检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置审计服务本身为免费服务,但使用资源记录器时资源转储OBS桶和消息通知SMN主题至少需要配置一个,因此资源记录器使用的消息通知服务(SMN)或对象存储服务(OBS)可能会产生相应的费用,具体请参见SMN计费说明和OBS计费说明。 您需要确保账号有足够的余额,避免因账号余额不足或欠费导致资
确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据,因此启用传输中加密有助于保护该数据。 8.1.4.7 b)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 volumes-encrypted-check
= 'evs' AND type = 'volumes' AND properties.size = 100 示例3:资源聚合器下对象存储桶模糊查询 SELECT * FROM aggregator_resources WHERE provider = 'obs' AND 'type'
适用于管理与监管服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” alar
RDS实例支持多可用区 rds RDS实例仅支持一个可用区,视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的rds资源,视为“不合规” dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照,视为“不合规”
自定义合规规则包: 用户根据自身需求编写合规规则包的模板文件,在模板文件中填入适合自身使用场景的预设规则或自定义规则,然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON,不支持tf格式和zip格式的文件内容。 合规性数据: 一个
无 应用场景 由于可能存在敏感数据,请启用磁盘加密以保护相关数据。 修复项指导 当前CSS服务暂时不支持磁盘加密功能,请避免在CSS服务中存储敏感数据。 检测逻辑 CSS集群未开启磁盘加密,视为“不合规”。 CSS集群开启了磁盘加密,视为“合规”。 父主题: 云搜索服务 CSS
RDS实例配备日志 rds 未配备任何日志的rds资源,视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的rds资源,视为“不合规” dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密,视为“不合规”
华为云网络安全合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”
RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP,视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源,视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证,视为“不合规”
db GeminiDB未使用磁盘加密,视为“不合规” 3.11 rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源,视为“不合规” 3.11 sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密
消息通知模型 资源变更的消息通知模型 资源关系变更的消息通知模型 资源快照存储完成的消息通知模型 资源变更消息存储完成的消息通知模型 父主题: 附录
如果您需要根据自身的需求创建自定义合规规则包,可以参考本节中的示例模板编写合规规则包模板文件,通过在创建合规规则包时选择“上传模板”或“OBS存储桶”的方式上传并使用。 概念介绍 Resource:Resource是模板中最重要的元素,通过关键字 "resource" 进行声明。当前
高级查询使用限制 为避免单用户长时间查询占用资源,影响其他用户,对高级查询功能做以下限制: 单次查询语句的执行时长不能超过15秒,否则会返回超时错误。 单次查询语句查询大量数据,会返回查询数据量过大的报错,需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。
资源聚合器使用限制 资源聚合器的使用限制如下: 单个账号最多能创建30个账号类型的资源聚合器。 单个资源聚合器最多能聚合30个源账号的数据。 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数量为1000个。 单个账号最多能创建1个组织类型的资源聚合器。 单个账号24小时
TS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS)或云日志服务(LTS),才可在OBS桶或LTS日志组里面查看历史事件信息。否则,您将无法追溯7天以前的操作记录。 云上操作后
查看所有资源列表 操作场景 如果您需要查看当前账号下的资源,可以通过“资源清单”页面查看。 资源数据同步到Config存在延迟,因此资源发生变化时不会实时更新“资源清单”中的数据。对于已开启资源记录器的用户,Config会在24小时内校正资源数据。 资源清单中的资源数据依赖于资源
provider = 'evs' AND type = 'volumes' AND properties.size = 100 示例3:对象存储桶模糊查询 SELECT * FROM resources WHERE provider = 'obs' AND type = 'buckets'
适用于日志和监控的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” apig-i
SelectorConfigBody object tracker选择器。 retention_period_in_days Integer 存储历史信息的天数 agency_name String IAM委托名称。 domain_id String 账号ID frozen_status
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
