检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
资源记录器事件监控 事件监控提供事件类型数据上报、查询和告警的功能。方便您将资源的合规性事件收集到云监控服务,并在事件发生时进行告警。 事件监控默认开通,您可以在事件监控中查看系统事件的监控详情,事件监控的相关操作请参见:查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北-北京四区域。
修正配置概述 概述 配置审计服务的资源合规特性用于评估您的资源是否满足合规要求,针对合规规则评估出的不合规资源,合规修正功能可以帮助您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您自定义的修正逻辑对不合规资源进行快速修正,确保您的云上资源持续合规。
功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。需要满足安全最佳实践以避免日志文件丢失、被篡改或泄露。 文件校验: 可以检验转储至OBS桶的数据是否被篡改,保障事件文件的完整性。 加密事件文件: 云审计支持对事件文件加密存储。 转储到LTS: 当“转储到LT
单击页面左侧的“高级查询”,进入“高级查询”页面。 选择“自定义查询”页签。 在待修改查询所在行,单击操作列的“使用查询”,进入“使用查询”页面。 也可以单击查询名称,进入查询概览页,再单击查询概览页右下方的“使用查询”,进入“使用查询”页面。 图1 修改自定义查询 在“查询编辑器”的输入框中修改查询语句。
组织合规规则包创建完成后,所部署的规则默认会执行一次评估,后续将根据规则的触发机制自动触发评估,也可以在资源合规规则列表中手动触发单个合规规则的评估。 约束与限制 每个账号最多可以创建50个合规规则包(包括组织合规规则包),最多可以创建500个合规规则。 创建或修改组织合规规则包需要开启资源记录器,资源记
说明 规则名称 obs-bucket-public-read-policy-check 规则展示名 OBS桶禁止公开读 规则描述 OBS桶可以被公开读,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs
说明 规则名称 obs-bucket-public-write-policy-check 规则展示名 OBS桶禁止公开写 规则描述 OBS桶可以被公开写,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs
次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。 修复项指导 用户首次进入云审计服务时,在追踪器页面单击“开通云审计
“admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导 进入IAM的“admin”用户组,删除企业管理
资源关系记录了您在华为云上的不同资源之间的关联情况。例如云硬盘与云服务器之间的绑定关系,云服务器与虚拟私有云之间的归属关系等。借助资源关系,您可以方便地掌握您在云平台上拥有的所有资源的组成结构和依赖关系。仅Config支持的资源关系才会在资源概览页的“关联资源”页签中显示,请参阅支持的资源关系来了解目前支持的资源关系。
obs-bucket-public-read-policy-check OBS桶禁止公开读 obs 桶可以被公开读,视为“不合规” obs-bucket-public-write-policy-check OBS桶禁止公开写 obs 桶可以被公开写,视为“不合规” obs-bucket-ssl-requests-only
有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的action操作。
规则评估的资源类型 iam.users 规则参数 无 应用场景 给IAM用户授权时建议您使用“继承所选用户组的策略”的方式,而不是“直接给用户授权”。这可以降低访问管理的复杂性,并减少IAM用户无意中接收或保留过多权限的风险。详见给IAM用户授权。 修复项指导 请创建IAM用户组,并将策略挂载
号只能触发规则评估和查看规则评估结果以及详情。 您可以选择Config提供的系统内置预设策略或者自定义策略来创建组织类型的资源合规规则,本章节指导您如何使用系统内置的预设策略来快速添加组织合规规则。 约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发
例外的资源没有配额限制。 手动添加:您可以随时手动将不合规资源批量添加至修正例外。单个合规规则的修正配置最多支持用户手动添加100个修正例外资源。 通过以上两种方式添加至修正例外的不合规资源,您可以随时手动批量将其从修正例外中删除,使其可以继续被执行修正。 本章节包含如下内容: 手动添加修正例外
有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的身份或网络。 检测逻辑
有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的身份或网络。 检测逻辑
单次查询语句查询大量数据,会返回查询数据量过大的报错,需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 高级查询功能依赖于资源记录器所收集的资源数据,强烈建议您保持资源记录器的开启状态,不同场景的说明如下: 如您从未开
查看组织合规规则包 操作场景 组织账号可以通过列表查看自己创建的组织合规规则包及其详情,并支持在列表中进行搜索过滤操作,但无法看到组织内其他账号添加的组织合规规则包。 当组织合规规则包部署成功后,会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操
dcs-memcached-enable-ssl 规则展示名 DCS Memcached资源支持SSL 规则描述 DCS Memcached资源可以公网访问,但不支持SSL时,视为“不合规”。 标签 dcs 规则触发方式 配置变更 规则评估的资源类型 dcs.memcached 规则参数
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
