检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
什么是配置审计 简介 配置审计(Config)服务提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页面无法获取资源最新数据
事件监控 事件监控提供事件类型数据上报、查询和告警的功能。方便您将资源的合规性事件收集到云监控服务,并在事件发生时进行告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北
高级查询使用限制 为避免单用户长时间查询占用资源,影响其他用户,对高级查询功能做以下限制: 单次查询语句的执行时长不能超过15秒,否则会返回超时错误。 单次查询语句查询大量数据,会返回查询数据量过大的报错,需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除
查看资源聚合器 操作场景 您可以通过资源聚合器列表查看所有已创建的资源聚合器及其详情,并支持在列表中进行搜索操作。 查看组织资源聚合器聚合的资源信息和合规性数据依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations:get organizations
查看不合规资源 操作场景 当您添加并运行多个合规规则进行资源合规评估时,您可以在“资源合规”页面中的“不合规资源”页签查看当前账号下全部不合规资源的信息。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“
创建资源聚合器 操作场景 您可以创建账号类型或组织类型的资源聚合器。 账号类型的资源聚合器必须获得源账号的授权才能聚合数据,具体请参见授权资源聚合器账号。 创建组织类型的资源聚合器依赖于组织服务的相关授权项,您需要具有如下权限: organizations:organizations
查询资源标签 功能介绍 查询指定实例的标签信息。标签管理服务需要使用该接口查询指定实例的全部标签数据。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/{resource_type}/{resource_id}/tags 表1 路径参数
语法概览 ResourceQL能够提供类似SQL的服务来灵活地查询您的云资源。 SELECT name, created, updated FROM resources WHERE region_id = 'regionid1' 语句不区分大小写,即'SELECT COUNT(*)
高级查询概述 配置审计服务提供高级查询能力,通过使用ResourceQL自定义查询用户当前的单个或多个区域的资源配置状态。 高级查询支持用户自定义查询和浏览云服务资源,用户可以通过ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言(SQL)SELECT
查看合规规则 操作场景 资源合规规则添加完成后,您可以在规则列表中查看所有已添加的合规规则,进入规则详情页可查看规则的评估结果、标签、修正配置和规则详情配置等信息。 规则的评估结果数据支持全部导出;在规则详情页的右上角,您可以进行触发规则评估(立即评估)、修改规则(编辑规则)、停用
CTS追踪器通过KMS进行加密 规则详情 表1 规则详情 参数 说明 规则名称 cts-kms-encrypted-check 规则展示名 CTS追踪器通过KMS进行加密 规则描述 CTS追踪器未通过KMS进行加密,视为“不合规”。 标签 cts 规则触发方式 配置变更 规则评估的资源类型
CTS追踪器符合安全最佳实践 规则详情 表1 规则详情 参数 说明 规则名称 cts-tracker-enabled-security 规则展示名 CTS追踪器符合安全最佳实践 规则描述 不存在满足安全最佳实践的CTS追踪器,视为“不合规”。 标签 cts 规则触发方式 周期触发
基于组织批量配置资源记录器 操作场景 当前Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用。 如果您是组织管理员,您可以基于Terraform模板和RFS资源栈集批量为组织成员账号开启并配置资源记录器,而无需登录每个账号进行操作
资源聚合器使用限制 资源聚合器的使用限制如下: 单个账号最多能创建30个账号类型的资源聚合器。 单个资源聚合器最多能聚合30个源账号的数据。 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数量为1000个。 单个账号最多能创建1个组织类型的资源聚合器。 单个账号24小时内最多只能创建
合规规则包概述 功能概述 合规规则包是配置审计服务合规规则的集合,通过使用合规规则包可以批量部署合规规则,并统一查看合规性数据。 当合规规则包部署成功后,会在资源合规规则列表创建出一条或多条合规规则,且这些合规规则无法更新、停用和删除,只能通过合规规则包进行删除。 如果您是组织管理员或
权限管理 如果您需要针对配置审计服务,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问
等保三级2.0规范检查的标准合规包 本文为您介绍等保三级2.0规范检查的标准合规包的业务背景、应用场景,以及合规包中的默认规则。 业务背景 等保三级2.0规范是指中国政府在信息安全领域制定的一项标准,是中国信息安全等级保护制度的重要组成部分。该规范主要针对政府、金融、电信、能源等关键信息基础设施行业
配置资源记录器 操作场景 您必须先开启资源记录器,然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。 资源记录器配置完毕后,您可以随时修改资源记录器的配置或关闭资源记录器。 当前每天仅支持最多开启和修改资源记录器10次,每天0点将重置此次数。 本章节包含如下内容: 开启并配置资源记录器
资源开启公网访问最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的VPC资源绑定,视为“不合规” drs-data-guard-job-not-public
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
