文档首页/ 配置审计 Config/ 用户指南/ 资源合规/ 系统内置预设策略/ 弹性云服务器 ECS/ 绑定指定标签的ECS实例关联在指定安全组ID列表内
更新时间:2025-08-25 GMT+08:00

绑定指定标签的ECS实例关联在指定安全组ID列表内

规则详情

表1 规则详情

参数

说明

规则名称

ecs-in-allowed-security-groups

规则展示名

绑定指定标签的ECS实例关联在指定安全组ID列表内

规则描述

指定高危安全组ID列表,未绑定指定标签的ECS实例关联其中任意安全组,视为“不合规”。

标签

ecs

规则触发方式

配置变更

规则评估的资源类型

ecs.cloudservers

规则参数

  • specifiedECSTagKey:指定的ECS的标签键,字符串类型。
  • specifiedECSTagValue:指定的ECS的标签值列表,如果列表为空,表示允许所有值,数组类型,最多包含10个元素。
  • specifiedSecurityGroupIds:指定的高危安全组的ID列表,数组类型,最多包含10个元素。

应用场景

安全组是一个逻辑上的分组,为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则的保护,详见安全组概述

通过安全组,可以控制进出云服务器ECS的网络流量,包括如下维度:

  • 流量过滤:安全组可以设置规则来允许或拒绝来自特定IP地址或IP地址范围的流量。这有助于阻止来自已知恶意IP地址的流量。
  • 端口控制:通过指定允许访问的端口,安全组可以帮助防止对未使用的或不安全的服务的访问。例如,如果一个服务器不需要对外提供HTTP服务,那么可以通过安全组规则禁止80端口的外部访问。
  • 协议限制:安全组还可以根据不同的网络协议(如TCP、UDP)来控制流量。这对于确保只允许必要的通信类型是非常有用的。
  • 入站与出站规则:入站规则控制哪些流量可以进入服务器,而出站规则则控制服务器可以向哪里发送数据。这种双向控制提供了更全面的安全保障。

修复项指导

ECS服务支持对一台或多台弹性云服务器进行更改安全组的操作,请参考更改安全组

检测逻辑

  • 参数specifiedSecurityGroupIds指定了高危安全组列表。
  • 任意ECS云服务器,如果未加入的高危安全组,视为“合规”。
  • 如果加入了任意的高危安全组,且匹配上参数指定标签要求的ECS云服务器,视为“合规”。
  • 如果加入了任意的高危安全组,且未匹配上参数指定标签要求的ECS云服务器,视为“不合规”。