华为云用户手册

开启并配置资源记录器 开启并配置资源记录器后，当您的资源变更（被创建、修改、删除）、资源关系变更时，您均可收到通知，同时还可对您的资源变更消息和资源快照进行定期存储。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源记录器”，进入“资源记录器”页面。 打开资源记录器开关，在弹出的确认框中单击“是”，资源记录器开启成功。 图1 开启资源记录器 选择资源的监控范围。 默认情况下，资源记录器的监控范围会覆盖当前所有支持的资源。您可以修改资源记录器的监控范围，选择指定的资源类型进行监控。 图2 选择监控范围 配置资源转储。 选择OBS桶，用于存储资源变更消息及资源快照。如无OBS桶，则需先创建OBS桶，详见《 对象存储服务 用户指南》。 配置当前账号下OBS桶： 选择您账号下的OBS桶，用于存储资源变更消息及资源快照，如果用于转储的OBS桶指定了前缀，则还需添加桶前缀。如您的账号下无OBS桶，则需先创建OBS桶，详见《对象存储服务用户指南》。 配置其他账号下OBS桶： 选择“另一账号的桶”，并输入区域ID和桶名称，如果用于转储的OBS桶指定了前缀，则还需添加桶前缀。需先使用其他账号对当前账号授予相关OBS桶的权限，具体操作请参见跨账号授权。 开启资源记录器时，如果指定了当前账号或其他账号下的OBS桶，Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件，此文件用来验证资源转储是否能够成功写入OBS桶。 图3 配置资源转储 配置数据保留周期。 资源记录器收集到的资源配置信息数据默认保留7年（2557天），您可以将配置信息数据设置自定义保留周期，自定义数据保留周期的可设置范围为最短30天，最长7年（2557天）。 虽然Config使用 SMN 和OBS发送资源变更 消息通知 和存储资源变更消息及资源快照，但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config，不会对SMN和OBS存储的数据产生影响。 当您配置数据保留周期后，Config会在指定周期内保留您的资源历史数据，超出指定周期的数据将会被删除。 图4 配置数据保留周期 开启并配置消息通知（SMN）主题。 打开主题开关，选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见《消息通知服务用户指南》。 配置当前账号下消息通知主题： 选择“您自己的主题”，并选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见《消息通知服务用户指南》。 配置其他账号下消息通知主题： 选择“另一账号的主题”，并输入主题URN。需先使用其他账号对当前账号授予相关SMN主题的权限，具体操作请参见跨账号授权。 创建SMN主题后，还需执行“添加订阅”和“请求订阅”操作，消息通知才会生效。详见《消息通知服务用户指南》。 图5 配置SMN主题 进行授权，选择“快速授权”或“自定义授权”。 快速授权：将为您快速创建一个名为“rms_tracker_agency”的委托权限，该权限是可以让资源记录器正常工作的权限，包含调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限（例如SMN Administrator和OBS OperateAccess权限）。由于快速授权的委托中并不包含KMS的相关权限，因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要，您可以在委托中添加对应权限（KMS Administrator）或使用自定义授权，具体请参见资源变更消息和资源快照转储至OBS加密桶。 自定义授权：您可自行在 统一身份认证 服务（ IAM ）中创建委托权限，并进行自定义授权，授权对象为云服务 RMS ，但必须包含可以让资源记录器正常工作的权限（调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限）。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中，还需要添加KMS的密钥管理员权限（KMS Administrator），具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见《统一身份认证服务用户指南》。 此处的授权为委托授权，授权消息通知服务（SMN）的发送通知权限和对象存储服务（OBS）的写入权限给Config服务，允许资源记录器将消息通知发送到您的SMN主题和将资源变更消息以及资源快照存储到您的OBS桶。 图6 授权 配置完成后，单击“保存”。 在弹出的确认框中单击“是”，资源记录器配置成功。

操作场景 您必须先开启资源记录器，然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。 资源记录器配置完毕后，您可以随时修改资源记录器的配置或关闭资源记录器。 开启、配置、修改资源记录器必须拥有Config配置资源记录器的权限，关于Config权限请参阅权限管理。 本章节包含如下内容： 开启并配置资源记录器 修改资源记录器 关闭资源记录器 跨账号授权 资源变更消息和资源快照转储至OBS加密桶

规则详情 表1 规则详情 参数 说明 规则名称 iam-customer-policy-blocked-kms-actions 规则展示名 IAM策略中不存在KMS的任一阻拦action 规则描述 IAM策略中存在KMS的任一阻拦action，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns：KMS的阻拦action列表，数组类型。

其他操作 您可以修改预设查询或已有自定义查询的名称、描述和查询语句，“另存为”后产生新的查询，具体请参考其他操作。 如果您需要查看某个查询的名称、描述和查询语句，请参考查看查询。 如果您需要修改某个自定义查询的查询语句，请参考修改查询。 如果您不需要使用某个自定义的查询，删除操作请参考删除查询。预设查询不支持删除操作。 使用资源聚合器高级查询的相关功能，必须先指定需要查询的资源聚合器，从而定义您的查询范围，对指定聚合器聚合的多个源账号下的资源进行高级查询。

概述 资源聚合器提供高级查询能力，通过使用ResourceQL自定义查询单个或多个聚合源账号的资源配置状态。 高级查询支持用户自定义查询和浏览华为云云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 您可以使用Config预设的查询语句，或根据资源配置属性自定义查询语句，查询具体的云资源配置。 ResourceQL是结构化的查询语言 (SQL) SELECT 语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。

新建查询 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“高级查询”，进入“高级查询”页面。 选择“自定义查询”页签，单击页面右上角的“新建查询”。 在右侧的“查询范围”页面中选择需要查询资源配置的聚合器，然后在下方输入框中输入查询语句。 页面左侧为高级查询使用的Schema信息，也就是查询语句中properties参数需要填写的内容，为各个云服务资源类型的详细属性。查询语句的配置样例请参见高级查询配置样例。 单击“保存查询”，输入查询名称和描述。 查询名称仅支持输入数字、英文字母、下划线和中划线。 单击“确认”，保存成功。 图1 保存查询 如果您的自定义查询达到限额，将无法单击“保存查询”，同时页面提示“自定义查询个数已达到上限，请删除暂不需要使用的查询。”。 当自定义查询达到限额，您可以运行查询条件，并导出查询结果。 单击“运行”，查看查询结果。目前只支持展示和导出前4000条查询结果。 单击“导出”，选择要导出的文件格式（ CS V格式或JSON格式）。

使用限制 执行高级查询必须拥有“rms:aggregatorResources:runQuery”权限，且账号需要开启资源记录器。 为避免单用户长时间查询占用资源，影响其他用户，对高级查询功能做以下限制： 单次查询语句的执行时长不能超过15秒，否则会返回超时错误。 单次查询语句查询大量数据，会返回查询数据量过大的报错，需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 高级查询功能依赖于资源记录器所收集的资源数据，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则高级查询语句无法查询到任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则高级查询语句仅能查询到所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则高级查询语句仅能查询到资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

规则详情 表1 规则详情 参数 说明 规则名称 function-graph-concurrency-check 规则展示名 函数工作流 的函数并发数在指定范围内 规则描述 FunctionGraph函数的并发数不在指定的范围内，视为“不合规”。 标签 fgs 规则触发方式 配置变更 规则评估的资源类型 fgs.functions 规则参数 concurrencyLimitLow： 最小并发数，整数类型。 concurrencyLimitHigh：最高并发数，整数类型。

规则详情 表1 规则详情 参数 说明 规则名称 css-cluster-in-vpc 规则展示名 CSS 集群绑定指定VPC资源 规则描述 CSS集群未与指定的虚拟私有云资源绑定，视为“不合规”。 标签 css 规则触发方式 配置变更 规则评估的资源类型 css.clusters 规则参数 authorizedVpcIds：指定的虚拟私有云ID（VPC ID）列表，如果列表为空，表示允许所有值；数组类型，最多包含10个元素。

默认规则 此表中的建议项编号对应cybersecurity-guide-for-smes中参考文档的章节编号，供您查阅参考。 表1 适用于中小企业的ENISA的标准合规包默认规则说明 建议项编号 建议项说明 合规规则 指导 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-data-guard-job-not-public 确保 数据复制服务 实时灾备任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-migration-job-not-public 确保数据复制服务实时迁移任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 drs-synchronization-job-not-public 确保数据复制服务实时同步任务不能公开访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 ecs-instance-no-public-ip 由于华为云弹性云服务器实例可能包含敏感信息，确保华为云弹性云服务器实例无法公开访问来管理对华为云的访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 mrs-cluster-no-public-ip 确保 MapReduce服务 无法公网访问。华为云MapReduce服务集群主节点可能包含敏感信息，并且此类账号需要访问控制。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 rds-instance-no-public-ip 确保云数据库无法公网访问，管理对华为云中资源的访问。云数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 cts-kms-encrypted-check 确保 云审计 服务的追踪器已配置KMS加密存储用于归档的审计事件。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保弹性文件服务已通过KMS进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 css-cluster-disk-encryption-check 确保 云搜索服务 集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 css-cluster-disk-encryption-check 确保 云搜索 服务集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 iam-policy-no-statements-with-admin-access 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 private-nat-gateway-authorized-vpc-only 确保NAT私网网关仅连接到授权的虚拟私有云中，管理对华为云中资源的访问。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 dws-enable-ssl 确保 数据仓库 服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 dws-enable-kms 确保数据仓库服务的集群启用KMS磁盘加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 gaussdb-nosql-enable-disk-encryption 确保 GaussDB NoSQL启用KMS磁盘加密。 1_DEVELOP GOOD CYBERSECURITY CULTURE: REMEMBER DATA PROTECTION 根据欧盟一般数据保护条例1，任何处理或存储属于欧盟/欧洲经济区居民的个人数据的中小企业都需要确保有适当的安全控制来保护这些数据。这包括确保代表中小企业工作的任何第三方都有适当的安全措施。 vpc-sg-ports-check 确保虚拟私有 云安全 组上的端口受到限制，管理对华为云中资源的访问。 5_SECURE AC CES S TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 5_SECURE ACCESS TO SYSTEMS 鼓励每个人使用密码短语，至少三个随机的常用词组合成一个短语，提供了一个非常好的记忆性和安全性的组合。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 6_SECURE DEVICES: KEEP SOFTWARE PATCHED AND UP TO DATE 理想情况下，使用集中式平台管理修补。强烈建议中小企业：定期更新其所有软件，尽可能打开自动更新，确定需要手动更新的软件和硬件，考虑移动和物联网设备。 cce-cluster-end-of-maintenance-version 确保CCE集群版本为处于维护中的版本。 6_SECURE DEVICES: KEEP SOFTWARE PATCHED AND UP TO DATE 理想情况下，使用集中式平台管理修补。强烈建议中小企业：定期更新其所有软件，尽可能打开自动更新，确定需要手动更新的软件和硬件，考虑移动和物联网设备。 cce-cluster-oldest-supported-version 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保弹性文件服务已通过KMS进行加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-disk-encryption-check 确保CSS集群开启磁盘加密。由于敏感数据可能存在，请在传输中启用加密以帮助保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 css-cluster-https-required 开启HTTPS访问后，访问集群将进行通讯加密。关闭HTTPS访问后，会使用HTTP协议与集群通信，无法保证数据安全性，并且无法开启公网访问功能。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 rds-instances-enable-kms 为了帮助保护静态数据，请确保为您的华为云RDS实例启用加密。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 dws-enable-kms 确保数据仓库服务的集群启用KMS磁盘加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 gaussdb-nosql-enable-disk-encryption 确保GaussDB NoSQL启用KMS磁盘加密。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 apig-instances-ssl-enabled 确保使用SSL证书配置华为云API网关REST API阶段，以允许后端系统对来自API网关的请求进行身份验证。 6_SECURE DEVICES: ENCRYPTION 通过加密数据来保护数据。中小企业应确保存储在笔记本电脑、智能手机和桌子等移动设备上的数据是加密的。对于通过公共网络（如酒店或机场WiFi网络）传输的数据，确保通过使用虚拟专用网（VPN）或使用SSL/TLS协议通过安全连接访问网站来加密数据。确保他们自己的网站使用适当的加密技术来保护客户端数据在互联网上传输时。 dws-enable-ssl 确保数据仓库服务需要SSL加密才能连接到数据库客户端。由于敏感数据可能存在，因此在传输过程中启用加密以帮助保护该数据。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的IP地址，确保对安全组内资源实例的访问。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 7_SECURE YOUR NETWORK: EMPLOY FIREWALLS 防火墙管理进出网络的流量，是保护中小企业系统的关键工具。应部署防火墙来保护所有关键系统，特别是应使用防火墙来保护中小企业的网络免受互联网的侵害。 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 apig-instances-execution-logging-enabled 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 cts-lts-enable 确保使用 云日志 服务集中收集云审计服务的数据。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 cts-tracker-exists 确保账号已经创建了 CTS 追踪器，云审计服务用于记录华为云管理控制台操作。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 multi-region-cts-tracker-exists 云审计服务提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 7_SECURE YOUR NETWORK: REVIEW REMOTE ACCESS SOLUTIONS 中小企业应定期审查任何远程访问工具，以确保它们的安全，特别是：1、确保所有远程访问软件都已修补和更新。2、限制来自可疑地理位置或某些IP地址的远程访问。3、限制员工仅远程访问他们工作所需的系统和计算机。4、强制使用强密码进行远程访问，并在可能的情况下启用多因素身份验证。5、确保启用监控和警报，以警告可疑攻击或异常可疑活动。 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 rds-instance-enable-backup 确保云数据库资源开启备份。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 dws-enable-snapshot 自动快照采用差异增量备份，当创建集群时，自动快照默认处于启用状态。当集群启用了自动快照时，DWS将按照设定的时间和周期以及快照类型自动创建快照，默认为每8小时一次。用户也可以对集群设置自动快照策略，并根据自身需求，对集群设置一个或多个自动快照策略。 9_SECURE BACKUPS 要恢复密钥形成，应维护备份，因为它们是从勒索软件攻击等灾难中恢复的有效方法。应适用以下备份规则：1、备份是定期和自动化的，2、备份与中小企业的生产环境分开保存，3、备份是加密的，特别是如果备份要在不同地点之间移动，4、测试定期从备份中恢复数据的能力。理想情况下，应定期测试从头到尾的完整恢复。 gaussdb-nosql-enable-backup 确保GaussDB NoSQL开启备份。

查看部署至成员账号中的组织合规规则包 以组织成员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 在“合规规则包”页签下，单击合规规则包列表中的某个组织合规规则包名称，进入合规规则包详情页。 在详情页中可以查看合规规则包的基本信息和配置的参数值，以及下发的合规规则列表和每条合规规则的合规评估结果。 在“规则”列表单击某个规则的“规则名称”，界面将跳转至“资源合规”的“规则详情”页面，并自动筛选出此规则评估出的不合规资源。 图2 查看部署至成员账号中的组织合规规则包 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包，系统将自动在合规规则包名称前添加“Org-”字段。 组织内的成员账号只能触发组织合规规则包部署规则的评估和查看规则评估结果以及详情，不支持删除组织合规规则包的操作。

查看组织合规规则包 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 选择“组织合规规则包”页签，在列表中可查看所有已创建的组织合规规则包，还可以查看各组织合规规则包的部署状态。 在列表中单击需要查看的组织合规规则包名称，进入组织合规规则包详情页。 页面左侧为组织合规规则包部署账号和排除账号的相关信息，页面右侧为组织合规规则包的详情和参数。 图1 组织合规规则包详情页 组织合规规则包的部署状态有以下几种： 已部署：合规规则包已部署成功，合规规则均创建成功。 部署中：合规规则包正在部署中，合规规则正在创建中。 部署异常：合规规则包部署失败。 回滚成功：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 回滚中：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 回滚失败：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在 RFS 服务查看失败原因。 删除中：合规规则包正在删除中，合规规则正在删除中。 删除异常：合规规则包删除失败。 更新成功：合规规则包修改并更新成功。 更新中：合规规则包修改更新中。 更新失败：合规规则包修改更新失败。

操作场景 组织账号可以通过列表查看自己创建的组织合规规则包及其详情，并支持在列表中进行搜索过滤操作，但无法看到组织内其他账号添加的组织合规规则包。 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行，组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 本章节包含查看组织合规规则包和查看部署至成员账号中的组织合规规则包两部分内容。

规则详情 表1 规则详情 参数 说明 规则名称 elb-members-weight-check 规则展示名 ELB后端服务器权重检查 规则描述 后端服务器的权重为0，且其所属的后端服务器组的负载均衡算法不为“SOUCE_IP”时，视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 weight：后端云服务器的权重，请求将根据后端服务器组配置的负载均衡算法和后端云服务器的权重进行负载分发。 权重值越大，分发的请求越多。 取值范围：0-100。

适用于日志和监控的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则中文描述 修复项指导 alarm-action-enabled-check 启用了CES告警操作 ces 确保启用了CES告警操作,用户对云服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时, 云监控服务 使用消息通知服务向用户通知告警信息。 CES告警操作未启用，视为“不合规” 您需要在消息通知服务界面创建一个主题并为这个主题添加相关的订阅者，然后在添加告警规则的时候，您需要开启消息通知服务并选择创建的主题，这样在云服务发生异常时， 云监控 服务可以实时的将告警信息以广播的方式通知这些订阅者。 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 APIG专享版实例未配置访问日志，视为“不合规” 可以在API网关控制台选择启动日志记录 as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 根据ELB对云服务器的健康检查结果进行的检查，健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规” 如果您将多个负载均衡器添加到伸缩组，则只有在所有负载均衡器均检测到云服务器状态为正常的情况下，才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常，伸缩组会将该弹性云服务器移出伸缩组。 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 CTS追踪器未通过KMS进行加密，视为“不合规” 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 cts-lts-enable CTS追踪器启用事件分析 cts 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 CTS追踪器未启用事件分析，视为“不合规” 开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS服务桶。 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 cts-support-validate-check CTS追踪器打开事件文件校验 cts 在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 CTS追踪器未打开事件文件校验，视为“不合规” 在配置转储页面打开“文件校验”开关，即可开启事件文件完整性校验功能。 cts-tracker-exists 创建并启用CTS追踪器 cts 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 账号未创建CTS追踪器，视为“不合规” 可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 dws-enable-log-dump DWS集群启用日志转储 dws GaussDB(DWS) 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中，您可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。 DWS集群未启用日志转储，视为“不合规” GaussDB(DWS) 集群创建成功后，您可以为集群开启审计日志转储，将审计日志转储到OBS中，方便查看。 function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph会根据实际的请求情况自动弹性伸缩函数实例，并发变高时，会分配更多的函数实例来处理请求，并发减少时，相应的实例也会变少。此规则可确保建立函数工作流（FunctionGraph）的并发上限和下限。 FunctionGraph函数并发数不在指定的范围内，视为“不合规” 对于不合规的实例，在函数详情页可以修改函数并发数的值。 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。 账号未在指定region列表创建CTS追踪器，视为“不合规” 您可以进入指定区域云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 rds-instance-logging-enabled RDS实例配备日志 rds 确保rds资源配备了访问日志。配置访问日志后，RDS实例新生成的日志记录会上传到云日志服务（Log Tank Service，简称LTS）进行管理。 未配备任何日志的RDS资源，视为“不合规” 您可以为不合规的RDS资源配置访问日志。方式为：登录RDS管理控制台，选择日志配置管理，选择为一个或多个实例配置访问日志。 vpc-flow-logs-enabled VPC启用流日志 vpc VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” 您可以为不合规的VPC资源开启流日志记录，方式为：创建日志组、日志流之后，进入VPC流日志列表页面创建VPC流日志，按照提示配置参数。 父主题： 合规规则包示例模板

规则详情 表1 规则详情 参数 说明 规则名称 approved-ims-by-tag 规则展示名 ECS的镜像在指定Tag的IMS的范围内 规则描述 ECS云主机的镜像不在指定Tag的IMS镜像的范围内，视为“不合规”。 标签 ecs、ims 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 specifiedIMSTagKey：指定的IMS镜像的标签键，字符串类型。 specifiedIMSTagValue：指定的IMS镜像的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。

约束与限制 开启并配置资源记录器时，“主题”和“资源转储”至少需要配置一个。 在配置资源记录器时，配置了“主题”，但只创建了SMN主题，未添加订阅以及执行请求订阅，在资源发生变更时，将无法收到消息通知。 未在资源记录器监控范围内勾选的资源，不会更新资源的最新数据。 资源记录器收集到的资源配置信息数据默认保留7年（2557天）。 Config服务的相关功能均依赖于资源记录器收集的资源数据，不开启资源记录器将会影响其他功能的正常使用，例如资源清单页面无法获取资源最新数据、合规规则无法进行准确的资源评估、资源聚合器无法聚合源账号的资源数据等，因此强烈建议您保持资源记录器的开启状态。

概述 资源记录器为您提供面向资源的配置记录监控能力，帮您轻松实现海量资源的自主监管，用来跟踪您在云平台上的资源变更情况。 资源记录器可以为您提供以下功能： 在资源被创建、修改或删除时发送通知给您； 在资源关系发生变更时发送通知； 对资源变更消息进行定期（6小时）存储； 对资源快照进行定期（24小时）存储。 资源记录器支持的资源，请参阅支持的服务和区域。 资源记录器支持的资源关系，请参阅支持的资源关系。

基本概念 示例模板： 配置审计 服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模版”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模版”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建与删除行为最终是通过资源栈来实现的。资源栈是 资源编排 服务的概念，详见资源栈。 状态： 合规规则包的部署状态。包括以下几种情况： 已部署：合规规则包已部署成功，合规规则均创建成功。 部署中：合规规则包正在部署中，合规规则正在创建中。 部署异常：合规规则包部署失败。 回滚成功：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 回滚中：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 回滚失败：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 删除中：合规规则包正在删除中，合规规则正在删除中。 删除异常：合规规则包删除失败。 更新成功：合规规则包修改并更新成功。 更新中：合规规则包修改更新中。 更新失败：合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 快速授权：快速授权将为您快速创建一个名为“rms_conformance_pack_agency”的委托，该权限是可以让合规规则包创建和删除的委托，该委托的权限包含授权资源编排服务（RFS）创建、更新和删除合规规则的权限。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-images-by-id 规则展示名 ECS实例的镜像ID在指定的范围 规则描述 指定允许的镜像ID列表，ECS实例的镜像ID不在指定的范围内，视为“不合规”。 标签 ecs、ims 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 listOfAllowedImages：允许的镜像ID列表，数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 private-nat-gateway-authorized-vpc-only 规则展示名 NAT私网网关绑定指定VPC资源 规则描述 私网NAT网关 未与指定的VPC资源绑定，视为“不合规”。 标签 nat 规则触发方式 配置变更 规则评估的资源类型 nat.privateNatGateways 规则参数 authorizedVpcIds：指定的虚拟私有云ID列表，如果列表为空，表示允许所有值；数组类型，最多包含10个元素。

默认规则 此表中的建议项编号对应HKMA.2022.08.31中参考文档的章节编号，供您查阅参考。 表1 HKMA云计算指南 建议项编号 建议项说明 合规规则 指导 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-group-has-users-check 确保IAM群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-user-group-membership-check 确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-root-access-key-check 确保删除根访问密钥，从而帮助您限制访问权限和授权。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 kms-rotation-enabled 启用密钥轮换，确保密钥在加密周期结束后轮换。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 iam-password-policy 识别登录用户的密码强度符合要求。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 cts-support-validate-check 启用云审计服务追踪器的日志文件校验，验证日志文件转储后是否被修改、删除或未更改。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 rds-instances-enable-kms 确保云数据库(RDS)实例启用了加密。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 dcs-redis-enable-ssl 为了帮助保护传输中的敏感数据，确保为Redis启用SSL协议。 此表中的建议项编号对应SA-2中参考文档的章节编号，供您查阅参考。 表2 SA-2 外包 建议项编号 建议项说明 合规规则 指导 2.5.1 根据采用的云部署模型，包括应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 cts-kms-encrypted-check 由于日志可能存在敏感数据，请确保云审计服务的追踪器已启用加密事件文件。 2.5.1 应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 rds-instances-enable-kms 确保云数据库实例已启用加密。 2.5.1 应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 css-cluster-disk-encryption-check 确保云搜索服务集群开启磁盘加密。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 vpc-flow-logs-enabled VPC流日志提供了虚拟私有云的流量信息的详细记录。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 apig-instances-execution-logging-enabled API网关日志记录访问API的用户的详细视图以及访问API的方式，实现用户活动的可见性。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 cts-lts-enable 使用云审计服务集中收集和管理日志事件活动。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 cts-support-validate-check 启用云审计服务追踪器的日志文件校验，验证日志文件转储后是否被修改、删除或未更改。 此表中的建议项编号对应OR-2中参考文档的章节编号，供您查阅参考。 表3 OR-2 运营恢复能力 建议项编号 建议项说明 合规规则 指导 4.2.2 应注意在不同的业务周期或受季节因素影响时，其运作能力有所不同。例如，较多首次公开发行股票时，交易系统会有较大压力。 as-group-elb-healthcheck-required 弹性负载均衡定期发送网络请求，以测试弹性伸缩组中的云服务器的运行状况。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 as-multiple-az 弹性伸缩在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 css-cluster-multiple-az-check 云搜索服务在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 elb-multiple-az-check 弹性负载均衡在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 rds-instance-multi-az-support 云数据库在多可用区中部署，以帮助保持足够的容量和可用性。 6.2 业务操作风险管理的重点是防范及减少运作损失，有助认可机构维持运作稳健性。 kms-not-scheduled-for-deletion 确保KMS密钥未处于“计划删除”状态，防止被意外或恶意删除。 此表中的建议项编号对应TM-G-1中参考文档的章节编号，供您查阅参考。 表4 TM-G-1 科技风险管理总体原则 建议项编号 建议项说明 华为云合规规则 指导 3.1.4 应采用业内认可的加密解决方案及稳健的密钥管理手法，以保护有关的加密密钥。 kms-not-scheduled-for-deletion 帮助检查所有计划删除的密钥，以防计划删除是无意的。 3.1.4 应采用业内认可的加密解决方案及稳健的密钥管理手法，以保护有关的加密密钥。 kms-rotation-enabled 启用密钥轮换，确保密钥在加密周期结束后轮换。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 iam-password-policy 识别登录用户的密码强度符合要求。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 access-keys-rotated 定期更改访问密钥是安全最佳实践，它缩短了访问密钥的活动时间。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 iam-user-mfa-enabled 确保为所有用户启用多因素身份验证（MFA）。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 root-account-mfa-enabled 确保为root用户启用多因素身份验证（MFA）。 3.3.1 监控系统资源的使用，以侦测是否有异常或未经授权进行的活动。 cts-tracker-exists 启用云审计服务，可以记录华为云管理控制台操作和API调用。 3.3.1 监控系统资源的使用，以侦测是否有异常或未经授权进行的活动。 cts-lts-enable 使用云审计服务集中收集和管理日志事件活动。 3.3.2 应在安全管理职能上进行职责分离，或采取其他补偿措施，以减少未授权行为。 iam-role-has-all-permissions 确保IAM用户权限仅限于所需的操作，避免用户的权限违反最小权限和职责分离原则。 5.2.1 应制定适当的程序，以确保持续监控应用系统的性能，并及时地、全面地汇报异常情况。 alarm-action-enabled-check 确保云监控服务创建的告警规则未停用。 6.2.1 为防止不安全的网络连接，应制定及执行有关使用网络及网络服务的程序。 ecs-instance-no-public-ip 弹性云服务器可能包含敏感信息，需要限制其从公网访问。 6.2.1 为防止不安全的网络连接，应制定及执行有关使用网络及网络服务的程序。 function-graph-public-access-prohibited 函数工作流的函数不能公网访问，公网访问可能导致数据泄漏或资源可用性下降。

规则详情 表1 规则详情 参数 说明 规则名称 required-tag-check 规则展示名 资源具有指定的标签 规则描述 指定一个标签，不具有此标签的资源，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 全部资源 规则参数 specifiedTagKey：指定的标签键，字符串类型。 specifiedTagValue：指定的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。 OBS、NAT资源暂不支持标签相关的检查能力，即不支持使用此合规规则进行资源合规检查。

适用于弹性负载均衡（ELB）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则中文描述 修复项指导 elb-loadbalancers-no-public-ip ELB资源不具有公网IP elb 确保弹性负载均衡（ELB）无法公网访问，管理对华为云中资源的访问。 ELB资源具有公网IP，视为“不合规” 用户可以解除不合规资源的公网绑定。 elb-predefined-security-policy-https-check ELB监听器配置指定预定义安全策略 elb 对于银行，金融类加密传输的应用 ，在创建和配置HTTPS监听器时，您可以选择使用安全策略，可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规“ 独享型负载均衡支持选择默认安全策略或创建自定义策略。您可以为HTTPS监听器选择指定的预定义安全策略。 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时，后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时，后端协议默认为“HTTP”，且不支持修改。如果您的独享型负载均衡实例类型为网络型（TCP/UDP），则无法创建HTTPS监听器。 父主题： 合规规则包示例模板

规则详情 表1 规则详情 参数 说明 规则名称 elb-predefined-security-policy-https-check 规则展示名 ELB监听器配置指定预定义安全策略 规则描述 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.loadbalancers 规则参数 predefinedPolicyName：指定的预定义安全策略名称，默认值为tls-1-0。 支持的枚举值：tls-1-0、tls-1-1、tls-1-2、tls-1-0-inherit、tls-1-2-strict、tls-1-0-with-1-3、tls-1-2-fs-with-1-3、tls-1-2-fs、hybrid-policy-1-0。更多信息请参见TLS安全策略。

概述 配置审计服务提供合规规则包的示例模板，帮助用户通过示例模板快速创建合规规则包，每个合规规则包的示例模板中包含都多个合规规则，也就是配置审计服务的预设策略，每个预设策略的具体说明请参见系统内置预设策略。您可以通过列举预定义合规规则包模板接口查看所有的合规规则包示例模板。 配置审计服务控制台当前提供如下合规规则包的示例模板： 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于统一身份认证服务（IAM）的最佳实践 适用于云监控服务（CES）的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器（ECS）的最佳实践 适用于弹性负载均衡（ELB）的最佳实践 适用于管理与监管服务的最佳实践 适用于云数据库（RDS）的最佳实践 适用于弹性伸缩（AS）的最佳实践 适用于云审计服务（CTS）的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 适用于空闲资产管理的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包 适用于SWIFT CSP的标准合规包 适用于德国云计算合规标准目录的标准合规包 适用于PCI-DSS的标准合规包 适用于医疗行业的合规实践 父主题： 合规规则包示例模板

规则详情 表1 规则详情 参数 说明 规则名称 iam-user-group-membership-check 规则展示名 IAM用户归属用户组 规则描述 IAM用户不属于任意一个IAM用户组，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 groupIds：指定的用户组ID列表，如果列表为空，表示允许所有值；数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 vpc-sg-restricted-common-ports 规则展示名 安全组入站流量限制指定端口 规则描述 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)，视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 blockedPorts：需要限制的端口列表，数组类型，默认值为（20，21，3306，3389）。 20：文件传输协议-数据端口。 21：文件传输协议-控制端口。 3306：mysql端口。 3389：远程桌面协定端口。

规则详情 表1 规则详情 参数 说明 规则名称 iam-policy-blacklisted-check 规则展示名 IAM策略黑名单检查 规则描述 IAM的用户、用户组或委托存在黑名单的策略，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users、iam.groups、iam.agencies 规则参数 blackListPolicyUrns：策略黑名单列表，数组类型。

高级查询概述 配置审计服务提供高级查询能力，通过使用ResourceQL自定义查询用户当前的单个或多个区域的资源配置状态。 高级查询支持用户自定义查询和浏览云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言 (SQL) SELECT 语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现： 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性（公网IP，加密磁盘）的资源的列表。 成本优化。例如检索未挂载到任何云服务器实例的云磁盘的列表，避免产生不必要的费用。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。 父主题： 高级查询