群不能公网访问。由于敏感数据可能存在,请关闭CSS集群的公网访问。详见配置公网访问。 修复项指导 用户可以通过关闭公网访问API接口阻止CSS集群被公网访问。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
