更新时间:2024-12-10 GMT+08:00

预设策略列表

当您在配置审计控制台添加合规规则时,可以直接选用系统内置的预设合规策略。

当前配置审计服务支持的预设策略如下表所示。

表1 配置审计支持的预设策略

云服务

预设策略

触发方式

评估资源

公共可用预设策略

资源名称满足正则表达式

配置变更

全部资源

资源具有所有指定的标签键

配置变更

支持标签的云服务和资源类型

资源存在任一指定的标签

配置变更

支持标签的云服务和资源类型

资源具有指定前后缀的标签键

配置变更

支持标签的云服务和资源类型

资源标签非空

配置变更

支持标签的云服务和资源类型

资源具有指定的标签

配置变更

支持标签的云服务和资源类型

资源属于指定企业项目ID

配置变更

全部资源

资源在指定区域内

配置变更

全部资源

资源在指定类型内

配置变更

全部资源

不允许的资源类型

配置变更

全部资源

API网关 APIG

APIG专享版实例配置安全认证类型

配置变更

apig.instances

APIG专享版实例配置访问日志

配置变更

apig.instances

APIG专享版实例域名均关联SSL证书

配置变更

apig.instances

部署 CodeArts Deploy

CodeArts项目下的主机集群为可用状态

配置变更

codeartsdeploy.host-cluster

CodeArts编译构建下的项目未设置参数加密

配置变更

codeartsbuild.CloudBuildServer

MapReduce服务 MRS

MRS资源属于指定安全组

配置变更

mrs.mrs

MRS资源属于指定VPC

配置变更

mrs.mrs

MRS集群开启kerberos认证

配置变更

mrs.mrs

MRS集群使用多AZ部署

配置变更

mrs.mrs

MRS集群未绑定弹性公网IP

配置变更

mrs.mrs

MRS集群开启KMS加密

配置变更

mrs.mrs

NAT网关 NAT

NAT私网网关绑定指定VPC资源

配置变更

nat.privateNatGateways

VPC终端节点 VPCEP

创建了指定服务名的终端节点

周期触发

account

Web应用防火墙 WAF

WAF防护域名配置防护策略

配置变更

waf.instance

WAF防护策略配置防护规则

配置变更

waf.policy

启用WAF实例域名防护

周期触发

account

启用WAF防护策略地理位置访问控制规则

周期触发

account

WAF实例启用拦截模式防护策略

配置变更

waf.instance

弹性负载均衡 ELB

ELB资源不具有弹性公网IP

配置变更

elb.loadbalancers

ELB监听器配置指定预定义安全策略

配置变更

elb.loadbalancers

ELB监听器配置HTTPS监听协议

配置变更

elb.loadbalancers

ELB后端服务器权重检查

配置变更

elb.members

监听器资源HTTPS重定向检查

配置变更

elb.listeners

ELB资源使用多AZ部署

配置变更

elb.loadbalancers

弹性公网IP EIP

EIP带宽限制

配置变更

vpc.publicips

弹性公网IP未进行任何绑定

配置变更

vpc.publicips

EIP在指定天数内绑定到资源实例

周期触发

vpc.publicips

弹性伸缩 AS

弹性伸缩组均衡扩容

配置变更

as.scalingGroups

弹性伸缩组使用弹性负载均衡健康检查

配置变更

as.scalingGroups

弹性伸缩组启用多AZ部署

配置变更

as.scalingGroups

弹性伸缩组未配置IPv6带宽

配置变更

as.scalingGroups

弹性伸缩组VPC检查

配置变更

as.scalingGroups

高性能弹性文件服务 SFS Turbo

高性能弹性文件服务通过KMS进行加密

配置变更

sfsturbo.shares

SFS Turbo资源在备份存储库中

配置变更

sfsturbo.shares

SFS Turbo资源的备份时间检查

周期触发

sfsturbo.shares

弹性云服务器 ECS

ECS资源规格在指定的范围

配置变更

ecs.cloudservers

ECS实例的镜像ID在指定的范围

配置变更

ecs.cloudservers

ECS的镜像在指定Tag的IMS的范围内

配置变更

ecs.cloudservers

绑定指定标签的ECS关联在指定安全组ID列表内

配置变更

ecs.cloudservers

ECS资源属于指定虚拟私有云ID

配置变更

ecs.cloudservers

ECS资源配置密钥对

配置变更

ecs.cloudservers

ECS资源不能公网访问

配置变更

ecs.cloudservers

检查ECS资源是否具有多个弹性公网IP

配置变更

ecs.cloudservers

关机状态的ECS未进行任意操作的时间检查

周期触发

ecs.cloudservers

ECS资源附加IAM委托

配置变更

ecs.cloudservers

ECS实例的镜像名称在指定的范围

配置变更

ecs.cloudservers

ECS资源在备份存储库中

配置变更

ecs.cloudservers

ECS云服务器的备份时间检查

周期触发

ecs.cloudservers

ECS资源绑定服务主机代理防护

配置变更

ecs.cloudservers

分布式缓存服务 DCS

DCS Memcached资源支持SSL

配置变更

dcs.memcached

DCS Memcached资源属于指定虚拟私有云ID

配置变更

dcs.memcached

DCS Memcached资源不存在弹性公网IP

配置变更

dcs.memcached

DCS Memcached资源需要密码访问

配置变更

dcs.memcached

DCS Redis实例支持SSL

配置变更

dcs.redis

DCS Redis实例高可用

配置变更

dcs.redis

DCS Redis实例属于指定虚拟私有云ID

配置变更

dcs.redis

DCS Redis实例不存在弹性公网IP

配置变更

dcs.redis

DCS Redis实例需要密码访问

配置变更

dcs.redis

函数工作流 FunctionGraph

函数工作流的函数并发数在指定范围内

配置变更

fgs.functions

函数工作流使用指定VPC

配置变更

fgs.functions

函数工作流的函数不允许访问公网

配置变更

fgs.functions

检查函数工作流参数设置

配置变更

fgs.functions

函数工作流的函数启用日志配置

配置变更

fgs.functions

内容分发网络 CDN

CDN使用HTTPS证书

配置变更

cdn.domains

CDN回源方式使用HTTPS

配置变更

cdn.domains

CDN安全策略检查

配置变更

cdn.domains

CDN使用自有证书

配置变更

cdn.domains

配置审计 Config

账号开启资源记录器

周期触发

account

数据仓库服务 DWS

DWS集群启用KMS加密

配置变更

dws.clusters

DWS集群启用日志转储

配置变更

dws.clusters

DWS集群启用自动快照

配置变更

dws.clusters

DWS集群启用SSL加密连接

配置变更

dws.clusters

DWS集群未绑定弹性公网IP

配置变更

dws.clusters

DWS集群运维时间窗检查

配置变更

dws.clusters

DWS集群VPC检查

配置变更

dws.clusters

数据复制服务 DRS

数据复制服务实时灾备任务不使用公网网络

配置变更

drs.dataGuardJob

数据复制服务实时迁移任务不使用公网网络

配置变更

drs.migrationJob

数据复制服务实时同步任务不使用公网网络

配置变更

drs.synchronizationJob

数据加密服务 DEW

KMS密钥不处于“计划删除”状态

配置变更

kms.keys

KMS密钥启用密钥轮换

配置变更

kms.keys

检查CSMS凭据轮转成功

配置变更

csms.secrets

CSMS凭据启动自动轮转

配置变更

csms.secrets

CSMS凭据使用指定KMS

配置变更

csms.secrets

CSMS凭据在指定时间内轮转

周期触发

csms.secrets

统一身份认证服务 IAM

IAM用户的AccessKey在指定时间内轮换

周期触发

iam.users

IAM策略中不授权KMS的禁止的action

配置变更

iam.roles&iam.policies

IAM用户组添加了IAM用户

配置变更

iam.groups

IAM用户密码策略符合要求

配置变更

iam.users

IAM策略黑名单检查

配置变更

iam.users、iam.groups、iam.agencies

IAM策略不具备Admin权限

配置变更

iam.roles、iam.policies

IAM自定义策略具备所有权限

配置变更

iam.roles、iam.policies

根用户存在可使用的访问密钥

周期触发

account

IAM用户访问模式

配置变更

iam.users

IAM用户创建时设置AccessKey

配置变更

iam.users

IAM用户归属指定用户组

配置变更

iam.users

IAM用户在指定时间内有登录行为

周期触发

iam.users

IAM用户开启MFA

配置变更

iam.users

IAM用户单访问密钥

配置变更

iam.users

Console侧密码登录的IAM用户开启MFA认证

配置变更

iam.users

根用户开启MFA认证

周期触发

account

IAM策略使用中

配置变更

iam.policies

IAM权限使用中

配置变更

iam.roles

IAM用户开启登录保护

周期触发

iam.users

IAM委托绑定策略检查

配置变更

iam.agencies

IAM用户admin权限检查

配置变更

iam.users

IAM用户不直接附加策略或权限

配置变更

iam.users

文档数据库服务 DDS

DDS实例开启SSL

配置变更

dds.instances

DDS实例属于指定实例类型

配置变更

dds.instances

DDS实例未绑定弹性公网IP

配置变更

dds.instances

DDS实例端口检查

配置变更

dds.instances

DDS实例数据库版本检查

配置变更

dds.instances

DDS实例属于指定虚拟私有云ID

配置变更

dds.instances

消息通知服务 SMN

SMN主题配置访问日志

配置变更

smn.topic

虚拟私有云 VPC

未与子网关联的网络ACL

配置变更

vpc.firewallGroups

默认安全组关闭出、入方向流量

配置变更

vpc.securityGroups

VPC启用流日志

配置变更

vpc.vpcs

安全组端口检查

配置变更

vpc.securityGroups

安全组入站流量限制指定端口

配置变更

vpc.securityGroups

安全组入站流量限制SSH端口

配置变更

vpc.securityGroups

安全组非白名单端口检查

配置变更

vpc.securityGroups

安全组连接到弹性网络接口

配置变更

vpc.securityGroups

虚拟专用网络 VPN

VPN连接状态为“正常”

配置变更

vpnaas.vpnConnections、vpnaas.ipsec-site-connections

云监控服务 CES

CES启用告警操作

配置变更

ces.alarms

CES配置监控KMS禁用或计划删除密钥的事件监控告警

周期触发

account

CES配置监控OBS桶策略变更的事件监控告警

周期触发

account

指定的资源类型绑定指定指标CES告警

周期触发

account

检查特定指标的CES告警进行特定配置

配置变更

ces.alarms

CES配置监控VPC变更的事件监控告警

周期触发

account

云容器引擎 CCE

CCE集群版本为处于维护的版本

配置变更

cce.clusters

CCE集群运行的非受支持的最旧版本

配置变更

cce.clusters

CCE集群资源不具有弹性公网IP

配置变更

cce.clusters

CCE集群规格在指定的范围

配置变更

cce.clusters

CCE集群VPC检查

配置变更

cce.clusters

云审计服务 CTS

CTS追踪器通过KMS进行加密

配置变更

cts.trackers

CTS追踪器启用事件分析

配置变更

cts.trackers

CTS追踪器追踪指定的OBS桶

周期触发

account

CTS追踪器打开事件文件校验

配置变更

cts.trackers

创建并启用CTS追踪器

周期触发

account

在指定区域创建并启用CTS追踪器

周期触发

account

CTS追踪器符合安全最佳实践

周期触发

account

云数据库 RDS

RDS实例开启备份

配置变更

rds.instances

RDS实例开启错误日志

配置变更

rds.instances

RDS实例开启慢日志

配置变更

rds.instances

RDS实例支持多可用区

配置变更

rds.instances

RDS实例不具有弹性公网IP

配置变更

rds.instances

RDS实例开启存储加密

配置变更

rds.instances

RDS实例属于指定虚拟私有云ID

配置变更

rds.instances

RDS实例配备日志

配置变更

rds.instances

RDS实例规格在指定的范围

配置变更

rds.instances

RDS实例启用SSL加密通讯

配置变更

rds.instances

RDS实例端口检查

配置变更

rds.instances

RDS实例数据库引擎版本检查

配置变更

rds.instances

RDS实例启用审计日志

配置变更

rds.instances

云数据库 GaussDB

GaussDB资源属于指定虚拟私有云ID

配置变更

gaussdb.instance

GaussDB实例开启审计日志

配置变更

gaussdb.instance

GaussDB实例开启自动备份

配置变更

gaussdb.instance

GaussDB实例开启错误日志

配置变更

gaussdb.instance

GaussDB实例开启慢日志

配置变更

gaussdb.instance

GaussDB实例EIP检查

配置变更

gaussdb.instance

GaussDB实例跨AZ部署检查

配置变更

gaussdb.instance

GaussDB实例开启传输数据加密

配置变更

gaussdb.instance

云数据库 TaurusDB

TaurusDB实例开启审计日志

配置变更

gaussdbformysql.instance

TaurusDB实例开启备份

配置变更

gaussdbformysql.instance

TaurusDB实例开启错误日志

配置变更

gaussdbformysql.instance

TaurusDB实例开启慢日志

配置变更

gaussdbformysql.instance

TaurusDB实例开启传输数据加密

配置变更

gaussdbformysql.instance

TaurusDB实例跨AZ部署检查

配置变更

gaussdbformysql.instance

TaurusDB实例EIP检查

配置变更

gaussdbformysql.instance

TaurusDB实例VPC检查

配置变更

gaussdbformysql.instance

云数据库 GeminiDB

GeminiDB部署在单个可用区

配置变更

nosql.instances

GeminiDB开启备份

配置变更

nosql.instances

GeminiDB使用磁盘加密

配置变更

nosql.instances

GeminiDB开启错误日志

配置变更

nosql.instances

GeminiDB开启慢查询日志

配置变更

nosql.instances

云搜索服务 CSS

CSS集群启用安全模式

配置变更

css.clusters

CSS集群启用快照

配置变更

css.clusters

CSS集群开启磁盘加密

配置变更

css.clusters

CSS集群启用HTTPS

配置变更

css.clusters

CSS集群绑定指定VPC资源

配置变更

css.clusters

CSS集群具备多AZ容灾

配置变更

css.clusters

CSS集群具备多实例容灾

配置变更

css.clusters

CSS集群不能公网访问

配置变更

css.clusters

CSS集群支持安全模式

配置变更

css.clusters

CSS集群未开启访问控制开关

配置变更

css.clusters

CSS集群Kibana未开启访问控制开关

配置变更

css.clusters

CSS集群开启慢日志

配置变更

css.clusters

云硬盘 EVS

云硬盘的类型在指定的范围内

配置变更

evs.volumes

云硬盘创建后在指定天数内绑定资源实例

周期触发

evs.volumes

云硬盘闲置检测

配置变更

evs.volumes

已挂载的云硬盘开启加密

配置变更

evs.volumes

云硬盘开启加密

配置变更

evs.volumes

EVS资源在备份存储库保护中

配置变更

evs.volumes

EVS资源的备份时间检查

周期触发

evs.volumes

云证书管理服务 CCM

检查私有CA是否过期

周期触发

pca.ca

检查私有证书是否过期

周期触发

pca.cert

检查私有根CA是否停用

周期触发

pca.ca

私有证书管理服务算法检查

配置变更

pca.ca、pca.cert

分布式消息服务Kafka版

DMS Kafka队列打开内网SSL加密访问

配置变更

dms.kafkas

DMS Kafka队列打开公网SSL加密访问

配置变更

dms.kafkas

DMS Kafka队列开启公网访问

配置变更

dms.kafkas

分布式消息服务RabbitMQ版

DMS RabbitMq队列打开SSL加密访问

配置变更

dms.rabbitmqs

DMS RabbitMQ实例开启公网访问

配置变更

dms.rabbitmqs

分布式消息服务RocketMQ版

DMS RocketMQ实例打开SSL加密访问

配置变更

dms.reliabilitys

DMS RocketMQ实例开启公网访问

配置变更

dms.reliabilitys

组织 Organizations

账号加入组织

周期触发

account

云防火墙 CFW

CFW防火墙配置防护策略

配置变更

cfw.cfw_instance

云备份 CBR

CBR备份被加密

配置变更

cbr.backup

CBR备份策略执行频率检查

配置变更

cbr.policy

CBR存储库最低保留天数

配置变更

cbr.vault

对象存储服务 OBS

OBS桶策略中不授权禁止的Action

配置变更

obs.buckets

OBS桶策略中授权检查

配置变更

obs.buckets

OBS桶策略授权约束

配置变更

obs.buckets

OBS桶禁止公开读

配置变更

obs.buckets

OBS桶禁止公开写

配置变更

obs.buckets

OBS桶策略授权行为使用SSL加密

配置变更

obs.buckets

镜像服务 IMS

私有镜像开启加密

配置变更

ims.images

裸金属服务器 BMS

BMS资源使用密钥对登录

配置变更

bms.servers