强烈建议控制策略
CTS
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_MULTI_REGION_CTS_TRACKER_EXISTS |
账号未在指定region列表创建并启用CTS追踪器,视为“不合规”。 |
建立日志记录和监控 |
高 |
cts:::tracker |
IAM
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_IAM_ROOT_ACCESS_KEY_CHECK |
账号存在可使用的访问密钥,视为“不合规”。 |
强制执行最低权限 |
严重 |
identity:::accessKey |
|
RGC-GR_CONFIG_ROOT_ACCOUNT_MFA_ENABLED |
根账号未开启MFA认证,视为“不合规”。 |
强制执行最低权限 |
高 |
identity:::acl |
|
RGC-GR_CONFIG_IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS |
IAM策略admin权限(*:*:*或*:*或*),视为“不合规”。 |
强制执行最低权限 |
高 |
identity:::protectionPolicy |
|
RGC-GR_CONFIG_IAM_ROLE_HAS_ALL_PERMISSIONS |
IAM自定义策略具有allow的*:*权限,视为“不合规”。 |
强制执行最低权限 |
低 |
identity:::role |
|
RGC-GR_CONFIG_IAM_USER_MFA_ENABLED |
IAM用户未开启MFA认证,视为“不合规”。 |
强制执行最低权限 |
中 |
identity:::user |
RDS
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_RDS_INSTANCE_NO_PUBLIC_IP |
RDS资源具有公网IP,视为“不合规”。 |
限制网络访问 |
高 |
rds:::instance |
EVS
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_VOLUME_UNUSED_CHECK |
云硬盘未挂载给任何云服务器,视为“不合规”。 |
优化成本 |
高 |
evs:::volume |
VPC
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_VPC_SG_PORTS_CHECK |
当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规”。 |
限制网络访问 |
高 |
networking:::secgroup |
|
RGC-GR_CONFIG_VPC_DEFAULT_SG_CLOSED |
虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。 |
限制网络访问 |
高 |
networking:::secgroup |
|
RGC-GR_CONFIG_VPC_FLOW_LOGS_ENABLED |
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”。 |
建立日志记录和监控 |
中 |
vpc:::flowLog |
|
RGC-GR_CONFIG_VPC_SG_RESTRICTED_SSH |
当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规”。 |
限制网络访问 |
高 |
networking:::secgroup |
CCE
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_CCE_ENDPOINT_PUBLIC_ACCESS |
CCE集群资源具有公网IP,视为“不合规”。 |
限制网络访问 |
中 |
cce:::cluster |
CSS
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_CSS_CLUSTER_HTTPS_REQUIRED |
CSS集群未启用https,视为“不合规”。 |
加密传输中的数据 |
中 |
css:::cluster |
DWS
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_DWS_ENABLE_LOG_DUMP |
DWS集群未启用日志转储,视为“不合规”。 |
建立日志记录和监控 |
中 |
dws:::cluster |
ECS
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_ECS_INSTANCE_NO_PUBLIC_IP |
ECS资源具有公网IP,视为“不合规”。 |
限制网络访问 |
中 |
compute:::instance |
|
RGC-GR_CONFIG_ECS_MULTIPLE_PUBLIC_IP_CHECK |
ECS资源具有多个公网IP,视为“不合规”。 |
限制网络访问 |
低 |
compute:::instance |
ELB
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_ELB_TLS_HTTPS_LISTENERS_ONLY |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”。 |
加密传输中的数据 |
中 |
elb:::listener |
MRS
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_MRS_CLUSTER_NO_PUBLIC_IP |
MRS集群绑定公网IP,视为“不合规”。 |
限制网络访问 |
中 |
mrs:::cluster |
APIG
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_APIG_INSTANCES_EXECUTION_LOGGING_ENABLED |
APIG专享版实例未配置访问日志,视为“不合规”。 |
建立日志记录和监控 |
中 |
apig:::instance |
|
RGC-GR_CONFIG_APIG_INSTANCES_AUTHORIZATION_TYPE_CONFIGURED |
APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规”。 |
加密传输中的数据 |
中 |
apig:::instance |
|
RGC-GR_CONFIG_APIG_INSTANCES_SSL_ENABLED |
APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”。 |
加密传输中的数据 |
中 |
apig:::instance |
Functiongraph
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_FUNCTION_GRAPH_PUBLIC_ACCESS_PROHIBITED |
函数工作流的函数允许访问公网,视为“不合规”。 |
限制网络访问 |
严重 |
fgs:::function |
SMN
|
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
|---|---|---|---|---|
|
RGC-GR_CONFIG_SMN_LTS_ENABLE |
SMN主题未启用事件分析,视为“不合规”。 |
建立日志记录和监控 |
中 |
smn:::topic |
