检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
规则评估的资源类型 account 规则参数 provider:云服务名称,字符串类型。 resourceType:资源类型,字符串类型。 metricName:监控指标名称,字符串类型。 应用场景 告警功能提供对监控指标的告警功能,用户对云服务的核心监控指标设置告警规则,当监控指标触发用户设置
IAM权限附加到IAM用户、用户组或委托,视为“合规”。 IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务 IAM
规则评估的资源类型 account 规则参数 regions:区域列表,如果为空列表,则表示任意区域。 应用场景 云审计服务,是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。需要
重影响。 修复项指导 请及时为云服务器创建备份,具体步骤请参考快速创建云服务器备份,同时建议您通过设置合规的备份策略,实现资源的自动备份,请参考策略概述 。 检测逻辑 ECS云服务器最近一次备份创建时间未超过参数要求,视为“合规”。 ECS云服务器最近一次备份创建时间超过参数要求,视为“不合规”。
修复项指导 您可以通过管理控制台为裸金属服务器创建密钥对,并清除裸金属服务器的密码,请参考使用SSH密钥对。 检测逻辑 裸金属服务器未启用密钥对安全登录,视为“不合规”。 裸金属服务器启用密钥对安全登录,视为“合规”。 父主题: 裸金属服务器 BMS
检测逻辑 低于指定版本的DCS Redis实例,视为“不合规”。 高于或等于指定版本的DCS Redis实例,视为“合规”。 父主题: 分布式缓存服务 DCS
Redis实例的端口使用被禁止的端口,视为“不合规”。 DCS Redis实例的端口未使用被禁止的端口,视为“合规”。 父主题: 分布式缓存服务 DCS
Memcached启用公网访问,且配置了SSL数据加密传输,视为“合规”。 Memcached启用公网访问,但未配置SSL数据加密传输,视为“不合规”。 父主题: 分布式缓存服务 DCS
复制,请参考跨区域复制。 检测逻辑 OBS桶启用跨区域复制,视为“合规”。 OBS桶未启用跨区域复制,视为“不合规”。 父主题: 对象存储服务 OBS
户端与服务端进行相互认证,提高了安全性,可有效消除使用网络发送用户凭据进行模拟认证的安全风险。集群中由KrbServer服务提供Kerberos认证支持。 普通模式集群,MRS集群各组件使用原生开源的认证机制,一般为Simple认证方式。集群资源管理接口和数据控制接口在服务端无认证和鉴权控制,很容易被黑客利用和攻击。
检测逻辑 Memcached启用免密访问模式,视为“不合规”。 Memcached启用密码访问模式,视为“合规”。 父主题: 分布式缓存服务 DCS
建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。
告警功能提供对监控指标的告警功能,用户对云服务的核心监控指标设置告警规则,当监控指标触发用户设置的告警条件时,支持以邮箱、短信、HTTP、HTTPS等方式通知用户,让用户在第一时间得知云服务发生异常,迅速处理故障,避免因资源问题造成业务损失。详见告警简介。 用户可以针对云服务的核心监控指标设置指标告
组织追踪器的场景下,在成员账号上使用该合规规则时,由于Config收集组织管理员下发的追踪器资源存在时延,合规评估结果的更新可能存在最多不超过24小时的滞后。 父主题: 云审计服务 CTS
U核数足以支撑业务增长,避免因规格过小导致业务中断。 修复项指导 当您购买的弹性云服务器规格无法满足业务需要时,可升级vCPU、内存。对于部分类型的弹性云服务器,您还可以在变更规格时,更换弹性云服务器的类型。请参考变更单台ECS规格或批量变更多台ECS规格。 检测逻辑 ECS实例
规则评估的资源类型 iam.agencies 规则参数 roleIdList:指定允许的权限ID列表,不支持系统权限。 policyIdList:指定允许的策略ID列表,不支持系统身份策略。 应用场景 为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所
址或IP地址范围的流量。这有助于阻止来自已知恶意IP地址的流量。 端口控制:通过指定允许访问的端口,安全组可以帮助防止对未使用的或不安全的服务的访问。 协议限制:安全组还可以根据不同的网络协议(如TCP、UDP)来控制流量。这对于确保只允许必要的通信类型是非常有用的。 入站与出站
降低成本和风险。 检测逻辑 ECS实例配置了弹性公网IP,视为“不合规”。 ECS实例未配置弹性公网IP,视为“合规”。 父主题: 弹性云服务器 ECS
CS集群实例为多可用区。 检测逻辑 Redis单可用区部署,视为“不合规”。 Redis多可用区部署,视为“合规”。 父主题: 分布式缓存服务 DCS
确保IAM用户不能同时通过控制台和API访问云服务,同时赋予一个IAM用户两种访问方式将增加安全风险。访问方式分为如下两种: 编程访问:启用访问密钥,用户仅能通过API、CLI、SDK等开发工具访问华为云服务。 管理控制台访问:启用登录密码,用户仅能登录华为云管理控制台访问云服务。 请用户不要通过密码方式进行编程访问。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
