检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
"resource_id": "special-ecs1-with-public-ip-with-tag", "resource_name": "ecs1-with-public-ip-with-tag", "resource_provider": "ecs", "resource_type":
由配置变更触发的评估的示例事件 当触发自定义合规规则时,Config服务会发送一个事件来调用该自定义合规规则的函数。 下面的事件演示自定义合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id", "policy_assignment_id":
由配置变更触发的评估的示例事件 当触发规则时,Config服务会发送一个事件来调用该自定义组织合规规则的自定义策略的函数。 下面的事件演示自定义组织合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id", "policy_assignment_id":
消息通知 您在开启资源记录器并成功配置消息通知(SMN)主题(创建主题 -> 添加订阅 -> 请求订阅)后,当发生资源变更时,消息通知会推送消息到您所配置的SMN主题。 关于SMN的详细使用说明请参见《消息通知服务用户指南》。 目前,消息通知服务支持Config以下几种类型的消息通知:
计费说明 如果您配置了资源记录器,那么资源记录器使用的消息通知服务(SMN)或对象存储服务(OBS)可能会产生相应的费用,具体请参见SMN计费说明和OBS计费说明。 如果您配置了自定义合规规则,那么自定义合规规则使用的函数工作流(FunctionGraph)可能会产生相应的费用,
volumes-encrypted-check 规则展示名 已挂载的云硬盘开启加密 规则描述 已挂载的云硬盘未进行加密,视为“不合规”。 标签 evs、ecs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes 规则参数 无 父主题: 云硬盘 EVS
如下JSON表示了一个用于检查ECS实例的镜像ID是否在指定范围内的合规策略: { "id": "5fa265c0aa1e6afc05a0ff07", "name": "allowed-images-by-id", "description": "指定允许的镜像ID列表,ECS实例的镜像ID不在指定的范围内,视为“不合规”"
"resource_id": "f65b06d1-d63b-438a-93cc-bdd55b304f0a", "resource_type": "ecs.cloudservers", "event_type": "CHANGE", "capture_time": "2020-08-12T07:15:14
''' 合规规则评估逻辑: 返回“Compliant” 或 “NonCompliant” 本示例中, 当资源类型为ecs.cloudservers, 且该ecs的vpcId字段不是合规规则参数所指定的vpcId时, 会返回不合规, 否则返回合规。 ''' def evaluat
rces/summary 响应示例 状态码: 200 Successful Operation [ { "provider" : "ecs", "types" : [ { "type" : "buckets", "regions" : [ { "region_id"
功能总览 表1列出了配置审计服务的常用功能。 在使用配置审计服务之前,建议您先了解配置审计服务的基本概念,以便更好地理解本服务提供的各项功能。 表1 配置审计服务常用功能 功能分类 功能名称 功能描述 资源清单 查看所有资源列表 查看当前账号下的全部资源。包含资源的名称、所在区域、所属服务、资源类型、所属企业项目。
''' 合规规则评估逻辑: 返回“Compliant” 或 “NonCompliant” 本示例中, 当资源类型为ecs.cloudservers, 且该ecs的vpcId字段不是合规规则参数所指定的vpcId时, 会返回不合规, 否则返回合规。 ''' def evaluat
权限管理 如果您需要针对配置审计服务,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。
统一安全管控 cce-endpoint-public-access CCE集群资源不具有弹性公网IP 统一安全管控 ecs-instance-no-public-ip ECS资源不能公网访问 统一安全管控 rds-instance-no-public-ip RDS实例不具有弹性公网IP
与其他服务的关系 配置审计服务与周边服务的关系如下表所示。 表1 配置审计服务与其他服务的关系 服务名称 说明 交互功能 相关内容 消息通知服务(SMN) 在配置资源记录器时,可以根据需要选择配置消息通知主题。 说明: 如您先配置了资源存储(OBS桶),则SMN主题可以不配置。
适用于云审计服务(CTS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规”
支持云审计的关键操作 操作场景 平台提供了云审计服务。通过云审计服务,您可以记录与配置审计服务相关的操作事件,便于后续的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的Config操作列表 操作名称 资源类型 事件名称 创建合规规则
云审计服务 CTS CTS追踪器通过KMS进行加密 CTS追踪器启用事件分析 CTS追踪器追踪指定的OBS桶 CTS追踪器打开事件文件校验 创建并启用CTS追踪器 在指定区域创建并启用CTS追踪器 CTS追踪器符合安全最佳实践 父主题: 系统内置预设策略
适用于管理与监管服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” alar
API概览 表1 配置审计服务接口列表 类型 说明 资源查询 包括查询资源、查询资源标签、查询资源数量和概要、查询资源记录器收集的资源、列举云服务等接口。 资源记录器 包括资源记录器的增、删、改、查接口。 资源关系 查询资源关系和详情接口。 资源历史 查询资源历史接口。 合规性
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
