文档首页/ 资源治理中心 RGC/ 用户指南/ 控制策略管理/ 控制策略参考/ 可选控制策略
更新时间:2025-09-19 GMT+08:00
查看PDF
分享

可选控制策略

*

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_REGULAR_MATCHING_OF_NAMES

资源名称不满足正则表达式,视为“不合规”。

保护配置

*

RGC-GR_CONFIG_RESOURCE_IN_ENTERPRISE_PROJECT

指定企业项目ID,属于该企业项目的资源,视为“不合规”。

保护配置

*

RGC-GR_CONFIG_RESOURCES_IN_ALLOWED_TYPES

用户创建指定类型以外的资源,视为“不合规”。

保护配置

*

RGC-GR_CONFIG_RESOURCES_IN_NOT_ALLOWED_TYPES

用户创建指定类型的资源,视为“不合规”。

保护配置

*

RGC-GR_CONFIG_RESOURCES_IN_SUPPORTED_REGION

资源不在指定区域内,视为“不合规”。

保护配置

*

APIG

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_APIG_INSTANCES_EXECUTION_LOGGING_ENABLED

APIG专享版实例未配置访问日志,视为“不合规”。

建立日志记录和监控

apig:::instance

不涉及

AS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_AS_CAPACITY_REBALANCING

弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略,视为“不合规”。

提高可用性

as:::group

不涉及

RGC-GR_CONFIG_AS_GROUP_ELB_HEALTHCHECK_REQUIRED

与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规”。

提高可用性

as:::group

不涉及

RGC-GR_CONFIG_AS_MULTIPLE_AZ

弹性伸缩组没有启用多AZ部署,视为“不合规”。

提高可用性

as:::group

不涉及

RGC-GR_CONFIG_AS_GROUP_IPV6_DISABLED

弹性伸缩组绑定IPv6共享带宽,视为“不合规”。

优化成本

as:::group

不涉及

RGC-GR_RFS_AS_GROUP_MULTIPLE_AZ_CHECK

要求AS组拥有多个可用区。

提高可用性

as:::group

不涉及

CBR

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CBR_POLICY_MINIMUM_FREQUENCY_CHECK

CBR备份策略执行频率低于设定值,视为“不合规”。

为灾难恢复做好准备

cbr:::policy

不涉及

RGC-GR_CONFIG_CBR_VAULT_MINIMUM_RETENTION_CHECK

存储库未绑定策略或绑定的策略按天数保留且保留天数低于设定值,视为“不合规”。

为灾难恢复做好准备

cbr:::vault

不涉及

CBR、ECS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ECS_PROTECTED_BY_CBR

ECS资源没有关联备份存储库,视为“不合规”。

为灾难恢复做好准备

ecs:::instanceV1

不涉及

RGC-GR_CONFIG_ECS_LAST_BACKUP_CREATED

ECS云服务器最近一次备份创建时间超过参数要求,视为“不合规”。

为灾难恢复做好准备

ecs:::instanceV1

不涉及

CBR、EVS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_EVS_PROTECTED_BY_CBR

EVS磁盘没有关联备份存储库,视为“不合规”。

为灾难恢复做好准备

evs:::volume

不涉及

RGC-GR_CONFIG_EVS_LAST_BACKUP_CREATED

EVS磁盘最近一次备份创建时间超过参数要求,视为“不合规”。

为灾难恢复做好准备

evs:::volume

不涉及

CBR、SFSturbo

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_SFSTURBO_PROTECTED_BY_CBR

SFSturbo资源没有关联备份存储库,视为“不合规”。

为灾难恢复做好准备

sfs:::turbo

不涉及

CCE

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CCE_CLUSTER_END_OF_MAINTENANCE_VERSION

CCE集群版本为停止维护的版本,视为“不合规”。

管理漏洞

cce:::cluster

不涉及

RGC-GR_CONFIG_CCE_CLUSTER_OLDEST_SUPPORTED_VERSION

如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规”。

管理漏洞

cce:::cluster

不涉及

RGC-GR_CONFIG_ALLOWED_CCE_FLAVORS

CCE集群的规格不在指定的范围内,视为“不合规”。

保护配置

cce:::cluster

RGC-GR_RFS_CCE_SECRETS_ENCRYPTED_CHECK

要求使用密钥管理服务(KMS)密钥为CCE集群配置密钥加密。

加密静态数据

cce:::cluster

不涉及

CCM

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_PCA_CERTIFICATE_AUTHORITY_ROOT_DISABLE

私有根CA未停用,视为“不合规”。

管理机密

scm:::certificate

不涉及

RGC-GR_CONFIG_PCA_ALGORITHM_CHECK

私有证书管理服务使用了禁止的密钥算法或签名哈希算法,视为“不合规”

加密传输中的数据

ccm:::privateCertificate
  • blockedKeyAlgorithm:
  • blockedSignatureAlgorithm:

CES

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALARM_ACTION_ENABLED_CHECK

CES告警操作未启用,视为“不合规”。

建立日志记录和监控

ces:::alarmRule

不涉及

RGC-GR_CONFIG_ALARM_RESOURCE_CHECK

指定的资源类型没有绑定指定指标CES告警,视为“不合规”

建立日志记录和监控

ces:::alarmRule
  • provider:
  • resourceType:
  • metricName:

RGC-GR_CONFIG_ALARM_SETTINGS_CHECK

特定指标的CES告警没有进行特定配置,视为“不合规”

建立日志记录和监控

ces:::alarmRule
  • metricName:
  • threshold:
  • count:
  • period:
  • comparisonOperator:
  • filter:

RGC-GR_RFS_CES_ALARM_ACTION_CHECK

要求CES警报为警报状态配置操作。

建立日志记录和监控

ces:::alarmRule

不涉及

RGC-GR_RFS_CES_ALARM_ACTION_ENABLED_CHECK

要求CES警报激活操作。

建立日志记录和监控

严重

ces:::alarmRule

不涉及

CES、DEW

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALARM_KMS_DISABLE_OR_DELETE_KEY

CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规”。

建立日志记录和监控

严重

ces:::alarmRule

不涉及

CES、OBS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALARM_OBS_BUCKET_POLICY_CHANGE

CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规”。

建立日志记录和监控

严重

ces:::alarmRule

不涉及

CES、VPC

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALARM_VPC_CHANGE

CES未配置监控VPC变更的事件监控告警,视为“不合规”。

建立日志记录和监控

ces:::alarmRule

不涉及

CFW

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_CFW_POLICY_RULE_GROUP_ASSOCIATED_CHECK

要求任何Cloud Firewall防火墙策略具有关联的规则组。

限制网络访问

cfw:::aclRule

不涉及

CodeArts Deploy

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CODEARTSDEPLOY_HOST_CLUSTER_RESOURCE_STATUS

CodeArts项目下的主机集群,如果状态不可用,则该主机集群视为“不合规”。

提高可用性

codeartsDeploy:::host

不涉及

Config

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_TRACKER_CONFIG_ENABLED_CHECK

如果账号未开启资源记录器,视为“不合规”。

建立日志记录和监控

rms:::resourceRecorder

不涉及

CSS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CSS_CLUSTER_BACKUP_AVAILABLE

CSS集群未启用快照,视为“不合规”。

提高韧性

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_AZ_CHECK

CSS集群没有多AZ容灾,视为“不合规”。

提高可用性

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_INSTANCES_CHECK

CSS集群没有多实例容灾,视为“不合规”。

提高可用性

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_IN_VPC

CSS集群未与指定的VPC资源绑定,视为“不合规”。

限制网络访问

严重

css:::cluster

RGC-GR_CONFIG_CSS_CLUSTER_SLOWLOG_ENABLE

CSS集群未开启慢日志,视为“不合规”。

建立日志记录和监控

css:::cluster

不涉及

CTS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_MULTI_REGION_CTS_TRACKER_EXISTS

账号未在指定Region列表创建并启用CTS追踪器,视为“不合规”。

建立日志记录和监控

cts:::tracker

RGC-GR_CONFIG_CTS_OBS_BUCKET_TRACK

账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”。

建立日志记录和监控

cts:::tracker

RGC-GR_CONFIG_CTS_TRACKER_ENABLED_SECURITY

不存在满足安全最佳实践的CTS追踪器,视为“不合规”。

建立日志记录和监控

cts:::tracker

RGC-GR_RFS_CTS_LOG_FILE_VALIDATION_ENABLED_CHECK

要求CTS追踪器激活日志文件验证。

保护数据完整性

cts:::tracker

不涉及

RGC-GR_RFS_CTS_LOGS_ENABLED_CHECK

要求CTS追踪器具有LTS日志组配置。

建立日志记录和监控

cts:::tracker

不涉及

DDS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DDS_INSTANCE_HAMODE

指定实例类型,不属于此的DDS实例资源,视为“不合规”。

保护配置

dds:::instance

RGC-GR_CONFIG_DDS_INSTANCE_ENGINE_VERSION_CHECK

低于指定版本的DDS实例,视为“不合规”。

管理漏洞

dds:::instance

RGC-GR_RFS_DDS_INSTANCE_ENCRYPTED_CHECK

要求对DDS实例进行静态加密。

加密静态数据

dds:::instance

不涉及

DEW

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_DEW_KEY_ROTATION_ENABLED_CHECK

要求任何KMS密钥配置轮换。

加密静态数据

kms:::key

不涉及

RGC-GR_CONFIG_CSMS_SECRETS_AUTO_ROTATION_ENABLED

CSMS凭据未启动自动轮转,视为“不合规”。

管理机密

csms:::secret

不涉及

RGC-GR_CONFIG_CSMS_SECRETS_PERIODIC_ROTATION

CSMS凭据未在指定天数内轮转,视为“不合规”。

管理机密

csms:::secret

不涉及

RGC-GR_CONFIG_CSMS_SECRETS_USING_CMK

CSMS凭据未使用指定的KMS,视为“不合规”。

加密静态数据

csms:::secret

DMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_KAFKA_MULTIPLE_AZ_CHECK

要求Kafka实例配置多个可用区以实现高可用性。

提高可用性

dms:::kafkaInstance

不涉及

RGC-GR_RFS_ROCKETMQ_MULTIPLE_AZ_CHECK

要求RocketMQ实例配置多个可用区以实现高可用性。

提高可用性

dms:::rocketmqInstance

不涉及

RGC-GR_RFS_RABBITMQ_MULTIPLE_AZ_CHECK

要求RabbitMQ实例配置多个可用区以实现高可用性。

提高可用性

dms:::rabbitmqInstance

不涉及

RGC-GR_RFS_KAFKA_INSTANCE_TLS_CHECK

要求Kafka实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

dms:::kafkaInstance

不涉及

RGC-GR_RFS_RABBITMQ_INSTANCE_TLS_CHECK

要求RabbitMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

dms:::rabbitmqInstance

不涉及

RGC-GR_RFS_ROCKETMQ_INSTANCE_TLS_CHECK

要求RocketMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

dms:::rocketmqInstance

不涉及

RGC-GR_RFS_RABBITMQ_DLQ_CHECK

要求任何RabbitMQ队列配置死信队列。

提高韧性

dms:::rabbitmqInstance

不涉及

DWS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DWS_ENABLE_SNAPSHOT

DWS集群未启用自动快照,视为“不合规”。

提高韧性

dws:::cluster

不涉及

RGC-GR_CONFIG_DWS_MAINTAIN_WINDOW_CHECK

DWS集群运维时间窗不满足配置,视为“不合规”。

为事件响应做好准备

dws:::cluster

不涉及

RGC-GR_CONFIG_DWS_ENABLE_LOG_DUMP

DWS集群未启用日志转储,视为“不合规”。

建立日志记录和监控

dws:::cluster

不涉及

RGC-GR_RFS_DWS_CLUSTER_ENCRYPTION_ENABLED_CHECK

要求对所有DWS集群进行静态加密。

加密静态数据

dws:::cluster

不涉及

ECS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALLOWED_ECS_FLAVORS

ECS资源的规格不在指定的范围内,视为“不合规”。

保护配置

ecs:::instanceV1

RGC-GR_CONFIG_ALLOWED_IMAGES_BY_NAME

指定允许的镜像名称列表,ECS实例的镜像名称不在指定的范围内,视为“不合规”。

管理漏洞

ecs:::instanceV1

RGC-GR_CONFIG_STOPPED_ECS_DATE_DIFF

关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规”。

优化成本

ecs:::instanceV1ecs:::instanceV1

RGC-GR_CONFIG_ECS_ATTACHED_HSS_AGENTS_CHECK

ECS实例未绑定HSS代理并启用防护,视为“不合规”。

管理漏洞

ecs:::instanceV1

不涉及

ECS、IMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALLOWED_IMAGES_BY_ID

指定允许的镜像ID列表,ECS实例的镜像ID不在指定的范围内,视为“不合规”。

管理漏洞

ecs:::instanceV1

RGC-GR_CONFIG_APPROVED_IMS_BY_TAG

ECS的镜像不在指定tag的IMS的范围内,视为“不合规”。

管理漏洞

ecs:::instanceV1
  • specifiedIMSTagKey:
  • specifiedIMSTagValue:

EIP

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_EIP_USE_IN_SPECIFIED_DAYS

创建的EIP在指定天数后仍未绑定到资源实例,视为“不合规”。

优化成本

vpc:::eipAssociate

不涉及

ELB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ELB_MULTIPLE_AZ_CHECK

检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区,视为“不合规”。

弹性负载均衡

elb:::loadbalancer

不涉及

RGC-GR_CONFIG_ELB_MEMBERS_WEIGHT_CHECK

后端服务器的权重为0,且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时,视为“不合规”。

提高可用性

elb:::member

不涉及

RGC-GR_RFS_ELB_PREDEFINED_SECURITY_POLICY_CHECK

要求任何独享型ELB负载均衡器HTTPS侦听器具有一个拥有强配置的预定义安全策略。

限制网络访问

elb:::listener

不涉及

RGC-GR_RFS_LB_TLS_HTTPS_LISTENERS_ONLY_CHECK

要求为私网类型的ELB负载均衡器侦听器配置HTTPS终止。

加密传输中的数据

lb:::listener

不涉及

RGC-GR_RFS_ELB_TLS_HTTPS_LISTENERS_ONLY_CHECK

要求为独享型ELB应用程序或经典负载均衡器侦听器配置HTTPS终止。

加密传输中的数据

elb:::listener

不涉及

RGC-GR_RFS_ELB_DELETION_PROTECTION_ENABLED_CHECK

要求激活应用程序负载均衡器删除保护。

提高可用性

elb:::loadbalancer

不涉及

RGC-GR_RFS_ELB_MULTIPLE_AZ_CHECK

要求任何经典负载均衡器配置多个可用区。

提高可用性

elb:::loadbalancer

不涉及

ER

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_ER_INSTANCE_AUTO_VPC_ATTACH_DISABLED_CHECK

要求企业路由器拒绝自动接受共享连接创建。

限制网络访问

er:::instance

不涉及

EVS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_EVS_USE_IN_SPECIFIED_DAYS

创建的EVS在指定天数后仍未绑定到资源实例,视为“不合规”。

优化成本

evs:::volume

不涉及

RGC-GR_CONFIG_VOLUME_UNUSED_CHECK

云硬盘未挂载给任何云服务器,视为“不合规”。

优化成本

evs:::volume

不涉及

RGC-GR_CONFIG_ALLOWED_VOLUME_SPECS

指定允许的云硬盘类型列表,云硬盘的类型不在指定的范围内,视为“不合规”。

保护配置

evs:::volume

FunctionGraph

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_FUNCTION_GRAPH_CONCURRENCY_CHECK

FunctionGraph函数并发数不在指定的范围内,视为“不合规”。

提高可用性

fgs:::function

不涉及

RGC-GR_CONFIG_FUNCTION_GRAPH_INSIDE_VPC

函数工作流未使用指定VPC,视为“不合规”

限制网络访问

fgs:::function

RGC-GR_CONFIG_FUNCTION_GRAPH_SETTINGS_CHECK

函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规”

管理漏洞

fgs:::function

RGC-GR_CONFIG_FUNCTION_GRAPH_LOGGING_ENABLED

函数工作流的函数未启用日志配置,视为“不合规”。

建立日志记录和监控

fgs:::function

不涉及

GaussDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_AUDITLOG

未开启审计日志的GaussDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_BACKUP

未开启资源备份的GaussDB资源,视为“不合规”。

提高韧性

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_ERRORLOG

未开启错误日志的GaussDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_SLOWLOG

未开启慢日志的GaussDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_MULTIPLE_AZ_CHECK

GaussDB资源未跨AZ部署,视为“不合规”。

提高可用性

gaussdb:::opengaussInstance

不涉及

GeminiDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_NOSQL_DEPLOY_IN_SINGLE_AZ

GeminiDB部署在单个可用区中,视为“不合规”

提高可用性

gaussdb:::mongoInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_BACKUP

GeminiDB未开启备份,视为“不合规”

提高韧性

gaussdb:::mongoInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_ERROR_LOG

GeminiDB未开启错误日志,视为“不合规”。

建立日志记录和监控

gaussdb:::mongoInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_NOSQL_SUPPORT_SLOW_LOG

GeminiDB不支持慢查询日志,视为“不合规”。

建立日志记录和监控

gaussdb:::mongoInstance

不涉及

RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_TLS_CHECK

要求GaussDB Mongo实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

gaussdb:::mongoInstance

不涉及

RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_AUTO_BACKUP_CHECK

要求GaussDB Mongo实例配置自动备份。

提高韧性

gaussdb:::mongoInstance

不涉及

RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_AUTO_BACKUP_CHECK

要求GaussDB Redis实例配置自动备份。

提高韧性

gaussdb:::redisInstance

不涉及

RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_TLS_CHECK

要求GaussDB Redis实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

gaussdb:::redisInstance

不涉及

GES

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GES_GRAPHS_LTS_ENABLE

GES图未开启LTS日志,视为“不合规”。

建立日志记录和监控

ges:::graph

不涉及

RGC-GR_CONFIG_GES_GRAPHS_MULTI_AZ_SUPPORT

GES图不支持跨AZ高可用,视为“不合规”。

提高可用性

ges:::graph

不涉及

IAM

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS

IAM策略中授权KMS的任一阻拦action,视为“不合规”。

强制执行最低权限

  • identity:::role
  • identity:::protectionPolicy

不涉及

RGC-GR_CONFIG_IAM_USER_CHECK_NON_ADMIN_GROUP

根用户以外的IAM用户加入admin用户组,视为“不合规”。

强制执行最低权限

identity:::user

不涉及

RGC-GR_CONFIG_IAM_USER_NO_POLICIES_CHECK

IAM用户直接附加了策略或权限,视为“不合规”。

强制执行最低权限

identity:::user

不涉及

RGC-GR_RFS_IDENTITY_USER_ACCESS_TYPE_CHECK

要求IAM用户只能用于编程访问。

管理漏洞

identity:::user

不涉及

LTS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_LTS_GROUP_RETENTION_PERIOD_CHECK

要求将LTS日志组保留至少180天。

建立日志记录和监控

lts:::group

不涉及

MRS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_MRS_CLUSTER_MULTIAZ_DEPLOYMENT

MRS集群没有多az部署,视为“不合规”。

提高可用性

mrs:::cluster

不涉及

RGC-GR_CONFIG_MRS_CLUSTER_ENCRYPT_ENABLE

KMS密钥不处于“计划删除”状态。

保护数据完整性

mrs:::cluster

不涉及

Network、ACL

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_NACL_NO_UNRESTRICTED_SSH_RDP_CHECK

要求任何网络ACL防止从0.0.0.0/0进入端口22或端口3389。

限制网络访问

network:::aclRule

不涉及

RDS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP

未开启备份的rds资源,视为“不合规”。

提高韧性

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG

未开启错误日志的rds资源,视为“不合规”。

建立日志记录和监控

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG

未开启慢日志的rds资源,视为“不合规”。

建立日志记录和监控

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_LOGGING_ENABLED

未配备任何日志的rds资源,视为“不合规”。

建立日志记录和监控

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_MULTI_AZ_SUPPORT

RDS实例仅支持一个可用区,视为“不合规”。

提高可用性

rds:::instance

不涉及

RGC-GR_CONFIG_ALLOWED_RDS_FLAVORS

RDS实例的规格不在指定的范围内,视为“不合规”。

保护配置

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCES_IN_VPC

指定虚拟私有云ID,不属于此VPC的rds资源,视为“不合规”。

限制网络访问

rds:::instance

RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_AUDITLOG

未启用审计日志或者审计日志保存天数不足的rds资源,视为“不合规”。

建立日志记录和监控

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_ENGINE_VERSION_CHECK

RDS实例数据库引擎的版本低于指定版本,视为“不合规”。

管理漏洞

rds:::instance
  • postgresqlVersion:
  • mariadbVersion:
  • mysqlVersion:
  • sqlserverVersion:

RGC-GR_RFS_RDS_INSTANCE_DEPLOYED_IN_VPC_CHECK

要求RDS数据库实例具有VPC配置。

限制网络访问

rds:::instance

不涉及

RGC-GR_RFS_RDS_DB_SECURITY_GROUP_NOT_ALLOWED_CHECK

要求RDS实例配置数据库安全组。

限制网络访问

rds:::instance

不涉及

RGC-GR_RFS_RDS_INSTANCE_MULTIPLE_AZ_CHECK

要求为RDS实例配置多个可用区以实现高可用性。

提高可用性

rds:::instance

不涉及

RGC-GR_RFS_RDS_INSTANCE_TLS_CHECK

要求RDS实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

rds:::instance

不涉及

RGC-GR_RFS_RDS_INSTANCE_BACKUP_ENABLED_CHECK

要求RDS实例配置自动备份

提高韧性

rds:::instance

不涉及

OBS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_OBS_BUCKET_DEFAULT_ENCRYPTION_KMS_CHECK

要求OBS存储桶使用KMS密钥配置服务器端加密。

加密静态数据

obs:::bucket

不涉及

RGC-GR_RFS_OBS_BUCKET_VERSIONING_ENABLED_CHECK

要求OBS存储桶启用版本控制。

提高可用性

obs:::bucket

不涉及

RGC-GR_RFS_OBS_BUCKET_LOGGING_ENABLED_CHECK

要求OBS存储桶配置服务器访问日志记录。

建立日志记录和监控

obs:::bucket

不涉及

OBS、Access Analyzer

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_OBS_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED

OBS桶策略中授权任意禁止的action给外部身份,视为“不合规”。

强制执行最低权限

obs:::bucket

RGC-GR_CONFIG_OBS_BUCKET_SSL_REQUESTS_ONLY

OBS桶策略授权了无需SSL加密的行为,视为“不合规”。

加密传输中的数据

obs:::bucket

不涉及

Organizations

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ACCOUNT_PART_OF_ORGANIZATIONS

账号未加入组织中,视为“不合规”。

强制执行最低权限

organizations:::accountAssociate

SFS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_SFS_ENCRYPTED_CHECK

要求SFS文件系统使用KMS对文件数据进行静态加密。

加密静态数据

sfs:::fileSystem

不涉及

SMN

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_SMN_LTS_ENABLE

SMN主题未启用事件分析,视为“不合规”。

建立日志记录和监控

smn:::topic

不涉及

SWR

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_SWR_PRIVATE_IMAGE_CHECK

要求SWR为私有存储库。

管理漏洞

swr:::repository

不涉及

TMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_REQUIRED_ALL_TAGS

指定标签列表,不具有所有指定标签键的资源,视为“不合规”。

保护配置

tms:::resourceTags
  • TagKeys:
  • TagValues:

RGC-GR_CONFIG_REQUIRED_TAG_CHECK

指定一个标签,不具有此标签的资源,视为“不合规”。

保护配置

tms:::resourceTags
  • specifiedTagKey:
  • specifiedTagValue:

RGC-GR_CONFIG_REQUIRED_TAG_EXIST

指定标签列表,不具有任一指定标签的资源,视为“不合规”。

保护配置

tms:::resourceTags
  • TagKeys:
  • TagValues:

RGC-GR_CONFIG_RESOURCE_TAG_KEY_PREFIX_SUFFIX

指定前缀和后缀,资源不具有任意匹配前后缀的标签键,视为“不合规”。

保护配置

tms:::resourceTags
  • tagKeyPrefix:
  • tagKeySuffix:

RGC-GR_CONFIG_RESOURCE_TAG_NOT_EMPTY

资源未配置标签,视为“不合规”。

保护配置

tms:::resourceTags

不涉及

TaurusDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG

未开启审计日志的TaurusDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP

未开启备份的TaurusDB资源,视为“不合规”。

提高韧性

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG

未开启错误日志的TaurusDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG

未开启慢日志的TaurusDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_MULTIPLE_AZ_CHECK

TaurusDB实例未跨AZ部署,视为“不合规”。

提高可用性

gaussdb:::mysqlInstance

不涉及

VPC

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_EIP_UNBOUND_CHECK

弹性公网IP未进行任何绑定,视为“不合规”。

优化成本

vpc:::eipAssociate

不涉及

RGC-GR_CONFIG_VPC_FLOW_LOGS_ENABLED

检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”。

建立日志记录和监控

vpc:::flowLog

不涉及

RGC-GR_CONFIG_EIP_BANDWIDTH_LIMIT

弹性公网IP可用带宽小于指定参数值,视为“不合规”

提高可用性

vpc:::eip

RGC-GR_RFS_VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS_CHECK

要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于80和443以外的端口。

限制网络访问

networking:::secgroupRule

不涉及

RGC-GR_RFS_VPC_SG_RESTRICTED_COMMON_PORTS_CHECK

要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于特定的高风险端口。

限制网络访问

严重

networking:::secgroupRule

不涉及

VPCEP

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_VPCEP_ENDPOINT_ENABLED

检查账号下是否存在指定服务名的终端节点,如果不存在任何一个,视为“不合规”。

限制网络访问

vpcep:::endpoint

VPN

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_VPN_CONNECTIONS_ACTIVE

VPN连接状态不为“正常”,视为“不合规”。

提高可用性

vpnaas:::siteConnectionV2

不涉及

WAF

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_WAF_GLOBAL_ACL_NOT_EMPTY_CHECK

要求任何WAF全局ACL拥有规则。

限制网络访问

waf:::ruleGlobalProtectionWhitelist

不涉及

RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK

要求WAF规则组为非空。

限制网络访问

waf:::addressGroup

不涉及
父主题: 控制策略参考