检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用JSON表达式来表示一个评估结果,如表1所示。 表1 规则评估结果-JSON表达式格式 参数 定义 说明 domain_id 账号ID 用于区分用户。规则评估结果的domain_id不会为空。 resource_id 评估结果所属资源的ID - resource_name 评估结果所属资源的名称
云数据库 GaussDB GaussDB资源属于指定虚拟私有云ID GaussDB实例开启审计日志 GaussDB实例开启自动备份 GaussDB实例开启错误日志 GaussDB实例开启慢日志 GaussDB实例EIP检查 GaussDB实例跨AZ部署检查 GaussDB实例开启传输数据加密
数据加密服务 DEW KMS密钥不处于“计划删除”状态 KMS密钥启用密钥轮换 检查CSMS凭据轮转成功 CSMS凭据启动自动轮转 CSMS凭据使用指定KMS CSMS凭据在指定时间内轮转 父主题: 系统内置预设策略
消息通知服务 SMN SMN主题配置访问日志 父主题: 系统内置预设策略
云审计服务 CTS CTS追踪器通过KMS进行加密 CTS追踪器启用事件分析 CTS追踪器追踪指定的OBS桶 CTS追踪器打开事件文件校验 创建并启用CTS追踪器 在指定区域创建并启用CTS追踪器 CTS追踪器符合安全最佳实践 父主题: 系统内置预设策略
云数据库 RDS RDS实例开启备份 RDS实例开启错误日志 RDS实例开启慢日志 RDS实例支持多可用区 RDS实例不具有弹性公网IP RDS实例开启存储加密 RDS实例属于指定虚拟私有云ID RDS实例配备日志 RDS实例规格在指定的范围 RDS实例启用SSL加密通讯 RDS实例端口检查
函数的代码示例可参考示例函数。 选择“设置”,按需修改常规设置中的“执行超时时间”和“内存”,并配置“并发”。 完成后单击“保存”。 具体请参见创建事件函数。 创建修正配置 当前仅用户自行创建的预定义或自定义合规规则支持修正配置,通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 登录管理控制台。
cess 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA,您可以减少账号被盗用的事件,并防止敏感数据被未经授权的用户访问。 5_SECURE ACCESS TO SYSTEMS
标签键:最大长度为128个unicode字符。 标签值:最大长度为255个unicode字符。 created_by 合规规则的创建者 - 用户创建(custom)或服务关联委托方式创建。 为避免循环评估的行为,合规规则不支持评估配置审计服务的合规规则和合规规则包两种资源类型。 如
示例模板概述 配置审计服务提供合规规则包的示例模板,帮助用户通过示例模板快速创建合规规则包,每个合规规则包的示例模板中包含都多个合规规则,也就是配置审计服务的预设策略,每个预设策略的具体说明请参见系统内置预设策略。您可以通过列举预定义合规规则包模板接口查看所有的合规规则包示例模板。
服务提供和维护。详见系统内置预设策略。 custom: 用户自定义策略,用户创建的所有合规策略定义都具有此值。 policy_rule_type 合规策略的语法类型 DSL:一种Config服务提供的合规策略描述语言,用户可以根据此语法,将合规判断逻辑描述为一个具体的合规策略。 trigger_type
支持云审计的关键操作 操作场景 平台提供了云审计服务。通过云审计服务,您可以记录与配置审计服务相关的操作事件,便于后续的查询、审计和回溯。 前提条件 已开通云审计服务。 支持审计的关键操作列表 表1 云审计服务支持的Config操作列表 操作名称 资源类型 事件名称 创建合规规则
键字 "variable" 。 Provider: Provider代表服务提供商,通过关键字 "terraform" 进行声明,详细定义请参见Provider。自定义合规规则包的格式为: "terraform": { "required_providers": {
体操作请参见跨账号授权。 开启资源记录器时,如果指定了当前账号或其他账号下的OBS桶,Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件,此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时,如何处理请参见为什
当触发类型为“周期执行”时,系统将按照您设定的频率,触发此规则的评估任务。 手动触发 如果您想立即使用已有合规规则进行规则评估,可随时手动触发规则评估,具体请参见以下操作步骤。 约束与限制 每个账号最多可以添加500个合规规则。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器
云数据库 GeminiDB GeminiDB开启慢查询日志 GeminiDB开启错误日志 GeminiDB使用磁盘加密 GeminiDB开启备份 GeminiDB部署在单个可用区 父主题: 系统内置预设策略
云监控服务 CES CES启用告警操作 CES配置监控KMS禁用或计划删除密钥的事件监控告警 CES配置监控OBS桶策略变更的事件监控告警 指定的资源类型绑定指定指标CES告警 检查特定指标的CES告警进行特定配置 CES配置监控VPC变更的事件监控告警 父主题: 系统内置预设策略
云硬盘开启加密 规则详情 表1 规则详情 参数 说明 规则名称 volumes-encrypted-check-by-default 规则展示名 云硬盘开启加密 规则描述 云硬盘未进行加密,视为“不合规”。 标签 evs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes
CBR备份被加密 规则详情 表1 规则详情 参数 说明 规则名称 cbr-backup-encrypted-check 规则展示名 CBR备份被加密 规则描述 CBR服务的备份未被加密,视为“不合规”。 标签 cbr 规则触发方式 配置变更 规则评估的资源类型 cbr.backup
MapReduce服务 MRS MRS集群属于指定安全组 MRS集群属于指定VPC MRS集群开启kerberos认证 MRS集群使用多AZ部署 MRS集群未绑定弹性公网IP MRS集群开启KMS加密 父主题: 系统内置预设策略
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
