检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
String 错误码。 error_msg String 错误消息内容。 状态码: 403 表10 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误消息内容。 状态码: 500 表11 响应Body参数 参数 参数类型
IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。 IAM委托绑定所有指定的IAM策略和权限,视为“合规”。 父主题: 统一身份认证服务 IAM
适用于MapReduce服务(MRS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 mrs-cluster-in-allowed-security-groups MRS资源属于指定安全组 mrs
规则评估的资源类型 mrs.mrs 规则参数 mrsSecurityGroupsId:指定的安全组ID列表,数组类型。 父主题: MapReduce服务 MRS
确保IAM用户不能同时通过控制台和API访问云服务,同时赋予一个IAM用户两种访问方式将增加安全风险。访问方式分为如下两种: 编程访问:启用访问密钥或密码,用户仅能通过API、CLI、SDK等开发工具访问华为云服务。 管理控制台访问:启用密码,用户仅能登录华为云管理控制台访问云服务。 修复项指导 修改I
确保CTS追踪器转储归档的审计事件到OBS桶时,数据是被加密的。 修复项指导 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件,详见开启云审计服务配置OBS桶。 检测逻辑 无论是否为启用状态,CTS追踪器未配置KMS加密,视为“不合规”。 无论是否为启用状态,CTS追踪器配置KMS加密,视为“合规”。
适用于数据仓库服务(DWS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dws-clusters-no-public-ip DWS集群未绑定弹性公网IP dws DWS集群绑定弹性公网IP,视为“不合规”
适用于对象存储服务(OBS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 obs-bucket-public-read-policy-check OBS桶禁止公开读 obs 桶可以被公开读,视为“不合规”
String 错误码。 error_msg String 错误消息内容。 状态码: 403 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误消息内容。 状态码: 500 表9 响应Body参数 参数 参数类型
IAM权限附加到IAM用户、用户组或委托,视为“合规”。 IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务 IAM
规则评估的资源类型 account 规则参数 regions:区域列表,如果为空列表,则表示任意区域。 应用场景 云审计服务,是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。需要
适用于云监控服务(CES)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” a
规则触发方式 配置变更 规则评估的资源类型 dds.instances 规则参数 haMode:指定的haMode,字符串类型。 父主题: 文档数据库服务 DDS
规则触发方式 周期触发 规则评估的资源类型 pca.ca 规则参数 daysToExpiration:指定到期的天数,整数类型。 父主题: 云证书管理服务 CCM
account 规则参数 无 应用场景 云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对用户对OBS桶中的数据的操作日志,例如上传、下载等。 修复项指导 用户首次进入云审计服务时,在追踪器页面单击“开通云审计服务”,系统会自动为您创建一个名为sy
配置变更 规则评估的资源类型 csms.secrets 规则参数 kmsIdList:允许使用的KMS的ID列表,数组类型。 父主题: 数据加密服务 DEW
IAM用户为“启用”状态且开启了任意验证方式的登录保护,视为“合规”。 IAM用户为“启用”状态且未开启任意验证方式的登录保护,视为“不合规”。 父主题: 统一身份认证服务 IAM
规则参数 无 应用场景 “admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导
ECS未配置密钥对,视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 无 父主题: 弹性云服务器 ECS
视为“不合规”。 标签 dcs 规则触发方式 配置变更 规则评估的资源类型 dcs.memcached 规则参数 无 父主题: 分布式缓存服务 DCS
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
