检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
规则描述 后端服务器的权重为0,且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时,视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 weight:后端云服务器的权重,请求将根据后端服务器组配置的负载均衡算法和后端云服务器的权重进行负载分发。
CES配置监控KMS禁用或计划删除密钥的事件监控告警 规则描述 CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规”。 标签 ces、kms 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“计划删除密钥”或未配置“禁用密钥”的事件监控告警,视为“不合规”。
CES配置监控OBS桶策略变更的事件监控告警 规则描述 CES未配置监控变更OBS桶策略的事件监控告警,视为“不合规”。 标签 ces、obs 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“设置桶的策略”或未配置“删除桶policy配置”的事件监控告警,视为“不合规”。
ELB监听器配置指定预定义安全策略 规则描述 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.loadbalancers 规则参数 predefinedPolicyName:指定的预定义安全策略名称,默认值为tls-1-0。
各个资源类型properties内支持的字段以及类型可以通过配置审计控制台和API接口两种方式查看,具体请参见如何获取各对接云服务上报Config的资源属性?。 对于某个具体的资源类型,我们可以用'.'嵌套的方式去查询'properties'下的具体字段。例如,弹性云服务器的'propert
iam-role-in-use 规则展示名 IAM权限使用中 规则描述 IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles 规则参数 无 应用场景 避免长期存在未绑定的IAM权限,防止因管理疏漏引发计划外授权,从而导致恶意操作。
规则描述 OBS桶策略授权了控制策略以外的访问行为,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 controlPolicy:允许的访问边界策略。 说明: 规则参数示例1
规则描述 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放所有的TCP/UDP端口时,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 检测逻辑 当安全组入方向源地址未设置为0.0.0.0/
规则展示名 默认安全组关闭出、入方向流量 规则描述 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 检测逻辑 VPC安全组非默认安全组,视为“合规”。 V
绑定指定标签的ECS关联在指定安全组ID列表内 规则描述 指定高危安全组ID列表,未绑定指定标签的ECS资源关联其中任意安全组,视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 specifiedECSTagKey:指定的ECS的标签键,字符串类型。
iam-root-access-key-check 规则展示名 根用户存在可使用的访问密钥 规则描述 根用户存在可使用的访问密钥,视为“不合规”。 标签 iam 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 应用场景 为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用
务的连续性,因此推荐您使用手动修正方式。 当您确保本次修正不会对业务造成影响时,可以选择修正方法为自动修正,当合规规则检测到不合规资源时,会自动执行修正。 配置修正执行的重试时间和重试次数。 当不合规资源在执行修正后仍不合规时,“自动修正”方式会循环执行修正,或您自行多次手动执行
check 规则展示名 IAM委托绑定策略检查 规则描述 IAM委托未绑定指定的IAM策略或权限,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.agencies 规则参数 roleIdList:指定允许的权限ID列表,不支持系统权限。 pol
规则描述 IAM策略中授权KMS的任一阻拦action,视为“不合规”。 标签 iam、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns:KMS的阻拦action列表,数组类型。
规则展示名 IAM自定义策略具备所有权限 规则描述 IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户或IAM委托操作仅限于
规则展示名 安全组非白名单端口检查 规则描述 除指定的白名单端口外,其余端口的安全组策略为允许,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 whiteListPorts:白名单端口列表。 检测逻辑
ck 规则展示名 RDS实例数据库引擎版本检查 规则描述 RDS实例数据库引擎的版本低于指定版本,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 mysqlVersion:MySQL类型的数据库引擎指定的版本,建议按照对应版本号格式指定,例如8
eck 规则展示名 IAM策略黑名单检查 规则描述 IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users、iam.groups、iam.agencies 规则参数 blackListPolic
规则描述 OBS桶策略授权了不被允许的访问行为,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 principal:授权的身份列表,例如:["domain/aaaa:user/111111"
规则展示名 IAM用户单访问密钥 规则描述 IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
