检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
SMN通道设置对象。跨账号授予SMN主题发送通知的权限请参考《用户指南- 资源记录器- 开启/配置/修改资源记录器》中的“跨账号授权”内容。 obs TrackerOBSChannelConfigBody object OBS设置对象。跨账号授予OBS桶转储文件的权限请参考《用户指南- 资源记录器-
SMN通道设置对象。跨账号授予SMN主题发送通知的权限请参考《用户指南- 资源记录器- 开启/配置/修改资源记录器》中的“跨账号授权”内容。 obs 否 TrackerOBSChannelConfigBody object OBS设置对象。跨账号授予OBS桶转储文件的权限请参考《用户指南- 资源记录器-
规则参数和合规策略是对应的,例如:您选择了“资源具有指定的标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略的规则参数无法增删,但是您可以根据需要为其设置不同的参数值,将合规策略重用于不同的方案。 自定义策略的规则参数由您自行配置,您
配置变更 规则评估的资源类型 iam.groups 规则参数 无 应用场景 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现对用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM用户组中至少有一个IAM用户,空置的IAM用户组为管理盲区,可能存在管理风险。
IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户、用户组或委托仅拥有所需操作的相关权限。为了提高账号资源的安全性
禁止使用的签名算法,数组类型,如 ["SHA256"]。 应用场景 私有CA和私有证书的加密或签名的安全性与使用的算法直接相关,随着算力越来越便宜,为了保护您的资源的安全性,建议您使用足够安全的算法。 修复项指导 请释放使用未满足您合规要求的资源,并购买满足安全算法要求的私有CA或私有证书。
规则描述 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 检测逻辑 VPC安全组非默认安全组,视为“合规”。 VPC的默认安全组关闭出、入方向的流量,视为“合规”。
资源开启公网访问最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的VPC资源绑定,视为“不合规” drs-d
静态数据加密最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cbr-backup-encrypted-check CBR备份被加密 cbr CBR服务的备份未被加密,视为“不合规” css-clust
每个账号最多可以添加的合规规则包数(包括组织合规规则包) 50个 每个账号最多能创建的账号类型的资源聚合器数 30个 单个资源聚合器最多能聚合的源账号数 30个 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数 1000个 单个账号最多能创建的组织类型的资源聚合器数 1个
逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保CCE所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的CCE集群绑定特定的虚拟私有云,详见修改CCE集群配置。 检测逻辑 CCE集群绑定的VPC不在对应VPC列表,视为“不合规”。
服务全部管理权限的自定义策略。 修复项指导 管理员可以在IAM页面修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的任意一个云服务的全部权限,视为“不合规”。 IAM自定义策略未配置Allow的任意一个云服务的全部权限,视为“合规”。
规则评估的资源类型 cbr.policy 规则参数 requiredFrequency:备份频率,请输入备份的时间间隔(以小时为单位)。 检测逻辑 CBR服务的备份策略未启用,视为“合规”。 CBR服务的备份策略执行的最大时间间隔小于等于参数要求,视为“合规”。 CBR服务的备份策
“资源清单”页面的资源列表默认展示资源的部分属性,如果您需要查看某个资源的资源详情,可按如下操作查看。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 在“资源清单”页面的资源列表中,单击需要查看的资源名称,进入资源概览页。
聚合器,创建的组织类型资源聚合器被删除后在24小时内无法再次创建。 资源聚合器聚合的源账号必须开启资源记录器,资源聚合器才会动态收集源账号的资源配置,源账号的资源发生变更后会同步更新数据至资源聚合器。 组织类型的资源聚合器仅会聚合组织下账号状态为“正常”的成员账号的数据。 资源聚
CTS追踪器未转储到LTS,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型 cts.trackers 规则参数 无 应用场景 云审计服务记录了用户对云服务资源新建、修改、删除等操作的详细信息,控制台的事件列表中会保存最近7天的操作记录。如果需要将操作记录保存7天以上,则需要配置事件转储
WS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保DWS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的DWS资源绑定特定的虚拟私有云。 检测逻辑 DWS集群绑定的VPC不在对应VPC列表,视为“不合规”。
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。
事件 由配置变更触发的评估的示例事件 当触发规则时,Config服务会发送一个事件来调用该自定义组织合规规则的自定义策略的函数。 下面的事件演示自定义组织合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id"
户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导 进入IAM的“admin”用户组,删除企业管理员以外的IAM用户,详见用户组添加/移除用户。 检测逻辑
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
