容器安全服务 CGS

华为云 容器安全服务 帮助中心，为用户提供产品简介、购买、用户指南、常见问题等技术文档，帮助您快速上手使用容器安全服务。

查看更多 →

在页面上方选择“区域”后，单击，选择“安全与合规 > 容器安全服务”，进入“服务授权”界面。 单击“同意授权”，完成服务授权。 同意授权后，CGS将在统一身份认证服务为您创建名为cgs_admin_trust的委托，授权成功后，您就可以使用容器安全服务。 若创建委托失败，则需要您登录到“统一身

查看更多 →

None 如何使用容器安全服务 容器安全服务（Container Guard Service，CGS）是针对云容器引擎服务（CCE）集群进行安全防护和对 容器镜像服务 （SWR）镜像仓库中的镜像进行安全扫描的一种安全检测服务，同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

查看更多 →

一个镜像可以启动多个容器。 应用可以包含一个或一组容器。 图1 镜像、容器、应用的关系 部署架构 容器安全服务部署架构如图2所示，关键组件功能说明如表1所示。 图2 容器安全服务部署架构 表1 容器安全服务关键组件功能说明 组件 说明 CGS Container CGS作为一个容器运行在每个

查看更多 →

如何关闭集群防护 容器集群节点的Shield状态离线如何处理？ 无服务授权权限和创建委托失败的原因？ 容器安全服务的漏洞库多久更新一次？ 容器安全服务的日志处理机制是什么？ 容器安全服务的日志路径 容器安全服务shield插件是否会影响业务？

查看更多 →

容器安全服务支持多个帐号共享使用吗？ 容器安全服务不支持多个帐号共享使用。例如，如果您在某个区域通过注册华为云创建了2个帐号（“domain1”和“domain2”），当您在“domain1”帐号下购买了容器安全服务，则“domain2”帐号不能使用“domain1”的容器安全服务。

查看更多 →

，不影响您使用CGS的其它功能。 本章节为您介绍对用户授权的方法。 前提条件 给用户组授权之前，请您了解用户组可以添加的CGS权限，并结合实际需求进行选择，CGS支持的系统权限如表1所示。若您需要对除CGS之外的其它服务授权，IAM支持服务的所有权限请参见系统权限。 表1 CGS系统角色

查看更多 →

该权限在所有区域项目中都生效。访问CGS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色

查看更多 →

容器安全服务的日志路径 CGS日志保存于宿主机系统的 /var/log/shield目录下。 日志文件中包含“shield.log”、“message.log”和“defender_audit.log”。 shield.log：记录CGS运行日志、错误日志等信息。 message

查看更多 →

容器安全服务支持跨区域使用吗？ 容器安全服务不支持跨区域（Region）使用。购买的容器安全配额必须与CCE和SWR区域一致，您才能使用容器安全服务。 如果您购买的容器安全配额在“华北-北京四”，而CCE和SWR在“华东-上海一”，则您将不能使用容器安全服务。 父主题： 产品咨询

查看更多 →

新增以下FAQ： 容器安全服务的日志处理机制是什么？ 容器安全服务的日志路径 容器安全服务shield插件是否会影响业务？ 2020-06-18 第十四次正式发布。 新增容器安全服务的漏洞库多久更新一次？ 2020-06-05 第十三次正式发布。 哪些区域可以使用容器安全服务？，新增支持使用CGS的区域。

查看更多 →

容器安全服务shield插件是否会影响业务？ 不会影响业务。 容器安全服务shield插件以daemonset插件方式安装，容器化方式运行在集群的每个集群节点上，启动时需要预分配固定资源（CPU：0.3core、内存：300m），启动后只对启动的容器进行监控，不影响您的业务。 父主题：

查看更多 →

参见CGS价格详情。 容器安全服务按照防护的容器集群的节点个数收费，一个防护配额可以为一个集群节点提供防护。 本章节介绍购买企业版容器安全配额。 约束与限制 已同意CGS服务授权。 容器安全服务不支持跨区域使用。待检测的镜像和待防护的集群必须和容器安全服务在同一区域。 已获取管理控制台的登录帐号（拥有CGS

查看更多 →

auth_role String 授权者： PROVIDER：API提供者授权 CONSUMER：API消费者授权 auth_result String 授权结果： SUCCESS：授权成功 SKIPPED：跳过 响应消息样例： [{ "id": "dffcaff92d144135a9f420fcd485bbf3"

查看更多 →

授权 GS_242110010 错误码： Ignoring specified roles other than PUBLIC. 解决方案：所有角色都是PUBLIC角色的成员。 level： WARNING GS_242120001 错误码： unrecognized key word:

查看更多 →

无服务授权权限和创建委托失败的原因？ IAM用户进入容器安全服务控制台界面时，发现服务授权页面“同意授权”按钮呈灰色状态，表示该IAM用户无服务授权权限，请联系拥有Security Administrator权限的系统管理员授予权限或使用帐号开通服务授权。 创建委托失败的原因：账户委托数量满额。

查看更多 →

信息。 被授权方单击“确定”，授权请求完成，授权关系建立。 被授权方将在“被授权列表”中查看到与其他租户建立的授权关系，授权方将在“授权列表”中查看到与其他租户建立的授权关系。被授权方可删除某一条授权关系，授权方可禁用或删除某一条授权关系。 删除或禁用授权关系 删除授权关系，将导

查看更多 →

auth_role String 授权者： PROVIDER：API提供者授权 CONSUMER：API消费者授权 auth_result String 授权结果： SUCCESS：授权成功 SKIPPED：跳过 响应消息样例： [{ "id": "dffcaff92d144135a9f420fcd485bbf3"

查看更多 →

授权 创建授权 删除授权 查询授权 修改授权 失效授权 生效授权 父主题： 权限管理

查看更多 →

API授权操作(授权/取消授权/申请/续约) 功能介绍 API主动授权： API审核人可发起，API主动授权成功后，在有效期内，APP即可访问该API。API授权包含授权和续约两部分功能。 授权：授权会给予APP在有效期内访问API的权利。 续约：续约会更新授权有效期，仅支持延长有效期，不能减少。

查看更多 →

忽略漏洞影响的镜像 cgs ignoreImageVul 取消忽略漏洞影响的镜像 cgs cancelIgnoreImageVul 授权访问 cgs registerCgsAgency 手动执行镜像扫描 cgs scanPrivateImage 从SWR拉取镜像并执行扫描 cgs syncSwrPrivateImage

查看更多 →