检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Zone基础场景的最佳实践 架构安全支柱运营最佳实践 网络和内容交付服务运营最佳实践 适用于空闲资产管理的最佳实践 多可用区架构最佳实践 资源稳定性最佳实践 适用于API网关(APIG)的最佳实践 适用于云容器引擎(CCE)的最佳实践 适用于内容分发网络(CDN)的最佳实践 适用于函数工作流(FunctionGraph)的最佳实践
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定,视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口
resources WHERE region_id = 'regionid1' 语句不区分大小写,即'SELECT COUNT(*)' 和'select CoUnT(*)'没有区别。用单引号表示字符串字面量。 ResourceQL支持以下7种数据类型。其中数组类型用'[]'来索引某个位置(标号从'1'开始)。
虚拟私有云 VPC 未与子网关联的网络ACL 默认安全组关闭出、入方向流量 VPC启用流日志 安全组端口检查 安全组入站流量限制指定端口 安全组入站流量限制SSH端口 安全组非白名单端口检查 安全组连接到弹性网络接口 父主题: 系统内置预设策略
MRS集群绑定弹性公网IP,视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定,视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区
evs 云硬盘未挂载给任何云服务器,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本
MRS集群绑定弹性公网IP,视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定,视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区
状态码 正常 返回值 说明 200 OK GET和PUT操作正常返回。 201 Created POST操作正常返回。 202 Accepted 请求已被接受。 204 No Content DELETE操作正常返回。 异常 返回值 说明 400 Bad Request 服务器未能处理请求。
私有证书没有标记在指定时间内到期,视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定,视为“不合规” rds-instance-enable-backup RDS实例开启备份 rds
S追踪器,视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定,视为“不合规” rds-instance-enable-backup RDS实例开启备份 rds
绑定(isAttachedTo) 弹性云服务器 ECS 云服务器 弹性负载均衡 ELB 负载均衡器 MapReduce服务 MRS 弹性大数据服务 NAT网关 公网NAT网关 云硬盘 EVS 磁盘 包含(contains) 云备份 CBR 存储库 绑定(isAttachedTo) 弹性云服务器 ECS 云服务器
帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 1.2 iam-group-has-users-check 确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。
同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。
查看和筛选资源 操作场景 本章节指导您如何通过Config的资源清单页面查看和筛选您账号下的资源,便于您了解拥有的资源及其所在区域、资源状态等信息。 资源清单中的资源数据依赖于资源记录器所收集的资源数据,如果相关资源无法在资源清单页面查询到,请确认资源记录器是否开启,或该资源类型
权限和授权项 权限策略及授权项说明 资源清单 资源记录器 合规性 高级查询 资源聚合器 合规规则包 资源标签
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0
支持的服务和区域 Config支持的服务和区域请以控制台界面显示为准,具体如下: 登录管理控制台,进入“配置审计 Config”服务。 在“资源清单”页面单击“已支持的服务和区域”。 图1 查看Config支持的服务和区域 进入“已支持的服务和区域”页面,列表中显示当前Config已支持的服务、资源类型和区域等信息。
规则目标 合规规则 规则中文名称 组织单元和账号设计 account-part-of-organizations 账号加入组织 组织单元和账号设计 iam-user-group-membership-check IAM用户归属指定用户组 组织单元和账号设计 iam-group-has-users-check
支持的服务和资源类型 Config支持的云服务(provider)和资源类型(type)可通过如下两种方式获取: API方式 通过调用列举云服务接口查询Config支持的云服务、资源和区域列表。其中provider字段为云服务名称,resource_types中的name字段为资源类型名称。
d 确保使用SSL证书配置华为云API网关REST API阶段,以允许后端系统对来自API网关的请求进行身份验证。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
