检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导 删除或停用根用户下的访问密钥,详见管理IAM用户访问密钥。 检测逻辑 根用户未配置“启用”状态的访问密钥,视为“合规”。 根用户配置了“启用”状态的访问密钥,视为“不合规”。
Integer 策略参数的最大项数,当参数类型为Array时生效。 min_length Integer 策略参数的最小字符串长度或每项的最小字符串长度,当参数类型为String或Array时生效。 max_length Integer 策略参数的最大字符串长度或每项的最大字符串长度,当
“基本信息”页签左侧展示合规规则评估结果的详细信息,右侧展示合规规则的配置详情。左侧的评估结果列表默认展示合规评估结果为“不合规”的资源,您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索,还支持导出全部评估结果数据。 “修正管理”页签展示此合规规则的修正配置详细信息,
vpc-sg-attached-ports 规则展示名 安全组连接到弹性网络接口 规则描述 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 无 父主题:
周期触发 规则评估的资源类型 account 规则参数 无 检测逻辑 账号未配置“计划删除密钥”或未配置“禁用密钥”的事件监控告警,视为“不合规”。 账号已配置“计划删除密钥”和“禁用密钥”的事件监控告警,视为“合规”。 CES服务目前支持监控的系统事件请参见事件监控支持的事件说明。 父主题:
Console侧密码登录的IAM用户开启MFA认证 规则详情 表1 规则详情 参数 说明 规则名称 mfa-enabled-for-iam-console-access 规则展示名 Console侧密码登录的IAM用户开启MFA认证 规则描述 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规”。
单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“资源聚合器”,在下拉列表中选择“聚合器”,进入“聚合器”页面。 在列表中可查看所有已创建的资源聚合器。 您可以通过页面右上方的过滤器搜索出需要查看的资源聚合器,支持根据完整的聚合器名称精确搜索。
资源聚合器是配置审计服务中的一种新的功能,可以从多个源账号收集资源配置和合规性数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器,必须获得源账号的授权才能聚合数据;源类型为组织的资源聚合器,则
规则展示名 RDS实例默认端口检查 规则描述 RDS实例的端口包含被禁止的端口,视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 blockedPortsForMysql:指定MySQL数据库禁止的端口列表,数组类型。
该经常轮转您的机密信息。 修复项指导 请为您的凭据配置自动轮转,并选择合适的轮转策略和轮转周期。 检测逻辑 如果CSMS凭据创建时间和当前时间的间隔小于等于指定天数,无论是否轮转过,均视为“合规”。 如果CSMS凭据创建时间和当前时间的间隔大于指定天数,且CSMS凭据未在指定天数内轮转,视为“不合规”。
周期触发 规则评估的资源类型 iam.users 规则参数 allowedInactivePeriod:指定的时间范围,整数类型,默认值为90。 应用场景 及时发现不活跃的IAM用户,用于减少闲置用户或降低密码泄露的风险,提升账号安全。 修复项指导 使用该闲置的IAM用户登录管理
配置审计(Config)服务提供全局资源配置的检索,配置历史追溯,以及基于资源配置的持续的审计评估能力,确保云上资源配置变更符合客户预期。 Config服务的相关功能均依赖于资源记录器收集的资源数据,不开启资源记录器将会影响其他功能的正常使用,例如资源清单页面无法获取资源最新数据
规则评估的资源类型 iam.users 规则参数 pwdStrength:密码强度要求,参数允许值为枚举值Strong/Medium/Low,默认值为Strong。 说明: 各密码强度的详细说明如下: Strong(高):至少包含大写字母、小写字母、数字、特殊字符和空格中的四种或三种字符类型,且长度在8到32之间。
成员账号的资源记录器将转储文件存放至本OBS桶的指定路径内,以下参数需要您根据实际使用场景手动替换: ${account_id}:需要被授权的组织成员账号的账号ID(domain_id),多个账号ID之间以英文逗号分隔; ${agency_name}:被授权的自定义委托的名称。如
适用于云数据库(RDS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源,视为“不合规” rd
Graph)的函数实例作为修正操作的模板,函数中定义不合规资源的具体修正逻辑。 图4 修正配置信息 配置资源ID参数。 资源ID参数:指定不合规资源ID的变量名,需要与修正模板中定义的获取资源ID的变量名一致。执行修正时Config会将该变量赋值为要修正的不合规资源的具体ID值,
查询项目标签 功能介绍 查询租户在指定Project中实例类型的所有资源标签集合。标签管理服务需要能够列出当前租户全部已使用的资源标签集合,为各服务Console打资源标签和过滤实例时提供标签联想功能。 >- 说明:该接口仅支持Config的资源类型,当前resource_type仅支持co
聚合器,创建的组织类型资源聚合器被删除后在24小时内无法再次创建。 资源聚合器聚合的源账号必须开启资源记录器,资源聚合器才会动态收集源账号的资源配置,源账号的资源发生变更后会同步更新数据至资源聚合器。 组织类型的资源聚合器仅会聚合组织下账号状态为“正常”的成员账号的数据。 资源聚
可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对
完成后,资源聚合器聚合您账号中的资源数据时,无需再次向您发送授权请求,即可聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“资源聚合器”,在下拉列表中选择“授权”,进入“授权”页面。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
