检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
功能总览 表1列出了配置审计服务的常用功能。 在使用配置审计服务之前,建议您先了解配置审计服务的基本概念,以便更好地理解本服务提供的各项功能。 表1 配置审计服务常用功能 功能分类 功能名称 功能描述 资源清单 查看所有资源列表 查看当前账号下的全部资源。包含资源的名称、所在区域、所属服务、资源类型、所属企业项目。
适用于日志和监控的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” apig-i
适用于管理与监管服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” alar
适用于云审计服务(CTS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规”
资源清单 列举指定类型的资源 列举云服务 查询单个资源 列举资源记录器收集的全部资源 查询资源记录器收集的资源数量 列举资源记录器收集的资源标签 列举资源记录器收集的资源概要 查询资源记录器收集的单个资源 列举所有资源 查询账号下的单个资源 列举资源标签 查询资源数量 列举资源概要
API概览 表1 配置审计服务接口列表 类型 说明 资源查询 包括查询资源、查询资源标签、查询资源数量和概要、查询资源记录器收集的资源、列举云服务等接口。 资源记录器 包括资源记录器的增、删、改、查接口。 资源关系 查询资源关系和详情接口。 资源历史 查询资源历史接口。 合规性
弹性负载均衡 ELB ELB资源不具有弹性公网IP ELB监听器配置指定预定义安全策略 ELB监听器配置HTTPS监听协议 ELB后端服务器权重检查 监听器资源HTTPS重定向检查 ELB资源使用多AZ部署 ELB负载均衡器配置访问日志 父主题: 系统内置预设策略
权限管理 如果您需要针对配置审计服务,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制华为云资源的访问。
适用于弹性负载均衡(ELB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 elb-loadbalancers-no-public-ip ELB资源不具有弹性公网IP elb ELB资源具有弹性公网IP,视为“不合规”
支持云审计的关键操作 操作场景 平台提供了云审计服务。通过云审计服务,您可以记录与配置审计服务相关的操作事件,便于后续的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的Config操作列表 操作名称 资源类型 事件名称 创建合规规则
触发规则评估 操作场景 触发规则评估的方式包括自动触发和手动触发。 自动触发 新创建一个合规规则时,会触发此规则的评估任务。 合规规则更新时,会触发此规则的评估任务。 合规规则被重新启用时,会触发此规则的评估任务。 当触发类型为“配置变更”时,合规规则范围内的资源发生变更,则会将该规则应用到此资源上,进行评估。
成长地图 | 华为云 配置审计服务 配置审计 Config(原 资源管理服务 RMS)提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 产品介绍 图说Config 仅两个按钮时选用 立即使用 成长地图 由浅入深,带您玩转Config
资源合规概述 概述 资源合规特性帮助您快速创建一组合规规则,用于评估您的资源是否满足合规要求。您可以选择Config提供的系统内置预设策略或自定义策略,并指定需要评估的资源范围来创建一个合规规则;合规规则创建后,有多种机制触发规则评估,然后查看合规规则的评估结果来了解资源的合规情况。
权限策略及授权项说明 如果您需要对Config进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用Config的其它功能。
适用于自动驾驶场景的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密,视为“不合规”
通过Config实现资源的多维度合规审计 当企业进行云上资源合规落地时,通常会面临合规标准无法统一的问题,例如: 生产环境和测试环境的资源安全要求不同; 不同地区的法规不同,导致对资源的规范要求不同。 同时,企业内所有账号也需要配置统一的安全基准要求。配置审计通过丰富的托管规则,
华为云网络安全合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
华为云架构可靠性最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规”
适用于金融行业的合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
资源合规常见问题 最多可以添加多少个合规规则? 每个账号最多可以添加500个合规规则。 添加合规规则时,规则参数指的是什么? 规则参数和合规策略是对应的,例如:您选择了“资源具有指定的标签”预设策略,则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 预设策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
