适用于统一身份认证服务(IAM)的最佳实践
该示例模板中对应的合规规则的说明如下表所示:
合规规则 |
规则中文名称 |
涉及云服务 |
规则描述 |
---|---|---|---|
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
iam |
IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. |
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
iam |
IAM用户组未添加任意IAM用户,视为“不合规” |
iam-password-policy |
IAM用户密码策略符合要求 |
iam |
IAM用户密码强度不满足密码强度要求,视为“不合规” |
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
iam |
账号存在可使用的访问密钥,视为“不合规” |
iam-user-console-and-api-access-at-creation |
IAM用户创建时设置AccessKey |
iam |
对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” |
iam-user-group-membership-check |
IAM用户归属指定用户组 |
iam |
IAM用户不属于指定IAM用户组,视为“不合规” |
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
IAM用户未开启MFA认证,视为“不合规” |
iam-user-single-access-key |
IAM用户单访问密钥 |
iam |
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” |
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
iam |
通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” |
root-account-mfa-enabled |
根账号开启MFA认证 |
iam |
根账号未开启MFA认证,视为“不合规” |