检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测逻辑 CBR服务的备份策略未启用,视为“合规”。 CBR服务的备份策略执行的最大时间间隔小于等于参数要求,视为“合规”。 CBR服务的备份策略执行的最大时间间隔大于参数要求,视为“不合规”。 父主题: 云备份 CBR
CDN使用自有证书 配置变更 cdn.domains 配置审计 Config 账号开启资源记录器 周期触发 account 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更
apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板,便于日志的统一收集和管理,也可通过API异常调用分析进行追查和溯源。 7_SECURE YOUR NETWORK: REVIEW
CBR备份策略执行频率低于设定值,视为“不合规” cbr-vault-minimum-retention-check CBR存储库最低保留天数 cbr 存储库未绑定策略或绑定的策略按天数保留且保留天数低于设定值,视为“不合规” ecs-protected-by-cbr ECS资源在备份存储库中 cbr, ecs
合规。 资源记录器 开启资源记录器 开启资源记录器后,才可以跟踪资源的变更情况。 配置资源记录器 配置资源监控范围、消息通知主题、资源转储,并授权资源记录器调用消息通知服务(SMN)发送通知的权限和对象存储服务(OBS)的写入权限。 修改资源记录器 可以修改资源记录器的相关配置。
Config支持的自定义策略授权项如下所示: 资源清单,包含资源接口对应的授权项,如查看资源历史、列举指定类型的资源等接口。 资源记录器,包含资源记录器接口对应的授权项,如查询资源记录器、创建资源记录器、删除资源记录器等接口。 合规性,包含资源合规接口对应的授权项,如合规规则的增、删、改、查等接口。 高级查询,包
ecs,evs 已挂载的云硬盘未进行加密,视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” vpn-connections-active VPN连接状态为“正常” vpnaas 确保VPN连接状态正常。
虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL
仅被资源记录器收集的资源可参与资源评估,为保证资源合规规则的评估结果符合预期,强烈建议您保持资源记录器的开启状态,不同场景的说明如下: 如您未开启资源记录器,则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器,但仅在资源记录器监控范围内
obsClient.close() (可选)在函数的设置页面适当修改函数的“执行超时时间”和“内存”,并启用日志配置。强烈建议您执行该项操作,否则资源修正的行为有可能会失败,且您无法通过日志记录定位函数执行的错误原因。 配置合规修正: 登录配置审计控制台。 在左侧导航栏,选择资源合规。 在规则页面,单击规则名称。
列举资源记录器收集的全部资源 功能介绍 查询当前用户资源记录器收集的全部资源,需要当前用户有rms:resources:list权限。 调用方法 请参见如何调用API。 URI GET /v1/resource-manager/domains/{domain_id}/tracked-resources
算法直接相关,随着算力越来越便宜,为了保护您的资源的安全性,建议您使用足够安全的算法。 修复项指导 请释放使用未满足您合规要求的资源,并购买满足安全算法要求的私有CA或私有证书。 检测逻辑 私有证书管理服务的私有CA或私有证书使用禁止的密钥算法或签名哈希算法,视为“不合规”。 私
3389:远程桌面协定端口。 检测逻辑 当安全组的入站流量未放通参数指定端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。 当安全组的入站流量放通参数指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”。 安全组内一般包
当前场景下此处配置日志组的ID(键:log_group_id;值:具体日志组ID值),在FGS函数中使用log_group_id=event.get("log_group_id", {})语句获取日志组ID,执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。 当前示例中的参数说明如下:
'[x]'表示语句'x'可以出现一次或不出现。 '(x)'表示语句'x'是个整体。'(x, ...)'表示语句'x'可以出现一次或多次,多次之间用逗号连接。 '|'表示所有可能的替代情况。 'expression'表示任意表达式。特殊地,'bool_expression'表示任意布尔表达式。 'identif
ReadOnlyAccess 查看所有资源列表 √ √ √ 查看单个资源详情 √ √ √ 筛选资源 √ √ √ 导出资源列表 √ √ √ 查看资源合规 √ √ √ 查看资源关系 √ √ √ 查看资源历史 √ √ √ 查看资源记录器 √ √ √ 开启/配置/修改资源记录器 √ √ x 关闭资源记录器 √ √
无 检测逻辑 当安全组的入站流量未放通TCP 22端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0),视为“合规”。 当安全组的入站流量放通TCP 22端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规”。 安全组内一般
同。对于已开启资源记录器且在监控范围内的资源,Config会在24小时内校正资源数据。如未开启资源记录器,或相关资源不在资源记录器配置的监控范围内,则Config不会校正这些资源的数据。 Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能
帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。 检测逻辑 IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。 IAM委托绑定所有指定的IAM策略和权限,视为“合规”。 父主题: 统一身份认证服务 IAM
账户充值。 开启并配置资源记录器。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。且仅被资源记录器收集的资源可参与资源评估,为保证资源合规规则的评估结果符合预期,建议您配置资源记录器时选择监控全部资源。 步骤一:添加合规规则
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
