检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
get("log_group_id", {})语句获取日志组ID,执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。 当前示例中的参数说明如下: project_id:项目ID,如何获取请参见获取项目ID。 log_group_id:日志组ID,如何获取请参见管理日志组。 log_topic
alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces, kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces
ELB资源具有弹性公网IP,视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam
部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导 进入IAM的“admin”用户组,删除企业管理员以外的IAM用户,详见用户组添加/移除用户。
Key(SK),请在华为云控制台“我的凭证 > 访问密钥”页面上创建和查看您的AK/SK。具体请参见访问密钥。 配置审计 Config SDK,支持 Java JDK 1.8 及其以上版本。 安装SDK 您可以通过Maven方式获取和安装SDK,您只需要在Java项目的pom.xml文件中加入相应的依赖项即可。 具体的SDK版本号请参见SDK开发中心
选择“创建空白函数”,“函数类型”选择“事件函数”,并配置函数名称、IAM委托等其他参数。 IAM委托授权给函数工作流(FunctionGraph),需要包含的权限取决于修正资源所需的具体权限。具体请参见配置委托权限。 配置完成后单击“创建函数”,页面跳转至代码配置页面,继续配置代码源。 在代码框中根据您需
包括列举和查询合规策略,合规规则的增、删、改、查,运行合规评估,获取和更新合规结果,组织合规规则的增、删、改、查,合规规则修正配置的增、删、改、查、运行等接口。 区域管理 查询用户可见的区域接口。 高级查询 包括运行高级查询,高级查询的增、删、改、查等接口。 资源聚合器 包括资源
r)和资源类型(type)可通过如下两种方式获取: API方式 通过调用列举云服务接口查询Config支持的云服务、资源和区域列表。其中provider字段为云服务名称,resource_types中的name字段为资源类型名称。 管理控制台方式 Config支持的服务和资源类型
送消息通知。 配置资源记录器 对象存储服务(OBS) 在配置资源记录器时,可以根据需要选择配置资源存储(OBS桶)。 说明: 如您先配置了SMN主题,则资源存储(OBS桶)可以不配置。 资源记录器会定期(6小时)将资源变更的消息存储到您配置的OBS桶中(同时需配置SMN主题)。 配置资源记录器
华为云安全配置基线指南的标准合规包(level 2) 本文为您介绍华为云安全配置基线指南的标准合规包(level 2)的应用场景以及合规包中的默认规则。 应用场景 华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。 免责条款
ID(domain_id)。如何获取账号ID请参见获取账号ID。 创建组织类型资源聚合器的账号需开通组织服务,且必须为组织的管理账号或Config服务的委托管理员账号,具体请参见添加、查看和取消委托管理员。如果创建组织类型资源聚合器的账号为组织管理账号,Config服务会调用en
弹性公网IP未进行任何绑定,视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” function-graph-concurrency-check 函数工作流的函数并发数在指定范围内
创建或修改合规规则包需要开启资源记录器,资源记录器处于关闭状态时,合规规则包仅支持查看和删除操作。具体请参见配置资源记录器。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“合规规则包”,进入“合规规则包”页面。
资源聚合器 配置审计服务提供多账号资源数据聚合能力,通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中,方便统一查询。具体请参见资源聚合器。 合规规则包 配置审计服务提供合规规则包能力,合规规则包是多个合规规则的集合,帮助您统一创建和管理合规规则,
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 在新版事件列表查看审计事件
将资源变更消息存储至您配置的OBS桶中。 开启并配置资源记录器时,“主题”和“资源转储”是必须配置的吗? 主题(SMN主题)和资源转储(OBS桶)至少需要配置一个。其中主题是可选配置的,但如果您先配置了SMN主题,则也可以不配置资源转储(OBS桶)。 配置了资源记录器,但在资源发生变更时,为什么没有收到消息通知?
由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.1 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 1.1 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问,限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。
IAM自定义策略具备所有权限 根用户存在可使用的访问密钥 IAM用户访问模式 IAM用户创建时设置AccessKey IAM用户归属指定用户组 IAM用户在指定时间内有登录行为 IAM用户开启MFA IAM用户单访问密钥 Console侧密码登录的IAM用户开启MFA认证 根用户开启MFA认证
线组成。 组织合规规则包参数 组织合规规则包的参数配置与相对应的合规规则参数一致,具体请参见系统内置预设策略。 目标 目标决定了此组织合规规则包配置的部署位置。 组织:将策略部署到您组织内的所有成员账号中。 当前账号:将策略部署到当前登录的账号中。 创建组织类型的合规规则包时请选择“组织”。
列出内置策略 查询单个内置策略 创建合规规则 列出合规规则 更新合规规则 获取单个合规规则 删除合规规则 启用合规规则 停用合规规则 运行合规评估 获取规则的评估状态 获取资源的合规结果 获取规则的合规结果 获取用户的合规结果 更新合规评估结果 创建组织合规规则 查询组织合规规则列表
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
