文档首页/ 资源治理中心 RGC/ 用户指南/ 控制策略管理/ 控制策略参考/ 强烈建议控制策略
更新时间:2025-05-23 GMT+08:00
查看PDF
分享

强烈建议控制策略

APIG

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_APIG_INSTANCES_AUTHORIZATION_TYPE_CONFIGURED

APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规”。

加密传输中的数据

apig:::instance

不涉及

RGC-GR_CONFIG_APIG_INSTANCES_SSL_ENABLED

APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”。

加密传输中的数据

apig:::instance

不涉及

AS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_AS_GROUP_IN_VPC

AS弹性伸缩组绑定的VPC不在对应VPC列表,视为“不合规”。

限制网络访问

as:::group

BMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_BMS_KEY_PAIR_SECURITY_LOGIN

裸金属服务器未启用密钥对安全登录,视为“不合规”。

使用强身份验证

bms:::instance

不涉及

CBR

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CBR_BACKUP_ENCRYPTED_CHECK

CBR服务的备份未被加密,视为“不合规”。

加密静态数据

cbr:::checkpoint

不涉及

CCE

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CCE_ENDPOINT_PUBLIC_ACCESS

CCE集群资源具有公网IP,视为“不合规”。

限制网络访问

cce:::cluster

不涉及

RGC-GR_CONFIG_CCE_CLUSTER_IN_VPC

CCE集群绑定的VPC不在对应VPC列表,视为“不合规”。

限制网络访问

cce:::cluster

CCM

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_PCA_CERTIFICATE_AUTHORITY_EXPIRATION_CHECK

私有CA在指定时间内过期,视为“不合规”。

加密传输中的数据

ccm:::privateCertificate

不涉及

RGC-GR_CONFIG_PCA_CERTIFICATE_EXPIRATION_CHECK

私有证书在指定时间内到期,视为“不合规”。

加密传输中的数据

ccm:::privateCertificate

不涉及

CDN

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CDN_ENABLE_HTTPS_CERTIFICATE

CDN未使用HTTPS,视为“不合规”。

加密传输中的数据

严重

cdn:::domain

不涉及

RGC-GR_CONFIG_CDN_ORIGIN_PROTOCOL_NO_HTTP

CDN回源方式未使用HTTPS,视为“不合规”。

加密传输中的数据

严重

cdn:::domain

不涉及

RGC-GR_CONFIG_CDN_SECURITY_POLICY_CHECK

CDN使用TLSv1.2以下的版本,视为“不合规”。

加密传输中的数据

cdn:::domain

不涉及

RGC-GR_CONFIG_CDN_USE_MY_CERTIFICATE

CDN使用了自有证书,视为“不合规”。

加密传输中的数据

cdn:::domain

不涉及

CFW

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CFW_POLICY_NOT_EMPTY

CFW防火墙未配置防护策略,视为“不合规”。

限制网络访问

cfw:::eipProtection

不涉及

CodeArts Build

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CLOUDBUILDSERVER_ENCRYPTION_PARAMETER_CHECK

CodeArts编译构建下的项目,如果设置了未加密参数(除了预定义参数),视为“不合规”。

加密静态数据

codearts:::deployApplication

不涉及

CSS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CSS_CLUSTER_AUTHORITY_ENABLE

CSS集群未启用认证,视为“不合规”。

使用强身份验证

严重

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_DISK_ENCRYPTION_CHECK

CSS集群未开启磁盘加密,视为“不合规”。

加密静态数据

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_KIBANA_NOT_ENABLE_WHITE_LIST

CSS集群kibana白名单设置为对所有IP开放,视为“不合规”。

限制网络访问

严重

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_NO_PUBLIC_ZONE

CSS集群开启公网访问,视为“不合规”。

加密静态数据

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_NOT_ENABLE_WHITE_LIST

CSS集群白名单设置为对所有IP开放,视为“不合规”。

限制网络访问

严重

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_SECURITY_MODE_ENABLE

CSS集群未开启安全模式,视为“不合规”。

强制执行最低权限

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_HTTPS_REQUIRED

CSS集群未启用https,视为“不合规”。

加密传输中的数据

css:::cluster

不涉及

CTS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CTS_KMS_ENCRYPTED_CHECK

CTS追踪器未通过KMS进行加密,视为“不合规”。

加密静态数据

cts:::tracker

不涉及

RGC-GR_CONFIG_CTS_SUPPORT_VALIDATE_CHECK

CTS追踪器未打开事件文件校验,视为“不合规”。

保护数据完整性

cts:::tracker

不涉及

DCS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DCS_MEMCACHED_ENABLE_SSL

dcs memcached资源可以公网访问,但不支持SSL时,视为“不合规”。

加密传输中的数据

dcs:::instance

不涉及

RGC-GR_CONFIG_DCS_MEMCACHED_NO_PUBLIC_IP

dcs memcached资源存在公网IP,视为“不合规”。

限制网络访问

dcs:::instance

不涉及

RGC-GR_CONFIG_DCS_MEMCACHED_PASSWORD_ACCESS

dcs memcached资源不需要密码访问,视为“不合规”。

使用强身份验证

dcs:::instance

不涉及

RGC-GR_CONFIG_DCS_REDIS_ENABLE_SSL

dcs redis资源可以公网访问,但不支持SSL时,视为“不合规”。

限制网络访问

dcs:::instance

不涉及

RGC-GR_CONFIG_DCS_REDIS_HIGH_TOLERANCE

dcs redis资源不是高可用时,视为“不合规”。

提高可用性

dcs:::instance

不涉及

RGC-GR_CONFIG_DCS_REDIS_NO_PUBLIC_IP

dcs redis资源存在公网IP,视为“不合规”。

限制网络访问

dcs:::instance

不涉及

RGC-GR_CONFIG_DCS_REDIS_PASSWORD_ACCESS

dcs redis资源不需要密码访问,视为“不合规”。

使用强身份验证

dcs:::instance

不涉及

RGC-GR_CONFIG_DCS_MEMCACHED_IN_VPC

指定虚拟私有云ID,不属于此VPC的dcs memcached资源,视为“不合规”。

限制网络访问

dcs:::instance

RGC-GR_CONFIG_DCS_REDIS_IN_VPC

指定虚拟私有云ID,不属于此VPC的dcs redis资源,视为“不合规”。

限制网络访问

dcs:::instance

DDS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DDS_INSTANCE_ENABLE_SSL

DDS实例未开启SSL,视为“不合规”。

加密传输中的数据

dds:::instance

不涉及

RGC-GR_CONFIG_DDS_INSTANCE_HAS_EIP

DDS实例绑定了公网IP,视为“不合规”。

限制网络访问

dds:::instance

不涉及

RGC-GR_CONFIG_DDS_INSTANCE_PORT_CHECK

DDS实例的端口包含被禁止的端口,视为“不合规”。

限制网络访问

dds:::instance

不涉及

DEW

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CSMS_SECRETS_ROTATION_SUCCESS_CHECK

CSMS凭据轮转失败,视为“不合规”。

强制执行最低权限

csms:::secret

不涉及

RGC-GR_CONFIG_KMS_NOT_SCHEDULED_FOR_DELETION

KMS密钥处于“计划删除”状态,视为“不合规”。

保护数据完整性

严重

kms:::key

不涉及

RGC-GR_CONFIG_KMS_ROTATION_ENABLED

KMS密钥未启用密钥轮换,视为“不合规”。

加密静态数据

kms:::key

不涉及

DMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PRIVATE_SSL

DMS kafkas队列未打开内网SSL加密访问,视为“不合规”。

加密传输中的数据

dms:::kafkaInstance

不涉及

RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PUBLIC_SSL

DMS kafkas队列未打开公网SSL加密访问,视为“不合规”。

加密传输中的数据

dms:::kafkaInstance

不涉及

RGC-GR_CONFIG_DMS_KAFKA_PUBLIC_ACCESS_ENABLED_CHECK

DMS kafkas队列开启公网访问,视为“不合规”。

限制网络访问

dms:::kafkaIZnstance

不涉及

RGC-GR_CONFIG_DMS_RABBITMQ_NOT_ENABLE_SSL

DMS rabbitmqs队列未打开SSL加密访问,视为“不合规”。

加密静态数据

dms:::rabbitmqInstance

不涉及

RGC-GR_CONFIG_DMS_ROCKETMQ_NOT_ENABLE_SSL

DMS reliabilitys队列未打开SSL加密访问,视为“不合规”。

加密静态数据

dms:::rocketmqInstance

不涉及

RGC-GR_CONFIG_DMS_RABBITMQ_PUBLIC_ACCESS_ENABLED_CHECK

DMS RabbitMQ实例开启公网访问,视为“不合规”。

限制网络访问

dms:::rabbitmqInstance

不涉及

RGC-GR_CONFIG_DMS_RELIABILITY_PUBLIC_ACCESS_ENABLED_CHECK

DMS RocketMQ实例开启公网访问,视为“不合规”。

限制网络访问

dms:::rocketmqInstance

不涉及

DRS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DRS_DATA_GUARD_JOB_NOT_PUBLIC

数据复制服务实时灾备任务使用公网网络,视为“不合规”。

限制网络访问

drs:::job

不涉及

RGC-GR_CONFIG_DRS_MIGRATION_JOB_NOT_PUBLIC

数据复制服务实时迁移任务使用公网网络,视为“不合规”。

限制网络访问

drs:::job

不涉及

RGC-GR_CONFIG_DRS_SYNCHRONIZATION_JOB_NOT_PUBLIC

数据复制服务实时同步任务使用公网网络,视为“不合规”。

限制网络访问

drs:::job

不涉及

DWS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DWS_ENABLE_KMS

DWS集群未启用KMS加密,视为“不合规”。

加密静态数据

dws:::cluster

不涉及

RGC-GR_CONFIG_DWS_ENABLE_SSL

DWS集群未启用SSL加密连接,视为“不合规”。

加密传输中的数据

dws:::cluster

不涉及

RGC-GR_CONFIG_DWS_CLUSTERS_NO_PUBLIC_IP

DWS集群绑定公网IP,视为“不合规”。

限制网络访问

dws:::cluster

不涉及

RGC-GR_CONFIG_DWS_CLUSTERS_IN_VPC

DWS集群绑定的VPC不在对应VPC列表,视为“不合规”。

限制网络访问

dws:::cluster

ECS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ECS_INSTANCE_KEY_PAIR_LOGIN

ECS未配置密钥对,视为“不合规”。

限制网络访问

ecs:::instanceV1

不涉及

RGC-GR_CONFIG_ECS_INSTANCE_NO_PUBLIC_IP

ECS资源具有公网IP,视为“不合规”。

限制网络访问

compute:::instance

不涉及

RGC-GR_CONFIG_ECS_MULTIPLE_PUBLIC_IP_CHECK

ECS资源具有多个公网IP,视为“不合规”。

限制网络访问

compute:::instance

不涉及

RGC-GR_CONFIG_ECS_INSTANCE_AGENCY_ATTACH_IAM_AGENCY

ECS实例未附加IAM委托,视为“不合规”。

强制执行最低权限

ecs:::instanceV1

不涉及

RGC-GR_CONFIG_ECS_IN_ALLOWED_SECURITY_GROUPS

指定高危安全组ID列表,未绑定指定标签的ECS关联其中任意安全组,视为“不合规”。

限制网络访问

ecs:::instanceV1
  • specifiedECSTagValue:
  • specifiedECSTagKey:
  • specifiedSecurityGroupIds:

ECS、VPC

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ECS_INSTANCE_IN_VPC

指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规”。

限制网络访问

ecs:::instanceV1

ELB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ELB_LOADBALANCERS_NO_PUBLIC_IP

ELB资源具有公网IP,视为“不合规”。

限制网络访问

elb:::loadBalancer

不涉及

RGC-GR_CONFIG_ELB_TLS_HTTPS_LISTENERS_ONLY

负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”。

加密传输中的数据

elb:::listener

不涉及

RGC-GR_CONFIG_ELB_PREDEFINED_SECURITY_POLICY_HTTPS_CHECK

独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规”。

限制网络访问

elb:::loadBalancer

不涉及

RGC-GR_CONFIG_ELB_HTTP_TO_HTTPS_REDIRECTION_CHECK

检查HTTP监听器是否配置了向HTTPS监听器的重定向,如果未配置,视为“不合规”。

限制网络访问

elb:::listener

不涉及

EVS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_VOLUMES_ENCRYPTED_CHECK_BY_DEFAULT

云硬盘未进行加密,视为“不合规”。

加密静态数据

evs:::volume

不涉及

EVS、ECS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_VOLUMES_ENCRYPTED_CHECK

已挂载的云硬盘未进行加密,视为“不合规”。

加密静态数据

evs:::volume

不涉及

Functiongraph

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_FUNCTION_GRAPH_PUBLIC_ACCESS_PROHIBITED

函数工作流的函数允许访问公网,视为“不合规”。

限制网络访问

严重

fgs:::function

不涉及

GaussDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_INSTANCE_IN_VPC

指定虚拟私有云ID,不属于此VPC的gaussdb资源,视为“不合规”。

限制网络访问

gaussdb:::opengaussInstance

RGC-GR_CONFIG_GAUSSDB_INSTANCE_NO_PUBLIC_IP_CHECK

gaussdb实例如绑定EIP,视为“不合规”。

限制网络访问

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_SSL_ENABLE

gaussdb实例未启用SSL数据传输加密,视为“不合规”。

加密传输中的数据

gaussdb:::opengaussInstance

不涉及

GeminiDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_DISK_ENCRYPTION

GeminiDB未使用磁盘加密,视为“不合规”。

加密静态数据

gaussdb:::mongoInstance

不涉及

IAM

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_IAM_ROOT_ACCESS_KEY_CHECK

账号存在可使用的访问密钥,视为“不合规”。

强制执行最低权限

严重

identity:::accessKey

不涉及

RGC-GR_CONFIG_ROOT_ACCOUNT_MFA_ENABLED

根账号未开启MFA认证,视为“不合规”。

强制执行最低权限

identity:::acl

不涉及

RGC-GR_CONFIG_IAM_GROUP_HAS_USERS_CHECK

IAM用户组未添加任意IAM用户,视为“不合规”。

强制执行最低权限

identity:::group

不涉及

RGC-GR_CONFIG_IAM_USER_ACCESS_MODE

IAM用户同时开启控制台访问和API访问,视为“不合规”。

强制执行最低权限

identity:::user

不涉及

RGC-GR_CONFIG_IAM_USER_CONSOLE_AND_API_ACCESS_AT_CREATION

对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”。

管理机密

identity:::user

不涉及

RGC-GR_CONFIG_IAM_USER_SINGLE_ACCESS_KEY

IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。

管理机密

identity:::user

不涉及

RGC-GR_CONFIG_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS

通过console密码登录的IAM用户未开启MFA认证,视为“不合规”。

强制执行最低权限

identity:::user

不涉及

RGC-GR_CONFIG_IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS

IAM策略admin权限(*:*:*或*:*或*),视为“不合规”。

强制执行最低权限

identity:::protectionPolicy

不涉及

RGC-GR_CONFIG_IAM_ROLE_HAS_ALL_PERMISSIONS

IAM自定义策略具有allow的*:*权限,视为“不合规”。

强制执行最低权限

identity:::role

不涉及

RGC-GR_CONFIG_IAM_USER_MFA_ENABLED

IAM用户未开启MFA认证,视为“不合规”。

强制执行最低权限

identity:::user

不涉及

RGC-GR_CONFIG_ACCESS_KEYS_ROTATED

IAM用户的访问密钥未在指定天数内轮转,视为“不合规”。

强制执行最低权限

identity:::accessKey

不涉及

RGC-GR_CONFIG_IAM_PASSWORD_POLICY

IAM用户密码强度不满足密码强度要求,视为“不合规”。

使用强身份验证

identity:::user

不涉及

RGC-GR_CONFIG_IAM_USER_LAST_LOGIN_CHECK

IAM用户在指定时间范围内无登录行为,视为“不合规”。

强制执行最低权限

identity:::user

不涉及

RGC-GR_CONFIG_IAM_POLICY_IN_USE

IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。

强制执行最低权限

identity:::protectionPolicy

不涉及

RGC-GR_CONFIG_IAM_ROLE_IN_USE

IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。

强制执行最低权限

identity:::role

不涉及

RGC-GR_CONFIG_IAM_USER_LOGIN_PROTECTION_ENABLED

IAM用户未开启登录保护,视为“不合规”。

使用强力身份验证

identity:::user

不涉及

RGC-GR_CONFIG_IAM_POLICY_BLACKLISTED_CHECK

IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。

强制执行最低权限

  • identity:::user
  • identity:::group
  • identity:::agency

RGC-GR_CONFIG_IAM_USER_GROUP_MEMBERSHIP_CHECK

IAM用户不属于指定IAM用户组,视为“不合规”。

强制执行最低权限

identity:::user

RGC-GR_CONFIG_IAM_AGENCIES_MANAGED_POLICY_CHECK

IAM委托未绑定指定的IAM策略和权限,视为“不合规”。

强制执行最低权限

identity:::agency
  • roleIdList:
  • policyIdList:

IMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_IMS_IMAGES_ENABLE_ENCRYPTION

私有镜像未开启加密,视为“不合规”。

加密静态数据

images:::image

不涉及

MRS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_MRS_CLUSTER_KERBEROS_ENABLED

MRS集群未开启kerberos认证,视为“不合规”。

使用强身份验证

mrs:::cluster

不涉及

RGC-GR_CONFIG_MRS_CLUSTER_NO_PUBLIC_IP

MRS集群绑定公网IP,视为“不合规”。

限制网络访问

mrs:::cluster

不涉及

RGC-GR_CONFIG_MRS_CLUSTER_IN_ALLOWED_SECURITY_GROUPS

指定安全组ID,不属于此安全组的mrs资源,视为“不合规”。

限制网络访问

mrs:::cluster

RGC-GR_CONFIG_MRS_CLUSTER_IN_VPC

指定虚拟私有云ID,不属于此VPC的mrs资源,视为“不合规”。

限制网络访问

mrs:::cluster

NAT

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_PRIVATE_NAT_GATEWAY_AUTHORIZED_VPC_ONLY

NAT私网网关未与指定的VPC资源绑定,视为“不合规”。

限制网络访问

nat:::privateGateway

OBS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_OBS_BUCKET_POLICY_GRANTEE_CHECK

OBS桶策略授权了不被允许的访问行为,视为“不合规”。

强制执行最低权限

obs:::bucket
  • principal:
  • sourceVpc:
  • sourceIp:
  • sourceVpce:

RDS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_RDS_INSTANCE_NO_PUBLIC_IP

RDS资源具有公网IP,视为“不合规”。

限制网络访问

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCES_ENABLE_KMS

未开启存储加密的rds资源,视为“不合规”。

加密静态数据

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_PORT_CHECK

RDS实例的端口包含被禁止的端口,视为“不合规”。

限制网络访问

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_SSL_ENABLE

RDS实例未启用SSL加密通讯,视为“不合规”。

加密静态数据

rds:::instance

不涉及

SFS Turbo

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_SFSTURBO_ENCRYPTED_CHECK

弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规”。

加密静态数据

sfsturbo:::dir

不涉及

TaurusDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_IN_VPC

TaurusDB实例绑定的VPC不在对应VPC列表,视为“不合规”。

限制网络访问

gaussdb:::mysqlInstance

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_NO_PUBLIC_IP_CHECK

TaurusDB实例如绑定弹性公网IP,视为“不合规”。

限制网络访问

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_SSL_ENABLE

TaurusDB实例未启用SSL数据传输加密,视为“不合规”。

加密传输中的数据

gaussdb:::mysqlInstance

不涉及

VPC

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_VPC_SG_PORTS_CHECK

当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规”。

限制网络访问

networking:::secgroup

不涉及

RGC-GR_CONFIG_VPC_ACL_UNUSED_CHECK

检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规”。

保护配置

vpc:::networkAcl

不涉及

RGC-GR_CONFIG_VPC_DEFAULT_SG_CLOSED

虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。

限制网络访问

networking:::secgroup

不涉及

RGC-GR_CONFIG_VPC_SG_RESTRICTED_SSH

当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规”。

限制网络访问

networking:::secgroup

不涉及

RGC-GR_CONFIG_VPC_SG_ATTACHED_PORTS

检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规”

限制网络访问

vpc:::eip

不涉及

RGC-GR_CONFIG_VPC_SG_BY_WHITE_LIST_PORTS_CHECK

除指定的白名单端口外,其余端口的安全组策略为允许,视为“不合规”。

限制网络访问

vpc:::eip

RGC-GR_CONFIG_VPC_SG_RESTRICTED_COMMON_PORTS

当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6端口(::/0),视为“不合规”。

限制网络访问

vpc:::eip

不涉及

WAF

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_WAF_INSTANCE_POLICY_NOT_EMPTY

WAF防护域名未配置防护策略,视为“不合规”。

限制网络访问

waf:::cloudInstance

不涉及

RGC-GR_CONFIG_WAF_POLICY_NOT_EMPTY

WAF防护策略未配置防护规则,视为“不合规”。

限制网络访问

waf:::policy

不涉及

RGC-GR_CONFIG_WAF_INSTANCE_ENABLE_BLOCK_POLICY

WAF实例未启用拦截模式防护策略,视为“不合规”。

限制网络访问

waf:::cloudInstance

不涉及

RGC-GR_CONFIG_WAF_INSTANCE_ENABLE_PROTECT

如果账号未配置并启用WAF防护策略的域名防护,视为“不合规”。

限制网络访问

waf:::cloudInstance

不涉及

RGC-GR_CONFIG_WAF_POLICY_ENABLE_GEOIP

如果账号不存在启用地理位置访问控制规则的waf服务防护策略,视为“不合规”。

限制网络访问

waf:::policy

不涉及
父主题: 控制策略参考