检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
支持的服务和区域 Config支持的服务和区域请以控制台界面显示为准,具体如下: 登录管理控制台,进入“配置审计 Config”服务。 在“资源清单”页面单击“已支持的服务和区域”。 图1 查看Config支持的服务和区域 进入“已支持的服务和区域”页面,列表中显示当前Config已支持的服务、资源类型和区域等信息。
支持标签的云服务和资源类型 当前华为云大部分云服务资源均支持添加标签,但部分云服务资源(如OBS桶)的标签信息暂未上传至Config服务,因此无法在Config服务中使用标签相关的能力,例如无法在“资源清单”页面通过标签搜索到相应资源,或无法使用涉及标签场景的资源合规规则等。 当
伴随着互联网的高速发展,数据存储场景越来越多样化,单一的存储类别已无法满足多样化的存储场景和成本管理诉求。详见存储类别概述。 修复项指导 通过设置桶和对象的存储类别配置桶和对象的存储类别。 检测逻辑 OBS桶的存储类型与指定的存储类型一致,视为“合规”。 OBS桶的存储类型与指定的存储类型不一致,视为“不合规”。
不同类型的资源可以用'provider'和'type'来区分,它们对应的'properties'字段的结构也就不一样。 例如ecs的cloudservcer包含字段flavor,而vpc的publicips包含字段bandwidth。 各个资源类型properties内支持的字段以
CCE集群运行的非受支持的最旧版本 规则详情 表1 规则详情 参数 说明 规则名称 cce-cluster-oldest-supported-version 规则展示名 CCE集群运行的非受支持的最旧版本 规则描述 如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规”。
支持的服务和资源类型 Config支持的云服务(provider)和资源类型(type)可通过如下两种方式获取: API方式 通过调用列举云服务接口查询Config支持的云服务、资源和区域列表。其中provider字段为云服务名称,resource_types中的name字段为资源类型名称。
规则描述 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 检测逻辑 VPC安全组非默认安全组,视为“合规”。 VPC的默认安全组关闭出、入方向的流量,视为“合规”。
适用于中小企业的ENISA的标准合规包 本文为您介绍适用于中小企业的ENISA的标准合规包的业务背景、应用场景,以及合规包中的默认规则。 业务背景 ENISA中小企业网络安全指南提供了中小型企业可用于增强其网络安全态势的运营最佳实践。该指南旨在帮助中小企业了解网络安全的重要性,以及
适用于日志和监控的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” apig-i
使用以下任一方法使PAN在存储的任何位置(包括便携式数字媒体、备份媒体和日志中)都不可读:基于强加密的单向哈希,(哈希必须是整个PAN的哈希)截断(哈希不能用于替换PAN的截断段)索引令牌和垫子(垫子必须安全存放)具有相关密钥管理流程和程序的强加密技术。注意:如果恶意个人可以访问PAN的截断版本和散列版
标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 无 应用场景 非安全模式的集群无需安全认证即可访问,采用HTTP协议明文传输数据。建议确认访问环境的安全性,勿将访问接口暴露到公网环境上。安全模式的集群需要通过安全认证才能访问,且支持对集群
规则评估的资源类型 obs.buckets 规则参数 无 应用场景 桶ACL用于授予桶基本的读写权限,桶策略高级设置中支持更多在桶上可以执行的动作。桶ACL是对桶策略的补充,更多时候桶策略可以替代桶ACL管理桶的访问权限。桶ACL访问权限和桶策略动作的映射关系请参见桶策略和ACL的关系。
下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略,才能使用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于策略对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。 角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略
该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑 如果CSMS凭据创建时间和当前时间的间隔小于等于指定天数,无论是否轮转过,均视为“合规”。 如果CSMS凭据创建时间和当前时间的间隔大于指定天数,且CSMS凭据未在指定天数内轮转,视为“不合规”。
配置变更 规则评估的资源类型 csms.secrets 规则参数 无 应用场景 CSMS凭据可以配置轮转,您可以使用轮转来将长期机密信息替换为短期机密信息。轮转机密信息可以限制非授权用户使用被泄露机密信息的时间。因此,您应该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。
应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的action操作。 检测逻辑 OBS桶策略未授予的本华为云账号以外的身份指定操作权限,视为“合规”。
配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns:KMS的阻拦action列表,数组类型。 应用场景 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。
选择“手动修正”或“自动修正”,重试时间和重试次数使用默认值。 选择“FGS模版”,选中前一步中所配置的函数。 依赖于资源类型设置为“bucket_name”,参数中键和值分别输入domain_id 和 账号ID的值。 单击“保存”,完成合规修正的配置。 资源的手动修正: 如果您在上一步的修正方法中选择“手动修正”,则需要进行如下操作。
制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的身份或网络。 检测逻辑 OBS桶策略授予的访问权限受您提供的访问身份和网络限制约束,视为“合规”。 OBS桶策略授予的访问权限不受您提供的访问身份和网络限制约束,视为“不合规”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
