云审计服务 CTS CTS追踪器通过KMS进行加密 CTS追踪器启用事件分析 CTS追踪器追踪指定的OBS桶 CTS追踪器打开事件文件校验 创建并启用CTS追踪器 在指定区域创建并启用CTS追踪器 CTS追踪器符合安全最佳实践 父主题: 系统内置预设策略
provider String 云服务名称。 type String 云资源类型。 region_id String 资源所在区域ID。 project_id String IAM项目ID。 project_name String IAM项目名称。
父主题: 数据仓库服务 DWS
修复项指导 用户需要在数据加密服务中创建密钥。创建实例时,在“磁盘加密”项选择“加密”,选择或创建密钥,该密钥是最终租户密钥,使用该密钥进行服务端加密,使磁盘更安全。详见服务端加密。 检测逻辑 RDS实例未开启服务端加密,视为“不合规”。
资源变更消息存储:您在开启资源记录器并成功配置消息通知(SMN)和对象存储桶(OBS)后,Config会定期(6小时)对您的资源变更消息进行存储。
provider String 云服务名称。 type String 云资源类型。 region_id String 资源所在区域ID。 project_id String IAM项目ID。 project_name String IAM项目名称。
文件校验: 可以检验转储至OBS桶的数据是否被篡改,保障事件文件的完整性。 加密事件文件: 云审计支持对事件文件加密存储。 转储到LTS: 当“转储到LTS”开关打开时,表示操作事件将转储到日志流中。
适用于管理与监管服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” alarm-kms-disable-or-delete-key
适用于云监控服务(CES)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 alarm-action-enabled-check 启用了CES告警操作 ces CES告警操作未启用,视为“不合规” alarm-kms-disable-or-delete-key
Provider: Provider代表服务提供商,通过关键字 "terraform" 进行声明,详细定义请参见Provider。
父主题: 云审计服务 CTS
检测逻辑 CBR服务的存储库开启了备份锁定,视为“合规”。 CBR服务的存储库未开启备份锁定,视为“不合规”。 父主题: 云备份 CBR
云搜索服务 CSS CSS集群启用安全模式 CSS集群启用快照 CSS集群开启磁盘加密 CSS集群启用HTTPS CSS集群绑定指定VPC资源 CSS集群具备多AZ容灾 CSS集群具备多实例容灾 CSS集群不能公网访问 CSS集群支持安全模式 CSS集群未开启访问控制开关 CSS集群
镜像服务 IMS 私有镜像开启加密 父主题: 系统内置预设策略
修复项指导 CSS集群默认记录慢日志,用户可以将其转储在OBS桶中,详见修改日志基础配置。 检测逻辑 CSS集群未开启慢日志,视为“不合规”。 CSS集群开启慢日志,视为“合规”。 父主题: 云搜索服务 CSS
标签 vpc, vpcep 规则触发方式 周期触发 规则评估的资源类型 vpc.vpcs 规则参数 serviceName:指定的服务名。如dns或obs,当前已支持的服务见。
OBS存储桶:自定义合规规则包模板存储在OBS桶的位置。如果您的本地模板文件大小超过50KB,请将它上传至OBS存储桶,然后输入OBS模板URL来选择并使用它。 OBS模板URL指的是OBS桶内对象的URL。
支持的服务和区域 Config支持的服务和区域请以控制台界面显示为准,具体如下: 登录管理控制台,进入“配置审计 Config”服务。 在“资源清单”页面单击“已支持的服务和区域”。
列举云服务 功能介绍 查询支持的云服务、资源和区域列表。 调用方法 请参见如何调用API。
修复项指导 请及时为云服务器创建备份,具体步骤请参考快速创建云服务器备份,同时建议您通过设置合规的备份策略,实现资源的自动备份,请参考策略概述。 检测逻辑 ECS云服务器关联“可用”状态的备份存储库,视为“合规”。 ECS云服务器未关联“可用”状态的备份存储库,视为“不合规”。