检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
的查询,例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现: 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性(公网IP,加密磁盘)的资源的列表。 成本优化。例如检索未挂载到任何云服务器实例的云磁盘的列表,避免产生不必要的费用。
予的权限对云服务进行操作。 Config部署时不区分物理区域,为全局级服务。授权时,在全局级服务中设置权限,访问Config时,不需要切换区域。 具有Config服务只读权限的用户具有查看“资源清单”页面的权限,可以查看用户账号下的全部资源,不需要用户具有相应云服务的只读权限。 根据授权精细程度分为角色和策略。
// 认证用的ak和sk直接写到代码中有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全; // 本示例以ak和sk保存在环境变量中来实现身份验证为例,运行本示例前请先在本地环境中设置环境变量HUAWEICLOUD_SDK_AK和HUAWEICLOUD_SDK_SK。
规则中文名称 涉及云服务 规则描述 cdn-enable-https-certificate CDN使用HTTPS证书 cdn CDN未使用HTTPS,视为“不合规” cdn-origin-protocol-no-http CDN回源方式使用HTTPS cdn CDN回源方式未使用HTTPS,视为“不合规”
限。 Token可通过调用获取用户Token接口获取。 云服务存在两种部署方式:项目级服务和全局级服务。 项目级服务需要获取项目级别的Token,此时请求body中auth.scope的取值为project。 全局级服务需要获取全局级别的Token,此时请求body中auth.scope的取值为domain。
css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https,视为“不合规” css-cluster-security-mode-enable CSS集群支持安全模式 css CSS集群不支持安全模式,视为“不合规” dcs-memcached-enable-ssl
虚拟私有云(VPC)是您在云上的私有网络,可以为DWS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保DWS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的DWS资源绑定特定的虚拟私有云。 检测逻辑 DW
evs 云硬盘未挂载给任何云服务器,视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs,evs 已挂载的云硬盘未进行加密,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL
'%figure#_%' ESCAPE '#' 条件函数 CASE关键字可以根据情况选择不同的返回值。它有以下两种用法。 计算给定表达式expression的值,根据不同的值返回对应的结果。 依次计算每一个bool_expression的值,找到第一条符合要求的expression并返回对应的结果。 CASE
虚拟私有云(VPC)是您在云上的私有网络,可以为MRS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保MRS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 MRS集群创建完成后不支持切换虚拟私有云,请谨慎选择所属虚拟私有云。当前仅支持
虚拟私有云 VPC 未与子网关联的网络ACL 默认安全组关闭出、入方向流量 VPC启用流日志 安全组端口检查 安全组入站流量限制指定端口 安全组入站流量限制SSH端口 安全组非白名单端口检查 安全组连接到弹性网络接口 父主题: 系统内置预设策略
策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的读操作。 检测逻辑 OB
策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的写操作。 检测逻辑 OB
策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的身份或网络。 检测逻辑
users 规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或停用IAM用户多余的访问密钥,详见管理IAM用户访问密钥。
虚拟私有云(VPC)是您在云上的私有网络,可以为DCS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保DCS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的Memcached绑定特定的虚拟私有云。该资源已
虚拟私有云(VPC)是您在云上的私有网络,可以为DCS构建一个逻辑上完全隔离的专有区域。您可以在自己的逻辑隔离区域中定义虚拟网络,确保DCS所有流量都安全地保留在虚拟私有云中,详见虚拟私有云产品介绍。 修复项指导 您可以通过网络配置,为不合规的DCS资源绑定特定的虚拟私有云,详见查看和修改DCS实例基本信息。
的合规评估结果均为不合规;若该值为“--”,则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈: 合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。资源栈是资源编排服务的概念,详见资源栈。 状态: 表1 合规规则包的部署状态 取值
如果您为合规规则创建了修正配置,修正配置通过关联RFS服务的私有模板或FunctionGraph服务的函数实例来对不合规资源执行修正,因此可能会产生相应的费用,具体请参见FunctionGraph计费说明。使用RFS服务本身不收取费用,但通过RFS私有模板如创建了付费资源,其相关费用请参见相应服务的计费说明。 配置
通过Config实现资源自动化管理 本文为您介绍如何通过配置审计服务的资源评估和合规修正能力,自动化实现不合规资源的发现和修正。通过该流程,可以确保云上任意用户,无论有意还是无意的行为,造成了资源不合规,都可以在几分钟内被该流程自动修复,从而保证了云上的资源安全。 应用场景 具体场景:用户在云上的OBS
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
