- 最新动态
- 产品介绍
- 快速入门
-
用户指南
- 资源清单
- 资源记录器
-
资源合规
- 资源合规概述
- 资源合规规则
- 组织合规规则
- 查看不合规资源
- 合规规则概念详解
-
系统内置预设策略
- 预设策略列表
- 公共可用预设策略
- API网关 APIG
- 部署 CodeArts Deploy
- MapReduce服务 MRS
- NAT网关 NAT
- VPC终端节点 VPCEP
- Web应用防火墙 WAF
- 弹性负载均衡 ELB
- 弹性公网IP EIP
- 弹性伸缩 AS
- 高性能弹性文件服务 SFS Turbo
- 弹性云服务器 ECS
- 分布式缓存服务 DCS
- 函数工作流 FunctionGraph
- 内容分发网络 CDN
- 配置审计 Config
- 数据仓库服务 DWS
- 数据复制服务 DRS
- 数据加密服务 DEW
-
统一身份认证服务 IAM
- IAM用户的AccessKey在指定时间内轮换
- IAM策略中不授权KMS的禁止的action
- IAM用户组添加了IAM用户
- IAM用户密码策略符合要求
- IAM策略黑名单检查
- IAM策略不具备Admin权限
- IAM自定义策略具备所有权限
- 根用户存在可使用的访问密钥
- IAM用户访问模式
- IAM用户创建时设置AccessKey
- IAM用户归属指定用户组
- IAM用户在指定时间内有登录行为
- IAM用户开启MFA
- IAM用户单访问密钥
- Console侧密码登录的IAM用户开启MFA认证
- 根用户开启MFA认证
- IAM策略使用中
- IAM权限使用中
- IAM用户开启登录保护
- IAM委托绑定策略检查
- IAM用户admin权限检查
- IAM用户不直接附加策略或权限
- 文档数据库服务 DDS
- 消息通知服务 SMN
- 虚拟私有云 VPC
- 虚拟专用网络 VPN
- 云监控服务 CES
- 云容器引擎 CCE
- 云审计服务 CTS
- 云数据库 RDS
- 云数据库 GaussDB
- 云数据库 TaurusDB
- 云数据库 GeminiDB
- 云搜索服务 CSS
- 云硬盘 EVS
- 云证书管理服务 CCM
- 分布式消息服务Kafka版
- 分布式消息服务RabbitMQ版
- 分布式消息服务RocketMQ版
- 组织 Organizations
- 云防火墙 CFW
- 云备份 CBR
- 对象存储服务 OBS
- 镜像服务 IMS
- 裸金属服务器 BMS
- 图引擎服务 GES
- 资源合规事件监控
-
合规规则包
- 合规规则包概述
- 合规规则包
- 组织合规规则包
- 自定义合规规则包
-
合规规则包示例模板
- 示例模板概述
- 等保三级2.0规范检查的标准合规包
- 适用于金融行业的合规实践
- 华为云网络安全合规实践
- 适用于统一身份认证服务(IAM)的最佳实践
- 适用于云监控服务(CES)的最佳实践
- 适用于计算服务的最佳实践
- 适用于弹性云服务器(ECS)的最佳实践
- 适用于弹性负载均衡(ELB)的最佳实践
- 适用于管理与监管服务的最佳实践
- 适用于云数据库(RDS)的最佳实践
- 适用于弹性伸缩(AS)的最佳实践
- 适用于云审计服务(CTS)的最佳实践
- 适用于人工智能与机器学习场景的合规实践
- 适用于自动驾驶场景的合规实践
- 资源开启公网访问最佳实践
- 适用于日志和监控的最佳实践
- 华为云架构可靠性最佳实践
- 适用于中国香港金融管理局的标准合规包
- 适用于中小企业的ENISA的标准合规包
- 适用于SWIFT CSP的标准合规包
- 适用于德国云计算合规标准目录的标准合规包
- 适用于PCI-DSS的标准合规包
- 适用于医疗行业的合规实践
- 网络及数据安全最佳实践
- 适用于Landing Zone基础场景的最佳实践
- 架构安全支柱运营最佳实践
- 网络和内容交付服务运营最佳实践
- 适用于空闲资产管理的最佳实践
- 多可用区架构最佳实践
- 资源稳定性最佳实践
- 适用于API网关(APIG)的最佳实践
- 适用于云容器引擎(CCE)的最佳实践
- 适用于内容分发网络(CDN)的最佳实践
- 适用于函数工作流(FunctionGraph)的最佳实践
- 适用于云数据库(GaussDB)的最佳实践
- 适用于云数据库(GeminiDB)的最佳实践
- 适用于MapReduce服务(MRS)的最佳实践
- NIST审计标准最佳实践
- 新加坡金融行业的最佳实践
- 安全身份和合规性运营最佳实践
- 华为云安全配置基线指南的标准合规包(level 1)
- 华为云安全配置基线指南的标准合规包(level 2)
- 静态数据加密最佳实践
- 数据传输加密最佳实践
- 适用于云备份(CBR)的最佳实践
- 适用于云搜索服务(CSS)的最佳实践
- 适用于分布式缓存服务(DCS)的最佳实践
- 适用于分布式消息服务(DMS)的最佳实践
- 适用于数据仓库服务(DWS)的最佳实践
- 适用于云数据库(TaurusDB)的最佳实践
- 适用于对象存储服务(OBS)的最佳实践
- 适用于VPC安全组的最佳实践
- 适用于Web应用防火墙(WAF)的最佳实践
- 高级查询
- 资源聚合器
- 云审计-记录配置审计
- 附录
- API参考
- SDK参考
- 最佳实践
- 常见问题
- 通用参考
链接复制成功!
通过Config实现资源的多维度合规审计
当企业进行云上资源合规落地时,通常会面临合规标准无法统一的问题,例如:
- 生产环境和测试环境的资源安全要求不同;
- 不同地区的法规不同,导致对资源的规范要求不同。
同时,企业内所有账号也需要配置统一的安全基准要求。配置审计通过丰富的托管规则,帮助企业在资源合规落地过程中针对不同场景,设置不同的合规策略。
基于资源标签
前提条件:请确保您已为目标资源绑定标签。具体操作,请参见标签设计原则和命名示例。
具体场景:根据开发环境对资源进行分类,可以实现对不同环境资源的不同审计。假设您已为生产环境中的所有资源绑定标签Env:Prod,为测试环境中的所有资源绑定标签Env:Test,标签值您可以根据实际情况自行定义,能区分不同环境中的资源即可。
操作流程:
- 登录配置审计控制台。
- 在左侧导航栏,选择资源合规。
- 在规则页面,单击“添加规则”。
- 选择您需要的预设策略,如“ECS实例的镜像名称在指定的范围”,单击“下一步”。
- 在规则参数页面,保持默认的资源范围,区域选择“全部”。
- 单击“过滤范围”,选择标签,标签键和标签值填入 Env 和 Prod。
- 完成规则创建,则合规规则只会评估生产环境中的该类型资源。
- 返回规则列表页面,查看新建合规规则的评估结果。
基于资源区域
具体场景:因为不同地区有不同的法律法规要求,假设您不希望您海外的OBS桶内的数据被公开访问,则可以按照如下操作步骤配置合规规则。
操作流程:
统一下发到组织
前提条件:请确保您的账号已经加入组织,且为组织管理员或者Config服务的委托管理员,请参考组织概述和添加、查看和取消委托管理员。
具体场景:多账号场景下,可以通过组织合规规则方式,将企业的合规要求部署到组织内的所有成员账号。下发组织合规规则的账号一般为企业的安全管理员账号,不承载具体的业务。
操作流程:
- 登录配置审计控制台。
- 在左侧导航栏,选择资源合规。
- 在组织规则页面,单击“添加规则”。
- 选择您需要的预设策略,如“IAM用户开启MFA”,单击“下一步”。
- 在规则参数页面,保持默认的资源范围,单击“下一步”,完成组织规则创建。
- 返回组织规则列表页面,查看新建的组织合规规则的部署情况。
统一查询组织成员的合规结果
前提条件:请确保您的账号已经加入组织,且为组织管理员或者Config服务的委托管理员,请参考 组织概述和添加、查看和取消委托管理员。
具体场景:企业的安全管理员,能通过聚合器的能力,查询到组织内各个成员账号部署的合规规则,并查询到各个成员账号的不合规资源情况。
操作流程:
- 登录配置审计控制台。
- 在左侧导航栏,选择资源聚合器。
- 在聚合器页面,单击“创建聚合器”。
- 勾选“允许数据复制”,命名聚合器,并选择源类型为“添加组织”,完成聚合器创建。
- 在聚合器的规则页面,选择聚合器,则可以看到聚合到的各账号的规则情况。
- 单击规则名称,则可以看到该账号的这条规则所评估的资源的合规性情况。
常见问题
控制台为什么没有组织规则的页面?
账号是组织管理员,或加入组织并成为Config服务的委托管理员,才能看到该页面。
组织规则下发后,状态为什么是部署异常?
是因为这些组织成员账号未开启资源记录器导致的部署异常。
Config服务的相关功能均依赖于资源记录器收集的资源数据,因此账号必须开启资源记录器才可正常使用合规规则和合规规则包功能。
在组织合规规则和组织合规规则包场景下,除下发规则和合规规则包的组织管理员或Config服务的委托管理员之外,所部署的组织成员账号也需要开启资源记录器,才能正常下发合规规则和合规规则包。
