华为云 容器安全服务 帮助中心，为用户提供产品简介、购买、用户指南、常见问题等技术文档，帮助您快速上手使用容器安全服务。

查看更多 →

None 如何使用容器安全服务 容器安全服务（Container Guard Service，CGS）是针对云容器引擎服务（CCE）集群进行安全防护和对容器镜像服务（SWR）镜像仓库中的镜像进行安全扫描的一种安全检测服务，同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

查看更多 →

IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 CGS权限 默认情况下，系统管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一

查看更多 →

Container，SWR）是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务，更多信息请参见《容器镜像服务用户指南》。容器安全服务通过扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题。 与统一身份认证服务的关系 统一身份认证服务（Identity

查看更多 →

在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 验证方式（参考）：在“服务列表”中选择容器安全服务，进入CGS主界面，单击右上角购买容器安全，尝试购买容器安全配额，如果无法购买容器安全配额（假设当前权限仅包含“CGS

查看更多 →

的IAM用户，您可以跳过本章节，不影响您使用CGS服务的其它功能。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使用户组中的用户获得相应的权限，这一过程称为授权。授权后，用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细

查看更多 →

合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在CGS控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，CGS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。

查看更多 →

了“sub-user01”和“sub-user02”用户CGS的权限策略，则这2个IAM用户都可以使用“domain1”的容器安全服务。 有关CGS权限管理的详细操作，请参见创建用户并授权使用CGS。 父主题： 产品咨询

查看更多 →

CGS作为一个容器运行在每个容器节点（主机）上，负责节点上所有容器的镜像漏洞扫描，安全策略实施和异常事件收集。 管理Master 负责管理与维护CGS Container。 安全智能 安全智能是安全信息知识库，用于获取漏洞库、恶意程序库等更新，以及大数据AI训练模型等。 管理控制台 用户通过管理控制台使用容器安全服务。

查看更多 →

步骤三：在HSS控制台购买容器版配额 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 主机安全服务”，进入主机安全平台界面。 在左侧导航树中，选择“资产管理 > 容器管理”，进入容器管理页面。 在页面右上角，单击“购买容器安全”，进入“购买容器安全配额”页面。 在购买容器安全配额界面，设置配额的规格。

查看更多 →

容器安全 如何关闭节点防护？ 容器安全服务如何切换至主机安全服务？ 如何开启节点防护？ 自建K8s容器如何开启apiserver审计功能？ 容器集群防护插件卸载失败怎么办？ 集群连接组件（ANP-Agent）部署失败 集群权限异常

查看更多 →

服务授权 容器安全服务支持云容器引擎服务（CCE）集群进行安全防护和对容器镜像服务（SWR）镜像仓库中的镜像进行安全扫描。 首次使用容器安全服务的用户需要进行服务授权。 约束与限制 容器安全服务不支持跨区域使用。待检测的镜像和待防护的集群必须和容器安全服务在同一区域。 已获取登录

查看更多 →

修改创建用户并授权使用CGS，优化相关内容描述。 删除用户指南以下章节： 权限管理 > 权限管理基本概念 权限管理 > 策略语法：RBAC 2020-01-03 第十六次正式发布。 修改创建用户并授权使用CGS，更新界面截图。 修改“策略语法：RBAC”章节，更新界面截图和优化相关内容。 2019-12-27

查看更多 →

如何为容器安全配额续费？ 在容器安全配额到期前，用户可以通过续费操作继续使用容器安全配额。 前提条件 登录管理控制台的帐号已授权CGS Administrator、Tenant Guest和BSS Administrator权限策略。 已成功购买容器安全配额。 操作步骤 登录管理控制台。

查看更多 →

功能特性，优化相关内容描述。 服务版本说明，新增功能描述。 2020-04-07 第十一次正式发布。 CGS权限管理，优化相关内容描述。 2020-02-28 第十次正式发布。 新增服务版本说明。 2020-02-21 第九次正式发布。 CGS权限管理，新增细粒度策略。 2019-12-18

查看更多 →

容器安全告警 容器安全告警事件概述 查看容器告警事件 处理容器告警事件 导出容器告警事件 父主题： 检测与响应

查看更多 →

容器镜像安全 查看SWR镜像仓库漏洞 查看镜像恶意文件 父主题： 风险预防

查看更多 →

容器安全插件 CCE密钥管理（对接 DEW） 容器镜像签名验证 父主题： 插件

查看更多 →

已成功购买容器安全配额。 操作步骤 登录管理控制台。 进入容器安全防护配额退订入口，如图1所示。 图1 进入容器安全防护配额退订入口 选择退订原因后，并勾选“我已确认本次退订金额和相关费用”。 更多关于退订的详细操作，请参见退订管理。 单击“退订”，完成配额退订。 父主题： 计费类

查看更多 →

新增容器安全服务支持跨区域使用吗？ 新增容器安全服务支持多个帐号共享使用吗？ 2020-01-15 第十次正式发布。 哪些区域可以使用容器安全服务？，新增支持使用CGS的区域。 2019-11-29 第九次正式发布。 修改如何为容器安全配额续费？。 修改如何退订容器安全配额？。 2019-11-26 第八次正式发布。

查看更多 →

message.log：记录CGS agent与服务端之间的消息通信，如策略下发、告警上报等。 defender_audit.log：记录audit系统日志，由于CGS接管了Linux系统audit消息。如果存在额外手工配置但是并非CGS使用的audit规则，这些规则触发的audit消息记录在该文件中。

查看更多 →