检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证 根用户开启MFA认证 IAM策略使用中 IAM权限使用中 IAM用户开启登录保护 IAM委托绑定策略检查 IAM用户admin权限检查 IAM用户不直接附加策略或权限 父主题: 系统内置预设策略
略。 应用场景 为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。 检测逻辑 IAM委托未绑定所
为IAM用户、IAM用户组、IAM委托分配指定的权限,避免非必要权限带来的安全隐患,详见授予最小权限。 修复项指导 移除不合规的IAM用户、IAM用户组、IAM委托的对应权限。 检测逻辑 IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。 IAM的用户、用户组、委托未使用指定权限或策略,视为“合规”。
cess Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证,视为“不合规” iam-policy-in-use
讯加密。用户可以通过安全模式修改API接口启用安全模式。 检测逻辑 CSS集群未启用安全模式,视为“不合规”。 CSS集群启用安全模式但未开启HTTPS访问,视为“不合规”。 CSS集群启用安全模式并且开启HTTPS访问,视为“合规”。 父主题: 云搜索服务 CSS
帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。 修复项指导 用户可以根据合规评估结果修改IAM策略配置,详见修改、删除自定义策略。 检测逻辑 IAM策略或权限未授予指定的KMS操作权限,视为“合规”。
FOUNDATION.G_2.R_5 启用 VPC 流量日志功能 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” C.CS.FOUNDATION.G_2.R_11 启用 FunctionGraph
G_1.R_2 确保管理员账号已启用 MFA root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证,视为“不合规” C.CS.FOUNDATION.G_1.R_14 确保不创建允许“*:*”管理权限的 IAM 策略 iam-pol
IAM用户组添加了IAM用户 统一身份权限 root-account-mfa-enabled 根账号开启MFA认证 统一身份权限 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 统一身份权限 iam-root-access-key-check
ig将自动执行修正,调用RFS私有模板为当前账号开启CTS追踪器。 如下图所示,不合规资源自动修正成功,当前账号的CTS追踪器已启用。 图4 CTS追踪器已启用 基于FunctionGraph函数执行修正 使用预设策略“VPC启用流日志(vpc-flow-logs-enabled)”添加预定义合规规则。
创建资源聚合器授权 功能介绍 给资源聚合器账号授予从源账号收集数据的权限。 调用方法 请参见如何调用API。 URI PUT /v1/resource-manager/domains/{domain_id}/aggregators/aggregation-authorization
Graph)的只读权限和调用权限给Config服务,允许自定义合规规则查询函数工作流以及将事件发送至函数工作流。 说明: 快速授权:将为您快速创建一个名为“rms_custom_policy_agency”的委托权限,该权限是可以让自定义合规规则正常工作的权限,包含调用函数工作流
创建资源聚合器用于从多个账号聚合资源配置和合规性数据,具体请参见创建资源聚合器。 源账号开启资源记录器用于收集资源数据,具体请参见配置资源记录器。 源账号授予聚合器账号收集资源配置和合规性数据的权限,具体请参见授权资源聚合器账号。 在资源聚合器视图中查看源账号的资源配置和合规性数据,
IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规”
IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态,且规则参数为空列表,若IAM用户属于任意一个IAM用户组,视为“合规”。 IAM用户为“启用”状态,且规则参数为空列表,若IAM用户不属于任意一个IAM用户组,视为“不合规”。 IAM用户为“启用”状态,且规则参数非空列表,若IAM
DWS集群启用日志转储 dws DWS集群未启用日志转储,视为“不合规” dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照,视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规”
IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规”
DWS集群启用KMS加密 dws DWS集群未启用KMS加密,视为“不合规” dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照,视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规”
议您保持资源记录器的开启状态,不同场景的说明如下: 如您未开启资源记录器,则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器,但仅在资源记录器监控范围内勾选部分资源,则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见:配置资源记录器。
RDS实例开启存储加密 rds 未开启存储加密的rds资源,视为“不合规” dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照,视为“不合规” gaussdb-instance-enable-backup GaussDB实例开启自动备份
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
