检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Kafka队列打开内网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列开启公网访问 配置变更 dms.kafkas 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更
及时发现不活跃的IAM用户,用于减少闲置用户或降低密码泄露的风险,提升账号安全。 修复项指导 使用该闲置的IAM用户登录管理控制台,或删除该闲置的IAM用户,详见IAM用户登录或删除IAM用户。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。
enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” as
对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导
如果您需要针对配置审计服务,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。 通过IAM,
拟MFA。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若其已开启MFA认证,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若其未开启MFA认证,视为“不合规”。
DDS实例端口检查 规则详情 表1 规则详情 参数 说明 规则名称 dds-instance-port-check 规则展示名 DDS实例端口检查 规则描述 DDS实例的端口包含被禁止的端口,视为“不合规”。 标签 dds 规则触发方式 配置变更 规则评估的资源类型 dds.instances
GaussDB实例开启审计日志 规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-instance-enable-auditLog 规则展示名 GaussDB实例开启审计日志 规则描述 未开启审计日志的GaussDB实例,视为“不合规”。 标签 gaussdb 规则触发方式
GaussDB实例开启慢日志 规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-instance-enable-slowLog 规则展示名 GaussDB实例开启慢日志 规则描述 未开启慢日志的GaussDB实例,视为“不合规”。 标签 gaussdb 规则触发方式
RDS实例开启备份 规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-enable-backup 规则展示名 RDS实例开启备份 规则描述 未开启备份的RDS资源,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances
指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径,即API访问路径。从具
分布式消息服务RocketMQ版 DMS RocketMQ实例打开SSL加密访问 DMS RocketMQ实例开启公网访问 父主题: 系统内置预设策略
CSS集群启用HTTPS CSS集群绑定指定VPC资源 CSS集群具备多AZ容灾 CSS集群具备多实例容灾 CSS集群不能公网访问 CSS集群支持安全模式 CSS集群未开启访问控制开关 CSS集群Kibana未开启访问控制开关 CSS集群开启慢日志 父主题: 系统内置预设策略
GaussDB实例开启传输数据加密 规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-instance-ssl-enable 规则展示名 GaussDB实例开启传输数据加密 规则描述 GaussDB实例未启用SSL数据传输加密,视为“不合规”。 标签 gaussdb
RDS实例开启慢日志 规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-enable-slowLog 规则展示名 RDS实例开启慢日志 规则描述 未开启慢日志的RDS资源,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances
资源聚合器提供只读视图,仅用于查看聚合的源账号的资源信息和合规性数据。资源聚合器不提供对源账号资源数据的修改访问权限。例如,无法通过资源聚合器部署规则,也无法通过资源聚合器从源账号提取快照文件。 资源聚合器仅支持用户查询和浏览源账号中的云服务资源信息,如果要对资源进行修改、删除等管理类的操作,请前往资源所属的服务页面进行操作。
分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 DMS RabbitMQ实例开启公网访问 父主题: 系统内置预设策略
dcs-redis-no-public-ip DCS Redis实例不存在弹性公网IP dcs dcs redis资源存在弹性公网IP,视为“不合规” dcs-redis-password-access DCS Redis实例需要密码访问 dcs dcs redis资源不需要密码访问,视为“不合规” 父主题: 合规规则包示例模板
GaussDB(for MySQL)实例VPC检查 规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-in-vpc 规则展示名 GaussDB(for MySQL)实例VPC检查 规则描述 GaussDB(for MySQL)实例绑定的VPC不在对应VPC列表,视为“不合规”。
给IAM用户授权时建议您使用“继承所选用户组的策略”的方式,而不是“直接给用户授权”。这可以降低访问管理的复杂性,并减少IAM用户无意中接收或保留过多权限的风险。详见给IAM用户授权。 修复项指导 请创建IAM用户组,并将策略挂载到该用户组,然后将用户添加到用户组,删除用户上直接附加的策略或权限。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
