检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
RDS实例开启慢日志 规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-enable-slowLog 规则展示名 RDS实例开启慢日志 规则描述 未开启慢日志的RDS资源,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances
RDS实例不具有弹性公网IP 规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-no-public-ip 规则展示名 RDS实例不具有弹性公网IP 规则描述 RDS资源具有弹性公网IP,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型
组织合规规则包 创建组织合规规则包 查看组织合规规则包 修改组织合规规则包 删除组织合规规则包 父主题: 合规规则包
CSMS凭据使用指定KMS 规则详情 表1 规则详情 参数 说明 规则名称 csms-secrets-using-cmk 规则展示名 CSMS凭据使用指定KMS 规则描述 CSMS凭据未使用指定的KMS,视为“不合规”。 标签 csms 规则触发方式 配置变更 规则评估的资源类型
分布式消息服务RocketMQ版 DMS RocketMQ实例打开SSL加密访问 DMS RocketMQ实例开启公网访问 父主题: 系统内置预设策略
云证书管理服务 CCM 检查私有CA是否过期 检查私有证书是否过期 检查私有根CA是否停用 私有证书管理服务算法检查 父主题: 系统内置预设策略
分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 DMS RabbitMQ实例开启公网访问 父主题: 系统内置预设策略
0/0或::/0,且开放TCP 22端口,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态
如果源类型选择“添加账号”,则输入华为云账号ID,多个账号之间以逗号分隔;如果源类型选择“添加组织”,资源聚合器将直接聚合此组织下账号状态为“正常”的成员账号的数据,无需输入账号ID。 图1 创建聚合器 账号类型的资源聚合器仅支持聚合华为云账号下的资源,因此源账号ID需输入华为云账号ID(domai
未开启慢日志的gaussdb资源,视为“不合规” gaussdb-instance-in-vpc GaussDB资源属于指定虚拟私有云ID gaussdb 指定虚拟私有云ID,不属于此VPC的gaussdb资源,视为“不合规” 父主题: 合规规则包示例模板
CSP的标准合规包默认规则说明 建议项编号 合规规则 指导 1.1 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息,确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.1 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。
源账号可以是华为云账号或组织。 资源聚合器 资源聚合器是配置审计服务中的一种新的功能,可以从多个源账号收集资源配置和合规性数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器,必
0/0或::/0,且开放TCP 22端口,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” private-nat-gateway-authorized-vpc-only
如果您需要对Config进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Config的其它功能。 策略是以JSON格式描述权限集的
为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。 检测逻辑 IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。
可以通过ResourceQL在查询编辑器中编辑和查询。 您可以使用Config预设的查询语句,或根据资源配置属性自定义查询语句,查询具体的云资源配置。 ResourceQL是结构化的查询语言(SQL)SELECT语法的一部分,它可以对当前资源数据执行基于属性的查询和聚合。查询的复
数据复制服务实时同步任务使用公网网络,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs,vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问
指定安全组id,不属于此安全组的mrs资源,视为“不合规” mrs-cluster-in-vpc MRS资源属于指定VPC mrs 指定虚拟私有云ID,不属于此VPC的mrs资源,视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证
使用前必读 配置审计(Config)服务提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 本文档提供了配置审计服务API的描述、参数说明以及示例等内容。您可以使用本文档提供的API对Config进行相关操作。支持的全部操作请参阅API概览。
规则参数 regions:区域列表,如果为空列表,则表示任意区域。 应用场景 云审计服务,是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。需要满足安全最佳实践以避免日志文件丢失、被篡改或泄露。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
