检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Key):私有访问密钥。与访问密钥ID结合使用,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能
消息通知服务(SMN) 在配置资源记录器时,可以根据需要选择配置消息通知主题。 说明: 如您先配置了资源存储(OBS桶),则SMN主题可以不配置。 Config支持服务的资源发生变更时,向用户发送消息通知。 配置资源记录器 对象存储服务(OBS) 在配置资源记录器时,可以根据需要选择配置资源存储(OBS桶)。
时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 在事件列表页面,您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 在搜索框中输入任意关键字,按下Enter键,可以在事件列表搜索符合条件的数据。 单击“导出”按钮,云审计服务会将查询结果以
Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 SDK列表 表1提供了Config服务支持的SDK列表,您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java hu
符和空格中的一种字符类型,且长度在8到32之间。 应用场景 确保IAM用户密码强度满足密码强度要求,详见设置强密码策略。 修复项指导 用户可以根据要求修改密码达到需要的密码强度,详见修改IAM用户密码。 检测逻辑 IAM用户未设置密码,视为“合规”。 IAM用户为“停用”状态,视为“合规”。
白名单列表中的IP通过公网IP访问集群Kibana。详见通过公网地址访问Kibana登录Elasticsearch集群。 修复项指导 用户可以通过接口开启Kibana公网访问配置合适的访问控制白名单。 检测逻辑 CSS集群Kibana未开启公网访问,视为“合规”。 CSS集群Ki
修改资源聚合器 操作场景 资源聚合器创建完成后,您可以根据需要随时修改账号类型资源聚合器的名称和源账号,组织类型的资源聚合器仅支持修改聚合器名称。 如下步骤以修改账号类型的聚合器为例进行说明。 修改组织类型的资源聚合器依赖于组织服务的相关授权项,您需要具有如下权限: organi
确保IAM用户、用户组或委托仅拥有所需操作的相关权限。为了提高账号资源的安全性,不创建允许“*”或“*:*”或“*:*:*”管理权限的自定义策略。 修复项指导 管理员可以修改不合规的IAM自定义策略,详见修改、删除自定义策略。 检测逻辑 IAM自定义策略配置了Allow的全部云服务的全部权限(action为
统身份策略。 应用场景 为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。 检测逻辑 IAM委托
帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。 修复项指导 用户可以根据合规评估结果修改IAM策略配置,详见修改、删除自定义策略。 检测逻辑 IAM策略或权限未授予指定的KMS操作权限,视为“合规”。 IA
无法开启公网访问功能。详见切换安全模式下的协议。 修复项指导 CSS集群的安全模式启用时,开启HTTPS访问,访问集群将进行通讯加密。用户可以通过安全模式修改API接口启用安全模式。 检测逻辑 CSS集群未启用安全模式,视为“不合规”。 CSS集群启用安全模式但未开启HTTPS访问,视为“不合规”。
当合规规则的修正方法选择“自动修正”时,您后续也可以根据需要随时手动对不合规资源执行修正。 不合规资源的修正状态分为: 排队中:表示此不合规资源的修正操作正在排队中。 修正中:表示此不合规资源正在执行修正中。 修正成功:表示此不合规资源修正成功。 修正失败:表示此不合规资源修正失败,您可以在界面中查看修正失败的原因。
其中指定具体的合规规则(支持预定义合规规则与自定义合规规则)的名称等配置信息。 变量:输入变量可以理解为模板的参数,通过关键字 "variable" 进行声明。通过定义输入变量,我们可以无需变更模板的源代码就能灵活修改配置。当没有变量时,不需要声明关键字 "variable" 。
单击“添加新标签”,输入标签键和标签值,为合规规则添加标签。每个合规规则最多可以添加20个标签。 标签键不能为空,可以包含任意语种的字母、数字和空格,以及_.:=+-@字符,但首尾不能包含空格,且不能以_sys_开头。长度不超过128个字符。 标签值可以为空,可以包含任意语种的字母、数字和空格,以及_.:=+
obs-bucket-public-read-policy-check OBS桶禁止公开读 obs 桶可以被公开读,视为“不合规” obs-bucket-public-write-policy-check OBS桶禁止公开写 obs 桶可以被公开写,视为“不合规” obs-bucket-ssl-requests-only
创建修正配置 操作场景 当您通过系统预设策略或自定义策略创建合规规则后,您可以为合规规则创建修正配置,按照您自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 合规规则的修正配置功能基于RFS服务的私有模板或FunctionGraph的函数进行资源修正,因此您需要预先创建RF
由浅入深,带您玩转Config 01 了解 您可以通过配置审计(Config)服务来检索、存储、评估自己在云平台上的资源。 产品介绍 什么是Config 基本概念 功能总览 与其他服务的关系 计费说明 权限管理 03 使用 您可以使用Config查看您所拥有的资源有哪些;可以查看资源详情、资源之间的关
左侧的评估结果列表默认展示合规评估结果为“不合规”的资源,您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索,还支持导出全部评估结果数据。 此合规规则的评估结果列表中展示的不合规资源,为超过90天未登录过管理控制台的IAM用户,您可以根据合规评估结果对这些闲置IAM用户进行处理。
资源记录器为您提供面向资源的配置记录监控能力,帮您轻松实现海量资源的自主监管,用来跟踪您在云平台上且Config支持的云服务资源变更情况。 资源记录器可以为您提供以下功能: 当您开启并配置消息通知SMN主题后,在资源被创建、修改或删除时发送通知给您; 当您开启并配置消息通知SMN主题后,在C
添加自定义组织合规规则 操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写函数代码,添加组织类型的自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流(FunctionGraph)上的函数。将合规规则和函数相关
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
