检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建时设置访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。
资源是用户可以在云平台上使用的一种实体。例如:弹性云服务器(ECS)实例、云硬盘(EVS)磁盘、虚拟私有云(VPC)实例等。 配置审计(Config)支持的资源类型和区域请参阅支持的服务和区域。 资源关系 资源关系记录了您在云平台上的不同资源之间的关联情况。例如:云硬盘与云服务器之间的绑定关系,云服务器与虚拟私有云
检查函数工作流参数设置 规则详情 表1 规则详情 参数 说明 规则名称 function-graph-settings-check 规则展示名 检查函数工作流参数设置 规则描述 函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规”。 标签 fgs 规则触发方式 配置变更
CodeArts编译构建下的项目未设置参数加密 规则详情 表1 规则详情 参数 说明 规则名称 cloudbuildserver-encryption-parameter-check 规则展示名 CodeArts编译构建下的项目未设置参数加密 规则描述 CodeArts编译构建下的项目,如果设置未加密参数(除预定义参数外),则视为“不合规”。
安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” private
Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。
查看资源关系 操作场景 资源关系记录了您在华为云上的不同资源之间的关联情况。例如云硬盘与云服务器之间的绑定关系,云服务器与虚拟私有云之间的归属关系等。借助资源关系,您可以方便地掌握您在云平台上拥有的所有资源的组成结构和依赖关系。仅Config支持的资源关系才会在资源概览页的“关联
list权限。比如查询云服务器,对应的资源类型是ecs.cloudservers,其中provider为ecs,type为cloudservers。支持的云服务(provider)和资源类型(type)请参见“附录-支持的服务和资源类型”章节。 调用方法 请参见如何调用API。
s:get权限。比如查询云服务器,对应的资源类型是ecs.cloudservers,其中provider为ecs,type为cloudservers。支持的云服务(provider)和资源类型(type)请参见“附录-支持的服务和资源类型”章节。 调用方法 请参见如何调用API。
确保云监控服务创建的告警规则未停用。 6.2.1 为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。 ecs-instance-no-public-ip 弹性云服务器可能包含敏感信息,需要限制其从公网访问。 6.2.1 为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。
合规规则类型 - 包含以下两种: builtin:预设策略,此时合规规则需要设置参数policy_definition_id。 custom:自定义策略,此时合规规则需要设置参数custom_policy。 如不设置此参数,则默认为预设策略。 name 合规规则的名称 字符串类型,最多64个字符。
"name" : "stopped-ecs", "description" : "查询关机状态的云服务器。", "expression" : "SELECT id, name FROM resources WHERE provider = 'ecs' AND type = 'cloudservers'
"running-ecs", "type" : "account", "description" : "查询开机状态的云服务器。", "expression" : "SELECT id, name FROM resources WHERE provider = 'ecs' AND
规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“设置桶的策略”或未配置“删除桶policy配置”的事件监控告警,视为“不合规”。 账号已配置“设置桶的策略”和“删除桶policy配置”的事件监控告警,视为“合规”。 CES服务目前支持监控
关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” eip-use-in-specified-days 弹性公网IP在指定天数内绑定到资源实例 vpc 创建的弹性公网IP在指定天数后仍未绑定到资源实例,视为“不合规”
1.3.2 a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息,确保华为云ecs实例无法公开访问来管理对华为云的访问。 8.1.3.2
安全组连接到弹性网络接口 规则详情 表1 规则详情 参数 说明 规则名称 vpc-sg-attached-ports 规则展示名 安全组连接到弹性网络接口 规则描述 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规”。
确保IAM用户密码强度满足密码强度要求,详见设置强密码策略。 修复项指导 用户可以根据要求修改密码达到需要的密码强度,详见修改IAM用户密码。 检测逻辑 IAM用户未设置密码,视为“合规”。 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且已设置密码,若密码强度满足密码强度要求,视为“合规”。
账号未创建并启用CTS追踪器,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规”
公共访问。 ecs-instance-in-vpc 确保弹性云服务器(ECS)所有流量都安全地保留在虚拟私有云(VPC)中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
