检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
聚合器不提供对源账号资源数据的修改访问权限。例如,无法通过资源聚合器部署规则,也无法通过资源聚合器从源账号提取快照文件。 资源聚合器仅支持用户查询和浏览源账号中的云服务资源信息,如果要对资源进行修改、删除等管理类的操作,请前往资源所属的服务页面进行操作。 配置流程 使用资源聚合器
“资源清单”页面的资源列表默认展示资源的部分属性,如果您需要查看某个资源的资源详情,可按如下操作查看。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 在“资源清单”页面的资源列表中,
句,可按如下操作查看查询。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“高级查询”,进入“高级查询”页面。 “高级查询”页面默认展示预设查询列表,您可以选择“自定义查询”页签,查看自定义查询列表。
以组织管理员账号或者Config服务的委托管理员账号登录管理控制台。 单击页面左上角的,选择“管理与监管 > 资源访问管理”,进入“资源访问管理”页面。 单击左侧的“我的共享”,选择“共享管理”。 单击页面右上角的“创建共享”,进入指定共享资源页面,配置基本信息并指定共享资源为“funct
组织云服务为企业用户提供多账号关系的管理能力。组织支持用户将多个华为云账号整合到创建的组织中,并可以集中管理组织下的所有账号。用户可以在组织中设置访问策略,帮助用户更好地满足业务的安全性和合规性需求。 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置
在“资源合规”页面中的“不合规资源”页签查看当前账号下全部不合规资源的信息。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击左侧的“资源合规”,进入“资源合规”页面。 选择“不合
性云服务器的访问规则,加强弹性云服务器的安全保护。 虚拟私有云更多信息,详见虚拟私有云产品介绍。 修复项指导 ECS弹性云服务器创建完成后不支持切换虚拟私有云,请谨慎选择所属虚拟私有云。 检测逻辑 ECS实例使用的VPC不是指定的VPC,视为“不合规”。 ECS实例使用的VPC是指定的VPC,视为“合规”。
拟MFA。 检测逻辑 IAM用户为“停用”状态,视为“合规”。 IAM用户未开启“管理控制台访问”,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若其已开启MFA认证,视为“合规”。 IAM用户为“启用”状态且开启“管理控制台访问”,若其未开启MFA认证,视为“不合规”。
给IAM用户授权时建议您使用“继承所选用户组的策略”的方式,而不是“直接给用户授权”。这可以降低访问管理的复杂性,并减少IAM用户无意中接收或保留过多权限的风险。详见给IAM用户授权。 修复项指导 请创建IAM用户组,并将策略挂载到该用户组,然后将用户添加到用户组,删除用户上直接附加的策略或权限。
Request 服务器未能处理请求。 401 Unauthorized 被请求的页面需要用户名和密码。 403 Forbidden 对被请求页面的访问被禁止。 404 Not Found 服务器无法找到被请求的页面。 405 Method Not Allowed 请求中指定的方法不被允许。
为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所需的必需权限,通过最小权限原则,可以帮助您安全地控制IAM委托对云资源的访问。 修复项指导 IAM委托绑定所有指定的IAM策略和权限,详见分配委托权限。 检测逻辑 IAM委托未绑定所有指定的IAM策略和权限,视为“不合规”。
拦action列表,数组类型。 应用场景 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来,限制策略在数据加密服务上包含阻止的操作,防止非预期的身份拥有对数据的解密或加密能力。 修复项指导 用户可以根据合规评估结果修改IAM策略配置,详见修改、删除自定义策略。 检测逻辑
资源清单中的资源数据依赖于资源记录器所收集的资源数据,因此必须保持资源记录器的开启状态。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 “资源清单”页面默认展示在资源记录器配置的监控范围内且您拥有的资源信息。 通过选择
并统一查询合规性数据。 访问方式 通过管理控制台、基于HTTPS请求的API(Application Programming Interface)两种方式访问配置审计服务。 管理控制台方式 管理控制台是网页形式的,您可以使用直观的界面进行相应的操作。登录管理控制台,单击主页左上角的,选择“管理与监管
体请参见基于预设查询创建自定义查询。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“高级查询”,进入“高级查询”页面。 选择“自定义查询”页签。 在待修改查询所在行,
会包含资源变更情况的详细信息,默认的保存期限为7年。 操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 在“资源清单”页面的资源列表中,单击需要查看的资源名称,进入资源概览页。 选择“资
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的写操作。
规则描述 OBS桶策略授权了控制策略以外的访问行为,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 controlPolicy:允许的访问边界策略。 说明: 规则参数示例1:
桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。 修复项指导 通过可视化视图或JSON视图修改桶策略内容,避免桶策略授权非预期的读操作。
DCS Redis实例支持SSL 规则详情 表1 规则详情 参数 说明 规则名称 dcs-redis-enable-ssl 规则展示名 DCS Redis实例支持SSL 规则描述 DCS Redis资源可以公网访问,但不支持SSL时,视为“不合规”。 标签 dcs 规则触发方式 配置变更