检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
应采用业内认可的加密解决方案及稳健的密钥管理手法,以保护有关的加密密钥。 kms-not-scheduled-for-deletion 帮助检查所有计划删除的密钥,以防计划删除是无意的。 3.1.4 应采用业内认可的加密解决方案及稳健的密钥管理手法,以保护有关的加密密钥。 kms-rotation-enabled
资源记录器。 操作场景 资源历史是过去某段时间内资源不同状态的集合。对接服务上报Config的资源属性和资源关系的变化,都会在资源时间线中生成一条记录,该记录会包含资源变更情况的详细信息,默认的保存期限为7年。 资源历史中记录的资源关系仅支持最大1000条资源关系。 操作步骤 登录管理控制台。
私有镜像未开启加密,视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换,视为“不合规” mrs-cluster-encrypt-enable MRS集群开启kms加密 mrs MRS集群未开启kms加密,视为“不合规” rds
CTS追踪器未打开事件文件校验,视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换,视为“不合规” iam-customer-policy-blocked-kms-actions IAM策略中不授权KMS的禁止的action iam,
5 当密钥的完整性被削弱(例如,知道明文密钥组件的员工离职)或怀疑密钥被泄露时,必要时停用或替换密钥(例如,存档、销毁和/或吊销)。注意:如果需要保留已停用或替换的加密密钥,则必须安全地存档这些密钥(例如,使用密钥加密密钥)。存档的加密密钥只能用于解密/验证目的。 kms-not
ces CES告警操作未启用,视为“不合规” alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change
IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥,视为“不合规” iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”
ces CES告警操作未启用,视为“不合规” alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change
IAM用户未开启MFA认证,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态,视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换,视为“不合规”
求。 合规策略本身只是一个静态的逻辑,如果想要让其生效,必须将合规策略指定到一个具体的范围(例如通过设置过滤器来指定具体的资源范围)上,即生成一个具体的合规规则。 使用JSON表达式来表示一个合规策略定义,如表1所示。 表1 合规策略的定义-JSON表达式格式 参数 定义 说明 id
GeminiDB使用磁盘加密 gaussdb nosql GeminiDB未使用磁盘加密,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态,视为“不合规” multi-region-cts-tracker-exists
确保云硬盘未闲置。 2.3 kms-not-scheduled-for-deletion 确保数据加密服务密钥未处于“计划删除”状态,以防止误删除密钥。 2.5A sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据,确保高性能弹性文件服务已通过KMS进行加密。
CTS追踪器符合安全最佳实践 cts 不存在满足安全最佳实践的CTS追踪器,视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换,视为“不合规” cloudbuildserver-encryption-parameter-check
iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” kms-rotation-enabled KMS密钥启用密钥轮换 kms KMS密钥未启用密钥轮换,视为“不合规” mfa-enabled-for-iam-console-access C
ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态,视为“不合规” function-graph-public-access-prohibited
IAM用户的AccessKey在指定时间内轮换 IAM策略中不授权KMS的禁止的action IAM用户组添加了IAM用户 IAM用户密码策略符合要求 IAM策略黑名单检查 IAM策略不具备Admin权限 IAM自定义策略具备所有权限 根用户存在可使用的访问密钥 IAM用户访问模式 IAM用户创建时设置AccessKey
alarm-vpc-change CES配置监控VPC变更的事件监控告警 统一运维监控 alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除密钥的事件监控告警 统一合规审计 cts-lts-enable CTS追踪器启用事件分析 统一合规审计
iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态,视为“不合规” mfa-enabled-for-iam-console-access
云监控服务 CES CES启用告警操作 CES配置监控KMS禁用或计划删除密钥的事件监控告警 CES配置监控OBS桶策略变更的事件监控告警 指定的资源类型绑定指定指标CES告警 检查特定指标的CES告警进行特定配置 CES配置监控VPC变更的事件监控告警 父主题: 系统内置预设策略
服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。 406 Not Acceptable 服务器生成的响应无法被客户端所接受。 407 Proxy Authentication Required 用户必须首先使用代理服务器进行验证,这样请求才会被处理。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
