华为云架构可靠性最佳实践

apig-instances-execution-logging-enabled

APIG专享版实例配置访问日志

apig

确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。

APIG专享版实例未配置访问日志，视为“不合规”

可以在API网关控制台选择启动日志记录

as-group-elb-healthcheck-required

弹性伸缩组使用弹性负载均衡健康检查

as

根据ELB对云服务器的健康检查结果进行的检查，健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。

与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规”

如果您将多个负载均衡器添加到伸缩组，则只有在所有负载均衡器均检测到云服务器状态为正常的情况下，才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常，伸缩组会将该弹性云服务器移出伸缩组。

cts-lts-enable

CTS追踪器启用事件分析

cts

确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。

CTS追踪器未启用事件分析，视为“不合规”

开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流

cts-obs-bucket-track

CTS追踪器追踪指定的OBS桶

cts

由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS服务桶。

账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规”

云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。

cts-tracker-exists

创建并启用CTS追踪器

cts

云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。

账号未创建CTS追踪器，视为“不合规”

可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。

dws-enable-kms

DWS集群启用KMS加密

dws

确保数据仓库服务的集群启用KMS磁盘加密。

DWS集群未启用KMS加密，视为“不合规”

您可以在创建集群时启用加密。加密是集群的一项可选且不可变的设置。要从未加密的集群更改为加密集群(或反之)，必须从现有集群导出数据，然后在已启用数据库加密的新集群中重新导入这些数据。

ecs-instance-in-vpc

ECS资源属于指定虚拟私有云ID

ecs, vpc

虚拟私有云（VPC）为弹性云服务器构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云服务器构建一个逻辑上完全隔离的专有区域，确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。

指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规”

您可以通过网络配置，为不合规的ECS资源选择特定的虚拟私有云。

function-graph-concurrency-check

函数工作流的函数并发数在指定范围内

fgs

FunctionGraph会根据实际的请求情况自动弹性伸缩函数实例，并发变高时，会分配更多的函数实例来处理请求，并发减少时，相应的实例也会变少。此规则可确保建立函数工作流（FunctionGraph）的并发上限和下限。

FunctionGraph函数并发数不在指定的范围内，视为“不合规”

对于不合规的实例，在函数详情页可以修改函数并发数的值。

gaussdb-nosql-enable-disk-encryption

GaussDB NoSQL使用磁盘加密

gaussdb nosql

确保GaussDB NoSQL启用KMS磁盘加密。当启用加密功能，用户创建数据库实例成功后，磁盘数据会在服务端加密成密文后存储。用户下载加密对象时，存储的密文会先在服务端解密为明文，再提供给用户，用于提高数据安全性，但对数据库读写性能有少量影响。

GaussDB NoSQL未使用磁盘加密，视为“不合规”

您可以根据业务需要选择是否进行磁盘加密。

kms-not-scheduled-for-deletion

KMS密钥不处于“计划删除”状态

kms

确保数据加密服务（KMS）密钥未处于“计划删除“状态，以防止误删除密钥。

KMS密钥处于“计划删除“状态，视为“不合规”

用户可以在未超出删除密钥的推迟时间，通过密钥管理界面对自定义密钥进行取消删除操作，取消删除后密钥处于“禁用”状态。

multi-region-cts-tracker-exists

在指定区域创建并启用CTS追踪器

cts

云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。

账号未在指定region列表创建CTS追踪器，视为“不合规”

您可以进入指定区域云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。

rds-instance-enable-backup

RDS实例开启备份

rds

RDS会在数据库实例的备份时段中创建数据库实例的自动备份，自动备份为全量备份。系统根据您指定的备份保留期保存数据库实例的自动备份。如果需要，您可以将数据恢复到备份保留期中的任意时间点。开启自动备份策略后，会自动触发一次全量备份，备份方式为物理备份。之后会按照策略中的备份时间段和备份周期进行全量备份。自动备份策略开启后，实例每五分钟会自动进行一次增量备份，以保证数据库可靠性。确保云数据库（rds）资源开启备份。

未开启备份的RDS资源，视为“不合规”

用户可根据需要修改备份策略。

rds-instance-multi-az-support

RDS实例支持多可用区

rds

华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云 RDS 会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。

RDS实例仅支持一个可用区，视为“不合规”

华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

rds-instances-enable-kms

RDS实例开启存储加密

rds

云数据库 RDS for MySQL实例已开通密钥管理服务（Key Management Service，KMS），加密使用的用户主密钥由KMS产生和管理，RDS不提供加密所需的密钥和证书。由于敏感数据可以静态存在于华为云RDS实例中，因此启用静态加密有助于保护该数据。

未开启存储加密的RDS资源，视为“不合规”

如需开通透明数据加密，您可以在管理控制台右上角，选择“工单 > 新建工单”，提交开通透明数据加密的申请。

sfsturbo-encrypted-check

弹性文件服务通过KMS进行加密

sfsturbo

由于敏感数据可能存在并帮助保护静态数据，确保弹性文件服务(SFS Turbo)已通过KMS进行加密。

弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规”

可以新创建加密或者不加密的文件系统，无法更改已有文件系统的加密属性。

volumes-encrypted-check

已挂载的云硬盘开启加密

ecs，evs

由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。

已挂载的云硬盘未进行加密，视为“不合规”

当您需要使用云硬盘加密功能时，需要授权EVS访问KMS。如果您拥有“Security Administrator”权限，则可直接授权。如果权限不足，需先联系拥有“Security Administrator”权限的用户授权EVS访问KMS，然后再重新操作。

vpc-flow-logs-enabled

VPC启用流日志

vpc

VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规”

您可以为不合规的VPC资源开启流日志记录，方式为：创建日志组、日志流之后，进入VPC流日志列表页面创建VPC流日志，按照提示配置参数。

vpn-connections-active

VPN连接状态为“正常”

vpnaas

VPN连接状态不为“正常”，视为“不合规”

确保VPN连接状态正常。

VPN连接状态显示为“未连接”的可能原因有：VPN连接两端的连接配置不正确、华为云安全组和客户设备侧ACL配置不正确。可以检查VPN连接两端的连接配置和检查华为云安全组和客户设备侧ACL配置。