检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
建议您给华为账号以及您账号中具备较高权限的用户开启MFA功能,它能够在用户名和密码之外再额外增加一层保护。启用MFA后,用户登录控制台时,系统将要求用户输入用户名和密码(第一安全要素),以及来自其MFA设备的验证码(第二安全要素)。这些多重要素结合起来将为您的账户和资源提供更高的安全保护。
组织追踪器的场景下,在成员账号上使用该合规规则时,由于Config收集组织管理员下发的追踪器资源存在时延,合规评估结果的更新可能存在最多不超过24小时的滞后。 父主题: 云审计服务 CTS
trackBucket:指定的OBS桶名称,字符串类型。 应用场景 云审计服务支持创建数据类事件追踪器,用于记录数据操作日志。数据类追踪器用于记录数据事件,即针对用户对OBS桶中的数据的操作日志,例如上传、下载等。 修复项指导 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配
Redis实例的端口使用被禁止的端口,视为“不合规”。 DCS Redis实例的端口未使用被禁止的端口,视为“合规”。 父主题: 分布式缓存服务 DCS
IAM权限附加到IAM用户、用户组或委托,视为“合规”。 IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 父主题: 统一身份认证服务 IAM
检测逻辑 低于指定版本的DCS Redis实例,视为“不合规”。 高于或等于指定版本的DCS Redis实例,视为“合规”。 父主题: 分布式缓存服务 DCS
架构(ReplicaSet)和单节点架构(ReplicaSingle): 集群架构适用于业务系统数据量大、具有较高的可用性和可扩展性的场景。 副本集架构适用于需要保证高可用的中小型业务系统。 单节点架构适用于业务研发、业务SQL调测、实验室项目测试等数据库临时使用场景,于2023年07月15日已停售。
scalingGroups 高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares SFS Turbo资源在备份存储库中 配置变更 sfsturbo.shares SFS Turbo资源的备份时间检查 周期触发 sfsturbo.shares
确保CTS追踪器转储归档的审计事件到OBS桶时,数据是被加密的。 修复项指导 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件,详见开启云审计服务配置OBS桶。 检测逻辑 无论是否为启用状态,CTS追踪器未配置KMS加密,视为“不合规”。 无论是否为启用状态,CTS追踪器配置KMS加密,视为“合规”。
通信的安全性,防止中间人攻击。 修复项指导 您可以通过管理控制台为弹性云服务器创建密钥对,并清除弹性云服务器的密码,请参考密钥对管理。 检测逻辑 ECS实例未配置密钥对,视为“不合规”。 ECS实例配置了密钥对,视为“合规”。 父主题: 弹性云服务器 ECS
Memcached启用公网访问,且配置了SSL数据加密传输,视为“合规”。 Memcached启用公网访问,但未配置SSL数据加密传输,视为“不合规”。 父主题: 分布式缓存服务 DCS
规则参数 无 应用场景 “admin”为缺省用户组,具有所有云服务资源的操作权限,当所有用户全部属于admin用户组或共用一个企业管理员账号是不安全的。为更好的管控人员或应用程序对云资源的使用,可以使用统一身份认证服务(IAM)的用户管理功能,给员工或应用程序创建IAM用户。 修复项指导
址或IP地址范围的流量。这有助于阻止来自已知恶意IP地址的流量。 端口控制:通过指定允许访问的端口,安全组可以帮助防止对未使用的或不安全的服务的访问。 协议限制:安全组还可以根据不同的网络协议(如TCP、UDP)来控制流量。这对于确保只允许必要的通信类型是非常有用的。 入站与出站
users、iam.groups、iam.agencies 规则参数 blackListPolicyUrns:IAM权限或IAM策略的名称列表,不支持系统策略。 应用场景 为IAM用户、IAM用户组、IAM委托分配指定的权限,避免非必要权限带来的安全隐患,详见授予最小权限。 修复项指导 移除
规则评估的资源类型 iam.agencies 规则参数 roleIdList:指定允许的权限ID列表,不支持系统权限。 policyIdList:指定允许的策略ID列表,不支持系统身份策略。 应用场景 为IAM委托授予权限时,避免过大权限带来的安全隐患。账号中的委托仅授予能完成工作所
降低成本和风险。 检测逻辑 ECS实例配置了弹性公网IP,视为“不合规”。 ECS实例未配置弹性公网IP,视为“合规”。 父主题: 弹性云服务器 ECS
CS集群实例为多可用区。 检测逻辑 Redis单可用区部署,视为“不合规”。 Redis多可用区部署,视为“合规”。 父主题: 分布式缓存服务 DCS
告警功能提供对监控指标的告警功能,用户对云服务的核心监控指标设置告警规则,当监控指标触发用户设置的告警条件时,支持以邮箱、短信、HTTP、HTTPS等方式通知用户,让用户在第一时间得知云服务发生异常,迅速处理故障,避免因资源问题造成业务损失。详见告警简介。 CES服务支持的事件列表,见事件监控支
请根据指导进行补丁升级或大版本升级。 检测逻辑 低于指定版本的DDS实例,视为“不合规”。 高于或等于指定版本的DDS实例,视为“合规”。 父主题: 文档数据库服务 DDS
为“不合规”。 如果CSMS凭据创建时间和当前时间的间隔大于指定天数,且CSMS凭据在指定天数内轮转过,视为“合规”。 父主题: 数据加密服务 DEW
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
