华为云 容器安全服务 帮助中心，为用户提供产品简介、购买、用户指南、常见问题等技术文档，帮助您快速上手使用容器安全服务。

查看更多 →

资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。本章为您介绍常用的CGS自定义策略样例。 CGS自定义策略样例 示例1：授权用户查询集群列表信息

查看更多 →

None 如何使用容器安全服务 容器安全服务（Container Guard Service，CGS）是针对云容器引擎服务（CCE）集群进行安全防护和对容器镜像服务（SWR）镜像仓库中的镜像进行安全扫描的一种安全检测服务，同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。

查看更多 →

职能定义权限的粗粒度授权机制。策略授权更加精细，可以精确到某个操作、资源和条件，能够满足企业对权限最小化的安全管控要求。 支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。

查看更多 →

云审计 服务支持的CGS操作列表 操作名称 资源类型 事件名称 集群开启防护 cgs openClusterProtect 集群关闭防护 cgs closeClusterProtect 添加策略 cgs addPolicy 编辑策略 cgs modifyPolicy 删除策略 cgs deletePolicy

查看更多 →

什么是容器安全服务 容器安全服务（Container Guard Service，CGS）能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时提供容器进程白名单、文件只读保护和容器逃逸检测功能，有效防止容器运行时安全风险事件的发生。 相关概念 镜像

查看更多 →

新创建的用户登录控制台，切换至授权区域，验证权限： 验证方式（参考）：在“服务列表”中选择容器安全服务，进入CGS主界面，单击右上角购买容器安全，尝试购买容器安全配额，如果无法购买容器安全配额（假设当前权限仅包含“CGS ReadOnlyAccess”），表示“CGS ReadOnlyAccess”只读访问权限生效。

查看更多 →

合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果用户能够确定容器内只会运行某些特定进程，可以在CGS控制台配置安全策略设置进程白名单并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，CGS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。

查看更多 →

步骤三：在HSS控制台购买容器版配额 登录管理控制台。 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入主机安全平台界面。 在左侧导航树中，选择“资产管理 > 容器管理”，进入容器管理页面。 在页面右上角，单击“购买容器安全”，进入“购买容器安全配额”页面。 在购买容器安全配额界面，设置配额的规格。

查看更多 →

Guest策略，在同项目中勾选依赖的策略。 CGS FullAccess 容器安全服务所有权限。 系统策略 无。 CGS ReadOnlyAccess 容器安全服务只读访问权限，拥有该权限的用户仅能查看容器安全服务。 系统策略 无。 相关链接 IAM产品介绍 创建用户组、用户并授予CGS权限 CGS权限及授权项

查看更多 →

第十九次正式发布。 新增“服务版本”。 修改服务授权，优化相关内容描述。 修改管理本地镜像漏洞，新增前提条件。 修改管理私有镜像仓库漏洞，新增检测说明。 2020-02-21 第十八次正式发布。 新增CGS自定义策略。 新增CGS权限及授权项。 创建用户并授权使用CGS，添加细粒度策略。 2020-01-20

查看更多 →

容器安全服务支持多个帐号共享使用吗？ 容器安全服务不支持多个帐号共享使用。例如，如果您在某个区域通过注册华为云创建了2个帐号（“domain1”和“domain2”），当您在“domain1”帐号下购买了容器安全服务，则“domain2”帐号不能使用“domain1”的容器安全服务。

查看更多 →

容器安全 如何关闭节点防护？ 容器安全服务如何切换至企业主机安全？ 如何开启节点防护？ 自建K8s容器如何开启apiserver审计功能？ 容器集群防护插件卸载失败怎么办？ 集群连接组件（ANP-Agent）部署失败 集群权限异常 上传镜像到私有镜像仓失败 CCE集群开启安全服务异常

查看更多 →

message.log：记录CGS agent与服务端之间的消息通信，如策略下发、告警上报等。 defender_audit.log：记录audit系统日志，由于CGS接管了Linux系统audit消息。如果存在额外手工配置但是并非CGS使用的audit规则，这些规则触发的audit消息记录在该文件中。

查看更多 →

。 关闭防护系统会自动卸载该集群上安装的容器安全插件。 相关操作 如何开启集群防护 开启防护后，可通过自定义安全策略，配置进程白名单和文件保护，有效阻止容器运行时安全风险事件的发生，提高系统和应用的安全。如何配置安全策略请查看：（可选）策略配置。

查看更多 →

云审计服务支持的CGS操作列表 操作名称 资源类型 事件名称 集群开启防护 cgs openClusterProtect 集群关闭防护 cgs closeClusterProtect 添加策略 cgs addPolicy 编辑策略 cgs modifyPolicy 删除策略 cgs

查看更多 →

删除自定义安全策略 功能介绍 删除自定义安全策略。 接口约束 已绑定了监听器的自定义安全策略不能被删除。 调用方法 请参见如何调用API。 URI DELETE /v3/{project_id}/elb/security-policies/{security_policy_id}

查看更多 →

SecurityPolicy 参数 参数类型 描述 id String 自定义安全安全策略的id。 project_id String 自定义安全策略的项目id。 name String 自定义安全策略的名称 description String 自定义安全策略的描述。 listeners Array of

查看更多 →

SecurityPolicy 参数 参数类型 描述 id String 自定义安全安全策略的id。 project_id String 自定义安全策略的项目id。 name String 自定义安全策略的名称 description String 自定义安全策略的描述。 listeners Array of

查看更多 →

相关链接 开启防护后，您可通过自定义安全策略，配置进程白名单和文件保护，有效阻止容器运行时安全风险事件的发生，提高系统和应用的安全。如何配置安全策略请查看：（可选）策略配置。 关闭集群防护的详细操作，请参见：关闭集群防护。 Shield状态离线请查看：容器集群节点的Shield状态离线如何处理。

查看更多 →

如何为容器安全配额续费？ 在容器安全配额到期前，用户可以通过续费操作继续使用容器安全配额。 前提条件 登录管理控制台的帐号已授权CGS Administrator、Tenant Guest和BSS Administrator权限策略。 已成功购买容器安全配额。 操作步骤 登录管理控制台。

查看更多 →