云服务器内容精选

  • 华为云网络安全合规实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM 用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. alarm-kms-disable-or-delete-key CES 配置监控KMS禁用或计划删除密钥的事件监控告警 ces,kms CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规” alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces,obs CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规” alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces,vpc CES未配置监控VPC变更的事件监控告警,视为“不合规” css-cluster-https-required CSS 集群启用HTTPS css CS S集群未启用https,视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的VPC资源绑定,视为“不合规” cts-kms-encrypted-check CTS 追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验,视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs,vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定,视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户,视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求,视为“不合规” iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥,视为“不合规” iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组,视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” iam-user-single-access-key IAM用户单访问密钥 iam IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” mrs-cluster-kerberos-enabled MRS 集群开启kerberos认证 mrs MRS集群未开启kerberos认证,视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” private-nat-gateway-authorized-vpc-only NAT私网网关绑定指定VPC资源 nat NAT私网网关未与指定的VPC资源绑定,视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区,视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP,视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证,视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器,视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs,evs 已挂载的云硬盘未进行加密,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” 父主题: 合规规则包示例模板
  • 适用于弹性负载均衡(ELB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 elb-loadbalancers-no-public-ip ELB资源不具有弹性公网IP elb ELB资源具有弹性公网IP,视为“不合规” elb-predefined-security-policy-https-check ELB监听器配置指定预定义安全策略 elb 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规“ elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” 父主题: 合规规则包示例模板
  • 适用于计算服务的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 as-capacity-rebalancing 弹性伸缩组均衡扩容 as 弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略,视为“不合规” as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规” as-multiple-az 弹性伸缩组启用多AZ部署 as 弹性伸缩组没有启用多AZ部署,视为“不合规” ecs-instance-key-pair-login ECS资源配置密钥对 ecs ECS未配置密钥对,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规” ecs-multiple-public-ip-check 检查ECS资源是否具有多个弹性公网IP ecs ECS资源具有多个弹性公网IP,视为“不合规” eip-bandwidth-limit EIP带宽限制 eip 弹性IP实例可用带宽小于指定参数值,视为“不合规” function-graph-concurrency-check 函数工作流 的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内,视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器,视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs,evs 已挂载的云硬盘未进行加密,视为“不合规” 父主题: 合规规则包示例模板
  • 默认规则 此表中的建议项编号对应“CIS Control v8”中参考文档的章节编号,供您查阅参考。 表1 网络及数据安全最佳实践合规包默认规则说明 建议项编号 合规规则 规则中文名称 涉及云服务 规则描述 1.1 ecs-in-allowed-security-groups 绑定指定标签的ECS关联在指定安全组ID列表内 ecs 指定高危安全组ID列表,未绑定指定标签的ECS资源关联其中任意安全组,视为“不合规” 1.1 eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定,视为“不合规” 1.1 eip-use-in-specified-days EIP在指定天数内绑定到资源实例 eip EIP创建后在指定天数内未使用,视为“不合规” 1.1 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS云主机未进行任何操作的时间超过了允许的天数,视为“不合规” 1.1 vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” 2.2 cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规” 3.3 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的虚拟私有云资源绑定,视为“不合规” 3.3 drs-data-guard-job-not-public 数据复制服务 实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络,视为“不合规” 3.3 drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络,视为“不合规” 3.3 drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络,视为“不合规” 3.3 ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs、vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” 3.3 ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规” 3.3 function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC,视为“不合规” 3.3 function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” 3.3 iam-customer-policy-blocked-kms-actions IAM策略中不存在KMS的任一阻拦action iam、access-analyzer-verified IAM策略中授权KMS的任一阻拦action,视为“不合规” 3.3 iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户,视为“不合规” 3.3 iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM策略中存在admin权限(Action为*:*:*或*:*或*),视为“不合规” 3.3 iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的云服务的全部权限,视为“不合规” 3.3 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥,视为“不合规” 3.3 iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组,视为“不合规” 3.3 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” 3.3 mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证,视为“不合规” 3.3 mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” 3.3 rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP,视为“不合规” 3.1 apig-instances-ssl-enabled APIG专享版实例 域名 均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” 3.1 css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密,视为“不合规” 3.1 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS,视为“不合规” 3.1 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规” 3.1 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” 3.11 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” 3.11 dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密,视为“不合规” 3.11 gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密,视为“不合规” 3.11 rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源,视为“不合规” 3.11 sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” 3.11 volumes-encrypted-check 已挂载的云硬盘开启加密 evs、ecs 已挂载的云硬盘未进行加密,视为“不合规” 3.14 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” 3.14 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规” 3.14 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” 3.14 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器,视为“不合规” 3.14 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器,视为“不合规” 3.14 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源,视为“不合规” 3.14 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规” 4.1 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的AK/SK访问密钥未在指定天数内更换,视为“不合规” 4.1 evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 云硬盘创建后在指定天数内未使用,视为“不合规” 4.1 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS云主机未进行任何操作的时间超过了允许的天数,视为“不合规” 4.1 volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器,视为“不合规” 4.6 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” 4.6 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS,视为“不合规” 4.6 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规” 4.6 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” 4.7 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥,视为“不合规” 5.2 iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求,视为“不合规” 5.2 iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” 5.2 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” 5.2 root-account-mfa-enabled 根账号开启MFA认证 iam 账号未开启MFA认证,视为“不合规” 5.3 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” 5.4 iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM策略中存在admin权限(Action为*:*:*或*:*或*),视为“不合规” 5.4 iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号有可使用的AK/SK访问密钥,视为“不合规” 6.4 iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” 6.4 mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” 6.4 root-account-mfa-enabled 根账号开启MFA认证 iam 账号未开启MFA认证,视为“不合规” 8.2 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” 8.2 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规” 8.2 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” 8.2 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器,视为“不合规” 8.2 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器,视为“不合规” 8.2 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源,视为“不合规” 8.2 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规” 8.5 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” 8.5 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规” 8.5 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” 8.5 cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器,视为“不合规” 8.5 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 账号未在指定Region列表创建CTS追踪器,视为“不合规” 8.5 rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的RDS资源,视为“不合规” 8.5 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规” 8.9 cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未启用事件分析,视为“不合规” 11.2 dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照,视为“不合规” 11.2 gaussdb-instance-enable-backup GaussDB 实例开启自动备份 gaussdb 未开启资源备份的GaussDB实例,视为“不合规” 11.2 gaussdb-mysql-instance-enable-backup TaurusDB实例开启备份 taurusdb 未开启备份的TaurusDB实例,视为“不合规” 11.2 gaussdb-nosql-enable-backup GeminiDB开启备份 gemini db GeminiDB未开启备份,视为“不合规” 11.2 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源,视为“不合规” 11.3 rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源,视为“不合规” 11.3 volumes-encrypted-check 已挂载的云硬盘开启加密 evs、ecs 已挂载的云硬盘未进行加密,视为“不合规” 11.4 dws-enable-snapshot DWS集群启用自动快照 dws DWS集群未启用自动快照,视为“不合规” 11.4 gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的GaussDB实例,视为“不合规” 11.4 gaussdb-mysql-instance-enable-backup TaurusDB实例开启备份 taurusdb 未开启备份的TaurusDB实例,视为“不合规” 11.4 gaussdb-nosql-enable-backup GeminiDB开启备份 gemini db GeminiDB未开启备份,视为“不合规” 11.4 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源,视为“不合规” 12.2 css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的虚拟私有云资源绑定,视为“不合规” 12.2 drs-data-guard-job-not-public 数据复制服务实时灾备任务不使用公网网络 drs 数据复制服务实时灾备任务使用公网网络,视为“不合规” 12.2 drs-migration-job-not-public 数据复制服务实时迁移任务不使用公网网络 drs 数据复制服务实时迁移任务使用公网网络,视为“不合规” 12.2 drs-synchronization-job-not-public 数据复制服务实时同步任务不使用公网网络 drs 数据复制服务实时同步任务使用公网网络,视为“不合规” 12.2 ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs、vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” 12.2 ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规” 12.2 function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC,视为“不合规” 12.2 function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” 12.2 mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” 12.2 pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期,视为“不合规” 12.2 pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书没有标记在指定时间内到期,视为“不合规” 12.2 rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区,视为“不合规” 12.2 rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP,视为“不合规” 12.2 vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” 12.2 vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规” 12.2 vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0),视为“不合规” 12.2 vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规” 12.2 vpn-connections-active VPN连接状态为“正常” vpnaas VPN连接状态不为“正常”,视为“不合规” 12.3 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” 12.3 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS,视为“不合规” 12.3 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规” 12.3 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” 12.6 apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” 12.6 css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用HTTPS,视为“不合规” 12.6 dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规” 12.6 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” 13.6 vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否已为所有VPC启用流日志。如未启用流日志,视为“不合规”
  • 适用于VPC安全组的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” vpc-sg-attached-ports 安全组连接到弹性网络接口 vpc 检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了所有的TCP或UDP端口时,视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” 父主题: 合规规则包示例模板
  • 适用于云数据库(GaussDB)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 gaussdb-instance-enable-auditLog GaussDB实例开启审计日志 gaussdb 未开启审计日志的gaussdb资源,视为“不合规” gaussdb-instance-enable-backup GaussDB实例开启自动备份 gaussdb 未开启资源备份的gaussdb资源,视为“不合规” gaussdb-instance-enable-errorLog GaussDB实例开启错误日志 gaussdb 未开启错误日志的gaussdb资源,视为“不合规” gaussdb-instance-enable-slowLog GaussDB实例开启慢日志 gaussdb 未开启慢日志的gaussdb资源,视为“不合规” gaussdb-instance-in-vpc GaussDB资源属于指定虚拟私有云ID gaussdb 指定虚拟私有云ID,不属于此VPC的gaussdb资源,视为“不合规” 父主题: 合规规则包示例模板
  • 适用于分布式消息服务(DMS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 dms-kafka-not-enable-private-ssl DMS Kafka队列打开内网SSL加密访问 dms DMS kafkas队列未打开内网SSL加密访问,视为“不合规” dms-kafka-not-enable-public-ssl DMS Kafka队列打开公网SSL加密访问 dms DMS kafkas队列未打开公网SSL加密访问,视为“不合规” dms-kafka-public-access-enabled-check DMS Kafka队列开启公网访问 dms DMS kafkas队列开启公网访问,视为“不合规” dms-rabbitmq-not-enable-ssl DMS RabbitMq队列打开SSL加密访问 dms DMS rabbitmqs队列未打开SSL加密访问,视为“不合规” dms-rocketmq-not-enable-ssl DMS RockctMQ打开SSL加密访问 dms DMS RockctMQ未打开SSL加密访问,视为“不合规” 父主题: 合规规则包示例模板
  • 预设策略列表 当您在配置审计控制台添加合规规则时,可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计 支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例域名均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster CodeArts编译构建下的项目未设置参数加密 配置变更 codeartsbuild.CloudBuildServer MapReduce服务 MRS MRS资源属于指定安全组 配置变更 mrs.mrs MRS资源属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定弹性公网IP 配置变更 mrs.mrs MRS集群开启KMS加密 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 account Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 启用WAF实例域名防护 周期触发 account 启用WAF防护策略地理位置访问控制规则 周期触发 account WAF实例启用拦截模式防护策略 配置变更 waf.instance 弹性负载均衡 ELB ELB资源不具有弹性公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 监听器资源HTTPS重定向检查 配置变更 elb.listeners ELB资源使用多AZ部署 配置变更 elb.loadbalancers 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性伸缩组未配置IPv6带宽 配置变更 as.scalingGroups 弹性伸缩组VPC检查 配置变更 as.scalingGroups 高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares SFS Turbo资源在备份存储库中 配置变更 sfsturbo.shares SFS Turbo资源的备份时间检查 周期触发 sfsturbo.shares 弹性云服务器 ECS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置密钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个弹性公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加IAM委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers ECS资源在备份存储库中 配置变更 ecs.cloudservers ECS云服务器 的备份时间检查 周期触发 ecs.cloudservers ECS资源绑定服务主机代理防护 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在弹性公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在弹性公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 函数工作流的函数启用日志配置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 配置审计 Config 账号开启资源记录器 周期触发 account 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定弹性公网IP 配置变更 dws.clusters DWS集群运维时间窗检查 配置变更 dws.clusters DWS集群VPC检查 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密 服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查C SMS 凭据轮转成功 配置变更 csms.secrets CSMS凭据启动自动轮转 配置变更 csms.secrets CSMS凭据使用指定KMS 配置变更 csms.secrets CSMS凭据在指定时间内轮转 周期触发 csms.secrets 统一身份认证 服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不授权KMS的禁止的action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies 根用户存在可使用的访问密钥 周期触发 account IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属指定用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根用户开启MFA认证 周期触发 account IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users IAM委托绑定策略检查 配置变更 iam.agencies IAM用户admin权限检查 配置变更 iam.users IAM用户不直接附加策略或权限 配置变更 iam.users 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定弹性公网IP 配置变更 dds.instances DDS实例端口检查 配置变更 dds.instances DDS实例数据库版本检查 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知 服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 安全组连接到弹性网络接口 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除密钥的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警 周期触发 account 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 account 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有弹性公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters CCE集群VPC检查 配置变更 cce.clusters 云审计 服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 account CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 account 在指定区域创建并启用CTS追踪器 周期触发 account CTS追踪器符合安全最佳实践 周期触发 account 云数据库 RDS RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有弹性公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances RDS实例启用SSL加密通讯 配置变更 rds.instances RDS实例端口检查 配置变更 rds.instances RDS实例数据库引擎版本检查 配置变更 rds.instances RDS实例启用审计日志 配置变更 rds.instances 云数据库 GaussDB GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB实例EIP检查 配置变更 gaussdb.instance GaussDB实例跨AZ部署检查 配置变更 gaussdb.instance GaussDB实例开启传输数据加密 配置变更 gaussdb.instance 云数据库 TaurusDB TaurusDB实例开启审计日志 配置变更 gaussdbformysql.instance TaurusDB实例开启备份 配置变更 gaussdbformysql.instance TaurusDB实例开启错误日志 配置变更 gaussdbformysql.instance TaurusDB实例开启慢日志 配置变更 gaussdbformysql.instance TaurusDB实例开启传输数据加密 配置变更 gaussdbformysql.instance TaurusDB实例跨AZ部署检查 配置变更 gaussdbformysql.instance TaurusDB实例EIP检查 配置变更 gaussdbformysql.instance TaurusDB实例VPC检查 配置变更 gaussdbformysql.instance 云数据库 GeminiDB GeminiDB部署在单个可用区 配置变更 nosql.instances GeminiDB开启备份 配置变更 nosql.instances GeminiDB使用磁盘加密 配置变更 nosql.instances GeminiDB开启错误日志 配置变更 nosql.instances GeminiDB开启慢查询日志 配置变更 nosql.instances 云搜索服务 CSS CSS集群启用安全模式 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群支持安全模式 配置变更 css.clusters CSS集群未开启访问控制开关 配置变更 css.clusters CSS集群Kibana未开启访问控制开关 配置变更 css.clusters CSS集群开启慢日志 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes EVS资源在备份存储库保护中 配置变更 evs.volumes EVS资源的备份时间检查 周期触发 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 检查私有根CA是否停用 周期触发 pca.ca 私有证书管理服务算法检查 配置变更 pca.ca、pca.cert 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列开启公网访问 配置变更 dms.kafkas 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs DMS RabbitMQ实例开启公网访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS RocketMQ实例打开SSL加密访问 配置变更 dms.reliabilitys DMS RocketMQ实例开启公网访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 云备份 CBR CBR备份被加密 配置变更 cbr.backup CBR备份策略执行频率检查 配置变更 cbr.policy CBR存储库最低保留天数 配置变更 cbr.vault 对象存储服务 OBS OBS桶策略中不授权禁止的Action 配置变更 obs.buckets OBS桶策略中授权检查 配置变更 obs.buckets OBS桶策略授权约束 配置变更 obs.buckets OBS桶禁止公开读 配置变更 obs.buckets OBS桶禁止公开写 配置变更 obs.buckets OBS桶策略授权行为使用SSL加密 配置变更 obs.buckets 镜像服务 IMS 私有镜像开启加密 配置变更 ims.images 裸金属服务器 BMS BMS资源使用密钥对登录 配置变更 bms.servers 父主题: 系统内置预设策略
  • 多可用区架构最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-multiple-az-check CSS集群具备多AZ容灾 css CSS集群没有多az容灾,视为“不合规” gaussdb-nosql-deploy-in-single-az GeminiDB部署在单个可用区 gemini db GeminiDB部署在单个可用区中,视为“不合规” as-multiple-az 弹性伸缩组启用多AZ部署 as 弹性伸缩组没有启用多AZ部署,视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署,视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区,视为“不合规” dcs-redis-high-tolerance DCS Redis实例高可用 dcs dcs redis资源不是高可用时,视为“不合规” 父主题: 合规规则包示例模板
  • 规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-policy-not-more-permissive 规则展示名 OBS桶策略授权约束 规则描述 OBS桶策略授权了控制策略以外的访问行为,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 controlPolicy:允许的访问边界策略。 说明: 规则参数示例1:桶策略只授权对象的操作权限,不授权桶的操作权限。 {"Statement": [{"Action": ["*Object*"], "Resource": ["*/*"], "Effect": "Allow", "Principal": {"ID": ["*"]}}]} 规则参数示例2:桶策略只授权华为云账号的身份,不授权联合身份用户或匿名用户。 {"Statement": [{"Action": ["*"], "Resource": ["*"], "Effect": "Allow", "Principal": {"ID": ["domain/*"]}}]}
  • 适用于云数据库(RDS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 rds-instance-enable-backup RDS实例开启备份 rds 未开启备份的RDS资源,视为“不合规” rds-instance-enable-errorLog RDS实例开启错误日志 rds 未开启错误日志的RDS资源,视为“不合规” rds-instance-enable-slowLog RDS实例开启慢日志 rds 未开启慢日志的RDS资源,视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区,视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP,视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的RDS资源,视为“不合规” 父主题: 合规规则包示例模板
  • 规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-policy-grantee-check 规则展示名 OBS桶策略中授权检查 规则描述 OBS桶策略授权了不被允许的访问行为,视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 principal:授权的身份列表,例如:["domain/aaaa:user/111111", "domain/bbbb"]。 sourceIp:授权的sourceIp列表,例如:["192.168.0.0/16"]。 sourceVpc:授权的sourceVpc列表,需填入请求发起的VPC ID,例如["vpcidaaaa"]。 sourceVpce:授权的sourceVpce列表,需填入请求发起的VPC终端节点ID,例如["vpceidaaaa"]。 注:上述字段的格式均需与OBS桶策略中的principal或condition的格式一致。
  • 架构安全支柱运营最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规” pca-certificate-authority-expiration-check 检查私有CA是否过期 pca 私有CA在指定时间内过期,视为“不合规” pca-certificate-expiration-check 检查私有证书是否过期 pca 私有证书在指定时间内到期,视为“不合规” apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig APIG专享版实例未配置访问日志,视为“不合规” apig-instances-ssl-enabled APIG专享版实例域名均关联SSL证书 apig APIG专享版实例如果有域名未关联SSL证书,则视为“不合规” cts-lts-enable CTS追踪器启用事件分析 cts CTS追踪器未转储到LTS,视为“不合规” cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密,视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验,视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规” ecs-multiple-public-ip-check 检查ECS资源是否具有多个公网IP ecs ECS资源具有多个弹性公网IP,视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP,视为“不合规” stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规” evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 创建的EVS在指定天数后仍未绑定到资源实例,视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器,视为“不合规” cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本,视为“不合规” cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规” sfsturbo-encrypted-check 高性能弹性文件服务通过KMS进行加密 sfsturbo 高性能弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规” css-cluster-in-vpc CSS集群绑定指定VPC资源 css CSS集群未与指定的vpc资源绑定,视为“不合规” css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密,视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证,视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs, evs 已挂载的云硬盘未进行加密,视为“不合规” iam-customer-policy-blocked-kms-actions IAM策略中不授权KMS的禁止的action iam, access-analyzer-verified IAM策略中授权KMS的任一阻拦action,视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户,视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求,视为“不合规” iam-policy-no-statements-with-admin-access IAM策略不具备Admin权限 iam IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规” iam-role-has-all-permissions IAM自定义策略具备所有权限 iam IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规” iam-root-access-key-check 根用户存在可使用的访问密钥 iam 根用户存在可使用的访问密钥,视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组,视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” vpc-sg-restricted-ssh 安全组入站流量限制SSH端口 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” ecs-instance-in-vpc ECS资源属于指定虚拟私有云ID ecs, vpc 指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规” kms-not-scheduled-for-deletion KMS密钥不处于“计划删除”状态 kms KMS密钥处于“计划删除“状态,视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网,视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC,视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过console密码登录的IAM用户未开启MFA认证,视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https,视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP,视为“不合规” rds-instance-logging-enabled RDS实例配备日志 rds 未配备任何日志的rds资源,视为“不合规” rds-instances-enable-kms RDS实例开启存储加密 rds 未开启存储加密的rds资源,视为“不合规” dws-enable-kms DWS集群启用KMS加密 dws DWS集群未启用KMS加密,视为“不合规” gaussdb-nosql-enable-disk-encryption GeminiDB使用磁盘加密 gemini db GeminiDB未使用磁盘加密,视为“不合规” dws-enable-ssl DWS集群启用SSL加密连接 dws DWS集群未启用SSL加密连接,视为“不合规” vpc-sg-restricted-common-ports 安全组入站流量限制指定端口 vpc 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” root-account-mfa-enabled 根用户开启MFA认证 iam 根用户未开启MFA认证,视为“不合规” vpc-default-sg-closed 默认安全组关闭出、入方向流量 vpc 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了所有的TCP或UDP端口时,视为“不合规” waf-instance-policy-not-empty WAF防护域名配置防护策略 waf WAF防护域名未配置防护策略,视为“不合规” 父主题: 合规规则包示例模板
  • 适用于MapReduce服务(MRS)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 mrs-cluster-in-allowed-security-groups MRS资源属于指定安全组 mrs 指定安全组id,不属于此安全组的mrs资源,视为“不合规” mrs-cluster-in-vpc MRS资源属于指定VPC mrs 指定虚拟私有云ID,不属于此VPC的mrs资源,视为“不合规” mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS集群未开启kerberos认证,视为“不合规” mrs-cluster-multiAZ-deployment MRS集群使用多AZ部署 mrs MRS集群没有多az部署,视为“不合规” mrs-cluster-no-public-ip MRS集群未绑定弹性公网IP mrs MRS集群绑定弹性公网IP,视为“不合规” 父主题: 合规规则包示例模板
  • 适用于统一身份认证服务(IAM)的最佳实践 该示例模板中对应的合规规则的说明如下表所示: 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 access-keys-rotated IAM用户的AccessKey在指定时间内轮换 iam IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户,视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求,视为“不合规” iam-root-access-key-check IAM账号存在可使用的访问密钥 iam 账号存在可使用的访问密钥,视为“不合规” iam-user-console-and-api-access-at-creation IAM用户创建时设置AccessKey iam 对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” iam-user-group-membership-check IAM用户归属指定用户组 iam IAM用户不属于指定IAM用户组,视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为,视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证,视为“不合规” iam-user-single-access-key IAM用户单访问密钥 iam IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” mfa-enabled-for-iam-console-access Console侧密码登录的IAM用户开启MFA认证 iam 通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证,视为“不合规” 父主题: 合规规则包示例模板