检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
0/0或::/0,且开放TCP 22端口,视为“不合规” vpc-sg-by-white-list-ports-check 安全组非白名单端口检查 vpc 除指定的白名单端口外,其余端口的安全组策略为允许,视为“不合规” 父主题: 合规规则包示例模板
部分,它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同,既可以是简单的标签或资源标识符匹配,也可以是更复杂的查询,例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现: 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用
置的数据保留时间仅针对于Config,不会对SMN和OBS存储的数据产生影响。 当您配置数据保留周期后,Config会在指定周期内保留您的资源历史数据,超出指定周期的数据将会被删除。 如果您后续对数据保留周期进行了修改,此时新生成的资源数据将按照您新设置的保留周期进行存储,历史资
RFS模板:选择资源编排服务(RFS)的私有模板作为修正操作的模板,模板中定义不合规资源的具体修正逻辑。 IAM权限委托:当选择RFS模板且修正方法为“自动修正”时需指定IAM权限委托,该委托为云服务委托,用于授予RFS服务部署资源栈执行资源配置修改时所需的权限,授权的云服务为RFS,委托权限为RFS模板中
如果您不需要使用某个自定义的查询,删除操作请参考删除查询。预设查询不支持删除操作。 使用资源聚合器高级查询的相关功能,必须先指定需要查询的资源聚合器,从而定义您的查询范围,对指定聚合器聚合的多个源账号下的资源进行高级查询。 高级查询配置样例 ResourceQL使用结构化查询语言(SQL)
rds-instance-engine-version-check RDS实例数据库引擎版本检查 rds RDS实例数据库引擎的版本低于指定版本,视为“不合规” rds-instance-port-check RDS实例默认端口检查 rds RDS实例的端口包含被禁止的端口,视为“不合规”
公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 DEV-07 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 DEV-07 multi-re
响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误消息内容。 请求示例 查询指定资源最新的修正执行记录 POST https://{endpoint}/v1/resource-manager/domains/{doma
合规规则修正执行的动态参数。 maximum_attempts Integer 指定时间内修正的最大尝试次数。 最小值:1 最大值:25 缺省值:5 retry_attempt_seconds Integer 用于防止循环修正的时间窗口,如果在指定时间内进行了自动修正的最大尝试次数,则将资源添加至修正例外。
resources where provider = 'ecs' and type = 'cloudservers'" } 查询当前用户下指定容量为100GB的云硬盘。 POST https://{endpoint}/v1/resource-manager/domains/{domain_id}/run-query
托),iam:permissions:grantRoleToAgency(为委托授予指定权限)权限,其中iam:permissions:grantRoleToAgency需根据不同的操作授予指定权限。 表2列出了Config常用操作与系统权限的授权关系,您可以参照该表选择合适的系
在左上方选择“修正管理”页签,在页面下方的“资源范围”列表中可查看全量不合规资源的修正信息。 您可以单击列表右上方的刷新按钮刷新不合规资源的修正状态。 图2 查看修正结果 指定不合规资源执行修正 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
ll-resources/{resource_id}/relations rms:resources:getRelation √ x 列举指定类型的资源 GET /v1/resource-manager/domains/{domain_id}/provider/{provider
当外部任意IP可以访问安全组内云服务器的SSH(22)端口时认为不合规,确保对服务器的远程访问安全性。 1.2 smn-lts-enable 确保为指定SMN主题绑定一个云日志,用于记录主题消息发送状态等信息。 1.4 private-nat-gateway-authorized-vpc-only
'LIKE'用来判断字符串是否符合某种pattern。如果pattern里想表达'%'或者'_'这两种字符的字面量,可以在'ESCAPE'后指定转义符(如'#'),在pattern里写成'#%'和'#_'即可。 通配符'%'表示匹配0或多个字符。 通配符'_'表示正好匹配一个字符。
整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不
域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 10.2.3 为所有系统组件实施自动审计跟踪,以重建以下事件:访问所有审计跟踪 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。
情请参见:IAM与企业管理的区别。 Config支持的自定义策略授权项如下所示: 资源清单,包含资源接口对应的授权项,如查看资源历史、列举指定类型的资源等接口。 资源记录器,包含资源记录器接口对应的授权项,如查询资源记录器、创建资源记录器、删除资源记录器等接口。 合规性,包含资源
earlier_time 否 Long 指定查询范围的起始时间点,如果不设置此参数,默认为最早的时间。 later_time 否 Long 指定查询范围的结束时间点,如果不设置此参数,默认为当前时间。 chronological_order 否 String 指定返回数据的时间顺序,默认为倒序。
rms:organizationPolicyAssignments:list organizations:organizations:get √ x 查询指定组织合规规则 GET /v1/resource-manager/organizations/{organization_id}/polic