检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
规则参数 无 应用场景 广泛重复的使用加密密钥,会对加密密钥的安全造成风险。为了确保加密密钥的安全性,建议您定期轮换密钥,更改原密钥的密钥材料,详见开启密钥轮换。定期轮换密钥有如下优点: 减少每个密钥加密的数据量:一个密钥的安全性与被它加密的数据量呈反比。 增强应对安全事件的能力
获取项目ID 操作场景 在调用接口的时候,部分URL中需要填入项目ID,所以需要获取到项目ID。有如下两种获取方式: 调用API获取项目ID 从控制台获取项目ID 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET ht
获取账号ID 在调用接口的时候,部分URL中需要填入账号ID(domain-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面查看账号ID。 图1 获取账号ID 父主题:
规则评估的资源类型 kms.keys 规则参数 无 应用场景 执行删除密钥操作后,密钥不会立即删除,密钥管理会将该操作按用户指定时间推迟执行,推迟时间范围为7天~1096天。此时密钥会处于“计划删除”状态。 KMS密钥一旦删除就无法恢复。如果删除了KMS密钥,则使用该KMS密钥加密的数据也将永
kmsIdList:允许使用的KMS的ID列表,数组类型。 应用场景 在您创建通用凭据时,需要选择一个符合您预期的KMS密钥。 如果使用了非预期的KMS密钥,可能导致数据泄露、服务中断。 修复项指导 请使用您指定的KMS密钥创建凭据。 检测逻辑 CSMS凭据未使用指定的KMS密钥,视为“不合规”。
规则参数 无 应用场景 IAM用户的访问密钥是单独的身份凭证,即IAM用户仅能使用自己的访问密钥进行API调用。为了提高账号资源的安全性,建议单个IAM用户仅有一个可用的活动访问密钥。 修复项指导 根据规则评估结果删除或停用IAM用户多余的访问密钥,详见管理IAM用户访问密钥。 检测逻辑
防止凭证泄露:通过配置密钥对并禁用密码登录,可以防止暴力破解攻击,因为私钥通常比密码更难被猜测或破解。 加密通信:密钥对使用非对称加密技术,确保 SSH 通信的安全性,防止中间人攻击。 修复项指导 您可以通过管理控制台为弹性云服务器创建密钥对,并清除弹性云服务器的密码,请参考密钥对管理。 检测逻辑
servers 规则参数 无 应用场景 密钥对包含一个公钥和一个私钥,公钥自动保存在KPS(Key Pair Service)中,私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中,则可以使用私钥登录Linux云服务器,而不需要输入密码。使用密钥对方式登录有如下优势: 防止
RDS实例属于指定虚拟私有云ID 规则详情 表1 规则详情 参数 说明 规则名称 rds-instances-in-vpc 规则展示名 RDS实例属于指定虚拟私有云ID 规则描述 指定虚拟私有云ID,不属于此虚拟私有云的RDS资源,视为“不合规”。 标签 rds 规则触发方式 配置变更
GaussDB资源属于指定虚拟私有云ID 规则详情 表1 规则详情 参数 说明 规则名称 gaussdb-instance-in-vpc 规则展示名 GaussDB实例属于指定虚拟私有云ID 规则描述 指定虚拟私有云ID,不属于此虚拟私有云的GaussDB实例,视为“不合规”。 标签
资源属于指定企业项目ID 规则详情 表1 规则详情 参数 说明 规则名称 resource-in-enterprise-project 规则展示名 资源属于指定企业项目ID 规则描述 指定企业项目ID,属于该企业项目的资源,视为“不合规”。 标签 enterprise project
ECS实例的镜像ID在指定的范围 规则详情 表1 规则详情 参数 说明 规则名称 allowed-images-by-id 规则展示名 ECS实例的镜像ID在指定的范围 规则描述 指定允许的镜像ID列表,ECS实例的镜像ID不在指定的范围内,视为“不合规”。 标签 ecs、ims
account 规则参数 无 应用场景 为了提高根用户的安全性,建议您仅使用密码登录控制台即可,不要给根用户创建访问密钥,避免因访问密钥泄露带来的信息安全风险。 修复项指导 删除或停用根用户下的访问密钥,详见管理IAM用户访问密钥。 检测逻辑 根用户未配置“启用”状态的访问密钥,视为“合规”。
ECS实例属于指定虚拟私有云ID 规则详情 表1 规则详情 参数 说明 规则名称 ecs-instance-in-vpc 规则展示名 ECS实例属于指定虚拟私有云ID 规则描述 指定虚拟私有云ID,不属于此VPC的ECS实例,视为“不合规”。 标签 ecs、vpc 规则触发方式 配置变更
CES配置监控KMS禁用或计划删除密钥的事件监控告警 规则详情 表1 规则详情 参数 说明 规则名称 alarm-kms-disable-or-delete-key 规则展示名 CES配置监控KMS禁用或计划删除密钥的事件监控告警 规则描述 CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规”。
DCS Memcached资源属于指定虚拟私有云ID 规则详情 表1 规则详情 参数 说明 规则名称 dcs-memcached-in-vpc 规则展示名 DCS Memcached资源属于指定虚拟私有云ID 规则描述 指定虚拟私有云ID,不属于此VPC的DCS Memcached资源,视为“不合规”。
DCS Redis实例属于指定虚拟私有云ID 规则详情 表1 规则详情 参数 说明 规则名称 dcs-redis-in-vpc 规则展示名 DCS Redis实例属于指定虚拟私有云ID 规则描述 指定虚拟私有云ID,不属于此VPC的DCS Redis资源,视为“不合规”。 标签 dcs
规则参数 无 应用场景 为提升用户数据的安全性,建议开启服务端加密,开启后您创建实例和扩容磁盘时,磁盘数据会在服务端加密成密文后存储,降低数据泄露的风险。 修复项指导 用户需要在数据加密服务中创建密钥。创建实例时,在“磁盘加密”项选择“加密”,选择或创建密钥,该密钥是最终租户密钥,使用该
绑定指定标签的ECS实例关联在指定安全组ID列表内 规则详情 表1 规则详情 参数 说明 规则名称 ecs-in-allowed-security-groups 规则展示名 绑定指定标签的ECS实例关联在指定安全组ID列表内 规则描述 指定高危安全组ID列表,未绑定指定标签的ECS实例关联其中任意安全组,视为“不合规”。
ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):私有访问密钥。与访问密钥ID结合使用,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用AK/SK
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
