华为云用户手册

默认规则 此表中的建议项编号对应HKMA.2022.08.31中参考文档的章节编号，供您查阅参考。 表1 HKMA云计算指南 建议项编号 建议项说明 合规规则 指导 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-group-has-users-check 确保IAM群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-user-group-membership-check 确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-root-access-key-check 确保删除根访问密钥，从而帮助您限制访问权限和授权。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 kms-rotation-enabled 启用密钥轮换，确保密钥在加密周期结束后轮换。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 iam-password-policy 识别登录用户的密码强度符合要求。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 cts-support-validate-check 启用云审计服务追踪器的日志文件校验，验证日志文件转储后是否被修改、删除或未更改。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 rds-instances-enable-kms 确保云数据库(RDS)实例启用了加密。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 dcs-redis-enable-ssl 为了帮助保护传输中的敏感数据，确保为Redis启用SSL协议。 此表中的建议项编号对应SA-2中参考文档的章节编号，供您查阅参考。 表2 SA-2 外包 建议项编号 建议项说明 合规规则 指导 2.5.1 根据采用的云部署模型，包括应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 cts-kms-encrypted-check 由于日志可能存在敏感数据，请确保云审计服务的追踪器已启用加密事件文件。 2.5.1 应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 rds-instances-enable-kms 确保云数据库实例已启用加密。 2.5.1 应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 css-cluster-disk-encryption-check 确保云搜索服务集群开启磁盘加密。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 vpc-flow-logs-enabled VPC流日志提供了虚拟私有云的流量信息的详细记录。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 apig-instances-execution-logging-enabled API网关日志记录访问API的用户的详细视图以及访问API的方式，实现用户活动的可见性。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 cts-lts-enable 使用云审计服务集中收集和管理日志事件活动。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 cts-support-validate-check 启用云审计服务追踪器的日志文件校验，验证日志文件转储后是否被修改、删除或未更改。 此表中的建议项编号对应OR-2中参考文档的章节编号，供您查阅参考。 表3 OR-2 运营恢复能力 建议项编号 建议项说明 合规规则 指导 4.2.2 应注意在不同的业务周期或受季节因素影响时，其运作能力有所不同。例如，较多首次公开发行股票时，交易系统会有较大压力。 as-group-elb-healthcheck-required 弹性负载均衡定期发送网络请求，以测试弹性伸缩组中的云服务器的运行状况。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 as-multiple-az 弹性伸缩在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 css-cluster-multiple-az-check 云搜索服务在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 elb-multiple-az-check 弹性负载均衡在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 rds-instance-multi-az-support 云数据库在多可用区中部署，以帮助保持足够的容量和可用性。 6.2 业务操作风险管理的重点是防范及减少运作损失，有助认可机构维持运作稳健性。 kms-not-scheduled-for-deletion 确保KMS密钥未处于“计划删除”状态，防止被意外或恶意删除。 此表中的建议项编号对应TM-G-1中参考文档的章节编号，供您查阅参考。 表4 TM-G-1 科技风险管理总体原则 建议项编号 建议项说明 华为云合规规则 指导 3.1.4 应采用业内认可的加密解决方案及稳健的密钥管理手法，以保护有关的加密密钥。 kms-not-scheduled-for-deletion 帮助检查所有计划删除的密钥，以防计划删除是无意的。 3.1.4 应采用业内认可的加密解决方案及稳健的密钥管理手法，以保护有关的加密密钥。 kms-rotation-enabled 启用密钥轮换，确保密钥在加密周期结束后轮换。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 iam-password-policy 识别登录用户的密码强度符合要求。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 access-keys-rotated 定期更改访问密钥是安全最佳实践，它缩短了访问密钥的活动时间。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 iam-user-mfa-enabled 确保为所有用户启用多因素身份验证（MFA）。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 root-account-mfa-enabled 确保为root用户启用多因素身份验证（MFA）。 3.3.1 监控系统资源的使用，以侦测是否有异常或未经授权进行的活动。 cts-tracker-exists 启用云审计服务，可以记录华为云管理控制台操作和API调用。 3.3.1 监控系统资源的使用，以侦测是否有异常或未经授权进行的活动。 cts-lts-enable 使用云审计服务集中收集和管理日志事件活动。 3.3.2 应在安全管理职能上进行职责分离，或采取其他补偿措施，以减少未授权行为。 iam-role-has-all-permissions 确保IAM用户权限仅限于所需的操作，避免用户的权限违反最小权限和职责分离原则。 5.2.1 应制定适当的程序，以确保持续监控应用系统的性能，并及时地、全面地汇报异常情况。 alarm-action-enabled-check 确保云监控服务创建的告警规则未停用。 6.2.1 为防止不安全的网络连接，应制定及执行有关使用网络及网络服务的程序。 ecs-instance-no-public-ip 弹性云服务器可能包含敏感信息，需要限制其从公网访问。 6.2.1 为防止不安全的网络连接，应制定及执行有关使用网络及网络服务的程序。 function-graph-public-access-prohibited 函数工作流的函数不能公网访问，公网访问可能导致数据泄漏或资源可用性下降。

规则详情 表1 规则详情 参数 说明 规则名称 elb-predefined-security-policy-https-check 规则展示名 ELB监听器配置指定预定义安全策略 规则描述 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.loadbalancers 规则参数 predefinedPolicyName：指定的预定义安全策略名称，默认值为tls-1-0。 支持的枚举值：tls-1-0、tls-1-1、tls-1-2、tls-1-0-inherit、tls-1-2-strict、tls-1-0-with-1-3、tls-1-2-fs-with-1-3、tls-1-2-fs、hybrid-policy-1-0。更多信息请参见TLS安全策略。

规则详情 表1 规则详情 参数 说明 规则名称 iam-user-group-membership-check 规则展示名 IAM用户归属用户组 规则描述 IAM用户不属于任意一个IAM用户组，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 groupIds：指定的用户组ID列表，如果列表为空，表示允许所有值；数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 vpc-sg-restricted-common-ports 规则展示名 安全组入站流量限制指定端口 规则描述 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)，视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 blockedPorts：需要限制的端口列表，数组类型，默认值为（20，21，3306，3389）。 20：文件传输协议-数据端口。 21：文件传输协议-控制端口。 3306：mysql端口。 3389：远程桌面协定端口。

规则详情 表1 规则详情 参数 说明 规则名称 iam-policy-blacklisted-check 规则展示名 IAM策略黑名单检查 规则描述 IAM的用户、用户组或委托存在黑名单的策略，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users、iam.groups、iam.agencies 规则参数 blackListPolicyUrns：策略黑名单列表，数组类型。

事件监控 事件监控提供事件类型数据上报、查询和告警的功能。方便您将资源的合规性事件收集到云监控服务，并在事件发生时进行告警。 事件监控默认开通，您可以在事件监控中查看系统事件的监控详情，事件监控的相关操作请参见：查看事件监控数据和创建事件监控的告警通知。 当前Config对接云监控服务的事件监控能力仅支持华北-北京四区域。 Config目前支持的系统事件如下表所示： 表1 事件监控支持的配置审计（Config）事件 事件来源 事件名称 事件级别 事件说明 处理建议 事件影响 SYS.RMS 配置不合规通知 重要 审计规则执行结果为不合规 修改资源不合规的配置项，使其合规。 无 SYS.RMS 配置合规通知 提示 审计规则执行结果变为合规 无 无 SYS.RMS Config快照导出失败 重要 Config资源快照导出到OBS失败 建议排查OBS桶权限 无法记录资源历史变化 SYS.RMS Config快照导出成功 提示 Config资源快照导出到OBS成功 无 无 SYS.RMS Config历史记录导出失败 重要 Config资源历史记录导出到OBS失败 建议排查OBS桶权限 无法记录资源历史变化 SYS.RMS Config历史记录导出成功 提示 Config资源历史记录导出到OBS成功 无 无 SYS.RMS Config资源变化通知失败 重要 Config资源变化通知SMN失败 建议排查SMN主题权限 无法通过SMN通知到客户资源历史变化 SYS.RMS Config资源变化通知成功 提示 Config资源变化通知SMN成功 无 无 SYS.RMS Config资源关系变化通知失败 重要 Config资源关系变化通知SMN失败 建议排查SMN主题权限 无法通过SMN通知到客户资源历史变化 SYS.RMS Config资源关系变化通知成功 提示 Config资源关系变化通知SMN成功 无 无 父主题： 资源合规

规则详情 表1 规则详情 参数 说明 规则名称 allowed-ecs-flavors 规则展示名 ECS资源规格在指定的范围 规则描述 ECS资源的规格不在指定的范围内，视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 listOfAllowedFlavors：允许的ECS资源的规格列表，数组类型，最多包含10个元素。字段可选值查询ECS文档获取，例如：s6.small.1、s6.xlarge.2、m7.large.8、t6.small.1。

规则详情 表1 规则详情 参数 说明 规则名称 function-graph-settings-check 规则展示名 检查函数工作流参数设置 规则描述 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规”。 标签 fgs 规则触发方式 配置变更 规则评估的资源类型 fgs.functions 规则参数 runtimeList：指定的运行时列表，数组类型。 timout：最大执行超时事件（秒），整数类型。 memorySize：最大内存限制（MB），整数类型。

规则详情 表1 规则详情 参数 说明 规则名称 codeartsdeploy-host-cluster-resource-status 规则展示名 CodeArts项目下的主机集群为可用状态 规则描述 codearts项目下的主机集群如果状态不可用，则该主机集群视为“不合规”。 标签 codeartsdeploy 规则触发方式 配置变更 规则评估的资源类型 codeartsdeploy.host-cluster 规则参数 无

规则详情 表1 规则详情 参数 说明 规则名称 ecs-in-allowed-security-groups 规则展示名 绑定指定标签的ECS关联在指定安全组ID列表内 规则描述 指定高危安全组ID列表，未绑定指定标签的ECS资源关联其中任意安全组，视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 specifiedECSTagKey：指定的ECS的标签键，字符串类型。 specifiedECSTagValue：指定的ECS的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。 specifiedSecurityGroupIds：指定的高危安全组的ID列表，数组类型，最多包含10个元素。

默认规则 此表中的建议项编号对应https://www.swift.com/中参考文档的章节编号，供您查阅参考。 表1 适用于SWIFT CSP的标准合规包默认规则说明 建议项编号 合规规则 指导 1.1 ecs-instance-no-public-ip 由于华为云ECS实例可能包含敏感信息，确保华为云ECS实例无法公开访问来管理对华为云的访问。 1.1 ecs-instance-in-vpc 确保弹性云服务器所有流量都安全地保留在虚拟私有云中。 1.1 vpc-default-sg-closed 确保虚拟私有云安全组能有效帮助管理网络访问，限制默认安全组上的所有流量有助于限制对华为云资源的远程访问。 1.1 vpc-acl-unused-check 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。 1.1 vpc-sg-ports-check 确保虚拟私有云安全组上的端口受到限制，管理对华为云中资源的访问。 1.2 iam-customer-policy-blocked-kms-actions 帮助您将最小权限和职责分离的原则与访问权限和授权结合起来，限制策略在数据加密服务上包含阻止的操作。拥有超过完成任务所需的特权可能违反最小特权和职责分离的原则。 1.2 iam-group-has-users-check 确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 1.2 vpc-sg-restricted-ssh 当外部任意IP可以访问安全组内云服务器的SSH（22）端口时认为不合规，确保对服务器的远程访问安全性。 1.2 smn-lts-enable 确保为指定SMN主题绑定一个云日志，用于记录主题消息发送状态等信息。 1.4 private-nat-gateway-authorized-vpc-only 确保NAT私网网关仅连接到授权的虚拟私有云中，管理对华为云中资源的访问。 1.4 vpc-sg-restricted-common-ports 在华为云VPC安全组上限制通用端口的ip地址，确保对安全组内资源实例的访问。 1.4 function-graph-public-access-prohibited 确保函数工作流的函数不能公开访问，管理对华为云中资源的访问。公开访问可能导致资源可用性下降。 2.3 ecs-multiple-public-ip-check 此规则检查您的华为云ECS实例是否具有多个公网IP。拥有多个公网IP可能会增加网络安全的复杂性。 2.3 volume-unused-check 确保云硬盘未闲置。 2.3 kms-not-scheduled-for-deletion 确保数据加密服务密钥未处于“计划删除”状态，以防止误删除密钥。 2.5A sfsturbo-encrypted-check 由于敏感数据可能存在并帮助保护静态数据，确保弹性文件服务已通过KMS进行加密。 2.5A volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 4.1 iam-password-policy 确保IAM用户密码强度满足密码强度要求。 4.1 access-keys-rotated 确保根据组织策略轮换IAM访问密钥，这缩短了访问密钥处于活动状态的时间，并在密钥被泄露时减少业务影响。 4.2 iam-user-mfa-enabled 确保为所有IAM用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 4.2 mfa-enabled-for-iam-console-access 确保为所有能通过控制台登录的IAM用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA在用户名和密码的基础上增加了一层额外的保护。通过要求对用户进行MFA，您可以减少账号被盗用的事件，并防止敏感数据被未经授权的用户访问。 4.2 root-account-mfa-enabled 确保为root用户启用多因素认证（MFA），管理对华为云中资源的访问。MFA为登录凭据添加了额外的保护。 5.1 iam-role-has-all-permissions 确保IAM用户操作仅限于所需的操作。允许用户拥有超过完成任务所需的权限可能违反最小权限和职责分离原则。 5.1 iam-root-access-key-check 确保根访问密钥已删除。 5.1 iam-user-group-membership-check 确保用户至少是一个组的成员，帮助您限制访问权限和授权。允许用户拥有超过完成任务所需的权限，可能会违反最小权限和职责分离的原则。 6.4 cts-lts-enable 确保使用云日志服务集中收集云审计服务的数据。 6.4 cts-tracker-exists 确保账号已经创建了CTS追踪器，云审计服务用于记录华为云管理控制台操作。 6.4 multi-region-cts-tracker-exists 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。 6.4 cts-kms-encrypted-check 确保云审计服务的追踪器已配置KMS加密存储用于归档的审计事件。 6.4 cts-support-validate-check 确保云审计服务追踪器已打开事件文件校验，已避免日志文件存储后被修改、删除。 6.4 stopped-ecs-date-diff 启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数，确保弹性云服务器未闲置。 6.4 vpc-flow-logs-enabled VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。

功能概述 配置审计服务提供多账号资源数据聚合能力，通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中，方便统一查询。 资源聚合器提供只读视图，仅用于查看聚合的源账号的资源信息和合规性数据。资源聚合器不提供对源账号资源数据的修改访问权限。例如，无法通过资源聚合器部署规则，也无法通过资源聚合器从源账号提取快照文件。 资源聚合器仅支持用户查询和浏览源账号中的云服务资源信息，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。

基本概念 源账号 源账号是配置审计服务需要聚合资源配置和合规性数据的账号。源账号可以是华为云账号或组织。 资源聚合器 资源聚合器是配置审计服务中的一种新的功能，可以从多个源账号收集资源配置和合规性数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器，必须获得源账号的授权才能聚合数据；源类型为组织的资源聚合器，则无需授权即可聚合整个组织中所有成员账号的数据。

添加资源合规规则 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下单击“添加规则”，进入“基础配置”页面，基础配置完成后，单击页面右下角的“下一步”。 图8 添加合规规则-基础配置 相关参数配置，详见表1 基础配置参数说明。 表1 基础配置参数说明 参数 说明 策略类型 策略类型有： 预设策略 自定义策略 预设策略 预设策略即服务已开发的策略。 使用服务已开发的策略，快速完成合规规则创建。 预设策略详情见系统内置预设策略。 自定义策略 允许用户通过自定义策略来创建合规规则。 自定义策略详情见添加自定义合规规则。 规则名称 规则名称默认复用所选择预设策略的名称，不能与已存在的合规规则名称重复，如有重复需自行修改。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 规则简介默认复用所选择预设策略的简介，也可自行修改。 目前对合规规则简介的内容不做限制。 FunctionGraph 函数 用户自定义策略执行函数的urn。 创建FunctionGraph函数请参见创建FunctionGraph函数。 仅当“策略类型”选择“自定义策略”时需配置此参数。 授权 此处的授权为委托授权，授权函数工作流（FunctionGraph）的只读权限和调用权限给Config服务，允许自定义合规规则查询函数工作流以及将事件发送至函数工作流。 仅当“策略类型”选择“自定义策略”时需配置此参数。 说明： 快速授权：将为您快速创建一个名为“rms_custom_policy_agency”的委托权限，该权限是可以让自定义合规规则正常工作的权限，包含函数工作流（FunctionGraph）的只读权限和调用权限。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，但必须包含可以让自定义合规规则正常工作的权限（函数工作流（FunctionGraph）的只读权限和调用权限），创建委托详见《统一身份认证服务用户指南》。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图9 添加合规规则-规则参数 相关参数配置，详见表2 合规规则参数说明。 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”为“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”为“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”为“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”为“周期执行”时需配置此参数。 规则参数 此处的“规则参数”和第一步所选的“预设策略”或“自定义策略”相对应，是对第一步所选的预设策略或自定义策略进行具体参数设置。 例如：第一步预设策略选择“required-tag-check”，指定一个标签，不具有此标签的资源，视为“不合规”，则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数，有的“预设策略”不需要添加规则参数（例如：volumes-encrypted-check：已挂载的云硬盘未进行加密，视为“不合规”）。 自定义策略的规则参数最多可以设置10个，由您自行配置。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成合规规则添加。 图10 添加合规规则-确认规则 图11 查看创建的合规规则 合规规则创建后会立即自动触发首次评估。

查看规则评估结果 资源合规规则添加完成后，您可以在规则列表中查看所有已添加的合规规则，进入规则详情页可查看规则的评估结果和规则详情配置等信息。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的列表中，可查看所有已添加的合规规则以及其运行状态、合规评估结果等信息。 在规则列表中单击合规规则的规则名称，进入“规则详情页”。 页面左侧为此合规规则评估结果的详细信息，页面右侧为此合规规则的配置详情。 图12 规则详情 合规规则的运行状态分为： 已启用：表示此合规规则可用。 已停用：表示此合规规则已停用。 评估中：表示正在使用此合规规则进行资源评估。 提交中：表示自定义合规规则正在提交评估任务给FunctionGraph函数。 当规则评估正在进行中时，规则的运行状态显示为“评估中”，当规则评估结束后，规则的运行状态变为“已启用”，此时可查看规则评估结果。

高级查询概述 配置审计服务提供高级查询能力，通过使用ResourceQL自定义查询用户当前的单个或多个区域的资源配置状态。 高级查询支持用户自定义浏览、筛选和查询华为云云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言 (SQL) SELECT 语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现： 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性（公网IP，加密磁盘）的资源的列表。 成本优化。例如查找未挂载到任何云服务器实例的云磁盘的列表。

开启并配置资源记录器 开启并配置资源记录器后，当您的资源变更（被创建、修改、删除）、资源关系变更时，您均可收到通知，同时还可对您的资源变更消息和资源快照进行定期存储。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源记录器”，进入“资源记录器”页面。 打开资源记录器开关，在弹出的确认框中单击“是”，资源记录器开启成功。 图2 开启资源记录器 选择资源的监控范围。 默认情况下，资源记录器的监控范围会覆盖当前所有支持的资源。您可以修改资源记录器的监控范围，选择指定的资源类型进行监控。 图3 选择监控范围 配置资源转储。 选择OBS桶，用于存储资源变更消息及资源快照。如无OBS桶，则需先创建OBS桶，详见《对象存储服务用户指南》。 配置当前账号下OBS桶： 选择您账号下的OBS桶，用于存储资源变更消息及资源快照，如果用于转储的OBS桶指定了前缀，则还需添加桶前缀。如您的账号下无OBS桶，则需先创建OBS桶，详见《对象存储服务用户指南》。 配置其他账号下OBS桶： 选择“另一账号的桶”，并输入区域ID和桶名称，如果用于转储的OBS桶指定了前缀，则还需添加桶前缀。需先使用其他账号对当前账号授予相关OBS桶的权限，具体操作请参见跨账号授权。 开启资源记录器时，如果指定了当前账号或其他账号下的OBS桶，Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件，此文件用来验证资源转储是否能够成功写入OBS桶。 图4 配置资源转储 配置数据保留周期。 资源记录器收集到的资源配置信息数据默认保留7年（2557天），您可以将配置信息数据设置自定义保留周期，自定义数据保留周期的可设置范围为最短30天，最长7年（2557天）。 虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照，但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config，不会对SMN和OBS存储的数据产生影响。 当您配置数据保留周期后，Config会在指定周期内保留您的资源历史数据，超出指定周期的数据将会被删除。 图5 配置数据保留周期 开启并配置消息通知（SMN）主题。 打开主题开关，选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见《消息通知服务用户指南》。 配置当前账号下消息通知主题： 选择“您自己的主题”，并选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见《消息通知服务用户指南》。 配置其他账号下消息通知主题： 选择“另一账号的主题”，并输入主题URN。需先使用其他账号对当前账号授予相关SMN主题的权限，具体操作请参见跨账号授权。 创建SMN主题后，还需执行“添加订阅”和“请求订阅”操作，消息通知才会生效。详见《消息通知服务用户指南》。 图6 配置SMN主题 进行授权，选择“快速授权”或“自定义授权”。 快速授权：将为您快速创建一个名为“rms_tracker_agency”的委托权限，该权限是可以让资源记录器正常工作的权限，包含调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限（例如SMN Administrator和OBS OperateAccess权限）。由于快速授权的委托中并不包含KMS的相关权限，因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要，您可以在委托中添加对应权限（KMS Administrator）或使用自定义授权，具体请参见资源变更消息和资源快照转储至OBS加密桶。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，授权对象为云服务RMS，但必须包含可以让资源记录器正常工作的权限（调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限）。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中，还需要添加KMS的密钥管理员权限（KMS Administrator），具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见《统一身份认证服务用户指南》。 此处的授权为委托授权，授权消息通知服务（SMN）的发送通知权限和对象存储服务（OBS）的写入权限给Config服务，允许资源记录器将消息通知发送到您的SMN主题和将资源变更消息以及资源快照存储到您的OBS桶。 图7 授权 配置完成后，单击“保存”。 在弹出的确认框中单击“是”，资源记录器配置成功。

约束与限制 以下为使用配置审计（Config）服务的主要约束与限制： 表1 Config约束与限制 描述 限制值 资源快照存储周期 24小时 资源变更消息存储周期 6小时 每个账号最多可以添加的合规规则数（包括组织合规规则） 500个 每个账号最多可以添加的合规规则包数（包括组织合规规则包） 50个 每个账号最多能创建的账号类型的资源聚合器数 30个 单个资源聚合器最多能聚合的源账号数 30个 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数 1000个 单个账号最多能创建的组织类型的资源聚合器数 1个 单个账号每天最多能创建的组织类型资源聚合器次数 1次 每个账号最多能创建的高级查询数 200个 单个高级查询语句返回的结果条数 4000条 资源记录器收集到的资源配置信息数据的保留周期 7年 Config服务的相关功能均依赖于资源记录器收集的资源数据，不开启资源记录器将会影响其他功能的正常使用，例如资源清单页面无法获取资源最新数据、合规规则无法进行准确的资源评估、资源聚合器无法聚合源账号的资源数据等，因此强烈建议您保持资源记录器的开启状态。如何开启并配置资源记录器请参见配置资源记录器。

简介 配置审计（Config）服务提供全局资源配置的检索，配置历史追溯，以及基于资源配置的持续的审计评估能力，确保云上资源配置变更符合客户预期。 Config服务的相关功能均依赖于资源记录器收集的资源数据，不开启资源记录器将会影响其他功能的正常使用，例如资源清单页面无法获取资源最新数据、合规规则无法进行准确的资源评估、资源聚合器无法聚合源账号的资源数据等，因此强烈建议您保持资源记录器的开启状态。如何开启并配置资源记录器请参见配置资源记录器。

产品架构 您可以使用Config查看您所拥有的资源有哪些；可以查看资源详情、资源之间的关系、资源历史；Config会在资源变更时发送消息通知给您，并定期（6小时）对您的资源变更消息进行存储；Config还会定期（24小时）对您的资源进行存储；您还可以通过配置合规规则来对您的资源进行合规性检查。 查看资源详情：Config会索引您在云平台上的所有资源信息，为您提供丰富的检索功能。 查看资源关系：Config会建立资源之间的关系状态，帮助您查看资源之间的关联关系。 查看资源历史：您可以通过开启、配置资源记录器，来持续跟踪资源的变更历史。 发送消息通知：您在开启资源记录器并成功配置消息通知（SMN）后，Config会推送资源变更的消息给您。 资源变更信息存储：您在开启资源记录器并成功配置消息通知（SMN）和对象存储桶（OBS）后，Config会定期（6小时）对您的资源变更信息进行存储。 资源快照文件存储：您在开启资源记录器并成功配置对象存储桶（OBS）后，Config会定期（24小时）对您的资源进行快照并对快照文件存储。 资源评估：Config提供合规扫描，帮助您自动化地检查资源的合规性。 高级查询: Config提供高级查询能力，通过使用ResourceQL语法来自定义查询云资源。 资源聚合器：Config提供多账号资源数据聚合能力，通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中，方便统一查询。 合规规则包：Config提供合规规则包能力，合规规则包是多个合规规则的集合，帮助您统一创建和管理合规规则，并统一查询合规性数据。 图1 配置审计服务产品架构图

添加合规规则时，规则参数指的是什么？ 规则参数和合规策略是对应的，例如：您选择了“required-tag-check”预设策略，则需要配置该预设策略对应的规则参数“key”和“value”的具体值。 通过减少合规策略定义的参数数量来简化合规策略管理。比如表单上的字段：参数名称、描述参数。这些参数名称始终保持不变，但是您可以根据需要设置不同的值。 通过在合规策略定义中包括参数，您可以使用不同的值将合规策略重用于不同的方案。 图1 规则参数赋值

添加“iam-password-policy”、“iam-user-mfa-enabled”等合规规则后，为什么没有合规评估结果？ 资源合规的数据来源于Config服务在资源清单页面所收集到的全部资源。请检查相关资源在资源清单页面中是否正常展示，如未正常展示，可能是由于您没有开启资源记录器导致未收集到相应的资源数据。如果您需要使用这些合规规则，请开启资源记录器并收集相关的资源数据；如不需要使用这些规则，请停用未收集资源数据对应的合规规则，避免造成混淆或产生不必要的费用。

UML有什么 UML规范定义了两种主要的UML图，分别为结构图和行为图。 结构图：显示了系统及其部件在不同抽象和实现级别上的静态结构以及它们如何相互关联。结构图中的元素表示系统的有意义的概念，并且可以包括抽象的，现实的和实现的概念。包括：类图、对象图、包图、组件图、复合结构图、部署图、配置文件图。 行为图：显示了系统中对象的动态行为，可以将其描述为系统随时间的一系列更改。包括：用例图、活动图、状态图、顺序图、时序图、通信图、交互概览图。

数据保护技术 架构建模通过多种数据保护手段和特性，保证通过架构建模的数据安全可靠。 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） 访问全链路采用HTTPS数据传输方式，保证数据传输安全。 - 个人数据保护 架构建模通过控制个人数据访问权限以及通过云审计服务记录操作日志等方法，防止个人数据泄露，保证您的个人数据安全。 权限控制 隐私数据保护 涉及到用户的数据库账号信息需要存储时，提供敏感数据加密存储，支持加密密钥轮换更新。 - 数据备份 支持用户数据备份。 - 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

GeminiDB Cassandra内核版本发布说明 本章节介绍GeminiDB Cassandra的内核版本更新说明。 表1 GeminiDB Cassandra版本说明 版本 日期 特性描述 3.11 2023-07-30 新特性及性能优化： 流控功能增强。 新增基于本地快照恢复功能。 优化创建跨Region双活过程中的CPU消耗。 2023-06-30 新特性及性能优化： 优化内存使用，对于集群中创建满表的情况优化效果明显。 2023-05-30 新特性及性能优化： 新增一些元数据相关运维命令 日志使用异步打印。 2023-04-30 新特性及性能优化： 新增稳定性优化、EVS探测以及RTO优化。 新增监控项：单行删除操作每分钟量、范围删除操作的请求数。 新增事件项：Keyspace中的墓碑数目超过阀值时产生告警，大列超过阀值时产生告警。 2023-03-30 新特性及性能优化： 优化系统健康监视器。 增加客户端连接监听功能。 增加运维System Monitor开关，是否开启可在Cassandra.yaml 中配置。 2023-01-30 新特性及性能优化： 同分区删除过多场景下，增加告警监控，增加日志。 灾备同步模块优化：重试次数可配，重试范围缩小。 增加系统表定期Compaction。 写入请求较少的表的增加定期Flush。 Rebalance优化。 新增灾备实例/多活实例Schema不一致时修复工具。 2022-11-30 新特性及性能优化： 具有灾备关系的主备实例间，节点传输文件按照总文件大小切分。 具有灾备关系的主备实例间，增加多连接并行传输文件。 具有灾备关系的主备实例间，增加限速模块。 具有灾备关系的主备实例间，增加异常时消息重试。 2022-10-30 新特性及性能优化： Lucene分页查询优化，增加补偿机制， 解决Lucene实时性导致的删除未生效时，分页查询中断问题。 Lucene查询新增Offset功能。 Lucene分裂重构。 2022-09-30 新特性及性能优化： 支持Periodic Compaction。Compaction线程空闲时触发Periodic Compaction。 存储加密特性。 JVM垃圾回收策略优化。 2022-07-30 新特性及性能优化： Lucene支持使用Json扩展语义。 Lucene表支持备份恢复。 Lucene写线程池优化，优化单节点访问时延。 2022-06-30 新特性及性能优化： 优化：Drop列后，Compaction功能会释放存储空间。 优化SinglePartition查询逆序返回时延。 增加自动Compaction解决系统表墓碑多问题。 2022-05-30 新特性及性能优化： 新特性异地双活特性。 2022-03-30 新特性及性能优化： 增加IO线程健康监控。 优化分裂特性。 2022-01-30 新特性及性能优化： 新特性Lucene特性。 2021-12-30 新特性及性能优化： 优化主备同步模块内存使用。 优化缩容节点期间的RTO。 修复Map/Set类型中空Value序列化问题。 2021-11-30 修复问题： 修复灾备场景下，切流时偶现失败问题。 增强CDC表在特殊场景下稳定性。 2021-11-15 新特性及性能优化： 优化CDC表中含有NULL列问题。 增加CDC表的主动Compact功能。 优化主备同步模块的对比机制性能。 2021-06-30 新特性及性能优化： Range查询优化。 5min增备、恢复性能优化。 故障节点RTO优化。 数据库内存使用优化。 主备同步模块性能优化。 2021-04-30 新特性及性能优化： 支持Arm版本。 2021-02-28 新特性及性能优化： 主备容灾实例数据同步模块性能优化。 2020-12-30 新特性及性能优化： 增加分裂特性。 优化CDC表查询性能问题。 优化大Key场景的查询性能。 Compaction性能优化。 2020-11-30 新特性及性能优化： 新增CDC功能。 流控特性增强。 细粒度权限控制。 2020-09-30 新特性及性能优化： 增加限流告警。 2020-08-30 新特性及性能优化： 增加备份、恢复功能。 优化多个故障节点RTO。 增加限流保护机制。 2020-07-30 新特性及性能优化： 增加自动Rebalance功能。 增加存储满只读特性。 2020-06-30 新特性及性能优化： 缩短单个故障节点RTO。 2020-05-30 新特性及性能优化： 增加流表功能。 新增主备容灾功能。 增加主备容灾实例主备一致性检测功能。 2020-04-30 新特性及性能优化： 增加Showclients功能。 优化内存使用。 2020-03-30 新特性及性能优化： 支持大Key检测。 支持自动Compact资源使用优化。 增加无损升级功能。 2020-02-09 新特性及性能优化： Cache使用优化。 Copy导出时长优化。 2019-12-06 新特性及性能优化： 支持存算分离架构。 高度兼容Cassandra协议。 父主题： 版本发布说明

GeminiDB Redis内核版本发布说明 本章节介绍GeminiDB Redis的内核版本更新说明。 表1 GeminiDB Redis版本说明 版本 日期 特性描述 5.0 2023-06-30 新特性及性能优化： 新增Renamenx命令。 新增在事务中执行Select命令。 新增Hyerloglog编码, 完全兼容开源实现，并支持数据互迁。 新增Role命令支持。 新增Command Help命令支持。 新增跨链接Scan能力的支持。 问题修复： 修复小规格下Client命令潜在的问题。 修复Pfadd命令的返回值不兼容问题。 修复ZSET类型处理正负无穷时可能出错的问题。 2023-05-30 新特性及性能优化： 新增新的Bitmap类型编码, 提高Setbit/Getbit命令的性能。 新增Getex/Getdel/Lpos/Lmove命令的支持。 新增Set命令的Get/Exat/Pxat选项。 优化审计日志功能。 问题修复： 修复数据迁出可能出现的问题。 2023-04-30 新特性及性能优化： 新增SSL与非SSL连接并存的能力。 新增支持Sscan/Hscan/Zscan跨链接访问的能力。 问题修复： 修复SSL场景下可能导致Proxy挂死的问题。 2023-02-28 新特性及性能优化： 新增高性能内存查询引擎，加速ZSET类型的读操作。 优化数据迁移的配置参数。 2023-01-30 问题修复： 修复LIST类型Restore命令可能写入错误的问题。 2022-12-30 新特性及性能优化： 新增STREAM类型Xread命令的Block选项。 优化Info命令的兼容性。 问题修复： 修复SSL场景下可能导致Proxy挂死的问题。 2022-11-30 新特性及性能优化： 优化小规格实例的性能和稳定性。 问题修复： 修复Bloom Fitler类型无法数据迁移的问题。 2022-10-30 新特性及性能优化： 新增ACL只读账户的特性。 新增增量迁出能力。 新增免密白名单。 新增存储层加密。 新增Bigkeys命令，查询数据库中存在的大Key。 新增Restore命令支持全部类型数据结构。 优化Client Kill命令的兼容性支持。 2022-09-30 新特性及性能优化： 新增Georaduis_ro, Georadiusbymember_ro命令的支持。 新增Client Id/Info/Getname/Setname命令的支持。 新增大Key审计日志的能力。 降低CPU的消耗。 优化Dump命令的兼容性。 优化对Cluster/Sentinel SDK相关的兼容性。 问题修复： 修复Bloom Filter在异常场景下可能出现的问题。 修复Scan类命令处理特殊字符可能出现的问题。 2022-08-30 新特性及性能优化： 新增Keys命令的支持。 新增Notify Expire的支持。 问题修复： 修复阻塞命令Timeout参数可能出现的溢出问题。 2022-07-30 新特性及性能优化： 新增Bloom Fitler相关命令的支持。 新增Lpop/Rpop命令的Count选项支持。 2022-06-30 新特性及性能优化： 新增Dump命令的支持。 新增Key-notify功能的支持。 2022-05-30 新特性及性能优化： 新增多DB支持, 支持Select命令。 新增允许在只读模式下执行删除类命令。 优化Cluster-redis SDK相关的兼容性。 优化Info命令的兼容性。 问题修复： 修复Script Kill命令的提示信息兼容性问题。 2022-04-30 新特性及性能优化： 新增Unlink命令支持。 新增LIST类型阻塞命令的支持。 优化Scan命令前缀匹配模式的性能。 问题修复： 修复事务相关的若干问题。 2022-03-30 新特性及性能优化： 优化ZSET相关命令的性能。 优化Rename性能。 2022-02-28 新特性及性能优化： 新增Command命令支持。 2022-01-30 新特性及性能优化： 新增Rename命令支持。 新增事务相关的命令支持。 新增Client List命令的支持。 新增审计日志功能。 新增防暴力破解能力。 优化内部故障探测时间，缩短RTO。 问题修复： 修复Del命令和Exists命令的兼容性问题。 修复鉴权失败场景下可能出现的回包错误。 2021-12-30 新特性及性能优化： 新增LUA脚本相关命令支持。 新增SSL连接加密功能。 新增慢日志查询功能。 新增Info Cluster命令的支持，支持Spark接入。 问题修复： 修复Expire命令和Incr命令可能出现的整型溢出问题。 修复Scan命令对于包含特殊字符的Key处理错误的问题。 2021-11-30 新特性及性能优化： 优化计算层数据压缩中压缩、解压的效率。 优化内部集群故障接管场景的RTO。 问题修复： 修复GEO, STREAM类型命令的兼容性问题。 修复Scan命令可能无法扫全数据的问题。 2021-10-30 新特性及性能优化： 优化Flushall的性能。 问题修复： 修复使用Linsert插入元素时元素乱序的问题。 2021-09-30 新特性及性能优化： 新增对Redis-cluster SDK的兼容。 2021-08-30 新特性及性能优化： 新增对2U规格的支持。 优化内部的锁的范围。 问题修复： 修复Xread命令的兼容性问题。 2021-07-30 新特性及性能优化： 新增Time命令。 新增对Pipeline的支持。 问题修复： 修复Geoadd命令没有校验经纬度的问题。 修复Zscan可能出现的死循环问题。 2021-06-30 新特性及性能优化： 新增实例只读模式。 新增计算层数据压缩。 新增客户端连接超时检查。 优化慢日志的打印逻辑。 问题修复： 修复Sdiff命令可能落在错误分区的问题。 父主题： 版本发布说明

GeminiDB Mongo各版本的生命周期规划 3.4版本已下线，不再提供技术支持，如需升级版本，请联系华为技术人员咨询升级方案。 EOM：End of Marketing，停止该版本的销售。 EOS：End of Service & support，停止该版本的服务，建议您在执行作业时选择最新版本的引擎。在该日期之后，不再提供该软件版本的任何技术服务支持。 表1 GeminiDB Mongo各版本生命周期规划表 版本 当前状态 华为云商用时间 计划EOM时间 计划EOS时间 3.4 已下线 - - - 4.0 已商用 2020年6月 2024年4月 2025年1月

修订记录 发布日期 修订记录 2024-04-16 第三次正式发布。 修改如下章节： 包年/包月 按需计费 开发中心/运维中心/运行时引擎/运营中心计费项 AI原生应用引擎计费项 2024-02-08 第二次正式发布。 新增如下章节： 按需计费 AI原生应用引擎计费项 修改如下章节： 计费模式概述 包年/包月 开发中心/运维中心/运行时引擎/运营中心计费项 续费 欠费说明 停止计费 2023-11-25 第一次正式发布。

操作步骤 登录AppStage管理控制台，默认进入应用平台管理控制台“总览”页。 在总览页面的“套餐详情”区域单击“续费”，进入费用中心的“续费管理”页面。 自定义查询条件。 可在“手动续费项”、“自动续费项”、“到期不续费项”页签查询全部待续费资源，对资源进行手动续费的操作。 图1 续费管理 所有需手动续费的资源都可归置到“手动续费项”页签，具体操作请参见如何恢复为手动续费。 在列表中找到需要续费的订单，单击操作列的“续费”。 图2 手动续费 选择续费时长，判断是否勾选“统一到期日”，将套餐到期时间统一到各个月的某一天（详细介绍请参见统一包年/包月资源的到期日）。确认配置费用后单击“去支付”。 图3 续费确认 进入支付页面，选择支付方式，确认付款，支付订单后即可完成续费。