云服务器内容精选
-
概述 配置审计服务提供合规规则包的示例模板,帮助用户通过示例模板快速创建合规规则包,每个合规规则包的示例模板中包含都多个合规规则,也就是配置审计服务的预设策略,每个预设策略的具体说明请参见系统内置预设策略。您可以通过列举预定义合规规则包模板接口查看所有的合规规则包示例模板。 配置审计服务控制台当前提供如下合规规则包的示例模板: 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于统一身份认证服务(IAM)的最佳实践 适用于云监控服务(CES)的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器(ECS)的最佳实践 适用于弹性负载均衡(ELB)的最佳实践 适用于管理与监管服务的最佳实践 适用于云数据库(RDS)的最佳实践 适用于弹性伸缩(AS)的最佳实践 适用于云审计服务(CTS)的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 适用于空闲资产管理的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包 适用于SWIFT CSP的标准合规包 适用于德国云计算合规标准目录的标准合规包 适用于PCI-DSS的标准合规包 适用于医疗行业的合规实践 网络及数据安全最佳实践 父主题: 合规规则包示例模板
-
基本概念 示例模板: 配置审计服务提供给用户的合规规则包模板,合规规则包示例模板旨在帮助用户快速创建合规规则包,其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包: 通过“示例模版”创建的合规规则包,用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包: 用户根据自身需求编写合规规则包的模板文件,在模板文件中填入适合自身使用场景的预设规则或自定义规则,然后通过“上传模版”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON,不支持tf格式和zip格式的文件内容。 合规性数据: 一个合规规则包包含一个或多个合规规则,而每一条合规规则会评估一个或多个资源的合规结果,配置审计服务提供了如下的合规性数据,供您了解合规规则包的评估结果概览: 合规规则包的合规性评估:代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源,则合规评估结果为“不合规”;若不存在不合规资源,则合规评估结果为“合规”。 合规规则的合规性评估:代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源,则合规评估结果为“不合规”;若不存在不合规资源,则合规评估结果为“合规”。 合规规则包的合规分数:代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100,则代表合规规则包中所有的合规评估结果均为合规;若该值为0,则代表合规规则包中所有的合规评估结果均为不合规;若该值为“--”,则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈: 合规规则包下发的合规规则的创建与删除行为最终是通过资源栈来实现的。资源栈是资源编排服务的概念,详见资源栈。 状态: 合规规则包的部署状态。包括以下几种情况: 已部署:合规规则包已部署成功,合规规则均创建成功。 部署中:合规规则包正在部署中,合规规则正在创建中。 部署异常:合规规则包部署失败。 回滚成功:合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,已创建的合规规则删除成功。 回滚中:合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,已创建的合规规则正在删除中。 回滚失败:合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,回滚行为失败,需在RFS服务查看失败原因。 删除中:合规规则包正在删除中,合规规则正在删除中。 删除异常:合规规则包删除失败。 更新成功:合规规则包修改并更新成功。 更新中:合规规则包修改更新中。 更新失败:合规规则包修改更新失败。 合规规则包的授权: 通过资源编排服务的资源栈创建和删除合规规则时,需要拥有合规规则的创建和删除的权限。因此,部署合规规则包时,需要提供一个具有相应权限的委托,供配置审计服务的合规规则包下发时使用。 快速授权:快速授权将为您快速创建一个名为“rms_conformance_pack_agency”的委托,该权限是可以让合规规则包创建和删除的委托,该委托的权限包含授权资源编排服务(RFS)创建、更新和删除合规规则的权限。 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托权限,并进行自定义授权,但必须包含可以让合规规则包正常工作的权限(授权资源编排服务创建、更新和删除合规规则的权限),创建委托详见创建委托(委托方操作)。
-
操作步骤 登录管理控制台。 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。 单击页面左侧的“合规规则包”,进入“合规规则包”页面。 在合规规则包列表中单击操作列的“编辑”,进入“编辑合规规则包”页面。 当前不支持修改合规规则包选择的模板,单击“下一步”。 进入“详细信息”页面,修改合规规则包名称和规则参数的值,单击“下一步”。 图1 修改合规规则包 进入“确认配置”页面,确认修改无误后,单击“确定”。 合规规则包修改完成后将会被重新部署。
-
操作场景 如果您是组织管理员或Config服务的委托管理员,您可以添加组织类型的合规规则包,直接作用于您组织内的成员账号中。 当组织合规规则包部署成功后,会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行,组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 组织合规规则包创建完成后,所部属的规则默认会执行一次评估,后续将根据规则的触发机制自动触发评估,也可以在资源合规规则列表中手动触发单个合规规则的评估。
-
适用于统一身份认证服务(IAM)的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam 企业用户通常都会使用访问密钥(AK/SK)的方式对云上资源的进行API访问,但是访问密钥需要做到定期的自动轮换,以降低密钥泄露等潜在的安全风险。 IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. 用户可以通过使用API调用的方式轮换访问密钥。 iam-group-has-users-check IAM用户组添加了IAM用户 iam 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IAM用户组未添加任意IAM用户,视为“不合规” 管理员在用户组列表中,单击新建的用户组,选择“用户组管理”,在“可选用户”中选择需要添加至用户组中的用户。 iam-password-policy IAM用户密码策略符合要求 iam 确保IAM用户密码强度满足密码强度要求。 IAM用户密码强度不满足密码强度要求,视为“不合规” 用户可以根据提示修改密码达到需要的密码强度。 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 确保根访问密钥已删除。 账号存在可使用的访问密钥,视为“不合规” 用户可以根据规则评估结果删除账号可使用的访问密钥。 iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 访问密钥即AK/SK(Access Key ID/Secret Access Key),是您通过开发工具(API、CLI、SDK)访问华为云时的身份凭证,不能登录控制台。 对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” 用户可以根据规则评估结果删除或停用访问密钥。 iam-user-group-membership-check IAM用户归属用户组 iam 管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。 IAM用户不属于任意一个IAM用户组,视为“不合规” 可以选择一个用户组,以管理员的身份,将不合规的IAM用户添加到用户组中。 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam 管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 IAM用户在指定时间范围内无登录行为,视为“不合规” 您可以在华为云登录页面或者打开IAM用户专属链接,输入用户名和密码的方式登录IAM用户。 iam-user-mfa-enabled IAM用户开启MFA iam 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护,通过要求对用户进行MFA来减少账户被盗用的事件。 IAM用户未开启MFA认证,视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 iam-user-single-access-key IAM用户单访问密钥 iam 账号和IAM用户的访问密钥是单独的身份凭证,即账号和IAM用户仅能使用自己的访问密钥进行API调用。 IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” 用户可以根据规则评估结果删除或停用多余的访问密钥。 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 确保为所有能通过控制台登录的IAM用户启用多因素认证(MFA),管理对华为云中资源的访问。MFA 在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行 MFA,您可以减少账户被盗用的事件,并防止敏感数据被未经授权的用户访问。 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 root-account-mfa-enabled 根账号开启MFA认证 iam 确保为root用户启用多因素认证(MFA),管理对华为云中资源的访问。多因素认证Multi-Factor Authentication(MFA)是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。 根账号未开启MFA认证,视为“不合规” 您需要在智能设备上安装一个虚拟MFA应用程序后(例如:华为云App、Google Authenticator或Microsoft Authenticator),才能绑定虚拟MFA设备。 父主题: 合规规则包示例模板
-
华为云架构可靠性最佳实践 该示例模板包含以下合规规则: apig-instances-execution-logging-enabled as-group-elb-healthcheck-required cts-lts-enable cts-obs-bucket-track cts-tracker-exists dws-enable-kms ecs-instance-in-vpc function-graph-concurrency-check gaussdb-nosql-enable-disk-encryption kms-not-scheduled-for-deletion multi-region-cts-tracker-exists rds-instance-enable-backup rds-instance-multi-az-support rds-instances-enable-kms sfsturbo-encrypted-check volumes-encrypted-check vpc-flow-logs-enabled vpn-connections-active-for-ipsec-site-connections vpn-connections-active-for-vpnConnections 父主题: 合规规则包示例模板
-
适用于金融行业的合规实践 该示例模板包含以下合规规则: access-keys-rotated as-group-elb-healthcheck-required css-cluster-https-required css-cluster-in-vpc cts-kms-encrypted-check cts-lts-enable cts-obs-bucket-track cts-support-validate-check cts-tracker-exists ecs-instance-in-vpc ecs-instance-no-public-ip eip-unbound-check elb-tls-https-listeners-only function-graph-concurrency-check iam-group-has-users-check iam-password-policy iam-root-access-key-check iam-user-group-membership-check iam-user-last-login-check iam-user-mfa-enabled kms-rotation-enabled mfa-enabled-for-iam-console-access mrs-cluster-in-vpc mrs-cluster-kerberos-enabled mrs-cluster-no-public-ip private-nat-gateway-authorized-vpc-only rds-instance-multi-az-support rds-instance-no-public-ip root-account-mfa-enabled stopped-ecs-date-diff volume-unused-check volumes-encrypted-check vpc-acl-unused-check vpc-flow-logs-enabled vpc-sg-ports-check vpn-connections-active (vpnaas.vpnConnections) vpn-connections-active (vpnaas.ipsec-site-connections) waf-instance-policy-not-empty 父主题: 合规规则包示例模板
-
适用于日志和监控的最佳实践 该示例模板包含以下合规规则: alarm-action-enabled-check apig-instances-execution-logging-enabled as-group-elb-healthcheck-required cts-kms-encrypted-check cts-lts-enable cts-obs-bucket-track cts-support-validate-check cts-tracker-exists dws-enable-log-dump function-graph-concurrency-check multi-region-cts-tracker-exists rds-instance-logging-enabled vpc-flow-logs-enabled
-
华为云架构可靠性最佳实践 该示例模板包含以下合规规则: apig-instances-execution-logging-enabled as-group-elb-healthcheck-required cts-lts-enable cts-obs-bucket-track cts-obs-bucket-track cts-tracker-exists dws-enable-kms ecs-instance-in-vpc function-graph-concurrency-check gaussdb-nosql-enable-disk-encryption kms-not-scheduled-for-deletion multi-region-cts-tracker-exists rds-instance-enable-backup rds-instance-multi-az-support rds-instances-enable-kms sfsturbo-encrypted-check volumes-encrypted-check vpc-flow-logs-enabled vpn-connections-active-for-ipsec-site-connections vpn-connections-active-for-vpnConnections
-
适用于空闲资产管理的最佳实践 该示例模板包含以下合规规则: stopped-ecs-date-diff eip-use-in-specified-days evs-use-in-specified-days eip-unbound-check iam-group-has-users-check iam-user-last-login-check volume-unused-check vpc-acl-unused-check cce-cluster-end-of-maintenance-version
-
资源开启公网访问最佳实践 该示例模板包含以下合规规则: css-cluster-in-vpc drs-data-guard-job-not-public drs-migration-job-not-public drs-synchronization-job-not-public ecs-instance-in-vpc ecs-instance-no-public-ip function-graph-inside-vpc function-graph-public-access-prohibited mrs-cluster-no-public-ip rds-instance-no-public-ip
-
适用于计算服务的最佳实践 该示例模板包含以下合规规则: as-capacity-rebalancing as-group-elb-healthcheck-required as-multiple-az ecs-instance-key-pair-login ecs-instance-no-public-ip ecs-multiple-public-ip-check eip-bandwidth-limit function-graph-concurrency-check function-graph-public-access-prohibited stopped-ecs-date-diff volume-unused-check volumes-encrypted-check
-
适用于自动驾驶场景的最佳实践 该示例模板包含以下合规规则: css-cluster-disk-encryption-check css-cluster-no-public-zone css-cluster-security-mode-enable css-cluster-https-required cts-obs-bucket-track cts-support-validate-check cts-tracker-exists cts-kms-encrypted-check ecs-instance-no-public-ip elb-loadbalancers-no-public-ip elb-tls-https-listeners-only iam-password-policy iam-user-last-login-check iam-user-mfa-enabled rds-instance-no-public-ip root-account-mfa-enabled volumes-encrypted-check vpc-flow-logs-enabled vpc-sg-ports-check dcs-redis-no-public-ip dcs-redis-password-access
-
华为云网络安全最佳实践 该示例模板包含以下合规规则: access-keys-rotated alarm-kms-disable-or-delete-key alarm-obs-bucket-policy-change alarm-vpc-change css-cluster-https-required css-cluster-in-vpc cts-kms-encrypted-check cts-lts-enable cts-obs-bucket-track cts-support-validate-check cts-tracker-exists ecs-instance-in-vpc ecs-instance-no-public-ip eip-unbound-check elb-tls-https-listeners-only iam-group-has-users-check iam-password-policy iam-root-access-key-check iam-user-console-and-api-access-at-creation iam-user-group-membership-check iam-user-last-login-check iam-user-mfa-enabled iam-user-single-access-key mfa-enabled-for-iam-console-access mrs-cluster-kerberos-enabled mrs-cluster-no-public-ip private-nat-gateway-authorized-vpc-only rds-instance-multi-az-support rds-instance-no-public-ip root-account-mfa-enabled stopped-ecs-date-diff volume-unused-check volumes-encrypted-check vpn-connections-active (vpnaas.vpnConnections) vpn-connections-active (vpnaas.ipsec-site-connections)
-
适用于统一身份认证服务的最佳实践 该示例模板包含以下合规规则: access-keys-rotated iam-group-has-users-check iam-password-policy iam-root-access-key-check iam-user-console-and-api-access-at-creation iam-user-group-membership-check iam-user-last-login-check iam-user-mfa-enabled iam-user-single-access-key mfa-enabled-for-iam-console-access root-account-mfa-enabled
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格