检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles 规则参数 无 应用场景 避免长期存在未绑定的IAM权限,防止因管理疏漏引发计划外授权,从而导致恶意操作。 修复项指导 判断该IAM权限是否仍需使用,将其附加到预期的IAM用户、用户组或委托上,或删除该IAM权限。
Elasticsearch和OpenSearch集群备份的日志文件主要包括废弃操作日志、运行日志、慢索引日志、慢查询日志,用户可以使用日志定位问题,详见查询和管理Elasticsearch集群日志。 修复项指导 CSS集群默认记录慢日志,用户可以将其转储在OBS桶中,详见修改日志基础配置。 检测逻辑
为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导 删除或停用根用户下的访问密钥,详见管理IAM用户访问密钥。 检测逻辑 根用户未配置“启用”状态的访问密钥,视为“合规”。 根用户配置了“启用”状态的访问密钥,视为“不合规”。 父主题:
系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题,华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理,请更新您服务的独立任务以使用最新的平台版本。 6_SECURE DEVICES: ENCRYPTION 通
的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 Config支持的自定义策略授权项如下所示:
云上运行环境,天然契合金融行业的上云与数字化转型痛点诉求。Landing Zone解决方案从多账号组织管理、网络规划、身份与权限、数据边界、安全防护、合规审计、运维监控和成本管理多个维度按照最佳实践指导企业搭建上云环境。 免责条款 本合规规则包模板为您提供通用的操作指引,帮助您快
提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或停用IAM用户多余的访问密钥,详见管理IAM用户访问密钥。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户为“启用”状态且仅拥有一个“active”状态的访问密钥,视为“合规”。
如未对某个成员账号进行授权,则该成员账号将无法通过此SMN主题接收资源变更消息通知。 步骤四:创建RFS资源栈集 以组织管理员账号登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“资源编排服务 RFS”。 单击左侧导航栏的“资源栈集”,进入“资源栈集”页面。 单击页面右上角的“创建资源栈集”。
则、删除规则操作;在修正管理页签您可以查看和编辑此合规规则的修正配置;在标签页签您还可以查看和编辑合规规则的标签。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。 操作步骤 登录管理控制台。 单击页面左上角
可以通过恢复索引操作快速获得数据。索引的备份是通过创建集群快照实现。第一次备份时,建议将所有索引数据进行备份。 修复项指导 在“集群快照”管理页面,单击“集群快照开关”右侧开关,打开集群快照功能,详见设置自动创建快照。 检测逻辑 CSS集群未开启快照,视为“不合规”。 CSS集群开启了快照,视为“合规”。
修复项指导 根据规则评估结果删除相关IAM用户被创建时设置的访问密钥。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户不具有创建时就存在的访问密钥,视为“合规”。 IAM用户不满足以上条件,视为“不合规”。 父主题:
志,例如上传、下载等。 修复项指导 用户首次进入云审计服务时,在追踪器页面单击“开通云审计服务”,系统会自动为您创建一个名为system的管理类事件追踪器,详见创建追踪器。 检测逻辑 账号未创建CTS追踪器,视为“不合规”。 账号已创建CTS追踪器,但均未启用,视为“不合规”。
应用场景 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时,系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域,通过在指定区域开通云审计服务,可以将应用程序的设计更贴近特定客户的需求,或满足特定地区的法律或其他要求。
规则评估的资源类型 iam.users 规则参数 无 应用场景 为了进一步提高账号安全性,有效避免钓鱼式攻击或者用户密码意外泄漏,建议账号或管理员为IAM用户开启登录保护。开启登录保护后,IAM用户登录时,除了在登录页面输入用户名和密码外(第一次身份验证),还需要在登录验证页面输入
iam.users 规则参数 groupIds:指定的用户组ID列表,如果列表为空,表示允许所有值;数组类型,最多包含10个元素。 应用场景 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。
云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对用户对OBS桶中的数据的操作日志,例如上传、下载等。 修复项指导 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知,详见配置追踪器。 检测逻辑 配置数据类追踪器追踪O
iam.users 规则参数 无 应用场景 给IAM用户授权时建议您使用“继承所选用户组的策略”的方式,而不是“直接给用户授权”。这可以降低访问管理的复杂性,并减少IAM用户无意中接收或保留过多权限的风险。详见给IAM用户授权。 修复项指导 请创建IAM用户组,并将策略挂载到该用户组,
计服务会定期将操作记录同步保存到用户定义的LTS日志流中进行长期保存。 修复项指导 开通云审计日志后,系统会自动创建一个名为system的管理事件追踪器,并将当前用户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS,配置完成后会在LTS自动创建日志组日志流,详见配置云审计事件转储至LTS并查看。
regions Array of strings 支持的region列表。 console_endpoint_id String console终端ID。 console_list_url String console列表页地址。 console_detail_url String console详情页地址。
区域中定义虚拟网络,为弹性云服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性,方便管理、配置内部网络,进行安全、快捷的网络变更。同时,您可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。 虚拟私有云更多信息,详见虚拟私有云产品介绍。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
