华为云用户手册

资源变更的 消息通知 模型 表1 资源变更的消息通知模型 参数 参数类型 描述 notification_type String 消息通知类型。此处的消息通知类型为“ResourceChanged”。 notification_creation_time String 消息发送时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 domain_id String 账号ID。 detail Object 消息详情。 表2 detail参数 参数 参数类型 描述 resource_id String 资源ID。 resource_type String 资源类型。 event_type Enum 事件类型（CREATE|UPDATE|DELETE）。 capture_time String 事件捕获时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 resource Object 资源详情。 表3 resource 参数 参数类型 描述 id String 资源ID。 name String 资源名称。 provider String 云服务名称。 type String 云资源类型。 region_id String 资源所在区域ID。 project_id String IAM 项目ID。 project_name String IAM项目名称。 ep_id String 企业项目ID。 ep_name String 企业项目名称。 checksum String 校验和。 created String 云资源初始创建时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 updated String 云资源最后更新时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 provisioning_state String 资源操作状态。 tags Map 租户为云资源做的标记。 properties Map 云资源的属性详情。

支持的资源关系 表1 支持的资源关系 服务 资源类型 关系类型 相关云服务 相关资源类型 弹性云服务器 E CS 云服务器 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 企业主机安全 HSS 主机代理 MapReduce服务 MRS 弹性大数据服务 包含（contains） 云备份 存储库 绑定（isAttachedTo） 虚拟私有云 VPC 弹性公网IP 云备份 CBR 备份 云硬盘 EVS 磁盘 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 镜像服务 IMS 镜像 裸金属服务器 BMS 云服务器 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 绑定（isAttachedTo） 云硬盘 EVS 磁盘 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 镜像服务 IMS 镜像 云耀云服务器 HECS 云耀云服务器 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 包含（contains） 虚拟私有云 VPC 弹性公网IP 绑定（isAttachedTo） 云硬盘 EVS 磁盘 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 镜像服务 IMS 镜像 弹性伸缩 AS 弹性伸缩组 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 分布式缓存服务 DCS Memcached实例 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 节点 被包含（isContainedIn） 分布式缓存服务 DCS Redis实例 Redis实例 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 包含（contains） 分布式缓存服务 DCS 节点 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 弹性负载均衡 ELB 负载均衡器 包含（contains） 弹性负载均衡 ELB 监听器 绑定（isAttachedTo） 虚拟私有云 VPC 弹性公网IP 弹性负载均衡 ELB 后端服务器组 弹性负载均衡 ELB 主备后端服务器组 监听器 被包含（isContainedIn） 弹性负载均衡 ELB 负载均衡器 包含（contains） 弹性负载均衡 ELB 转发策略 绑定（isAttachedTo） 弹性负载均衡 ELB 后端服务器组 弹性负载均衡 ELB 主备后端服务器组 后端服务器组 包含（contains） 弹性负载均衡 ELB 后端服务器 绑定（isAttachedTo） 弹性负载均衡 ELB 负载均衡器 弹性负载均衡 ELB 监听器 主备后端服务器组 包含（contains） 弹性负载均衡 ELB 后端服务器 绑定（isAttachedTo） 弹性负载均衡 ELB 负载均衡器 弹性负载均衡 ELB 监听器 转发策略 被包含（isContainedIn） 弹性负载均衡 ELB 监听器 后端服务器 被包含（isContainedIn） 弹性负载均衡 ELB 后端服务器组 弹性负载均衡 ELB 主备后端服务器组 虚拟私有云 VPC 虚拟私有云 包含（contains） 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云耀云服务器 HECS 云耀云服务器 弹性伸缩 AS 弹性伸缩组 分布式缓存服务 DCS Memcached实例 分布式缓存服务 DCS Redis实例 MapReduce服务 MRS 弹性大数据服务 虚拟私有云 VPC VPC流日志 虚拟私有云 VPC 弹性公网IP 安全组 关联（isAssociatedWith） 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云耀云服务器 HECS 云耀云服务器 弹性伸缩 AS 弹性伸缩组 分布式缓存服务 DCS Memcached实例 MapReduce服务 MRS 弹性大数据服务 分布式缓存服务 DCS Redis实例 被包含（isContainedIn） 虚拟私有云 VPC 弹性网卡 VPC流日志 被包含（isContainedIn） 虚拟私有云 VPC 子网 虚拟私有云 VPC 弹性网卡 虚拟私有云 VPC 虚拟私有云 弹性网卡 包含（contains） 虚拟私有云 VPC VPC流日志 虚拟私有云 VPC 安全组 子网 包含（contains） 虚拟私有云 VPC VPC流日志 带宽 包含（contains） 虚拟私有云 VPC 弹性公网IP 弹性公网IP 被包含（isContainedIn） 虚拟私有云 VPC 带宽 虚拟私有云 VPC 虚拟私有云 绑定（isAttachedTo） 弹性云服务器 ECS 云服务器 弹性负载均衡 ELB 负载均衡器 MapReduce服务 MRS 弹性大数据服务 NAT网关 公网NAT网关 云硬盘 EVS 磁盘 包含（contains） 云备份 CBR 存储库 绑定（isAttachedTo） 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云备份 CBR 备份 云耀云服务器 HECS 云耀云服务器 镜像服务 IMS 镜像 关联（isAssociatedWith） 弹性云服务器 ECS 云服务器 裸金属服务器 BMS 云服务器 云耀云服务器 HECS 云耀云服务器 NAT网关 公网NAT网关 绑定（isAttachedTo） 虚拟私有云 VPC 弹性公网IP 云数据库 GeminiDB 实例 包含（contains） 云数据库 GeminiDB 节点 节点 被包含（isContainedIn） 云数据库 GeminiDB 实例 云数据库 GaussDB 实例 包含（contains） 云数据库 GaussDB 节点 节点 被包含（isContainedIn） 云数据库 GaussDB 实例 MapReduce服务 MRS 弹性大数据服务 被包含（isContainedIn） 虚拟私有云 VPC 虚拟私有云 绑定（isAttachedTo） 虚拟私有云 VPC 弹性公网IP 关联（isAssociatedWith） 虚拟私有云 VPC 安全组 包含（contains） 弹性云服务器 ECS 云服务器 云容器引擎 CCE 集群 包含（contains） 云容器引擎 CCE 节点 节点 被包含（isContainedIn） 云容器引擎 CCE 集群 企业路由器 ER 连接 被包含（isContainedIn） 企业路由器 ER 实例 实例 包含（contains） 企业路由器 ER 连接 统一身份认证 服务 IAM 委托 关联（isAssociatedWith） 统一身份认证服务 IAM 策略 统一身份认证服务 IAM 权限 用户组 包含（contains） 统一身份认证服务 IAM 用户 关联（isAssociatedWith） 统一身份认证服务 IAM 策略 统一身份认证服务 IAM 权限 策略 关联（isAssociatedWith） 统一身份认证服务 IAM 委托 统一身份认证服务 IAM 用户组 统一身份认证服务 IAM 用户 权限 关联（isAssociatedWith） 统一身份认证服务 IAM 委托 统一身份认证服务 IAM 用户组 统一身份认证服务 IAM 用户 用户 关联（isAssociatedWith） 统一身份认证服务 IAM 策略 统一身份认证服务 IAM 权限 被包含（isContainedIn） 统一身份认证服务 IAM 用户组 云数据库 RDS 实例 包含（contains） 云数据库 RDS 节点 节点 被包含（isContainedIn） 云数据库 RDS 实例 配置审计 Config 合规规则包 包含（contains） 配置审计 Config 合规规则 合规规则 被包含（isContainedIn） 配置审计 Config 合规规则包 云备份 CBR 备份 绑定（isAttachedTo） 弹性云服务器 ECS 云服务器 云硬盘 EVS 磁盘 高性能弹性文件服务 SFS Turbo SFS Turbo 策略 绑定（isAttachedTo） 云备份 CBR 存储库 存储库 绑定（isAttachedTo） 云备份 CBR 策略 被包含（isContainedIn） 弹性云服务器 ECS 云服务器 云硬盘 EVS 磁盘 高性能弹性文件服务 SFS Turbo SFS Turbo 文档数据库服务 DDS 实例 包含（contains） 文档数据库服务 DDS 节点 节点 被包含（isContainedIn） 文档数据库服务 DDS 实例 企业主机安全 HSS 主机代理 包含（contains） 弹性云服务器 ECS 云服务器 Web应用防火墙 WAF 网站 被包含（isContainedIn） Web应用防火墙 WAF 防护策略 防护策略 包含（contains） Web应用防火墙 WAF 网站 高性能弹性文件服务 SFS Turbo SFS Turbo 包含（contains） 云备份 存储库 SFS Turbo 绑定（isAttachedTo） 云备份 备份 父主题： 附录

支持的服务和区域 Config支持的服务和区域请以控制台界面显示为准，具体如下： 登录管理控制台，进入“配置审计 Config”服务。 在“资源清单”页面单击“已支持的服务和区域”。 图1 查看Config支持的服务和区域 进入“已支持的服务和区域”页面，列表中显示当前Config已支持的服务、资源类型和区域等信息。 在列表上方的搜索框中可输入服务或资源类型名称进行搜索，还支持基于资源所在区域进行筛选。 父主题： 附录

规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-storageClass-check 规则展示名 OBS桶存储类型检查 规则描述 OBS桶的存储类型与指定的存储类型不一致，视为“不合规” 。 标签 obs 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 specifiedStorageClass：桶的存储类型检查，枚举类型，["STANDARD","WARM","COLD","DEEP_ARCHIVE"]。

规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-default-encryption-kms 规则展示名 OBS桶使用kms加密 规则描述 OBS桶未使用kms自定义密钥加密，视为“不合规”。 标签 obs 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 specifiedKmsIdList：桶的SSE-KMS加密模式的自定义密钥ID，数组类型。

应用场景 密钥对包含一个公钥和一个私钥，公钥自动保存在KPS（Key Pair Service）中，私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中，则可以使用私钥登录Linux云服务器，而不需要输入密码。使用密钥对方式登录有如下优势： 防止凭证泄露：通过配置密钥对并禁用密码登录，可以防止暴力破解攻击，因为私钥通常比密码更难被猜测或破解。 加密通信：密钥对使用非对称加密技术，确保 SSH 通信的安全性，防止中间人攻击。

规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-mysql-instance-in-vpc 规则展示名 TaurusDB实例VPC检查 规则描述 TaurusDB实例绑定的VPC不在对应VPC列表，视为“不合规”。 标签 taurusdb 规则触发方式 配置变更 规则评估的资源类型 gaussdbformysql.instance 规则参数 VpcIdList：指定允许绑定的VPC ID列表，数组类型。

应用场景 TaurusDB提供使用内网、公网、数据管理服务（DAS）和JDBC连接实例的方式。详见连接TaurusDB实例方式介绍。 TaurusDB服务推荐您通过内网方式连接实例。如果绑定弹性公网IP的话，数据库会有公网入口，这可能增加被攻击的风险，比如暴露端口导致恶意扫描或攻击。其次是性能方面，通过公网连接数据库可能增加延迟，因为流量需要经过公网，而内网通常带宽更高、延迟更低。详见TaurusDB安全最佳实践。

应用场景 一般来说数据库应该只在内网或者VPC内被访问，服务器通过内网连接数据库，以提高安全性。如果绑定弹性公网IP的话，数据库会有公网入口，这可能增加被攻击的风险，比如暴露端口导致恶意扫描或攻击。其次是性能方面，通过公网连接数据库可能增加延迟，因为流量需要经过公网，而内网通常带宽更高、延迟更低。 GaussDB提供使用gsql、DBeaver、Navicat和数据管理服务（简称DAS）连接实例的方式，详见GaussDB实例连接方式介绍。

规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-engine-version-check 规则展示名 RDS实例数据库引擎版本检查 规则描述 RDS实例数据库引擎的版本低于指定版本，视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 mysqlVersion：MySQL类型的数据库引擎指定的版本，建议按照对应版本号格式指定，例如8.0.28。 postgresqlVersion：PostgreSQL类型的数据库引擎指定的版本，建议按照对应版本号格式指定，例如10.16。 mariadbVersion：MariaDB类型的数据库引擎指定的版本，建议按照对应版本号格式指定，例如10.5。 sqlserverVersion：SQLServer类型的数据库引擎指定的版本，建议按照对应版本号格式指定，例如2017。

检测逻辑 RDS实例数据库MySQL类引擎的版本低于mysqlVersion参数指定版本，视为“不合规”。 RDS实例数据库MySQL类引擎的版本不低于mysqlVersion参数指定版本，视为“合规”。 RDS实例数据库PostgreSQL类引擎的版本低于postgresqlVersion参数指定版本，视为“不合规”。 RDS实例数据库PostgreSQL类引擎的版本不低于postgresqlVersion参数指定版本，视为“合规”。 RDS实例数据库MariaDB类引擎的版本低于mariadbVersion参数指定版本，视为“不合规”。 RDS实例数据库MariaDB类引擎的版本不低于mariadbVersion参数指定版本，视为“合规”。 RDS实例数据库SQL Server类引擎的版本低于sqlserverVersion参数指定版本，视为“不合规”。 RDS实例数据库SQL Server类引擎的版本不低于sqlserverVersion参数指定版本，视为“合规”。

规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-port-check 规则展示名 RDS实例默认端口检查 规则描述 RDS实例的端口包含被禁止的端口，视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 blockedPortsForMysql：指定MySQL数据库禁止的端口列表，数组类型。 blockedPortsForMariadb：指定MariaDB数据库禁止的端口列表，数组类型。 blockedPortsForPostgresql：指定PostgreSQL数据库禁止的端口列表，数组类型。 blockedPortsForSqlserver：SQLServer数据库禁止的端口列表，数组类型。

检测逻辑 RDS实例数据库MySQL类引擎的端口存在于blockedPortsForMysql参数指定的端口列表，视为“不合规”。 RDS实例数据库PostgreSQL类引擎的端口存在于blockedPortsForPostgresql参数指定的端口列表，视为“不合规”。 RDS实例数据库MariaDB类引擎的端口存在于blockedPortsForMariadb参数指定的端口列表，视为“不合规”。 RDS实例数据库SQLServer类引擎的端口存在于blockedPortsForSqlserver参数指定的端口列表，视为“不合规”。 RDS实例数据库不存在参数中指定的以上四类引擎端口时，视为“合规”。

规则详情 表1 规则详情 参数 说明 规则名称 dds-instance-engine-version-check 规则展示名 DDS实例数据库版本检查 规则描述 DDS实例数据库的版本低于指定版本，视为“不合规”。 标签 dds 规则触发方式 配置变更 规则评估的资源类型 dds.instances 规则参数 specifiedVersion：数据库指定的版本，建议按照对应版本号格式指定，例如4.2。

规则详情 表1 规则详情 参数 说明 规则名称 iam-agencies-managed-policy-check 规则展示名 IAM委托绑定策略检查 规则描述 IAM委托未绑定指定的IAM策略或权限，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.agencies 规则参数 roleIdList：指定允许的权限ID列表，不支持系统权限。 policyIdList：指定允许的策略ID列表，不支持系统身份策略。

应用场景 FunctionGraph支持开通 云日志 服务(LTS)，使用更丰富的函数日志管理功能。开通云日志服务后，FunctionGraph会自动创建1个日志组（functiongraph开头），创建函数后，会默认生成一个日志流（函数名称开头）。详见配置和查看函数的调用日志。以下是主要好处： 问题快速排查与调试：LTS 会自动捕获函数执行的详细日志（如请求参数、返回值、错误堆栈等），帮助开发者快速定位代码逻辑错误或运行时异常。 运行状态监控：结合 LTS 的 日志分析 能力，可统计函数调用次数、运行时间、错误率、内存使用量等关键指标。 数据完整性：LTS 提供日志转储，防止日志篡改或丢失。

修复项指导 为避免客户端误使用HTTP协议进行OBS业务操作，建议通过桶策略中的SecureTransport条件进行限制，限制是否必须使用HTTPS协议发起请求对该桶进行操作。SecureTransport配置为True时，发起的请求必须使用SSL加密。如何配置桶策略中Condition以及SecureTransport条件，详情见桶策略参数说明。 建议您在桶策略中补充如下condition，以确保实现上述目的："Condition": {"Bool": {"g:SecureTransport": ["true"]}}。

规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-policy-not-more-permissive 规则展示名 OBS桶策略授权约束 规则描述 OBS桶策略授权了控制策略以外的访问行为，视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 controlPolicy：允许的访问边界策略。 说明： 规则参数示例1：桶策略只授权对象的操作权限，不授权桶的操作权限。 {"Statement": [{"Action": ["*Object*"], "Resource": ["*/*"], "Effect": "Allow", "Principal": {"ID": ["*"]}}]} 规则参数示例2：桶策略只授权华为云账号的身份，不授权联合身份用户或匿名用户。 {"Statement": [{"Action": ["*"], "Resource": ["*"], "Effect": "Allow", "Principal": {"ID": ["domain/*"]}}]}

规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-policy-grantee-check 规则展示名 OBS桶策略中授权检查 规则描述 OBS桶策略授权了不被允许的访问行为，视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 principal：授权的身份列表，例如：["domain/aaaa:user/111111", "domain/bbbb"]。 sourceIp：授权的sourceIp列表，例如：["192.168.0.0/16"]。 sourceVpc：授权的sourceVpc列表，需填入请求发起的VPC ID，例如["vpcidaaaa"]。 sourceVpce：授权的sourceVpce列表，需填入请求发起的 VPC终端节点 ID，例如["vpceidaaaa"]。 注：上述字段的格式均需与OBS桶策略中的principal或condition的格式一致。

规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-blacklisted-actions-prohibited 规则展示名 OBS桶策略中不授权禁止的Action 规则描述 OBS桶策略中授权任意禁止的Action给外部身份，视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 blockedActionsPatterns：禁止的action列表。

规则详情 表1 规则详情 参数 说明 规则名称 cbr-vault-minimum-retention-check 规则展示名 CBR存储库最低保留天数 规则描述 CBR存储库未绑定策略或绑定的策略按天数保留且保留天数低于设定值，视为“不合规”。 标签 cbr 规则触发方式 配置变更 规则评估的资源类型 cbr.vault 规则参数 requiredRetentionDays：所需保留期（以天为单位）。

规则详情 表1 规则详情 参数 说明 规则名称 ecs-last-backup-created 规则展示名 ECS云服务器 的备份时间检查 规则描述 ECS云服务器最近一次备份创建时间超过参数要求，视为“不合规”。 标签 cbr、ecs 规则触发方式 周期触发 规则评估的资源类型 ecs.cloudservers 规则参数 lastBackupAgeValue：ECS要求的备份时间间隔（以小时为单位）。

规则详情 表1 规则详情 参数 说明 规则名称 sfsturbo-last-backup-created 规则展示名 SFS Turbo资源的备份时间检查 规则描述 SFS Turbo资源最近一次备份创建时间超过参数要求，视为“不合规”。 标签 cbr、sfsturbo 规则触发方式 周期触发 规则评估的资源类型 sfsturbo.shares 规则参数 lastBackupAgeValue：SFS Turbo要求的备份时间间隔（以小时为单位）。

规则详情 表1 规则详情 参数 说明 规则名称 cloudbuildserver-encryption-parameter-check 规则展示名 CodeArts编译构建下的项目未设置参数加密 规则描述 CodeArts编译构建下的项目，如果设置未加密参数（除预定义参数外），则视为“不合规”。 标签 codeartsbuild 规则触发方式 配置变更 规则评估的资源类型 codeartsbuild.CloudBuildServer 规则参数 无

应用场景 云审计 服务，是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。需要满足安全最佳实践以避免日志文件丢失、被篡改或泄露。 文件校验: 可以检验转储至OBS桶的数据是否被篡改，保障事件文件的完整性。 加密事件文件: 云审计支持对事件文件加密存储。 转储到LTS: 当“转储到LTS”开关打开时，表示操作事件将转储到日志流中。

检测逻辑 如果 CTS 追踪器配置文件校验、加密事件文件、转储到LTS，视其满足CTS的安全最佳实践。 若规则参数列表为空，账号中存在至少一个符合安全最佳实践的“启用”状态的CTS追踪器，视为“合规”。 若规则参数列表为空，账号中不存在符合安全最佳实践的“启用”状态的CTS追踪器，视为“不合规”。 若规则参数列表非空，相关区域存在至少一个符合安全最佳实践的“启用”状态的CTS追踪器，视为“合规”。 若规则参数列表非空，相关区域均不存在符合安全最佳实践的“启用”状态的CTS追踪器，视为“不合规”。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-cce-flavors 规则展示名 CCE集群规格在指定的范围 规则描述 CCE集群的规格不在指定的范围内，视为“不合规”。 标签 cce 规则触发方式 配置变更 规则评估的资源类型 cce.clusters 规则参数 listOfAllowedFlavors：指定的CCE规格列表，枚举值请参见flavor字段当前所支持的值，例如“cce.s1.small”。

应用场景 镜像是一个包含了软件及必要配置的弹性云服务器模板，至少包含操作系统，还可以包含应用软件（例如，数据库软件）和私有软件。通过镜像，您可以创建弹性云服务器。镜像分为公共镜像、私有镜像、共享镜像、市场镜像。公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，共享镜像为其他用户共享的私有镜像。详见镜像概述。 企业应当使用统一的镜像，这将会带来如下好处： 环境统一：统一镜像确保所有服务器运行相同的操作系统和软件版本，减少因环境差异导致的问题。 标准化部署：统一的配置和设置简化了部署流程，提升效率。 集中管理：统一镜像便于集中更新和维护，降低管理复杂性。 统一安全策略：统一镜像便于实施一致的安全策略和补丁管理，降低安全风险。 满足法规：统一镜像有助于确保所有服务器符合行业法规和内部政策。 减少维护成本：统一镜像降低了维护和管理的复杂性，减少了相关成本。

应用场景 委托是由租户管理员IAM上创建的，可以为弹性云服务器提供访问云服务器的临时凭证。要根据具体使用场景和安全需求来决定使用。 优点如下： 最小权限原则：IAM 委托有助于确保任务只拥有执行其功能所需的最小权限。 简化管理：IAM 委托可以动态分配给任务，无需手动管理凭证。 增强安全性：IAM 委托提供临时安全凭证，减少长期凭证泄露的风险。 灵活性：不同任务可以使用不同的 IAM 委托，满足多样化需求。 缺点如下： 配置复杂：IAM 委托的配置和管理可能增加复杂性，尤其是需要精细权限控制时。 错误配置：错误的 IAM 策略可能导致任务无法访问所需资源。 权限滥用：如果 IAM 委托配置不当，可能导致权限滥用或安全漏洞。 建议您在涉及到如下场景时，才配置该合规规则： 多任务环境：多个任务需要不同权限的环境。 高安全性要求：处理敏感数据或需要高安全性的任务，IAM 委托提供更好的安全控制。 跨服务访问：任务需要访问其他华为云服务（如 OBS、RDS）时。

规则详情 表1 规则详情 参数 说明 规则名称 resource-tag-key-prefix-suffix 规则展示名 资源具有指定前后缀的标签键 规则描述 指定标签键的前缀和后缀，资源不具有任意匹配前后缀的标签键，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 tagKeyPrefix：允许的标签键前缀，空字符串表示全部允许。 tagKeySuffix：允许的标签键后缀，空字符串表示全部允许。