检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 imageNames:镜像名称列表,镜像名称检查方式为部分匹配。 检测逻辑 ECS实例的镜像名称被参数范围内任意值匹配或部分匹配,视为“合规”。 ECS实例的镜像名称不能被参数范围内任意值匹配或部分匹配,视为“不合规”。
function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内,视为“不合规” function-graph-settings-check 检查函数工作流参数设置 fgs 函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规”
修复项指导 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知,详见配置追踪器。 检测逻辑 配置数据类追踪器追踪OBS桶时,只追踪“读操作”或“写操作”,也视为追踪该OBS桶。 账号下存在“启用”状态的CTS追踪器追踪指定的OBS桶,视为“合规”。
DWS集群未启用日志转储,视为“不合规” function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内,视为“不合规” multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内,视为“不合规” gaussdb-nosql-enable-disk-encryption
value2)':如果布尔表达式值为真就返回'value1',否则返回 'value2'。 用函数来简化查询 ResourceQL提供丰富的函数来简化查询。详细函数说明请参见函数列表。 ResourceQL支持lambda表达式。某些函数的参数可能是另一个函数,此时用lambda表达式就很方便。 例如,查询与所有ECS关联的EVS,可以使用如下的语句:
用户首次进入云审计服务时,在追踪器页面单击“开通云审计服务”,系统会自动为您创建一个名为system的管理类事件追踪器,详见创建追踪器。 检测逻辑 账号在指定区域均已创建“启用”状态的CTS追踪器,视为“合规”。 账号在任意指定的区域,未创建“启用”状态的CTS追踪器,视为“不合规”。
场景的需求。 自定义合规规则:当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写FunctionGraph函数代码,添加自定义策略来完成复杂场景的资源审计。 组织合规规则:在使用资源合规时,如果您是组织管理员或Config服务的委托管理员,您可以添
到日志流中。 修复项指导 云审计服务管理控制台支持对已创建的追踪器增加文件校验、加密事件文件、LTS转储等相关配置,详见配置追踪器。 检测逻辑 如果CTS追踪器配置文件校验、加密事件文件、转储到LTS,视其满足CTS的安全最佳实践。 若规则参数列表为空,账号中存在至少一个符合安全
function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC,视为“不合规” mfa-en
function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC,视为“不合规” 3.3 function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” 3
自定义合规规则样例 示例函数(Python) 事件 父主题: 资源合规规则
CS.FOUNDATION.G_2.R_11 启用 FuctionGraph 函数日志功能 function-graph-logging-enabled 函数工作流的函数启用日志配置 fgs 函数工作流的函数未启用日志配置,视为“不合规” C.CS.FOUNDATION.G_2.R_16
function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC,视为“不合规” mfa-en
function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC,视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” ga
ResourceQL语法 语法概览 语法文档 函数列表 父主题: 附录
自定义组织合规规则样例 示例函数(Python) 事件 父主题: 组织合规规则
规策略ID。 custom_policy 自定义策略,包含如下属性: function_urn:函数urn。 auth_type:调用函数的鉴权方式。 auth_value:调用函数的鉴权值。 custom_policy:Object类型 。 function_urn:字符串类型,最多1024个字符。
信息,并且此类账号需要访问控制。 COS-03 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问,管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 COS-03 rds-instance-no-public-ip
redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
