检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,建议账号或管理员为IAM用户开启登录保护。开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入验证码(第二次身份验证),该功能是一种安全实践,建议开启登录保
规则触发方式 周期触发 规则评估的资源类型 account 规则参数 无 应用场景 为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导 删除或停用根用户下的访问密钥,详见管理IAM用户访问密钥。 检测逻辑 根
policyIdList:指定允许的策略ID列表,不支持系统身份策略。 应用场景 为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。
ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除密钥的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警
check 确保云监控服务创建的告警规则未停用。 6.2.1 为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。 ecs-instance-no-public-ip 弹性云服务器可能包含敏感信息,需要限制其从公网访问。 6.2.1 为防止不安全的网络连接,应制定及执行有关使用网络及网络服务的程序。
求订阅。 未在资源记录器监控范围内勾选的资源,不会更新资源的最新数据。 资源记录器收集到的资源配置信息数据默认保留7年(2557天)。 已对接Config的服务的资源数据同步到Config存在延迟,不同服务的延迟时间并不相同。对于已开启资源记录器且在监控范围内的资源,Config
开启并配置资源记录器 操作场景 资源记录器为您提供面向资源的配置记录监控能力,帮您轻松实现海量资源的自主监管,用来跟踪您在云平台上且Config支持的云服务资源变更情况。 开启并配置资源记录器的资源转储和主题功能后,当对接服务上报Config的资源变更(被创建、修改、删除等)、资
e-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces,obs C
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 使用
云计算知识哪家强,云上小课来开讲! 对象存储专题 汇聚云图说、视频、最佳实践,带您玩转华为云OBS 云图说合集 云图说系列,是您了解华为云的必备利器 智能客服 您好!我是有问必答知识渊博的的智能问答机器人,有问题欢迎随时求助哦! 社区求助 华为云社区是华为云用户的聚集地。这里有来自容器服务的技术牛人,为您解决技术难题。
blackListPolicyUrns:IAM权限或IAM策略的名称列表,不支持系统策略。 应用场景 为IAM用户、IAM用户组、IAM委托分配指定的权限,避免非必要权限带来的安全隐患,详见授予最小权限。 修复项指导 移除不合规的IAM用户、IAM用户组、IAM委托的对应权限。 检测逻辑 IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。
iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户、用户组或委托仅拥有所需操作的相关权限。为了提高账号资源的安全性,不创建允许“*”或“*:*”或“*:*:*”管理权限的自定义策略。 修复项指导 管理员可以修改不合规的IAM自定义策略,详见修改、删除自定义策略。
组织合规规则包 资源聚合器 云监控服务(CES) 通过CES的事件监控能力,可将Config的相关事件数据收集到云监控服务,并在事件发生时进行告警。 您可以在CES服务查看Config的系统事件监控数据,用于了解用户在什么时间对Config进行了什么操作;还可以创建事件监控的告警通知,在相关事件发生时进行告警通知。
户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆
资源合规 资源合规概述 资源合规规则 组织合规规则 查看不合规资源 合规规则修正配置 合规规则概念详解 系统内置预设策略 事件监控
allowedInactivePeriod:指定的时间范围,整数类型,默认值为90。 应用场景 及时发现不活跃的IAM用户,用于减少闲置用户或降低密码泄露的风险,提升账号安全。 修复项指导 使用该闲置的IAM用户登录管理控制台,或删除该闲置的IAM用户,详见IAM用户登录或删除IAM用户。 检测逻辑 IAM用户为“停用”状态,视为“合规”。
视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 无 应用场景 为了提高账号资源的安全性,建议在设置初始IAM用户时,对具有控制台密码的IAM用户,不能设置访问密钥。 修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。
规则评估的资源类型 iam.roles、iam.policies 规则参数 无 应用场景 确保IAM用户或IAM委托操作仅限于所需的操作。为了提高账号资源的安全性,不创建允许某个云服务全部管理权限的自定义策略。 修复项指导 管理员可以在IAM页面修改不合规的IAM自定义策略,详见修改、删除自定义策略。
users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或停用IAM用户多余的访问密钥,详见管理IAM用户访问密钥。
已对接Config的服务的资源数据同步到Config存在延迟,不同服务的延迟时间并不相同。 对于已开启资源记录器且在监控范围内的资源,Config会在24小时内校正资源数据。如未开启资源记录器,或相关资源不在资源记录器配置的监控范围内,则Config不会校正这些资源的数据。 24小时 资源快照存储周期 24小时
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
