架构安全支柱运营最佳实践

该示例模板中对应的合规规则的说明如下表所示：

表1 合规包示例模板说明
合规规则	规则中文名称	涉及云服务	规则描述
access-keys-rotated	IAM用户的AccessKey在指定时间内轮换	iam	IAM用户的访问密钥未在指定天数内轮转，视为“不合规”
pca-certificate-authority-expiration-check	检查私有CA是否过期	pca	私有CA在指定时间内过期，视为“不合规”
pca-certificate-expiration-check	检查私有证书是否过期	pca	私有证书在指定时间内到期，视为“不合规”
apig-instances-execution-logging-enabled	APIG专享版实例配置访问日志	apig	APIG专享版实例未配置访问日志，视为“不合规”
apig-instances-ssl-enabled	APIG专享版实例域名均关联SSL证书	apig	APIG专享版实例如果有域名未关联SSL证书，则视为“不合规”
cts-lts-enable	CTS追踪器启用事件分析	cts	CTS追踪器未转储到LTS，视为“不合规”
cts-kms-encrypted-check	CTS追踪器通过KMS进行加密	cts	CTS追踪器未通过KMS进行加密，视为“不合规”
cts-support-validate-check	CTS追踪器打开事件文件校验	cts	CTS追踪器未打开事件文件校验，视为“不合规”
cts-obs-bucket-track	CTS追踪器追踪指定的OBS桶	cts	账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规”
ecs-multiple-public-ip-check	检查ECS资源是否具有多个公网IP	ecs	ECS资源具有多个弹性公网IP，视为“不合规”
ecs-instance-no-public-ip	ECS资源不能公网访问	ecs	ECS资源具有弹性公网IP，视为“不合规”
stopped-ecs-date-diff	关机状态的ECS未进行任意操作的时间检查	ecs	关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规”
evs-use-in-specified-days	云硬盘创建后在指定天数内绑定资源实例	evs	创建的EVS在指定天数后仍未绑定到资源实例，视为“不合规”
volume-unused-check	云硬盘闲置检测	evs	云硬盘未挂载给任何云服务器，视为“不合规”
cce-cluster-end-of-maintenance-version	CCE集群版本为处于维护的版本	cce	CCE集群版本为停止维护的版本，视为“不合规”
cce-cluster-oldest-supported-version	CCE集群运行的非受支持的最旧版本	cce	如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规”
sfsturbo-encrypted-check	弹性文件服务通过KMS进行加密	sfsturbo	弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规”
css-cluster-in-vpc	CSS集群绑定指定VPC资源	css	CSS集群未与指定的vpc资源绑定，视为“不合规”
css-cluster-disk-encryption-check	CSS集群开启磁盘加密	css	CSS集群未开启磁盘加密，视为“不合规”
elb-tls-https-listeners-only	ELB监听器配置HTTPS监听协议	elb	负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规”
mrs-cluster-kerberos-enabled	MRS集群开启kerberos认证	mrs	MRS集群未开启kerberos认证，视为“不合规”
mrs-cluster-no-public-ip	MRS集群未绑定弹性公网IP	mrs	MRS集群绑定弹性公网IP，视为“不合规”
volumes-encrypted-check	已挂载的云硬盘开启加密	ecs, evs	已挂载的云硬盘未进行加密，视为“不合规”
iam-customer-policy-blocked-kms-actions	IAM策略中不授权KMS的禁止的action	iam, access-analyzer-verified	IAM策略中授权KMS的任一阻拦action，视为“不合规”
iam-group-has-users-check	IAM用户组添加了IAM用户	iam	IAM用户组未添加任意IAM用户，视为“不合规”
iam-password-policy	IAM用户密码策略符合要求	iam	IAM用户密码强度不满足密码强度要求，视为“不合规”
iam-policy-no-statements-with-admin-access	IAM策略不具备Admin权限	iam	IAM自定义策略具有allow的全部云服务的全部权限(::或:或)，视为“不合规”
iam-role-has-all-permissions	IAM自定义策略具备所有权限	iam	IAM自定义策略具有allow的任意云服务的全部权限，视为“不合规”
iam-root-access-key-check	根用户存在可使用的访问密钥	iam	根用户存在可使用的访问密钥，视为“不合规”
iam-user-group-membership-check	IAM用户归属指定用户组	iam	IAM用户不属于指定IAM用户组，视为“不合规”
iam-user-mfa-enabled	IAM用户开启MFA	iam	IAM用户未开启MFA认证，视为“不合规”
iam-user-last-login-check	IAM用户在指定时间内有登录行为	iam	IAM用户在指定时间范围内无登录行为，视为“不合规”
vpc-sg-restricted-ssh	安全组入站流量限制SSH端口	vpc	当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放TCP 22端口，视为“不合规”
ecs-instance-in-vpc	ECS资源属于指定虚拟私有云ID	ecs, vpc	指定虚拟私有云ID，不属于此VPC的ECS资源，视为“不合规”
kms-not-scheduled-for-deletion	KMS密钥不处于“计划删除”状态	kms	KMS密钥处于“计划删除“状态，视为“不合规”
function-graph-public-access-prohibited	函数工作流的函数不允许访问公网	fgs	函数工作流的函数允许访问公网，视为“不合规”
function-graph-inside-vpc	函数工作流使用指定VPC	fgs	函数工作流未使用指定VPC，视为“不合规”
mfa-enabled-for-iam-console-access	Console侧密码登录的IAM用户开启MFA认证	iam	通过console密码登录的IAM用户未开启MFA认证，视为“不合规”
css-cluster-https-required	CSS集群启用HTTPS	css	CSS集群未启用https，视为“不合规”
rds-instance-no-public-ip	RDS实例不具有弹性公网IP	rds	RDS资源具有弹性公网IP，视为“不合规”
rds-instance-logging-enabled	RDS实例配备日志	rds	未配备任何日志的rds资源，视为“不合规”
rds-instances-enable-kms	RDS实例开启存储加密	rds	未开启存储加密的rds资源，视为“不合规”
dws-enable-kms	DWS集群启用KMS加密	dws	DWS集群未启用KMS加密，视为“不合规”
gaussdb-nosql-enable-disk-encryption	GeminiDB使用磁盘加密	gemini db	GeminiDB未使用磁盘加密，视为“不合规”
dws-enable-ssl	DWS集群启用SSL加密连接	dws	DWS集群未启用SSL加密连接，视为“不合规”
vpc-sg-restricted-common-ports	安全组入站流量限制指定端口	vpc	当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规”
root-account-mfa-enabled	根用户开启MFA认证	iam	根用户未开启MFA认证，视为“不合规”
vpc-default-sg-closed	默认安全组关闭出、入方向流量	vpc	虚拟私有云的默认安全组允许入方向或出方向流量，视为“不合规”
vpc-flow-logs-enabled	VPC启用流日志	vpc	检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规”
vpc-acl-unused-check	未与子网关联的网络ACL	vpc	检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规”
vpc-sg-ports-check	安全组端口检查	vpc	当安全组入方向源地址设置为0.0.0.0/0或::/0，且开放了所有的TCP或UDP端口时，视为“不合规”
waf-instance-policy-not-empty	WAF防护域名配置防护策略	waf	WAF防护域名未配置防护策略，视为“不合规”