华为云用户手册

操作步骤 登录弹性云服务器管理控制台。 登录已创建好的Linux系统云服务器，用于同时访问本地NAS存储和云上SFS Turbo文件系统。 输入以下挂载命令，用于访问本地NAS存储。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock,tcp 本地NAS挂载地址 /mnt/src 输入以下挂载命令，用于访问云上文件系统。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock,tcp 文件系统挂载地址 /mnt/dst 在Linux云服务器中执行以下命令安装rclone工具。 wget https://downloads.rclone.org/v1.53.4/rclone-v1.53.4-linux-amd64.zip --no-check-certificate unzip rclone-v1.53.4-linux-amd64.zip chmod 0755 ./rclone-*/rclone cp ./rclone-*/rclone /usr/bin/ rm -rf ./rclone-* 执行以下命令，进行数据同步。 rclone copy /mnt/src /mnt/dst -P --transfers 32 --checkers 64 --links --create-empty-src-dirs 参数说明如下，transfers和checkers数目可以根据系统规格自行配置： --transfers：传输文件的并发数目。 --checkers：扫描本地文件的并发数目。 -P：数据拷贝进度。 --links：复制源端的软链接，目的端保持为软链接的形式。 --copy-links：复制源端软链接指向的文件内容，目的端变成文件的形式，不再是软链接。 --create-empty-src-dirs：复制源端的空目录到目的端。 等待数据完成同步后，可前往目标文件系统查看是否已成功迁移。

操作步骤 执行如下命令，在本地路径下创建文件系统的子目录。 mkdir 本地路径/子目录 本地路径：云服务器上用于挂载文件系统的本地路径，例如“/local_path”。与挂载根目录时的本地路径保持一致。 执行如下命令，将文件系统子目录挂载到与文件系统所属VPC相同的云服务器上。文件系统目前仅支持NFSv3协议挂载到Linux云服务器。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock,tcp 文件系统 域名 或IP:/子目录 本地路径 文件系统域名或IP：可以从文件系统列表或详情中获取。 SFS Turbo：xx.xx.xx.xx:/子目录 子目录：上一步骤创建的子目录 本地路径：云服务器上用于挂载文件系统的本地路径，例如“/local_path”。与挂载根目录时的本地路径保持一致。 挂载完成后，执行如下命令，查看已挂载的文件系统。 mount -l 如果回显包含如下类似信息，说明挂载成功。 挂载地址 on /local_path type nfs (rw,vers=3,timeo=600,nolock,addr=) 挂载成功后，用户可以在云服务器上访问文件系统的子目录，执行读取或写入操作。

请求消息 表2 请求参数 参数 是否必选 参数类型 描述 reboot 是 Object 标记为重启云主机操作，详情请参见表3。 表3 reboot字段数据结构说明 参数 是否必选 参数类型 描述 type 是 String 重启类型： SOFT：普通重启。 HARD：强制重启。 servers 是 Array of objects 云主机ID列表，详情请参见表4。 表4 servers字段数据结构说明 参数 是否必选 参数类型 描述 id 是 String 云主机ID。

请求消息 表2 请求参数 参数 是否必选 参数类型 描述 os-start 是 Object 标记为启动云主机操作，详情请参见表3。 表3 os-start字段数据结构说明 参数 是否必选 参数类型 描述 servers 是 Array of objects 云主机ID列表，详情请参见表4。 表4 servers字段数据结构说明 参数 是否必选 参数类型 描述 id 是 String 云主机ID。

请求消息 表2 请求参数 参数 是否必选 参数类型 描述 os-stop 是 Object 标记为关闭云主机操作，详情请参见表3。 表3 os-stop字段数据结构说明 参数 是否必选 参数类型 描述 servers 是 Array of objects 云主机ID列表，详情请参见表4。 type 否 String 关机类型，默认为SOFT： SOFT：普通关机（默认）。 HARD：强制关机。 表4 servers字段数据结构说明 参数 是否必选 参数类型 描述 id 是 String 云主机ID。

URI GET /v1/{project_id}/cloudservers/detail?flavor={flavor}&name={name}&status={status}&limit={limit}&offset={offset}¬-tags={not-tags}&reservation_id={reservation_id}&enterprise_project_id={enterprise_project_id}&tags={tags}&ip={ip} 参数说明请参见表1。 表1 路径参数 参数 是否必选 描述 project_id 是 项目ID。 获取方法请参见获取项目ID。 表2 查询参数 参数 是否必选 参数类型 描述 offset 否 Integer 页码。 当前页面数，默认值为1，取值范围大于等于0。 当取值为0时，系统默认返回第1页，与取值为1时相同。 建议设置该参数大于等于1。 flavor 否 String 云主机规格ID。 name 否 String 名称，匹配规则为模糊匹配。 支持特殊字符，例如，"." 匹配除换行符（\n、\r）之外的任何单个字符，相等于 [^\n\r]。 status 否 String 云主机状态。 取值范围： ACTIVE、BUILD、ERROR、HARD_REBOOT、MIGRATING、REBOOT、REBUILD、RESIZE、REVERT_RESIZE、SHUTOFF、VERIFY_RESIZE、DELETED、SHELVED、SHELVED_OFFLOADED 、UNKNOWN 状态说明请参考云服务器状态。 说明： 当处于中间状态时，查询范围如下： ACTIVE，查询范围：ACTIVE，REBOOT，HARD_REBOOT，REBUILD，MIGRATING、RESIZE SHUTOFF，查询范围：SHUTOFF，RESIZE，REBUILD ERROR，查询范围：ERROR，REBUILD VERIFY_RESIZE，查询范围：VERIFY_RESIZE，REVERT_RESIZE limit 否 Integer 查询返回列表当前页面的数量。 每页默认值是25，最多返回1000台的信息，如果数据量过大建议设置成100。 tags 否 String 查询tag字段中包含该值的。 not-tags 否 String 查询tag字段中不包含该值的。 示例：查询的列表中不包含裸金属服务器，该字段设置如下：not-tags=__type_baremetal reservation_id 否 String 使用Openstack Nova 接口批量创建时，会返回该ID，用于查询本次批量创建的。 enterprise_project_id 否 String 查询绑定某个企业项目的。 若需要查询当前用户所有企业项目绑定的，请传参all_granted_eps。 说明： 查询的企业项目需具备ecs:cloudServers:list的权限。 如果用户只有某个企业项目的权限，则需要传递该参数，查询指定企业项目绑定的，否则会因权限不足而报错。 当前all_granted_eps支持查询的企业项目个数不超过100。 ip 否 String IPv4地址过滤结果，匹配规则为模糊匹配。 此处IP为的私有IP。 ip_eq 否 String IPv4地址过滤结果，匹配规则为精确匹配。 此处IP为云主机的私有IP。 server_id 否 String 云主机ID，格式为UUID，匹配规则为精确匹配 示例：server_id={id1}&server_id={id2} 说明： 在使用server_id作为过滤条件时，不能同时使用其他过滤条件。如果同时指定server_id及其他过滤条件，则以server_id条件为准，其他过滤条件会被忽略 当server_id中含有不存在的云主机ID时，返回的响应参数中该云主机ID对应的servers结构体中除了id和fault其它字段均为null 为了避免API的URI过长，建议一次查询的server_id个数不超过100个

概述 欢迎使用Flexus应用服务器 L实例 。Flexus应用服务器L实例是新一代开箱即用、面向中小企业和开发者打造的全新轻量级云服务器产品系列。Flexus应用服务器L实例提供丰富严选的应用镜像，实现应用一键部署，适用于网站搭建、开发测试环境、企业应用、网站分析、音视频服务等中低负载场景。具有易搭建、更实惠、易维护、更安全的特点。 本文介绍Flexus应用服务器L实例API的描述、语法、参数说明及示例等内容。 在调用Flexus应用服务器L实例API之前，请确保已经充分了解Flexus应用服务器L实例相关概念，详细信息请参见什么是Flexus应用服务器L实例。 在Flexus应用服务器L实例文档中，“Flexus应用服务器L实例”简称为“Flexus L实例”。

请求消息 请求参数如表2 请求参数所示。 表2 请求参数 参数 参数类型 是否必选 描述 new_password String 是 新密码。 当dry_run字段为true时，该字段为非必填字段，否则为必填字段。 新密码的校验规则： 长度为8-26位。 密码至少必须包含大写字母（A-Z）、小写字母（a-z）、数字（0-9）和特殊字符（!@%-_=+[]:./?）中的三种。 密码不能包含用户名或用户名的逆序。 Windows系统密码不能包含用户名或用户名的逆序，不能包含用户名中超过两个连续字符的部分。 dry_run Boolean 否 是否只预检此次请求。取值为true或false，默认值为false。 true：发送检查请求，不会重置密码。检查项包括是否填写了必需参数、请求格式、业务限制。如果检查不通过，则返回对应错误。如果检查通过，则返回响应结果。 false：发送正常请求，通过检查后并且进行重置密码请求。 servers Array of objects 是 待批量重置密码的云主机ID信息，详情参见表3 servers字段数据结构说明。 表3 servers字段数据结构说明 参数 是否必选 参数类型 描述 id 是 String 云主机ID。

接口约束 使用此API，需预先安装重置密码插件。 Flexus L实例提供的系统镜像、应用镜像默认已安装重置密码插件。 如果私有镜像的镜像源来自其他云平台的服务器或从第三放下载，此类私有镜像可能因为未安装一键式密码重置插件而无法重置密码。请根据重置Linux云服务器云主机密码（未安装重置密码插件）安装插件。 云主机的重置密码请求下发后，脚本执行失败，该API不会报错。 云主机开机或重启后，新密码生效。 该接口支持虚拟机状态为开机或者关机状态下执行。

API概览 Flexus L实例是包含了云主机、弹性公网IP、云硬盘、云备份、主机安全、Flexus负载均衡的组合服务，云主机是Flexus L实例中的服务器。 本节介绍Flexus L实例云主机部分常用API接口。在使用API前，请先了解如何调用API以便顺利使用API。 表1 接口说明 接口 说明 查询云主机详情 查询云主机的详细信息，包括云主机的运行状态、云主机名称、公网IP等。 批量启动云主机 根据指定的云主机ID列表，批量开机云主机。 批量重启云主机 根据指定的云主机ID列表，批量重启云主机。 批量关闭云主机 根据指定的云主机ID列表，批量关机云主机。 批量重置云主机密码 批量重置云主机管理账号（root用户或Administrator用户）的密码。 修改云主机信息 修改云主机信息，目前支持修改云主机名称及描述和hostname。

规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-policy-grantee-check 规则展示名 OBS桶策略中授权检查 规则描述 OBS桶策略授权了不被允许的访问行为，视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 principal：授权的身份列表，例如：["domain/aaaa:user/111111", "domain/bbbb"]。 sourceIp：授权的sourceIp列表，例如：["192.168.0.0/16"]。 sourceVpc：授权的sourceVpc列表，需填入请求发起的VPC ID，例如["vpcidaaaa"]。 sourceVpce：授权的sourceVpce列表，需填入请求发起的 VPC终端节点 ID，例如["vpceidaaaa"]。 注：上述字段的格式均需与OBS桶策略中的principal或condition的格式一致。

默认规则 此表中的建议项编号对应C5_2020中参考文档的章节编号，供您查阅参考。 表1 适用于德国云计算合规标准目录的标准合规包默认规则说明 建议项编号 合规规则 指导 COS-03 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 COS-03 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 COS-03 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 COS-03 ecs-instance-no-public-ip 由于华为云E CS 实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 COS-03 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 COS-03 css-cluster-in-vpc 确保 云搜索服务 位于虚拟私有云中。 COS-03 css-cluster-in-vpc 确保 云搜索 服务位于虚拟私有云中。 COS-03 mrs-cluster-no-public-ip 确保 MapReduce服务 （ MRS ）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 COS-03 function-graph-public-access-prohibited 确保 函数工作流 的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 COS-03 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 COS-03 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 COS-03 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 COS-03 vpc-default-sg-closed 确保虚拟私有 云安全 组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 COS-03 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 COS-05 iam-user-mfa-enabled 确保为所有 IAM 用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 COS-05 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 COS-05 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 COS-05 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息，确保华为云ecs实例无法公开访问来管理对华为云的访问。 COS-05 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 COS-05 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 COS-05 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 COS-05 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 COS-05 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 COS-05 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 CRY-02 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 CRY-02 elb-predefined-security-policy-https-check 确保独享型负载均衡器使用了指定的安全策略。在创建和配置HTTPS监听器时，您可以选择使用安全策略，可以提高您的业务安全性。 CRY-02 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 CRY-02 css-cluster-disk-encryption-check 确保 CSS 集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 CRY-02 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 CRY-02 dws-enable-ssl 确保 数据仓库 服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 CRY-02 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 CRY-03 cts-kms-encrypted-check 确保 云审计 服务的追踪器已配置KMS加密存储用于归档的审计事件。 CRY-03 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 CRY-03 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 CRY-03 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 CRY-04 kms-rotation-enabled 确保 数据加密 服务密钥启用密钥轮换。 DEV-07 cts-lts-enable 确保使用 云日志 服务集中收集云审计服务的数据。 DEV-07 cts-tracker-exists 确保账号已经创建了 CTS 追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 DEV-07 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 DEV-07 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 DEV-07 multi-region-cts-tracker-exists 云审计服务提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 IDM-01 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 IDM-01 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 IDM-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-01 iam-root-access-key-check 确保根访问密钥已删除。 IDM-01 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 IDM-01 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 IDM-01 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 IDM-01 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 IDM-01 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IDM-01 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 IDM-08 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 CRY-01 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 IDM-09 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 IDM-09 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 IDM-09 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 OPS-01 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云RDS会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。 OPS-02 as-group-elb-healthcheck-required 弹性负载均衡是将访问流量根据转发策略分发到后端多台云服务器的流量分发控制服务。这条规则确保与负载均衡器关联的伸缩组使用弹性负载均衡健康检查。 OPS-02 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云RDS会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。 OPS-07 rds-instance-enable-backup 确保云数据库资源开启备份。 OPS-07 dws-enable-snapshot 自动快照采用差异增量备份，当创建集群时，自动快照默认处于启用状态。当集群启用了自动快照时，DWS将按照设定的时间和周期以及快照类型自动创建快照，默认为每8小时一次。用户也可以对集群设置自动快照策略，并根据自身需求，对集群设置一个或多个自动快照策略。 OPS-07 gaussdb-nosql-enable-backup 确保 GaussDB NoSQL开启备份。 OPS-14 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 OPS-14 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 OPS-15 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 OPS-15 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 OPS-15 dws-enable-log-dump 要获取有关华为云DWS集群上用户活动的信息，请确保启用日志转储。 OPS-15 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 OPS-15 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务用于记录华为云管理控制台操作。 OPS-15 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 OPS-15 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 OPS-15 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 PSS-05 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 PSS-05 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 PSS-05 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 PSS-07 iam-password-policy 确保IAM用户密码强度满足密码强度要求。

默认规则 此表中的建议项编号对应https://www.swift.com/中参考文档的章节编号，供您查阅参考。 表1 适用于SWIFT CSP的标准合规包默认规则说明 建议项编号 合规规则 指导 1.1 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.1 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 1.1 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.1 vpc-acl-unused-check 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。 1.1 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.2 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 1.2 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 1.2 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 1.2 smn-lts-enable 确保为指定 SMN 主题绑定一个云日志，用于记录主题消息发送状态等信息。 1.4 private-nat-gateway-authorized-vpc-only 确保NAT私网网关仅连接到授权的虚拟私有云中，管理对华为云中资源的访问。 1.4 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的ip地址，确保对安全组内资源实例的访问。 1.4 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 2.3 ecs-multiple-public-ip-check 此规则检查您的华为云ECS实例是否具有多个公网IP。拥有多个公网IP可能会增加网络安全的复杂性。 2.3 volume-unused-check 确保云硬盘未闲置。 2.3 kms-not-scheduled-for-deletion 确保数据加密服务密钥未处于“计划删除”状态，以防止误删除密钥。 2.5A sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 2.5A volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 4.1 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 4.1 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 4.2 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 4.2 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 4.2 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 5.1 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 5.1 iam-root-access-key-check 确保根访问密钥已删除。 5.1 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 6.4 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 6.4 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务用于记录华为云管理控制台操作。 6.4 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 6.4 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 6.4 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 6.4 stopped-ecs-date-diff 启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数，确保弹性云服务器未闲置。 6.4 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

适用于人工智能与机器学习场景的合规实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce 确保CCE集群版本为处于维护中的版本。 CCE集群版本为停止维护的版本，视为“不合规” 为了保证您的服务权益，建议尽快升级到最新的商用版本。集群升级流程包括升级前检查、备份、升级和升级后验证几个步骤，具体操作流程可见CCE服务说明文档的升级概述。 cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 确保CCE集群运行的不是最旧版本 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规” 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 cce-endpoint-public-access CCE集群资源不具有公网IP cce 确保CCE集群资源不可以被公网访问 CCE集群资源具有公网IP，视为“不合规” 用户可以解除集群与EIP的绑定。 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS服务桶。 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS 1.8.0版本之前未开启Kerberos认证的集群不支持访问权限细分。只有开启Kerberos认证才有角色管理权限，MRS 1.8.0及之后版本的所有集群均拥有角色管理权限。 MRS集群未开启kerberos认证，视为“不合规” MRS服务暂不支持集群创建完成后手动开启和关闭Kerberos服务，如需更换Kerberos认证状态，建议重新创建MRS集群，然后进行数据迁移。 mrs-cluster-no-public-ip MRS集群未绑定公网IP mrs 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 MRS集群绑定公网IP，视为“不合规” 对于不合规的MRS资源，用户可以解除其与弹性公网IP的绑定。 sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务(SFS Turbo)已通过KMS进行加密。 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” 可以新创建加密或者不加密的文件系统，无法更改已有文件系统的加密属性。 父主题： 合规规则包示例模板

规则详情 表1 规则详情 参数 说明 规则名称 sfsturbo-last-backup-created 规则展示名 SFS Turbo资源的备份时间检查 规则描述 SFS Turbo资源最近一次备份创建时间超过参数要求，视为“不合规”。 标签 cbr、sfsturbo 规则触发方式 周期触发 规则评估的资源类型 sfsturbo.shares 规则参数 lastBackupAgeValue：SFS Turbo要求的备份时间间隔（以小时为单位）。

支持标签的云服务和资源类型 当前华为云大部分云服务资源均支持添加标签，但部分云服务资源（如OBS桶）的标签信息暂未上传至Config服务，因此无法在Config服务中使用标签相关的能力，例如无法在“资源清单”页面通过标签搜索到相应资源，或无法使用涉及标签场景的资源合规规则等。 当前已对接Config且支持标签的云服务和资源类型如下表所示： 表1 支持标签的云服务和资源类型 服务 资源类型 VPC终端节点 VPCEP 终端节点（vpcep.endpoints） 终端节点服务（vpcep.endpointServices） 数据复制服务 DRS 实时同步任务（drs.synchronizationJob） 实时迁移任务（drs.migrationJob） 实时灾备任务（drs.dataGuardJob） 数据订阅任务（drs.subscriptionJob） 备份迁移任务（drs.backupMigrationJob） 裸金属服务器 BMS 实例（bms.servers） 弹性云服务器 ECS 云服务器（ecs.cloudservers） 云耀云服务器 HECS 实例（hecs.hcloudservers） 虚拟私有云 VPC 虚拟私有云（vpc.vpcs） 弹性公网IP（vpc.publicips） 云硬盘 EVS 磁盘（evs.volumes） 弹性伸缩 AS 弹性伸缩组（as.scalingGroups） 镜像服务 IMS 镜像（ims.images） 分布式缓存服务 DCS Redis实例（dcs.redis） 节点（dcs.node） 云解析服务 DNS 公网Zone（dns.publiczones） 内网Zone（dns.privatezones） 虚拟专用网络 VPN VPN连接（vpnaas.vpnConnections） VPN网关（vpnaas.vpnGateways） 高性能弹性文件服务 SFS Turbo SFS Turbo（sfsturbo.shares） 弹性负载均衡 ELB 负载均衡器（elb.loadbalancers） 监听器（elb.listeners） 消息通知 服务 SMN 主题（smn.topic） 分布式消息服务 DMS Kafka实例（dms.kafkas） Kafka节点（dms.kafka_nodes） RabbitMQ实例（dms.rabbitmqs） Rabbitmq节点（dms.rabbitmq_nodes） RocketMQ实例（dms.reliabilitys） 云数据库 RDS 实例（rds.instances） 节点（rds.nodes） MapReduce服务 MRS 弹性大数据服务（mrs.mrs） 数据仓库服务 DWS 集群（dws.clusters） 文档数据库服务 DDS 实例（dds.instances） 节点（dds.nodes） 云搜索服务 CSS 集群（css.clusters） NAT网关 NAT 公网NAT网关（nat.natGateways） 私网NAT网关 （nat.privateNatGateways） 云备份 CBR 存储库（cbr.vault） 数据加密服务 DEW 密钥（kms.keys） 云容器引擎 CCE 集群（cce.clusters） 云数据库 GaussDB 实例（gaussdb.instance） 节点（gaussdb.nodes） 数据库安全服务 DBSS 实例（dbss.cloudservers） 内容分发网络 CDN 域名（cdn.domains） 云专线 DC 虚拟网关（dcaas.vgw） 链路聚合组（dcaas.lag） 虚拟接口（dcaas.vif） 物理连接（dcaas.directConnect） 数据库和应用迁移 UGO 对象评估任务（ugo.evaluationJob） 对象迁移任务（ugo.migrationJob） DDoS高防服务 AAD 实例（aad.instances） 云连接 CC 云连接（ccaas.cloud-connections） 带宽包（ccaas.bandwidth-packages） 云原生DDoS防护 CNAD 实例（cnad.instances） 企业路由器 ER 实例（er.instances） 连接（er.attachments） 云日志服务 LTS 日志流（lts.topics） 设备接入 IoTDA 设备接入基础版（iotda.iotda） 设备接入企业版（iotda.iotda_instance） 设备接入标准版（iotda.iotda_standardinstance） 全球加速 GA 加速器实例（ga.accelerators） 开天集成工作台 MSSI 流（mssi.flow） 云堡垒机 CBH 云 堡垒机 实例（cbh.instance） 云防火墙 CFW 云防火墙实例（cfw.cfw_instance） 云监控服务 CES 告警规则（ces.alarms） API网关 APIG APIG专享版实例（apig.instances） 函数工作流 FunctionGraph 函数（fgs.functions） 分布式数据库 中间件 DDM 实例（ddm.instances） 节点（ddm.nodes） 湖仓构建 LakeFormation 实例（lakeformation.instance） 区块链 服务 BCS 华为云链（bcs.huaweicloudchain） 硬件开发工具链平台云服务 CraftArtsIPDCenter 产品数字化协同服务（ipdcenter.envs） 工业数字模型驱动引擎 iDME 数字化制造基础服务（idme.mbm） 数据建模引擎运行服务（idme.runtime） 云凭据管理服务 C SMS 凭据（csms.secrets） 工业仿真工具链云服务 CraftArtsSIM 工业仿真云平台（craftartssim.simSpace） 仿真求解计算（craftartssim.cpuUnit） 仿真前后处理计算（craftartssim.guiUnit） 私有证书管理 PCA 私有CA（pca.ca） 私有证书（pca.cert） 专属分布式存储服务 DSS 存储池（dss.dsspools） 专属主机 DeH 专属主机（deh.dedicatedhosts） 访问分析 AccessAnalyzer 访问分析器（accessanalyzer.analyzer） 父主题： 附录

支持的资源关系 表1 支持的资源关系 服务 资源类型 关系类型 相关云服务 相关资源类型 弹性云服务器 ECS 云服务器 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 企业主机安全 HSS 主机代理 MapReduce服务 MRS 弹性大数据服务 包含（contains） 云备份 存储库 绑定（isAttachedTo） 虚拟私有云 VPC 弹性公网IP 云备份 CBR 备份 云硬盘 EVS 磁盘 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 镜像服务 IMS 镜像 裸金属服务器 BMS 云服务器 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 绑定（isAttachedTo） 云硬盘 EVS 磁盘 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 镜像服务 IMS 镜像 云耀云服务器 HECS 云耀云服务器 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 包含（contains） 虚拟私有云 VPC 弹性公网IP 绑定（isAttachedTo） 云硬盘 EVS 磁盘 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 镜像服务 IMS 镜像 弹性伸缩 AS 弹性伸缩组 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 分布式缓存服务 DCS Memcached实例 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 节点 被包含（isContainedIn） 分布式缓存服务 DCS Redis实例 Redis实例 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 包含（contains） 分布式缓存服务 DCS 节点 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 弹性负载均衡 ELB 负载均衡器 包含（contains） 弹性负载均衡 ELB 监听器 绑定（isAttachedTo） 虚拟私有云 VPC 弹性公网IP 弹性负载均衡 ELB 后端服务器组 弹性负载均衡 ELB 主备后端服务器组 监听器 被包含（isContainedIn） 弹性负载均衡 ELB 负载均衡器 包含（contains） 弹性负载均衡 ELB 转发策略 绑定（isAttachedTo） 弹性负载均衡 ELB 后端服务器组 弹性负载均衡 ELB 主备后端服务器组 后端服务器组 包含（contains） 弹性负载均衡 ELB 后端服务器 绑定（isAttachedTo） 弹性负载均衡 ELB 负载均衡器 弹性负载均衡 ELB 监听器 主备后端服务器组 包含（contains） 弹性负载均衡 ELB 后端服务器 绑定（isAttachedTo） 弹性负载均衡 ELB 负载均衡器 弹性负载均衡 ELB 监听器 转发策略 被包含（isContainedIn） 弹性负载均衡 ELB 监听器 后端服务器 被包含（isContainedIn） 弹性负载均衡 ELB 后端服务器组 弹性负载均衡 ELB 主备后端服务器组 虚拟私有云 VPC 虚拟私有云 包含（contains） 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云耀云服务器 HECS 云耀云服务器 弹性伸缩 AS 弹性伸缩组 分布式缓存服务 DCS Memcached实例 分布式缓存服务 DCS Redis实例 MapReduce服务 MRS 弹性大数据服务 虚拟私有云 VPC VPC流日志 虚拟私有云 VPC 弹性公网IP 安全组 关联（isAssociatedWith） 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云耀云服务器 HECS 云耀云服务器 弹性伸缩 AS 弹性伸缩组 分布式缓存服务 DCS Memcached实例 MapReduce服务 MRS 弹性大数据服务 MapReduce服务 弹性大数据服务 分布式缓存服务 DCS Redis实例 VPC流日志 被包含（isContainedIn） 虚拟私有云 VPC 子网 虚拟私有云 VPC 弹性网卡 虚拟私有云 VPC 虚拟私有云 弹性网卡 包含（contains） 虚拟私有云 VPC VPC流日志 虚拟私有云 VPC 安全组 子网 包含（contains） 虚拟私有云 VPC VPC流日志 带宽 包含（contains） 虚拟私有云 VPC 弹性公网IP 弹性公网IP 被包含（isContainedIn） 虚拟私有云 VPC 带宽 虚拟私有云 VPC 虚拟私有云 绑定（isAttachedTo） 弹性云服务器 ECS 云服务器 弹性负载均衡 ELB 负载均衡器 MapReduce服务 MRS 弹性大数据服务 NAT网关 公网NAT网关 云硬盘 EVS 磁盘 包含（contains） 云备份 CBR 存储库 绑定（isAttachedTo） 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云备份 CBR 备份 云耀云服务器 HECS 云耀云服务器 镜像服务 IMS 镜像 关联（isAssociatedWith） 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云耀云服务器 HECS 云耀云服务器 NAT网关 公网NAT网关 绑定（isAttachedTo） 虚拟私有云 VPC 弹性公网IP 云数据库 GeminiDB 实例 包含（contains） 云数据库 GeminiDB 节点 节点 被包含（isContainedIn） 云数据库 GeminiDB 实例 云数据库 GaussDB 实例 包含（contains） 云数据库 GaussDB 节点 节点 被包含（isContainedIn） 云数据库 GaussDB 实例 MapReduce服务 MRS 弹性大数据服务 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 绑定（isAttachedTo） 虚拟私有云 VPC 弹性公网IP 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 包含（contains） 弹性云服务器 ECS 云服务器 云容器引擎 CCE 集群 包含（contains） 云容器引擎 CCE 节点 节点 被包含（isContainedIn） 云容器引擎 CCE 集群 企业路由器 ER 连接 被包含（isContainedIn） 企业路由器 ER 实例 实例 包含（contains） 企业路由器 ER 连接 统一身份认证 服务 IAM 委托 关联（isAssociatedWith） 统一身份认证服务 IAM 策略 统一身份认证服务 IAM 权限 用户组 包含（contains） 统一身份认证服务 IAM 用户 关联（isAssociatedWith） 统一身份认证服务 IAM 策略 统一身份认证服务 IAM 权限 策略 关联（isAssociatedWith） 统一身份认证服务 IAM 委托 统一身份认证服务 IAM 用户组 统一身份认证服务 IAM 用户 权限 关联（isAssociatedWith） 统一身份认证服务 IAM 委托 统一身份认证服务 IAM 用户组 统一身份认证服务 IAM 用户 用户 关联（isAssociatedWith） 统一身份认证服务 IAM 策略 统一身份认证服务 IAM 权限 被包含（isContainedIn） 统一身份认证服务 IAM 用户组 云数据库 RDS 实例 包含（contains） 云数据库 RDS 节点 节点 被包含（isContainedIn） 云数据库 RDS 实例 配置审计 Config 合规规则包 包含（contains） 配置审计 Config 合规规则 合规规则 被包含（isContainedIn） 配置审计 Config 合规规则包 云备份 CBR 备份 绑定（isAttachedTo） 弹性云服务器 ECS 云服务器 云硬盘 EVS 磁盘 高性能弹性文件服务 SFS Turbo SFS Turbo 策略 绑定（isAttachedTo） 云备份 CBR 存储库 存储库 绑定（isAttachedTo） 云备份 CBR 策略 被包含（isContainedIn） 弹性云服务器 ECS 云服务器 云硬盘 EVS 磁盘 高性能弹性文件服务 SFS Turbo SFS Turbo 文档数据库服务 DDS 实例 包含（contains） 文档数据库服务 DDS 节点 节点 被包含（isContainedIn） 文档数据库服务 DDS 实例 企业主机安全 HSS 主机代理 包含（contains） 弹性云服务器 ECS 云服务器 Web应用防火墙 WAF 网站 被包含（isContainedIn） Web应用防火墙 WAF 防护策略 防护策略 包含（contains） Web应用防火墙 WAF 网站 高性能弹性文件服务 SFS Turbo SFS Turbo 包含（contains） 云备份 存储库 SFS Turbo 绑定（isAttachedTo） 云备份 备份 父主题： 附录

默认规则 表1 适用于中小企业的ENISA的标准合规包默认规则说明 建议项编号 建议项说明 合规规则 指导 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-data-guard-job-not-public 确保数据复制服务实时灾备任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-migration-job-not-public 确保数据复制服务实时迁移任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-synchronization-job-not-public 确保数据复制服务实时同步任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 ecs-instance-no-public-ip 由于华为云弹性云服务器实例可能包含敏感信息，确保华为云弹性云服务器实例无法公开访问来管理对华为云的访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 mrs-cluster-no-public-ip 确保MapReduce服务无法公网访问。华为云MapReduce服务集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 rds-instance-no-public-ip 确保云数据库无法公网访问，管理对华为云中资源的访问。云数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 css-cluster-disk-encryption-check 确保云搜索服务集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 css-cluster-disk-encryption-check 确保云搜索服务集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 private-nat-gateway-authorized-vpc-only 确保NAT私网网关仅连接到授权的虚拟私有云中，管理对华为云中资源的访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 dws-enable-kms 确保数据仓库服务的集群启用KMS磁盘加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 gaussdb-nosql-enable-disk-encryption 确保GaussDB NoSQL启用KMS磁盘加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 6_SECURE DEVICES: KEEP SOFTWARE PATCHED AND UP TO DATE 理想情况下，使用集中式平台管理修补。强烈建议中小企业：定期更新其所有软件，尽可能打开自动更新，确定需要手动更新的软件和硬件，考虑移动和物联网设备。 cce-cluster-end-of-maintenance-version 确保CCE集群版本为处于维护中的版本。 6_SECURE DEVICES: KEEP SOFTWARE PATCHED AND UP TO DATE 理想情况下，使用集中式平台管理修补。强烈建议中小企业：定期更新其所有软件，尽可能打开自动更新，确定需要手动更新的软件和硬件，考虑移动和物联网设备。 cce-cluster-oldest-supported-version 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务已通过KMS进行加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 dws-enable-kms 确保数据仓库服务的集群启用KMS磁盘加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 gaussdb-nosql-enable-disk-encryption 确保GaussDB NoSQL启用KMS磁盘加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务用于记录华为云管理控制台操作。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 multi-region-cts-tracker-exists 云审计服务提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 rds-instance-enable-backup 确保云数据库资源开启备份。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 dws-enable-snapshot 自动快照采用差异增量备份，当创建集群时，自动快照默认处于启用状态。当集群启用了自动快照时，DWS将按照设定的时间和周期以及快照类型自动创建快照，默认为每8小时一次。用户也可以对集群设置自动快照策略，并根据自身需求，对集群设置一个或多个自动快照策略。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 gaussdb-nosql-enable-backup 确保GaussDB NoSQL开启备份。

规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-port-check 规则展示名 RDS实例默认端口检查 规则描述 RDS实例的端口包含被禁止的端口，视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 blockedPortsForMysql：指定MySQL数据库禁止的端口列表，数组类型。 blockedPortsForMariadb：指定MariaDB数据库禁止的端口列表，数组类型。 blockedPortsForPostgresql：指定PostgreSQL数据库禁止的端口列表，数组类型。 blockedPortsForSqlserver：SQLServer数据库禁止的端口列表，数组类型。

默认规则 此表中的建议项编号对应PCI DSS: v3.2.1中参考文档的章节编号，供您查阅参考。 表1 适用于适用于PCI-DSS的标准合规包默认规则说明 建议项编号 建议项说明 合规规则 指导说明 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3 禁止互联网与持卡人数据环境中的任何系统组件之间直接进行公共访问。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 2.1 在网络上安装系统之前，请务必更改供应商提供的默认值，并删除或禁用不必要的默认账号。这适用于所有默认密码，包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点（POS）终端、支付应用程序、简单网络管理协议（SNMP）社区字符串等使用的密码。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 2.1 在网络上安装系统之前，请务必更改供应商提供的默认值，并删除或禁用不必要的默认账号。这适用于所有默认密码，包括但不限于操作系统、提供安全服务的软件、应用程序和系统账号、销售点（POS）终端、支付应用程序、简单网络管理协议（SNMP）社区字符串等使用的密码。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-lts-enable 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 ecs-in-allowed-security-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后，即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组，保证安全组的性能。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 ecs-multiple-public-ip-check 此规则检查您的华为云ECS实例是否具有多个公网IP。拥有多个公网IP可能会增加网络安全的复杂性。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 kms-rotation-enabled 确保数据加密服务（KMS）密钥启用密钥轮换。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 volumes-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，因此请确保为华为云ElasticVolumeService（华为云EVS）卷启用加密。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 2.2 为所有系统组件制定配置标准。确保这些标准解决所有已知的安全漏洞，并与行业公认的系统强化标准保持一致。行业公认的系统强化标准的来源可能包括但不限于：互联网安全中心（CIS）国际标准化组织（ISO）SysAdmin审计网络安全（SANS）研究所美国国家标准技术研究院（NIST）。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（23）端口时认为不合规，确保对服务器的远程访问安全性。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 2.3 使用强加密技术对所有非控制台管理访问进行加密。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 2.4 维护PCIDSS范围内的系统组件清单。 ecs-in-allowed-security-groups 安全组为具有相同安全保护需求并相互信任的云服务器提供访问策略。当云服务器加入该安全组后，即受到安全组内用户定义的访问规则的保护。确保特定ECS实例关联高危安全组，保证安全组的性能。 2.4 维护PCIDSS范围内的系统组件清单。 eip-unbound-check 确保弹性公网IP未闲置。 2.4 维护PCIDSS范围内的系统组件清单。 eip-use-in-specified-days 确保弹性公网IP未闲置。 2.4 维护PCIDSS范围内的系统组件清单。 vpc-acl-unused-check 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务（SFSTurbo）已通过KMS进行加密。 3.4 使用以下任一方法使PAN在存储的任何位置（包括便携式数字媒体、备份媒体和日志中）都不可读：基于强加密的单向哈希，（哈希必须是整个PAN的哈希）截断（哈希不能用于替换PAN的截断段）索引令牌和垫子（垫子必须安全存放）具有相关密钥管理流程和程序的强加密技术。注意：如果恶意个人可以访问PAN的截断版本和散列版本，则重建原始PAN数据是一项相对微不足道的工作。如果实体环境中存在同一PAN的哈希和截断版本，则必须实施其他控制措施，以确保哈希和截断版本无法关联以重建原始PAN。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（ CDM A）通用分组无线业务（GPRS）卫星通信 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 pca-certificate-authority-expiration-check 华为云 云证书管理服务 提供有PCA服务，可以帮助您通过简单的可视化操作，以低投入的方式创建企业内部CA并使用它签发证书。确保用户明确该私有CA的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。 4.1 使用强大的加密和安全协议来保护通过开放公共网络传输的敏感持卡人数据，包括：仅接受受信任的密钥和证书。使用的协议仅支持安全版本或配置。加密强度适用于所使用的加密方法。开放的公共网络示例包括但不限于：互联网无线技术，包括802.11和蓝牙蜂窝技术，例如全球移动通信系统（GSM）、码分多址（CDMA）通用分组无线业务（GPRS）卫星通信 pca-certificate-expiration-check PCA是一个私有CA和私有证书管理平台。它让用户可以通过简单的可视化操作，建立用户自己完整的CA层次体系并使用它签发证书。确保用户明确该私有证书的过期时间。此规则需要daysToExpiration（默认值14）。实际值应反映组织的策略。 6.2 通过安装供应商提供的适用安全补丁，确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意：应根据要求6.1中定义的风险排序过程来识别关键安全补丁。 cce-cluster-end-of-maintenance-version 确保CCE集群版本为处于维护中的版本。 6.2 通过安装供应商提供的适用安全补丁，确保所有系统组件和软件免受已知漏洞的影响。在发布后一个月内安装关键安全补丁。注意：应根据要求6.1中定义的风险排序过程来识别关键安全补丁。 cce-cluster-oldest-supported-version 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.1 实施审计跟踪，将对系统组件的所有访问链接到每个用户。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 10.5 保护审计跟踪，使其无法更改。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 11.5 部署更改检测机制（例如，文件完整性监控工具），以提醒人员注意对关键系统文件、配置文件或内容文件的未经授权的修改（包括更改、添加和删除）;并将软件配置为至少每周执行一次关键文件比较。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.2.1 将入站和出站流量限制为持卡人数据环境所需的流量，并明确拒绝所有其他流量。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（24）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.1 实施DMZ以将入站流量限制为仅提供授权的可公开访问的服务、协议和端口的系统组件。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（25）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.2 将入站Internet流量限制为DMZ内的IP地址。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（26）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.4 不允许未经授权的出站流量从持卡人数据环境到Internet。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（27）端口时认为不合规，确保对服务器的远程访问安全性。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 css-cluster-in-vpc 确保云搜索服务（CSS）位于虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 1.3.6 将存储持卡人数据（如数据库）的系统组件放置在内部网络区域中，与DMZ和其他不受信任的网络隔离。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（28）端口时认为不合规，确保对服务器的远程访问安全性。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.1 对所有系统组件实施自动审计跟踪，以重建以下事件：所有个人用户访问持卡人数据 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.2 对所有系统组件实施自动审计跟踪，以重建以下事件：任何具有root或管理权限的个人执行的所有操作 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.2 对所有系统组件实施自动审计跟踪，以重建以下事件：任何具有root或管理权限的个人执行的所有操作 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.3 为所有系统组件实施自动审计跟踪，以重建以下事件：访问所有审计跟踪 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.4 对所有系统组件实施自动审计跟踪，以重建以下事件：无效的逻辑访问尝试 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.5 对所有系统组件实施自动审计跟踪，以重建以下事件：识别和身份验证机制的使用和更改（包括但不限于创建新账号和提升权限），以及对具有根权限或管理权限的账号的所有更改、添加或删除 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.5 对所有系统组件实施自动审计跟踪，以重建以下事件：识别和身份验证机制的使用和更改（包括但不限于创建新账号和提升权限），以及对具有根权限或管理权限的账号的所有更改、添加或删除 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.6 对所有系统组件实施自动审计跟踪，以重建以下事件：初始化、停止或暂停审核日志 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.6 对所有系统组件实施自动审计跟踪，以重建以下事件：初始化、停止或暂停审核日志 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.2.7 对所有系统组件实施自动审计跟踪，以重建以下事件：创建和删除系统级对象 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 cts-obs-bucket-track 确保存在至少一个CTS追踪器追踪指定的OBS桶。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务（CTS）用于记录华为云管理控制台操作。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 10.3.1 对于每个事件，至少记录所有系统组件的以下审计跟踪条目：用户识别 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 10.5.2 保护审计跟踪文件免遭未经授权的修改。 cts-kms-encrypted-check 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 10.5.3 及时将审计跟踪文件备份到难以更改的集中式日志服务器或介质。 cts-lts-enable 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 10.5.5 对日志使用文件完整性监视或更改检测软件，以确保在不生成警报的情况下无法更改现有日志数据（尽管添加新数据不应引起警报）。 cts-support-validate-check 确保云审计服务（CTS）追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-data-guard-job-not-public 确保DRS实时灾备任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-migration-job-not-public 确保DRS实时迁移任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 drs-synchronization-job-not-public 确保DRS实时同步任务不能公开访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 function-graph-inside-vpc 确保函数工作流（FunctionGraph）的所有流量都安全地位于虚拟私有云（VPC）中。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 mrs-cluster-no-public-ip 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账号需要访问控制。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 2.2.2 仅启用系统功能所需的必要服务、协议、守护程序等。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（29）端口时认为不合规，确保对服务器的远程访问安全性。 3.5.2 将对加密密钥的访问限制为所需的最少保管人数量。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 3.6.4 已达到其加密期结束的密钥的加密密钥更改（例如，在定义的时间段过去后和/或给定密钥生成一定数量的密文之后），由关联的应用程序供应商或密钥所有者定义，并基于行业最佳实践和准则（例如，NIST特别出版物800-57）。 kms-rotation-enabled 确保数据加密服务（KMS）密钥启用密钥轮换。 3.6.5 当密钥的完整性被削弱（例如，知道明文密钥组件的员工离职）或怀疑密钥被泄露时，必要时停用或替换密钥（例如，存档、销毁和/或吊销）。注意：如果需要保留已停用或替换的加密密钥，则必须安全地存档这些密钥（例如，使用密钥加密密钥）。存档的加密密钥只能用于解密/验证目的。 kms-not-scheduled-for-deletion 确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。 3.6.7 防止未经授权替换加密密钥。 kms-not-scheduled-for-deletion 确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.1.1 定义每个角色的访问需求，包括：每个角色需要访问其工作职能的系统组件和数据资源访问资源所需的权限级别（例如，用户、管理员等）。 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.1.2 将对特权用户ID的访问限制为执行工作职责所需的最低权限。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.1 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：覆盖所有系统组件 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-role-has-all-permissions 确保IAM操作仅限于所需的操作。允许用户拥有比完成任务所需的更多权限可能会违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 7.2.2 为系统组件建立访问控制系统，该系统根据用户的需要限制访问，除非特别允许，否则设置为“全部拒绝”。此门禁系统必须包括以下内容：根据工作分类和职能向个人分配权限。 mrs-cluster-kerberos-enabled 通过为华为云MRS集群启用Kerberos，可以按照最小权限和职责分离的原则来管理和合并访问权限和授权。 8.1.1 在允许所有用户访问系统组件或持卡人数据之前，为所有用户分配一个唯一的ID。 iam-root-access-key-check 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 8.1.4 在90天内删除/禁用非活动用户账号。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API Gateway REST API阶段，以允许后端系统对来自API Gateway的请求进行身份验证。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保高性能弹性文件服务（SFSTurbo）已通过KMS进行加密。 8.2.1 使用强加密技术，使所有身份验证凭据（如密码/短语）在所有系统组件的传输和存储过程中不可读。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 8.2.3 密码/密码必须满足以下条件：要求最小长度至少为7个字符。包含数字和字母字符。或者，密码/密码短语的复杂性和强度必须至少与上述指定的参数相当。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.4 至少每90天更改一次用户密码/密码。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.4 至少每90天更改一次用户密码/密码。 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 8.2.4 至少每90天更改一次用户密码/密码。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.2.5 不要允许个人提交与他或她使用的最后四个密码/密码中的任何一个相同的新密码/密码。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 8.3.1 将所有非控制台访问的多重身份验证合并到CDE中，供具有管理访问权限的人员使用。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 8.3.2 对来自实体网络外部的所有远程网络访问（包括用户和管理员，包括用于支持或维护的第三方访问）进行多重身份验证。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。

名词解释 对象存储服务 OBS：对象存储服务（Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力。 ModelArts：ModelArts是面向AI开发者的一站式开发平台，提供海量数据预处理及半自动化标注、大规模分布式训练、自动化模型生成及端-边-云模型按需部署能力，帮助用户快速创建和部署模型，管理全周期AI工作流。具体可参考： AI开发平台 ModelArts。

快速卸载 为避免产生不必要的费用，通过此示例学习时序预测算法的使用后，您可以清除相关资源，避免造成资源浪费。 停止在线服务：在“在线服务”页面，单击对应服务操作列的“停止”。 图1 停止在线服务 终止训练作业：在“训练作业”页面，单击操作列的“终止”或者”删除”。 图2 训练作业 删除WorkfFlow：在该Workflow页面点击更多按钮，选择删除即可。 图3 删除WorkfFlow 删除数据：登录OBS控制台，删除上传的数据。 父主题： 实施步骤

快速部署 本章节主要帮助用户快速部署“智能零售”解决方案。 配置节点 参数名称 类型 是否可选 参数解释 默认值 运行配置 output_dir string 必填 选择一个OBS空目录存储训练输出的模型 空 ad_products_data_source string 必填 选择广宣价签数据所在的OBS目录 空 sku_data_source string 必填 选择SKU数据所在的OBS目录 空 翻拍模型训练 data_url string 必填 翻拍模型输入的训练集OBS目录 空 eval_data_url string 必填 翻拍模型输入的验证集OBS目录 空 相似度模型训练 data_url string 必填 相似度模型输入的训练集OBS目录 空 eval_data_url string 必填 相似度模型输入的验证集OBS目录 空 SKU检测-发布标注任务 sku_model_dir-release_data_dataset_input string 必填 选择对应数据集及版本 空 切分检测数据集 sku_label_txt string 必填 标准标签名称列表文件 空 sku_synonym_tx string 必填 标签名称同义词映射表 空 场景识别模型训练 data_url string 必填 场景识别模型输入的数据集OBS目录 空 发布模型 swr_model_step_input string 必填 零售API使用的镜像地址 空 登录华为云解决方案实践，选择"零售行业AI巡店解决方案"，单击“查看部署指南”可跳转至该解决方案部署指南界面。 图1 解决方案实践 图2 业务架构图 准备数据 1. 从AI Gallery下载零售体验数据集。 本示例使用AI Gallery中已有的数据集，您可以直接下载使用。 a. 打开零售体验数据集页面，单击“下载”。 b. 在“下载详情”页面，选择ModelArts数据集，并配置以下参数。 “目标区域”：选择“华北-北京四”。 “数据类型”：选择“图片”。 “数据集输出位置”： 在“请选择对象存储（OBS）路径”对话框中，选择准备工作中已创建的OBS桶，单击“创建文件夹”，创建一个命名为“retail”的文件夹，后再创建一个为“output”的子目录选择即可，此处的文件夹名称仅为举例，您可以自定义文件夹名称。 “数据集输入位置”： 在“请选择对象存储（OBS）路径”对话框中，选择准备工作中已创建的OBS桶，单击“创建文件夹”，创建一个命名为“retail”的文件夹，后再创建一个为“input”的子目录选择即可，此处的文件夹名称仅为举例，您可以自定义文件夹名称。 “名称和描述”：可根据实际情况填写，也可保持默认。 c. 单击“确定”，开始下载数据集至目标位置。 系统页面将自动跳转至“我的数据”页面，在“我的下载”页签下，可查看对应数据集的下载进度，数据集下载需要几分钟到十几分钟时间，请耐心等待。 2. （可选）使用自有数据。 如果您想使用自己的数据集，直接将数据上传至OBS文件夹中并使用数据管理创建相应的数据集。具体操作，请参见上传文件。 订阅Workflow 打开零售陈列workflow页面，单击“订阅”（注意：零售陈列workflow详参“智慧零售”，如需使用，请到立即咨询录入信息联系开通白名单）。 订阅完成后，单击“已订阅”旁的“运行”。 图3 零售陈列workflow 在弹出的“从AI Gallery导入工作流”对话框中配置一下参数。 “资产版本”：选择最新版本。 “云服务区域”：“华北-北京四”。 图4 配置参数 配置Workflow 登录ModelArts管理控制台，在控制台顶部区域下拉框中，选择“华北-北京四”。 在左侧导航栏，选择“Workflow”。 在Workflow列表中，单击Workflow所在行操作列的“配置”。 Workflow配置中各个节点的Workflow配置，请参见下表： 表1 Workflow配置信息表 配置节点 配置项 “运行配置” “output_dir”：选择一个OBS空目录存储训练输出的模型。 “data_source”：选择上一步骤下载的input路径即可。 “资源配置” 各个训练节点资源保持默认即可 “消息通知” 订阅消息使用消息通知服务，在事件列表中选择需要监控的节点和Workflow状态，在事件发生时发送消息通知。您可以根据实际情况设置是否打开开关，如果开启订阅消息，请根据实际情况填写如下参数。 “主题名”：订阅消息主题名称。您可以单击创建主题，在消息通知服务中创建主题。 “订阅对象”：单击“增加订阅消息”，选择你需要的“订阅对象”和“订阅事件”。 说明 使用订阅消息服务会产生相关服务费用，详细信息请参见资费说明。 如果您订阅了节点事件，同时也订阅了Workflow事件，消息通知会重复发送。 “是否训练翻拍模型” 本次教程案例不涉及翻拍，此处无需修改保持默认即可。 “翻拍模型训练” 本次教程案例不涉及翻拍，输入的三个目录参数选择任意三个OBS目录即可。 “是否训练相似度模型” 本次教程案例不涉及相似度，此处无需修改保持默认即可。 “相似度模型训练” 本次教程案例不涉及相似度，输入的两个目录参数选择任意两个OBS目录即可。 “是否训练价签模型” 本次教程案例不涉及价签识别，此处无需修改保持默认即可。 “发布标注任务版本” 本次教程案例不涉及价签识别，输入的数据集选择任意一个数据集和任意一个版本即可。 “价签检测模型训练” 本次教程案例不涉及价签识别，此处无需修改保持默认即可。 “是否训练SKU模型” 需要将is_sku_train的开关打开。 “sku检测模型训练” 保持默认即可。 “切分检测数据” 这一步骤需要配置的参数为label_txt，其是标准标签名称列表文件，即本次标注的数据集使用了哪几个类别，选择OBS目录下事先准备好的txt文件即可。 synonym_txt参数的配置在第一次使用过程中选择一个空的txt文件即可。 “裁剪训练图片” 保持默认即可。 “裁剪验证图片” 保持默认即可。 “裁剪背景图片” 保持默认即可。 “清洗分类数据” 保持默认即可。 “分类算法训练” 保持默认即可。 “分类精度验证” 保持默认即可。 “提取训练特征” 保持默认即可。 “提取验证特征” 保持默认即可。 “是否训练SKU场景识别模型” 本次教程案例不涉及场景识别，此处无需修改保持默认即可。 “场景识别模型训练” 本次教程案例不涉及场景识别，输入选择任意一个OBS目录即可 “推理编排脚本” 保持默认即可。 “发布模型” 选择零售工作流需要的容器镜像。 4. 完成以上节点参数配置后，在Workflow页面右上角单击“保存配置”。 启动Workflow 在Workflow页面右上角单击“启动”，自动跳转至工作流运行总览页面。 您可以在运行状态区域，查看节点的运行状态，节点运行成功后自动运行下一个训练节点。 部署服务的配置要在所有节点运行完成后，才能进行配置。“创建模型”节点运行成功后选择AI应用管理查看运行成功的AI应用。 针对该应用选择部署在线服务，运行部署服务，等待一段时间服务变为运行中： 父主题： 实施步骤

资源和成本规划 该解决方案主要部署如下资源，以下花费仅供参考，具体请参考华为云官网价格详情，实际收费以账单为准： 表1 资源和成本规划 华为云服务 配置示例 每月预估花费 对象存储服务（多AZ存储） 按需计费（存储费用）：0.139元/GB 按需计费（流量费用）：0.5元/GB 按需计费（请求费用）：0.01元/1W次 区域：华北-北京四 计费模式：按需计费 0.139 * 1024 + 0.5 * 100 + 0.01 * 1500 = 207.34元 ModelArts（计算型GPU（V100 NVLINK_32G）实例） 按需计费：28元/小时 区域：华北-北京四 计费模式：按需计费 规格：8核64GB(CPU), V100(GPU) 购买量：1 28 * 20 = 560元 ModelArts（计算型GPU(T4 8U32G) 实例） 包月：4569.2元/月 区域：华北-北京四 计费模式：按月计费 规格：8核23GB（CPU），T4(GPU) 购买量：2 4569.2 * 2 =9138.4元 合计 - 9,905.74元

方案优势 丰富场景： 大模型图像匹配算法，更好适应门头文字遮挡、无牌匾、多门头混淆情况，精准识别翻拍(夜间、强光照等)，批量货架重复检测，拦截跨店照片作弊行为等。 精准快速： 准确定位SKU位置信息(货架、堆头、端架、冰柜等)，针对倾斜货架也能具备高识别率，图像和SKU匹配双核验重复检测，去重效果更好，新品SKU分钟级快速更新上线等 降本增效： 按需付费，用户只需花费少量成本，即可代替人工审核员审核访销数据，提升业务效率。

应用场景 该解决方案有何用途？ 华为云智能零售提供了一个开箱即用的零售企业智能巡店的解决方案。在零售行业，企业通过拜访全国各线下店铺，帮助企业洞察店面的开张、陈列、形象、活动等情况，从而保证产品陈列和⼴告宣传效果，支撑营销决策。 该解决方案能够助⼒零售⾏业数字化转型，提供更高效、便捷、准确、全⾯的巡店AI方案，极大降低人力成本，提升工作效率，有效防止作弊行为，精准完成产品盘点，保证宣传效果，抢占优质市场资源。 该解决方案包含了如下各种场景： 门店签到 陈列盘点 作弊检测

方案架构 该解决方案基于华为云ModelArts搭建了一套端到端的智能零售工作流，考虑企业级客户的工业化部署使用，该解决方案支持定时调用功能与资源统一管理功能，整体架构 如图所示。 图1 方案架构图 该解决方案会部署如下资源： 创建1个对象存储服务OBS桶，用于存储AI算法训练需要的数据，线下收集的图像数据进行标注并上传到该OBS桶；同时该OBS桶也用来存储零售算法训练的结果文件，用于最终零售智能巡店服务的部署。 按需购买计算型GPU（V100 NVLINK_32G）实例，用于训练收集并标注好的零售数据。 创建1个计算型GPU(T4 8U32G) 实例，用于零售智能巡店服务的部署，该服务后续提供包括门店签到（门头照相似度判断）、货架陈列盘点（SKU识别+排面分析）、广宣识别、作弊检测（翻拍识别）等零售终端拜访业务。

约束与限制 该解决方案部署前，需 注册华为账号 并开通华为云，完成实名认证，且账号不能处于欠费或冻结状态。如果计费模式选择“包年包月”，请确保账户余额充足以便一键部署资源的时候可以自动支付；或者在一键部署的过程进入费用中心，找到“待支付订单”并手动完成支付。 该方案图片数据的标注工作需要提前离线完成。 数据要求:针对SKU检测数据集，需要提前基于labelimg等画box框的方式提前完成，并上传至ModelArts数据管理服务创建好数据集。 卸载解决方案前，请先确保OBS桶中无数据，否则解决方案将卸载失败。 该解决方案暂时不支持OBS上传KMS加密文件。

服务访问配置概述 在公有云场景下，将应用成功部署到基础版数据建模引擎上后，可使用iDME提供的默认公网域名访问应用运行态。为了提升应用运行态的访问安全性，建议开启域名防护和进行访问控制配置。如果还想在Internet上使用自定义域名来访问应用运行态，您可以通过配置自定义域名实现。如果想实现安全的HTTPS访问，您可以通过配置HTTPS证书实现应用运行态的安全访问。 仅公有云场景下的基础版数据建模引擎支持以下配置： 配置自定义域名 配置域名防护 配置访问控制 配置HTTPS证书 在边缘云场景下，您可以通过将弹性公网IP绑定到数据建模引擎上，部署在此运行服务的应用便可与公网通信。绑定弹性公网IP后，如您不再需要与公网通信时，也可将服务与弹性公网IP解绑。详细操作请参见绑定和解绑弹性公网IP。 以下为您介绍服务访问配置管理中各配置的详细操作步骤：

绑定和解绑弹性公网IP 弹性公网IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定，提供访问公网和被公网访问的能力。 绑定弹性公网IP：通过将弹性公网IP绑定到边缘云场景下的基础版数据建模引擎上，部署在此运行服务的应用便可与公网通信。此时，您便可通过公网地址访问应用运行态。 解绑弹性公网IP：绑定弹性公网IP后，如您不再需要与公网通信时，可将服务与弹性公网IP解绑。 登录iDME控制台。 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。 （可选）如果同时有部署在“公有云”上和“边缘云”上的服务，请切换到边缘云。 找到待操作的运行服务，通过服务名称链接进入详情页。 单击“连接管理”，进入连接管理页签。 绑定弹性公网IP。 单击“绑定”，弹出的“绑定公网IP”窗口。 选择需要绑定的弹性公网IP，单击“确定”。 完成绑定后，可以在详情页查看已绑定的弹性公网IP。 如果没有可用的弹性公网IP，单击“查看弹性公网IP地址”，创建新的弹性公网IP。 如果待绑定弹性公网IP的运行服务已部署应用，在完成绑定弹性公网IP后，需要重新部署应用才可在该应用运行态生效。 解绑弹性公网IP。 单击“解绑”，弹出的“解绑公网IP”窗口。 根据提示输入指令，单击“确定”。