适用于空闲资产管理的最佳实践
该示例模板中对应的合规规则的说明和修复项指导如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
说明指导 |
规则描述 |
修复项指导 |
---|---|---|---|---|---|
cce-cluster-end-of-maintenance-version |
CCE集群版本为处于维护的版本 |
cce |
确保CCE集群版本为处于维护中的版本。 |
CCE集群版本为停止维护的版本,视为“不合规” |
为了保证您的服务权益,建议尽快升级到最新的商用版本。集群升级流程包括升级前检查、备份、升级和升级后验证几个步骤,具体操作流程可见CCE服务说明文档的升级概述。 |
eip-unbound-check |
弹性公网IP未进行任何绑定 |
vpc |
弹性公网IP(EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。 |
弹性公网IP未进行任何绑定,视为“不合规” |
用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。 |
eip-use-in-specified-days |
EIP在指定天数内绑定到资源实例 |
eip |
弹性公网IP(EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。 |
EIP创建指定天数内未使用,视为“不合规” |
用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。 |
evs-use-in-specified-days |
云硬盘创建后在指定天数内绑定资源实例 |
evs |
云硬盘可以挂载至云服务器,用作提供系统盘和数据盘。此规则可以确保云硬盘(EVS)未闲置。 |
EVS创建指定天数内未使用,视为“不合规” |
对非合规的EVS资源,用户可以在云硬盘页面或在弹性云服务器页面,将其挂载到云服务器上。 |
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
iam |
管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。确保IAM组至少有一个用户,帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 |
IAM用户组未添加任意IAM用户,视为“不合规” |
管理员在用户组列表中,单击新建的用户组,选择“用户组管理”,在“可选用户”中选择需要添加至用户组中的用户。 |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
管理员创建IAM用户后,这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
您可以在华为云登录页面或者打开IAM用户专属链接,输入用户名和密码的方式登录IAM用户。 |
stopped-ecs-date-diff |
关机状态的ECS未进行任意操作的时间检查 |
ecs |
启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数,确保弹性云服务器(ECS)未闲置。 |
关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” |
包年/包月资源一次性付费,到期自动停止使用。其他计费模式下关机后仍然计费。如需停止计费,请删除实例。 |
volume-unused-check |
云硬盘闲置检测 |
evs |
云硬盘可以挂载至云服务器,用作提供系统盘和数据盘。此规则可以确保云硬盘(EVS)未闲置。 |
云硬盘未挂载给任何云服务器,视为“不合规” |
对非合规的EVS资源,用户可以在云硬盘页面或在弹性云服务器页面,将其挂载到云服务器上。 |
vpc-acl-unused-check |
未与子网关联的网络ACL |
vpc |
网络ACL是一个子网级别的可选安全层,通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联,实现对子网的防护。 |
检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” |
您可以将网络ACL关联至VPC子网,为子网内的资源提供安全防护。 |