云服务器内容精选

华为云首页 用户手册

合规规则包
  • 配置审计 CONFIG-修改合规规则包:操作步骤
    操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“合规规则包”,进入“合规规则包”页面。 在合规规则包列表中单击操作列的“编辑”,进入“编辑合规规则包”页面。 当前不支持修改合规规则包选择的模板,单击“下一步”。 进入“详细信息”页面,修改合规规则包名称和规则参数的值,单击“下一步”。 图1 修改合规规则包 进入“确认配置”页面,确认修改无误后,单击“确定”。 合规规则包修改完成后将会被重新部署。
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-创建组织合规规则包:操作场景
    操作场景 如果您是组织管理员或Config服务的委托管理员,您可以添加组织类型的合规规则包,直接作用于您组织内的成员账号中。 当组织合规规则包部署成功后,会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行,组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 组织合规规则包创建完成后,所部属的规则默认会执行一次评估,后续将根据规则的触发机制自动触发评估,也可以在资源合规规则列表中手动触发单个合规规则的评估。
    配置审计 CONFIG 组织合规规则包
  • 配置审计 CONFIG-适用于统一身份认证服务(IAM)的最佳实践
    适用于统一身份认证服务(IAM)的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam 企业用户通常都会使用访问密钥(AK/SK)的方式对云上资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. 用户可以通过使用API调用的方式轮换访问密钥。 iam-group-has-users-check IAM用户组添加了IAM用户 iam 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IAM用户组未添加任意IAM用户,视为“不合规” 管理员在用户组列表中,单击新建的用户组,选择“用户组管理”,在“可选用户”中选择需要添加至用户组中的用户。 iam-password-policy IAM用户密码策略符合要求 iam 确保IAM用户密码强度满足密码强度要求。 IAM用户密码强度不满足密码强度要求,视为“不合规” 用户可以根据提示修改密码达到需要的密码强度。 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 确保根访问密钥已删除。 账号存在可使用的访问密钥,视为“不合规” 用户可以根据规则评估结果删除账号可使用的访问密钥。 iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证,不能登录控制台。 对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” 用户可以根据规则评估结果删除或停用访问密钥。 iam-user-group-membership-check IAM用户归属用户组 iam 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 IAM用户不属于任意一个IAM用户组,视为“不合规” 可以选择一个用户组,以管理员的身份,将不合规的IAM用户添加到用户组中。 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam 管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 IAM用户在指定时间范围内无登录行为,视为“不合规” 您可以在华为云登录页面或者打开IAM用户专属链接,输入用户名和密码的方式登录IAM用户。 iam-user-mfa-enabled IAM用户开启MFA iam 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账户被盗用的事件。 IAM用户未开启MFA认证,视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 iam-user-single-access-key IAM用户单访问密钥 iam 账号和IAM用户的访问密钥是单独的身份凭证,即账号和IAM用户仅能使用自己的访问密钥进行API调用。 IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” 用户可以根据规则评估结果删除或停用多余的访问密钥。 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA,您可以减少账户被盗用的事件,并防止敏感数据被未经授权的用户访问。 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 root-account-mfa-enabled 根账号开启MFA认证 iam 确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 根账号未开启MFA认证,视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 父主题: 合规规则包示例模板
    配置审计 CONFIG 合规规则包示例模板
  • 配置审计 CONFIG-合规规则包概述:基本概念
    基本概念 示例模板: 配置审计服务提供给用户的合规规则包模板,合规规则包示例模板旨在帮助用户快速创建合规规则包,其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包: 通过“示例模版”创建的合规规则包,用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包: 用户根据自身需求编写合规规则包的模板文件,在模板文件中填入适合自身使用场景的预设规则或自定义规则,然后通过“上传模版”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON,不支持tf格式和zip格式的文件内容。 合规性数据: 一个合规规则包包含一个或多个合规规则,而每一条合规规则会评估一个或多个资源的合规结果,配置审计服务提供了如下的合规性数据,供您了解合规规则包的评估结果概览: 合规规则包的合规性评估:代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源,则合规评估结果为“不合规”;若不存在不合规资源,则合规评估结果为“合规”。 合规规则的合规性评估:代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源,则合规评估结果为“不合规”;若不存在不合规资源,则合规评估结果为“合规”。 合规规则包的合规分数:代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100,则代表合规规则包中所有的合规评估结果均为合规;若该值为0,则代表合规规则包中所有的合规评估结果均为不合规。 图1 合规分数计算公式 资源栈: 合规规则包下发的合规规则的创建与删除行为最终是通过资源栈来实现的。资源栈是资源编排服务的概念,详见资源栈。 状态: 合规规则包的部署状态。包括以下几种情况: 已部署:合规规则包已部署成功,合规规则均创建成功。 部署中:合规规则包正在部署中,合规规则正在创建中。 部署异常:合规规则包部署失败。 回滚成功:合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,已创建的合规规则删除成功。 回滚中:合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,已创建的合规规则正在删除中。 回滚失败:合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,回滚行为失败,需在RFS服务查看失败原因。 删除中:合规规则包正在删除中,合规规则正在删除中。 删除异常:合规规则包删除失败。 更新成功:合规规则包修改并更新成功。 更新中:合规规则包修改更新中。 更新失败:合规规则包修改更新失败。 合规规则包的授权: 通过资源编排服务的资源栈创建和删除合规规则时,需要拥有合规规则的创建和删除的权限。因此,部署合规规则包时,需要提供一个具有相应权限的委托,供配置审计服务的合规规则包下发时使用。 快速授权:快速授权将为您快速创建一个名为“rms_conformance_pack_agency”的委托,该权限是可以让合规规则包创建和删除的委托,该委托的权限包含授权资源编排服务(RFS)创建、更新和删除合规规则的权限。 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托权限,并进行自定义授权,但必须包含可以让合规规则包正常工作的权限(授权资源编排服务创建、更新和删除合规规则的权限),创建委托详见创建委托(委托方操作)。
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-华为云架构可靠性最佳实践
    华为云架构可靠性最佳实践 该示例模板包含以下合规规则: apig-instances-execution-logging-enabled as-group-elb-healthcheck-required cts-lts-enable cts-obs-bucket-track cts-tracker-exists dws-enable-kms ecs-instance-in-vpc function-graph-concurrency-check gaussdb-nosql-enable-disk-encryption kms-not-scheduled-for-deletion multi-region-cts-tracker-exists rds-instance-enable-backup rds-instance-multi-az-support rds-instances-enable-kms sfsturbo-encrypted-check volumes-encrypted-check vpc-flow-logs-enabled vpn-connections-active-for-ipsec-site-connections vpn-connections-active-for-vpnConnections 父主题: 合规规则包示例模板
    配置审计 CONFIG 合规规则包示例模板
  • 配置审计 CONFIG-适用于金融行业的合规实践
    适用于金融行业的合规实践 该示例模板包含以下合规规则: access-keys-rotated as-group-elb-healthcheck-required css-cluster-https-required css-cluster-in-vpc cts-kms-encrypted-check cts-lts-enable cts-obs-bucket-track cts-support-validate-check cts-tracker-exists ecs-instance-in-vpc ecs-instance-no-public-ip eip-unbound-check elb-tls-https-listeners-only function-graph-concurrency-check iam-group-has-users-check iam-password-policy iam-root-access-key-check iam-user-group-membership-check iam-user-last-login-check iam-user-mfa-enabled kms-rotation-enabled mfa-enabled-for-iam-console-access mrs-cluster-in-vpc mrs-cluster-kerberos-enabled mrs-cluster-no-public-ip private-nat-gateway-authorized-vpc-only rds-instance-multi-az-support rds-instance-no-public-ip root-account-mfa-enabled stopped-ecs-date-diff volume-unused-check volumes-encrypted-check vpc-acl-unused-check vpc-flow-logs-enabled vpc-sg-ports-check vpn-connections-active (vpnaas.vpnConnections) vpn-connections-active (vpnaas.ipsec-site-connections) waf-instance-policy-not-empty 父主题: 合规规则包示例模板
    配置审计 CONFIG 合规规则包示例模板
  • 配置审计 CONFIG-合规规则包示例模板:适用于空闲资产管理的最佳实践
    适用于空闲资产管理的最佳实践 该示例模板包含以下合规规则: stopped-ecs-date-diff eip-use-in-specified-days evs-use-in-specified-days eip-unbound-check iam-group-has-users-check iam-user-last-login-check volume-unused-check vpc-acl-unused-check cce-cluster-end-of-maintenance-version
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-合规规则包示例模板:资源开启公网访问最佳实践
    资源开启公网访问最佳实践 该示例模板包含以下合规规则: css-cluster-in-vpc drs-data-guard-job-not-public drs-migration-job-not-public drs-synchronization-job-not-public ecs-instance-in-vpc ecs-instance-no-public-ip function-graph-inside-vpc function-graph-public-access-prohibited mrs-cluster-no-public-ip rds-instance-no-public-ip
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-合规规则包示例模板:适用于日志和监控的最佳实践
    适用于日志和监控的最佳实践 该示例模板包含以下合规规则: alarm-action-enabled-check apig-instances-execution-logging-enabled as-group-elb-healthcheck-required cts-kms-encrypted-check cts-lts-enable cts-obs-bucket-track cts-support-validate-check cts-tracker-exists dws-enable-log-dump function-graph-concurrency-check multi-region-cts-tracker-exists rds-instance-logging-enabled vpc-flow-logs-enabled
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-合规规则包示例模板:华为云架构可靠性最佳实践
    华为云架构可靠性最佳实践 该示例模板包含以下合规规则: apig-instances-execution-logging-enabled as-group-elb-healthcheck-required cts-lts-enable cts-obs-bucket-track cts-obs-bucket-track cts-tracker-exists dws-enable-kms ecs-instance-in-vpc function-graph-concurrency-check gaussdb-nosql-enable-disk-encryption kms-not-scheduled-for-deletion multi-region-cts-tracker-exists rds-instance-enable-backup rds-instance-multi-az-support rds-instances-enable-kms sfsturbo-encrypted-check volumes-encrypted-check vpc-flow-logs-enabled vpn-connections-active-for-ipsec-site-connections vpn-connections-active-for-vpnConnections
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-合规规则包示例模板:适用于统一身份认证服务的最佳实践
    适用于统一身份认证服务的最佳实践 该示例模板包含以下合规规则: access-keys-rotated iam-group-has-users-check iam-password-policy iam-root-access-key-check iam-user-console-and-api-access-at-creation iam-user-group-membership-check iam-user-last-login-check iam-user-mfa-enabled iam-user-single-access-key mfa-enabled-for-iam-console-access root-account-mfa-enabled
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-合规规则包示例模板:华为云网络安全最佳实践
    华为云网络安全最佳实践 该示例模板包含以下合规规则: access-keys-rotated alarm-kms-disable-or-delete-key alarm-obs-bucket-policy-change alarm-vpc-change css-cluster-https-required css-cluster-in-vpc cts-kms-encrypted-check cts-lts-enable cts-obs-bucket-track cts-support-validate-check cts-tracker-exists ecs-instance-in-vpc ecs-instance-no-public-ip eip-unbound-check elb-tls-https-listeners-only iam-group-has-users-check iam-password-policy iam-root-access-key-check iam-user-console-and-api-access-at-creation iam-user-group-membership-check iam-user-last-login-check iam-user-mfa-enabled iam-user-single-access-key mfa-enabled-for-iam-console-access mrs-cluster-kerberos-enabled mrs-cluster-no-public-ip private-nat-gateway-authorized-vpc-only rds-instance-multi-az-support rds-instance-no-public-ip root-account-mfa-enabled stopped-ecs-date-diff volume-unused-check volumes-encrypted-check vpn-connections-active (vpnaas.vpnConnections) vpn-connections-active (vpnaas.ipsec-site-connections)
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-合规规则包示例模板:等保三级2.0规范检查的最佳实践
    等保三级2.0规范检查的最佳实践 该示例模板包含以下合规规则: cts-tracker-exists dcs-redis-in-vpc dds-instance-in-vpc ecs-instance-in-vpc ecs-instance-no-public-ip eip-bandwidth-limit elb-loadbalancers-no-public-ip elb-tls-https-listeners-only iam-user-mfa-enabled rds-instance-multi-az-support rds-instance-no-public-ip rds-instances-in-vpc volumes-encrypted-check
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-合规规则包示例模板:适用于人工智能与机器学习场景的最佳实践
    适用于人工智能与机器学习场景的最佳实践 该示例模板包含以下合规规则: cce-cluster-end-of-maintenance-version cce-cluster-oldest-supported-version cce-endpoint-public-access cts-obs-bucket-track mrs-cluster-kerberos-enabled mrs-cluster-no-public-ip sfsturbo-encrypted-check
    配置审计 CONFIG 合规规则包
  • 配置审计 CONFIG-合规规则包示例模板:适用于金融行业的最佳实践
    适用于金融行业的最佳实践 该示例模板包含以下合规规则: access-keys-rotated as-group-elb-healthcheck-required css-cluster-https-required css-cluster-in-vpc cts-kms-encrypted-check cts-lts-enable cts-obs-bucket-track cts-support-validate-check cts-tracker-exists ecs-instance-in-vpc ecs-instance-no-public-ip eip-unbound-check elb-tls-https-listeners-only function-graph-concurrency-check iam-group-has-users-check iam-password-policy iam-root-access-key-check iam-user-group-membership-check iam-user-last-login-check iam-user-mfa-enabled kms-rotation-enabled mfa-enabled-for-iam-console-access mrs-cluster-in-vpc mrs-cluster-kerberos-enabled mrs-cluster-no-public-ip private-nat-gateway-authorized-vpc-only rds-instance-multi-az-support rds-instance-no-public-ip root-account-mfa-enabled stopped-ecs-date-diff volume-unused-check volumes-encrypted-check vpc-acl-unused-check vpc-flow-logs-enabled vpc-sg-ports-check vpn-connections-active (vpnaas.vpnConnections) vpn-connections-active (vpnaas.ipsec-site-connections) waf-instance-policy-not-empty
    配置审计 CONFIG 合规规则包
更多精彩内容
CDN加速 GaussDB 文字转换成语音 免费的服务器 如何创建网站 域名网站购买 私有云桌面 云主机哪个好 域名怎么备案 手机云电脑 SSL证书申请 云点播服务器 免费OCR是什么 电脑云桌面 域名备案怎么弄 语音转文字 文字图片识别 云桌面是什么 网址安全检测 网站建设搭建 国外CDN加速 SSL免费证书申请 短信批量发送 图片OCR识别 云数据库MySQL 个人域名购买 录音转文字 扫描图片识别文字 OCR图片识别 行驶证识别 虚拟电话号码 电话呼叫中心软件 怎么制作一个网站 Email注册网站 华为VNC 图像文字识别 企业网站制作 个人网站搭建 华为云计算 免费租用云托管 云桌面云服务器 ocr文字识别免费版 HTTPS证书申请 图片文字识别转换 国外域名注册商 使用免费虚拟主机 云电脑主机多少钱 鲲鹏云手机 短信验证码平台 OCR图片文字识别 SSL证书是什么 申请企业邮箱步骤 免费的企业用邮箱 云免流搭建教程 域名价格
合规规则包

搜索反馈

您找到想要的内容了吗?

是的 没有

意见反馈

0/200

提交 取消

提交成功!非常感谢您的反馈,我们会继续努力做到更好 反馈提交失败!请稍后重试!
热门活动
为您推荐
华为云耀L实例 什么是云手机 云手机游戏 智能建站系统 net域名注册 PDF文字识别OCR VPS服务器 免费服务器 OBS是什么意思 CTAN镜像下载