预设策略列表

当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。

当前配置审计服务支持的预设策略如下表所示。

表1 配置审计支持的预设策略
云服务	预设策略	触发方式	评估资源
公共可用预设策略	资源名称满足正则表达式	配置变更	全部资源
	资源具有所有指定的标签键	配置变更	支持标签的云服务和资源类型
	资源存在任一指定的标签	配置变更	支持标签的云服务和资源类型
	资源具有指定前后缀的标签键	配置变更	支持标签的云服务和资源类型
	资源标签非空	配置变更	支持标签的云服务和资源类型
	资源具有指定的标签	配置变更	支持标签的云服务和资源类型
	资源属于指定企业项目ID	配置变更	全部资源
	资源在指定区域内	配置变更	全部资源
	资源在指定类型内	配置变更	全部资源
	不允许的资源类型	配置变更	全部资源
	资源操作状态检查	配置变更	全部资源
API网关 APIG	APIG专享版实例配置安全认证类型	配置变更	apig.instances
	APIG专享版实例配置访问日志	配置变更	apig.instances
	APIG专享版实例域名均关联SSL证书	配置变更	apig.instances
	APIG专享版实例绑定指定VPC资源	配置变更	apig.instances
	APIG专享版实例多AZ部署	配置变更	apig.instances
	APIG专享版实例弹性公网IP检查	配置变更	apig.instances
部署 CodeArts Deploy	CodeArts项目下的主机集群为可用状态	配置变更	codeartsdeploy.host-cluster
部署 CodeArts Deploy	CodeArts编译构建下的项目未设置参数加密	配置变更	codeartsbuild.CloudBuildServer
MapReduce服务 MRS	MRS集群属于指定安全组	配置变更	mrs.mrs
	MRS集群属于指定VPC	配置变更	mrs.mrs
	MRS集群开启kerberos认证	配置变更	mrs.mrs
	MRS集群使用多AZ部署	配置变更	mrs.mrs
	MRS集群未绑定弹性公网IP	配置变更	mrs.mrs
	MRS集群开启KMS加密	配置变更	mrs.mrs
NAT网关 NAT	NAT私网网关绑定指定VPC资源	配置变更	nat.privateNatGateways
VPC终端节点 VPCEP	创建了指定服务名的终端节点	周期触发	account
Web应用防火墙 WAF	WAF防护域名配置防护策略	配置变更	waf.instance
	WAF防护策略配置防护规则	配置变更	waf.policy
	启用WAF实例域名防护	周期触发	account
	启用WAF防护策略地理位置访问控制规则	周期触发	account
	WAF实例启用拦截模式防护策略	配置变更	waf.instance
弹性负载均衡 ELB	ELB资源不具有公网IP	配置变更	elb.loadbalancers
	ELB监听器配置指定预定义安全策略	配置变更	elb.loadbalancers
	ELB监听器配置HTTPS或TLS监听协议	配置变更	elb.loadbalancers
	ELB后端服务器权重检查	配置变更	elb.members
	监听器资源HTTPS重定向检查	配置变更	elb.listeners
	ELB资源使用多AZ部署	配置变更	elb.loadbalancers
	ELB负载均衡器配置访问日志	配置变更	elb.loadbalancers
弹性公网IP EIP	弹性公网IP带宽限制	配置变更	vpc.publicips
	弹性公网IP未进行任何绑定	配置变更	vpc.publicips
	弹性公网IP在指定天数内绑定到资源实例	周期触发	vpc.publicips
弹性伸缩 AS	弹性伸缩组均衡扩容	配置变更	as.scalingGroups
	弹性伸缩组使用弹性负载均衡健康检查	配置变更	as.scalingGroups
	弹性伸缩组启用多AZ部署	配置变更	as.scalingGroups
	弹性伸缩组未配置IPv6带宽	配置变更	as.scalingGroups
	弹性伸缩组VPC检查	配置变更	as.scalingGroups
高性能弹性文件服务 SFS Turbo	高性能弹性文件服务通过KMS进行加密	配置变更	sfsturbo.shares
	SFS Turbo资源在备份存储库中	配置变更	sfsturbo.shares
	SFS Turbo资源的备份时间检查	周期触发	sfsturbo.shares
弹性云服务器 ECS	ECS实例规格在指定的范围	配置变更	ecs.cloudservers
	ECS实例的镜像ID在指定的范围	配置变更	ecs.cloudservers
	ECS实例的镜像在指定Tag的IMS的范围内	配置变更	ecs.cloudservers
	绑定指定标签的ECS实例关联在指定安全组ID列表内	配置变更	ecs.cloudservers
	ECS实例CPU核数检查	配置变更	ecs.cloudservers
	ECS实例属于指定虚拟私有云ID	配置变更	ecs.cloudservers
	ECS实例配置密钥对	配置变更	ecs.cloudservers
	ECS实例内存检查	配置变更	ecs.cloudservers
	ECS实例不能公网访问	配置变更	ecs.cloudservers
	ECS实例状态不是停止状态	配置变更	ecs.cloudservers
	检查ECS实例是否具有多个公网IP	配置变更	ecs.cloudservers
	关机状态的ECS未进行任意操作的时间检查	周期触发	ecs.cloudservers
	ECS实例附加IAM委托	配置变更	ecs.cloudservers
	ECS实例的镜像名称在指定的范围	配置变更	ecs.cloudservers
	ECS实例在备份存储库中	配置变更	ecs.cloudservers
	ECS实例的备份时间检查	周期触发	ecs.cloudservers
	ECS实例绑定服务主机代理防护	配置变更	ecs.cloudservers
分布式缓存服务 DCS	DCS Memcached资源支持SSL	配置变更	dcs.memcached
	DCS Memcached资源属于指定虚拟私有云ID	配置变更	dcs.memcached
	DCS Memcached资源不存在弹性公网IP	配置变更	dcs.memcached
	DCS Memcached资源需要密码访问	配置变更	dcs.memcached
	DCS Redis实例支持SSL	配置变更	dcs.redis
	DCS Redis实例高可用	配置变更	dcs.redis
	DCS Redis实例属于指定虚拟私有云ID	配置变更	dcs.redis
	DCS Redis实例不存在弹性公网IP	配置变更	dcs.redis
	DCS Redis实例需要密码访问	配置变更	dcs.redis
	DCS Redis实例版本检查	配置变更	dcs.redis
	DCS Redis实例端口检查	配置变更	dcs.redis
函数工作流 FunctionGraph	函数工作流的函数并发数在指定范围内	配置变更	fgs.functions
	函数工作流允许函数访问指定VPC内资源	配置变更	fgs.functions
	函数工作流的函数不允许访问公网	配置变更	fgs.functions
	检查函数工作流参数设置	配置变更	fgs.functions
	函数工作流的函数启用日志配置	配置变更	fgs.functions
内容分发网络 CDN	CDN使用HTTPS证书	配置变更	cdn.domains
	CDN回源方式使用HTTPS	配置变更	cdn.domains
	CDN安全策略检查	配置变更	cdn.domains
	CDN使用自有证书	配置变更	cdn.domains
配置审计 Config	账号开启资源记录器【废弃】	周期触发	account
数据仓库服务 DWS	DWS集群启用KMS加密	配置变更	dws.clusters
	DWS集群启用日志转储	配置变更	dws.clusters
	DWS集群启用自动快照	配置变更	dws.clusters
	DWS集群启用SSL加密连接	配置变更	dws.clusters
	DWS集群未绑定弹性公网IP	配置变更	dws.clusters
	DWS集群运维时间窗检查	配置变更	dws.clusters
	DWS集群VPC检查	配置变更	dws.clusters
数据复制服务 DRS	数据复制服务实时灾备任务不使用公网网络	配置变更	drs.dataGuardJob
	数据复制服务实时迁移任务不使用公网网络	配置变更	drs.migrationJob
	数据复制服务实时同步任务不使用公网网络	配置变更	drs.synchronizationJob
	数据复制服务的任务配置SSL	配置变更	drs.dataGuardJob、drs.migrationJob、drs.synchronizationJob
密码安全中心 DEW	KMS密钥不处于“计划删除”状态	配置变更	kms.keys
	KMS密钥启用密钥轮换	配置变更	kms.keys
	检查CSMS凭据轮转成功	配置变更	csms.secrets
	CSMS凭据启动自动轮转	配置变更	csms.secrets
	CSMS凭据使用指定KMS密钥	配置变更	csms.secrets
	CSMS凭据在指定时间内轮转	周期触发	csms.secrets
统一身份认证服务 IAM	IAM用户的AccessKey在指定时间内轮换	周期触发	iam.users
	IAM策略中不授权KMS的禁止的action	配置变更	iam.roles&iam.policies
	IAM用户组添加了IAM用户	配置变更	iam.groups
	IAM用户密码策略符合要求	配置变更	iam.users
	IAM策略黑名单检查	配置变更	iam.users、iam.groups、iam.agencies
	IAM策略不具备Admin权限	配置变更	iam.roles、iam.policies
	IAM自定义策略具备所有权限	配置变更	iam.roles、iam.policies
	根用户存在可使用的访问密钥	周期触发	account
	IAM用户访问模式	配置变更	iam.users
	IAM用户创建时设置AccessKey	配置变更	iam.users
	IAM用户归属指定用户组	配置变更	iam.users
	IAM用户在指定时间内有登录行为	周期触发	iam.users
	IAM用户开启MFA	配置变更	iam.users
	IAM用户单访问密钥	配置变更	iam.users
	Console侧密码登录的IAM用户开启MFA认证	配置变更	iam.users
	根用户开启MFA认证	周期触发	account
	IAM策略使用中	配置变更	iam.policies
	IAM权限使用中	配置变更	iam.roles
	IAM用户开启登录保护	周期触发	iam.users
	IAM委托绑定策略检查	配置变更	iam.agencies
	IAM用户admin权限检查	配置变更	iam.users
	IAM用户不直接附加策略或权限	配置变更	iam.users
	IAM用户的AccessKey在指定时间内使用	周期触发	iam.users
文档数据库服务 DDS	DDS实例开启SSL	配置变更	dds.instances
	DDS实例属于指定实例类型	配置变更	dds.instances
	DDS实例未绑定弹性公网IP	配置变更	dds.instances
	DDS实例端口检查	配置变更	dds.instances
	DDS实例数据库版本检查	配置变更	dds.instances
消息通知服务 SMN	SMN主题配置访问日志	配置变更	smn.topic
虚拟私有云 VPC	未与子网关联的网络ACL	配置变更	vpc.firewallGroups
	VPC连接到指定的终端节点服务	周期触发	vpc.vpcs
	默认安全组关闭出、入方向流量	配置变更	vpc.securityGroups
	VPC启用流日志	配置变更	vpc.vpcs
	安全组端口检查	配置变更	vpc.securityGroups
	安全组入站流量限制指定端口	配置变更	vpc.securityGroups
	安全组入站流量限制SSH端口	配置变更	vpc.securityGroups
	安全组非白名单端口检查	配置变更	vpc.securityGroups
	安全组连接到弹性网卡	配置变更	vpc.securityGroups
虚拟专用网络 VPN	VPN连接状态为“正常”	配置变更	vpnaas.vpnConnections、vpnaas.ipsec-site-connections
云监控服务 CES	CES启用告警操作	配置变更	ces.alarms
	CES配置监控KMS禁用或计划删除密钥的事件监控告警	周期触发	account
	CES配置监控OBS桶策略变更的事件监控告警	周期触发	account
	指定的资源类型绑定指定指标CES告警	周期触发	account
	检查特定指标的CES告警进行特定配置	配置变更	ces.alarms
	CES配置监控VPC变更的事件监控告警	周期触发	account
云容器引擎 CCE	CCE集群版本为处于维护的版本	配置变更	cce.clusters
	CCE集群运行的非受支持的最旧版本	配置变更	cce.clusters
	CCE集群资源不具有弹性公网IP	配置变更	cce.clusters
	CCE集群规格在指定的范围	配置变更	cce.clusters
	CCE集群VPC检查	配置变更	cce.clusters
云审计服务 CTS	CTS追踪器通过KMS进行加密	配置变更	cts.trackers
	CTS追踪器启用事件分析	配置变更	cts.trackers
	CTS追踪器追踪指定的OBS桶	周期触发	account
	CTS追踪器打开事件文件校验	配置变更	cts.trackers
	创建并启用CTS追踪器	周期触发	account
	在指定区域创建并启用CTS追踪器	周期触发	account
	CTS追踪器符合安全最佳实践	周期触发	account
云数据库 RDS	RDS实例开启备份	配置变更	rds.instances
	RDS实例开启错误日志	配置变更	rds.instances
	RDS实例开启慢日志	配置变更	rds.instances
	RDS实例支持多可用区	配置变更	rds.instances
	RDS实例不具有弹性公网IP	配置变更	rds.instances
	RDS实例开启存储加密	配置变更	rds.instances
	RDS实例属于指定虚拟私有云ID	配置变更	rds.instances
	RDS实例配备日志	配置变更	rds.instances
	RDS实例规格在指定的范围	配置变更	rds.instances
	RDS实例启用SSL加密通讯	配置变更	rds.instances
	RDS实例默认端口检查	配置变更	rds.instances
	RDS实例数据库引擎版本检查	配置变更	rds.instances
	RDS实例启用审计日志	配置变更	rds.instances
云数据库 GaussDB	GaussDB资源属于指定虚拟私有云ID	配置变更	gaussdb.instance
	GaussDB实例开启审计日志	配置变更	gaussdb.instance
	GaussDB实例开启自动备份	配置变更	gaussdb.instance
	GaussDB实例开启错误日志	配置变更	gaussdb.instance
	GaussDB实例开启慢日志	配置变更	gaussdb.instance
	GaussDB实例弹性公网IP检查	配置变更	gaussdb.instance
	GaussDB实例跨AZ部署检查	配置变更	gaussdb.instance
	GaussDB实例开启传输数据加密	配置变更	gaussdb.instance
	GaussDB实例端口检查	配置变更	gaussdb.instance
云数据库 TaurusDB	TaurusDB实例开启审计日志	配置变更	gaussdbformysql.instance
	TaurusDB实例开启备份	配置变更	gaussdbformysql.instance
	TaurusDB实例开启错误日志	配置变更	gaussdbformysql.instance
	TaurusDB实例开启慢日志	配置变更	gaussdbformysql.instance
	TaurusDB实例开启传输数据加密	配置变更	gaussdbformysql.instance
	TaurusDB实例跨AZ部署检查	配置变更	gaussdbformysql.instance
	TaurusDB实例弹性公网IP检查	配置变更	gaussdbformysql.instance
	TaurusDB实例VPC检查	配置变更	gaussdbformysql.instance
	TaurusDB实例数据库引擎版本检查	配置变更	gaussdbformysql.instance
	TaurusDB实例端口检查	配置变更	gaussdbformysql.instance
云数据库 GeminiDB	GeminiDB实例开启传输数据加密	配置变更	nosql.instances
	GeminiDB实例端口检查	配置变更	nosql.instances
	GeminiDB实例数据库引擎版本检查	配置变更	nosql.instances
	GeminiDB实例支持多可用区	配置变更	nosql.instances
	GeminiDB开启备份	配置变更	nosql.instances
	GeminiDB使用磁盘加密	配置变更	nosql.instances
	GeminiDB开启错误日志	配置变更	nosql.instances
	GeminiDB开启慢查询日志	配置变更	nosql.instances
云搜索服务 CSS	CSS集群启用安全模式	配置变更	css.clusters
	CSS集群启用快照	配置变更	css.clusters
	CSS集群开启磁盘加密	配置变更	css.clusters
	CSS集群启用HTTPS	配置变更	css.clusters
	CSS集群绑定指定VPC资源	配置变更	css.clusters
	CSS集群具备多AZ容灾	配置变更	css.clusters
	CSS集群具备多实例容灾	配置变更	css.clusters
	CSS集群不能公网访问	配置变更	css.clusters
	CSS集群支持安全模式	配置变更	css.clusters
	CSS集群未开启访问控制开关	配置变更	css.clusters
	CSS集群Kibana未开启访问控制开关	配置变更	css.clusters
	CSS集群开启慢日志	配置变更	css.clusters
	CSS集群更新检查	配置变更	css.clusters
云硬盘 EVS	云硬盘的类型在指定的范围内	配置变更	evs.volumes
	云硬盘创建后在指定天数内绑定资源实例	周期触发	evs.volumes
	云硬盘闲置检测	配置变更	evs.volumes
	已挂载的云硬盘开启加密	配置变更	evs.volumes
	云硬盘开启加密	配置变更	evs.volumes
	EVS资源在备份存储库保护中	配置变更	evs.volumes
	EVS资源的备份时间检查	周期触发	evs.volumes
云证书与管理服务 CCM	检查私有CA是否过期	周期触发	pca.ca
	检查私有证书是否过期	周期触发	pca.cert
	检查私有根CA是否停用	周期触发	pca.ca
	私有证书管理服务算法检查	配置变更	pca.ca、pca.cert
分布式消息服务Kafka版	DMS Kafka队列打开内网SSL加密访问	配置变更	dms.kafka
	DMS Kafka队列打开公网SSL加密访问	配置变更	dms.kafka
	DMS Kafka队列开启公网访问	配置变更	dms.kafka
分布式消息服务RabbitMQ版	DMS RabbitMq队列打开SSL加密访问	配置变更	dms.rabbitmqs
分布式消息服务RabbitMQ版	DMS RabbitMQ实例开启公网访问	配置变更	dms.rabbitmqs
分布式消息服务RocketMQ版	DMS RocketMQ实例打开SSL加密访问	配置变更	dms.reliabilitys
分布式消息服务RocketMQ版	DMS RocketMQ实例开启公网访问	配置变更	dms.reliabilitys
组织 Organizations	账号加入组织	周期触发	account
云防火墙 CFW	CFW防火墙配置防护策略	配置变更	cfw.cfw_instance
云备份 CBR	CBR备份被加密	配置变更	cbr.backup
	CBR备份策略执行频率检查	配置变更	cbr.policy
	CBR存储库最低保留天数	配置变更	cbr.vault
	CBR备份存储库启用跨区域复制策略	配置变更	cbr.vault
	CBR存储库开启备份锁定	配置变更	cbr.vault
	CBR存储库开启多AZ备份	配置变更	cbr.vault
对象存储服务 OBS	OBS桶策略中不授权禁止的Action	配置变更	obs.buckets
	OBS桶策略中授权检查	配置变更	obs.buckets
	OBS桶策略授权约束	配置变更	obs.buckets
	OBS桶禁止公开读	配置变更	obs.buckets
	OBS桶禁止公开写	配置变更	obs.buckets
	OBS桶策略授权行为使用SSL加密	配置变更	obs.buckets
	OBS桶启用日志记录	配置变更	obs.buckets
	OBS桶启用多版本控制	配置变更	obs.buckets
	OBS桶不使用ACL授权	配置变更	obs.buckets
	OBS桶启用跨区域复制	配置变更	obs.buckets
	OBS桶策略服务端加密检查	配置变更	obs.buckets
	OBS桶启用生命周期规则	配置变更	obs.buckets
	OBS桶启用WORM保留策略	配置变更	obs.buckets
	OBS桶使用kms加密	配置变更	obs.buckets
	OBS桶存储类型检查	配置变更	obs.buckets
	OBS桶配置桶策略	配置变更	obs.buckets
镜像服务 IMS	私有镜像开启加密	配置变更	ims.images
裸金属服务器 BMS	BMS资源使用密钥对登录	配置变更	bms.servers
图引擎服务 GES	GES图通过KMS加密	配置变更	ges.graphs
	GES图开启LTS日志	配置变更	ges.graphs
	GES图支持跨AZ高可用	配置变更	ges.graphs
IAM身份中心	检查IdP证书是否过期	周期触发	identitycenter.idp
IAM身份中心	检查SCIM令牌是否过期	周期触发	identitycenter.scim
云桌面 Workspace	Workspace资源的备份时间检查	周期触发	workspace.desktops
云桌面 Workspace	Workspace资源在备份存储库中	配置变更	workspace.desktops