强烈建议控制策略
APIG
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_APIG_INSTANCES_AUTHORIZATION_TYPE_CONFIGURED |
APIG专享版实例中如果存在API安全认证为“无认证”,则视为“不合规”。 |
加密传输中的数据 |
中 |
apig:::instance |
不涉及 |
RGC-GR_CONFIG_APIG_INSTANCES_SSL_ENABLED |
APIG专享版实例如果有域名未关联SSL证书,则视为“不合规”。 |
加密传输中的数据 |
中 |
apig:::instance |
不涉及 |
AS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_AS_GROUP_IN_VPC |
AS弹性伸缩组绑定的VPC不在对应VPC列表,视为“不合规”。 |
限制网络访问 |
高 |
as:::group |
BMS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_BMS_KEY_PAIR_SECURITY_LOGIN |
裸金属服务器未启用密钥对安全登录,视为“不合规”。 |
使用强身份验证 |
高 |
bms:::instance |
不涉及 |
CBR
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CBR_BACKUP_ENCRYPTED_CHECK |
CBR服务的备份未被加密,视为“不合规”。 |
加密静态数据 |
高 |
cbr:::checkpoint |
不涉及 |
CCE
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CCE_ENDPOINT_PUBLIC_ACCESS |
CCE集群资源具有公网IP,视为“不合规”。 |
限制网络访问 |
中 |
cce:::cluster |
不涉及 |
RGC-GR_CONFIG_CCE_CLUSTER_IN_VPC |
CCE集群绑定的VPC不在对应VPC列表,视为“不合规”。 |
限制网络访问 |
高 |
cce:::cluster |
CCM
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_PCA_CERTIFICATE_AUTHORITY_EXPIRATION_CHECK |
私有CA在指定时间内过期,视为“不合规”。 |
加密传输中的数据 |
中 |
ccm:::privateCertificate |
不涉及 |
RGC-GR_CONFIG_PCA_CERTIFICATE_EXPIRATION_CHECK |
私有证书在指定时间内到期,视为“不合规”。 |
加密传输中的数据 |
中 |
ccm:::privateCertificate |
不涉及 |
CDN
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CDN_ENABLE_HTTPS_CERTIFICATE |
CDN未使用HTTPS,视为“不合规”。 |
加密传输中的数据 |
严重 |
cdn:::domain |
不涉及 |
RGC-GR_CONFIG_CDN_ORIGIN_PROTOCOL_NO_HTTP |
CDN回源方式未使用HTTPS,视为“不合规”。 |
加密传输中的数据 |
严重 |
cdn:::domain |
不涉及 |
RGC-GR_CONFIG_CDN_SECURITY_POLICY_CHECK |
CDN使用TLSv1.2以下的版本,视为“不合规”。 |
加密传输中的数据 |
高 |
cdn:::domain |
不涉及 |
RGC-GR_CONFIG_CDN_USE_MY_CERTIFICATE |
CDN使用了自有证书,视为“不合规”。 |
加密传输中的数据 |
高 |
cdn:::domain |
不涉及 |
CFW
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CFW_POLICY_NOT_EMPTY |
CFW防火墙未配置防护策略,视为“不合规”。 |
限制网络访问 |
中 |
cfw:::eipProtection |
不涉及 |
CodeArts Build
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CLOUDBUILDSERVER_ENCRYPTION_PARAMETER_CHECK |
CodeArts编译构建下的项目,如果设置了未加密参数(除了预定义参数),视为“不合规”。 |
加密静态数据 |
中 |
codearts:::deployApplication |
不涉及 |
CSS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CSS_CLUSTER_AUTHORITY_ENABLE |
CSS集群未启用认证,视为“不合规”。 |
使用强身份验证 |
严重 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_DISK_ENCRYPTION_CHECK |
CSS集群未开启磁盘加密,视为“不合规”。 |
加密静态数据 |
高 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_KIBANA_NOT_ENABLE_WHITE_LIST |
CSS集群kibana白名单设置为对所有IP开放,视为“不合规”。 |
限制网络访问 |
严重 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_NO_PUBLIC_ZONE |
CSS集群开启公网访问,视为“不合规”。 |
加密静态数据 |
高 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_NOT_ENABLE_WHITE_LIST |
CSS集群白名单设置为对所有IP开放,视为“不合规”。 |
限制网络访问 |
严重 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_SECURITY_MODE_ENABLE |
CSS集群未开启安全模式,视为“不合规”。 |
强制执行最低权限 |
高 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_HTTPS_REQUIRED |
CSS集群未启用https,视为“不合规”。 |
加密传输中的数据 |
中 |
css:::cluster |
不涉及 |
CTS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CTS_KMS_ENCRYPTED_CHECK |
CTS追踪器未通过KMS进行加密,视为“不合规”。 |
加密静态数据 |
中 |
cts:::tracker |
不涉及 |
RGC-GR_CONFIG_CTS_SUPPORT_VALIDATE_CHECK |
CTS追踪器未打开事件文件校验,视为“不合规”。 |
保护数据完整性 |
中 |
cts:::tracker |
不涉及 |
DCS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_DCS_MEMCACHED_ENABLE_SSL |
dcs memcached资源可以公网访问,但不支持SSL时,视为“不合规”。 |
加密传输中的数据 |
高 |
dcs:::instance |
不涉及 |
RGC-GR_CONFIG_DCS_MEMCACHED_NO_PUBLIC_IP |
dcs memcached资源存在公网IP,视为“不合规”。 |
限制网络访问 |
高 |
dcs:::instance |
不涉及 |
RGC-GR_CONFIG_DCS_MEMCACHED_PASSWORD_ACCESS |
dcs memcached资源不需要密码访问,视为“不合规”。 |
使用强身份验证 |
中 |
dcs:::instance |
不涉及 |
RGC-GR_CONFIG_DCS_REDIS_ENABLE_SSL |
dcs redis资源可以公网访问,但不支持SSL时,视为“不合规”。 |
限制网络访问 |
高 |
dcs:::instance |
不涉及 |
RGC-GR_CONFIG_DCS_REDIS_HIGH_TOLERANCE |
dcs redis资源不是高可用时,视为“不合规”。 |
提高可用性 |
低 |
dcs:::instance |
不涉及 |
RGC-GR_CONFIG_DCS_REDIS_NO_PUBLIC_IP |
dcs redis资源存在公网IP,视为“不合规”。 |
限制网络访问 |
高 |
dcs:::instance |
不涉及 |
RGC-GR_CONFIG_DCS_REDIS_PASSWORD_ACCESS |
dcs redis资源不需要密码访问,视为“不合规”。 |
使用强身份验证 |
中 |
dcs:::instance |
不涉及 |
RGC-GR_CONFIG_DCS_MEMCACHED_IN_VPC |
指定虚拟私有云ID,不属于此VPC的dcs memcached资源,视为“不合规”。 |
限制网络访问 |
中 |
dcs:::instance |
|
RGC-GR_CONFIG_DCS_REDIS_IN_VPC |
指定虚拟私有云ID,不属于此VPC的dcs redis资源,视为“不合规”。 |
限制网络访问 |
中 |
dcs:::instance |
DDS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_DDS_INSTANCE_ENABLE_SSL |
DDS实例未开启SSL,视为“不合规”。 |
加密传输中的数据 |
高 |
dds:::instance |
不涉及 |
RGC-GR_CONFIG_DDS_INSTANCE_HAS_EIP |
DDS实例绑定了公网IP,视为“不合规”。 |
限制网络访问 |
高 |
dds:::instance |
不涉及 |
RGC-GR_CONFIG_DDS_INSTANCE_PORT_CHECK |
DDS实例的端口包含被禁止的端口,视为“不合规”。 |
限制网络访问 |
高 |
dds:::instance |
不涉及 |
DEW
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CSMS_SECRETS_ROTATION_SUCCESS_CHECK |
CSMS凭据轮转失败,视为“不合规”。 |
强制执行最低权限 |
高 |
csms:::secret |
不涉及 |
RGC-GR_CONFIG_KMS_NOT_SCHEDULED_FOR_DELETION |
KMS密钥处于“计划删除”状态,视为“不合规”。 |
保护数据完整性 |
严重 |
kms:::key |
不涉及 |
RGC-GR_CONFIG_KMS_ROTATION_ENABLED |
KMS密钥未启用密钥轮换,视为“不合规”。 |
加密静态数据 |
中 |
kms:::key |
不涉及 |
DMS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PRIVATE_SSL |
DMS kafkas队列未打开内网SSL加密访问,视为“不合规”。 |
加密传输中的数据 |
中 |
dms:::kafkaInstance |
不涉及 |
RGC-GR_CONFIG_DMS_KAFKA_NOT_ENABLE_PUBLIC_SSL |
DMS kafkas队列未打开公网SSL加密访问,视为“不合规”。 |
加密传输中的数据 |
中 |
dms:::kafkaInstance |
不涉及 |
RGC-GR_CONFIG_DMS_KAFKA_PUBLIC_ACCESS_ENABLED_CHECK |
DMS kafkas队列开启公网访问,视为“不合规”。 |
限制网络访问 |
高 |
dms:::kafkaIZnstance |
不涉及 |
RGC-GR_CONFIG_DMS_RABBITMQ_NOT_ENABLE_SSL |
DMS rabbitmqs队列未打开SSL加密访问,视为“不合规”。 |
加密静态数据 |
高 |
dms:::rabbitmqInstance |
不涉及 |
RGC-GR_CONFIG_DMS_ROCKETMQ_NOT_ENABLE_SSL |
DMS reliabilitys队列未打开SSL加密访问,视为“不合规”。 |
加密静态数据 |
高 |
dms:::rocketmqInstance |
不涉及 |
RGC-GR_CONFIG_DMS_RABBITMQ_PUBLIC_ACCESS_ENABLED_CHECK |
DMS RabbitMQ实例开启公网访问,视为“不合规”。 |
限制网络访问 |
中 |
dms:::rabbitmqInstance |
不涉及 |
RGC-GR_CONFIG_DMS_RELIABILITY_PUBLIC_ACCESS_ENABLED_CHECK |
DMS RocketMQ实例开启公网访问,视为“不合规”。 |
限制网络访问 |
中 |
dms:::rocketmqInstance |
不涉及 |
DRS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_DRS_DATA_GUARD_JOB_NOT_PUBLIC |
数据复制服务实时灾备任务使用公网网络,视为“不合规”。 |
限制网络访问 |
高 |
drs:::job |
不涉及 |
RGC-GR_CONFIG_DRS_MIGRATION_JOB_NOT_PUBLIC |
数据复制服务实时迁移任务使用公网网络,视为“不合规”。 |
限制网络访问 |
高 |
drs:::job |
不涉及 |
RGC-GR_CONFIG_DRS_SYNCHRONIZATION_JOB_NOT_PUBLIC |
数据复制服务实时同步任务使用公网网络,视为“不合规”。 |
限制网络访问 |
高 |
drs:::job |
不涉及 |
DWS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_DWS_ENABLE_KMS |
DWS集群未启用KMS加密,视为“不合规”。 |
加密静态数据 |
中 |
dws:::cluster |
不涉及 |
RGC-GR_CONFIG_DWS_ENABLE_SSL |
DWS集群未启用SSL加密连接,视为“不合规”。 |
加密传输中的数据 |
中 |
dws:::cluster |
不涉及 |
RGC-GR_CONFIG_DWS_CLUSTERS_NO_PUBLIC_IP |
DWS集群绑定公网IP,视为“不合规”。 |
限制网络访问 |
高 |
dws:::cluster |
不涉及 |
RGC-GR_CONFIG_DWS_CLUSTERS_IN_VPC |
DWS集群绑定的VPC不在对应VPC列表,视为“不合规”。 |
限制网络访问 |
高 |
dws:::cluster |
ECS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ECS_INSTANCE_KEY_PAIR_LOGIN |
ECS未配置密钥对,视为“不合规”。 |
限制网络访问 |
高 |
ecs:::instanceV1 |
不涉及 |
RGC-GR_CONFIG_ECS_INSTANCE_NO_PUBLIC_IP |
ECS资源具有公网IP,视为“不合规”。 |
限制网络访问 |
中 |
compute:::instance |
不涉及 |
RGC-GR_CONFIG_ECS_MULTIPLE_PUBLIC_IP_CHECK |
ECS资源具有多个公网IP,视为“不合规”。 |
限制网络访问 |
低 |
compute:::instance |
不涉及 |
RGC-GR_CONFIG_ECS_INSTANCE_AGENCY_ATTACH_IAM_AGENCY |
ECS实例未附加IAM委托,视为“不合规”。 |
强制执行最低权限 |
低 |
ecs:::instanceV1 |
不涉及 |
RGC-GR_CONFIG_ECS_IN_ALLOWED_SECURITY_GROUPS |
指定高危安全组ID列表,未绑定指定标签的ECS关联其中任意安全组,视为“不合规”。 |
限制网络访问 |
高 |
ecs:::instanceV1 |
ECS、VPC
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ECS_INSTANCE_IN_VPC |
指定虚拟私有云ID,不属于此VPC的ECS资源,视为“不合规”。 |
限制网络访问 |
中 |
ecs:::instanceV1 |
ELB
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ELB_LOADBALANCERS_NO_PUBLIC_IP |
ELB资源具有公网IP,视为“不合规”。 |
限制网络访问 |
中 |
elb:::loadBalancer |
不涉及 |
RGC-GR_CONFIG_ELB_TLS_HTTPS_LISTENERS_ONLY |
负载均衡器的任一监听器未配置HTTPS监听协议,视为“不合规”。 |
加密传输中的数据 |
中 |
elb:::listener |
不涉及 |
RGC-GR_CONFIG_ELB_PREDEFINED_SECURITY_POLICY_HTTPS_CHECK |
独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略,视为“不合规”。 |
限制网络访问 |
中 |
elb:::loadBalancer |
不涉及 |
RGC-GR_CONFIG_ELB_HTTP_TO_HTTPS_REDIRECTION_CHECK |
检查HTTP监听器是否配置了向HTTPS监听器的重定向,如果未配置,视为“不合规”。 |
限制网络访问 |
中 |
elb:::listener |
不涉及 |
EVS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_VOLUMES_ENCRYPTED_CHECK_BY_DEFAULT |
云硬盘未进行加密,视为“不合规”。 |
加密静态数据 |
高 |
evs:::volume |
不涉及 |
EVS、ECS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_VOLUMES_ENCRYPTED_CHECK |
已挂载的云硬盘未进行加密,视为“不合规”。 |
加密静态数据 |
低 |
evs:::volume |
不涉及 |
Functiongraph
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_FUNCTION_GRAPH_PUBLIC_ACCESS_PROHIBITED |
函数工作流的函数允许访问公网,视为“不合规”。 |
限制网络访问 |
严重 |
fgs:::function |
不涉及 |
GaussDB
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_INSTANCE_IN_VPC |
指定虚拟私有云ID,不属于此VPC的gaussdb资源,视为“不合规”。 |
限制网络访问 |
中 |
gaussdb:::opengaussInstance |
|
RGC-GR_CONFIG_GAUSSDB_INSTANCE_NO_PUBLIC_IP_CHECK |
gaussdb实例如绑定EIP,视为“不合规”。 |
限制网络访问 |
高 |
gaussdb:::opengaussInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_SSL_ENABLE |
gaussdb实例未启用SSL数据传输加密,视为“不合规”。 |
加密传输中的数据 |
高 |
gaussdb:::opengaussInstance |
不涉及 |
GeminiDB
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_DISK_ENCRYPTION |
GeminiDB未使用磁盘加密,视为“不合规”。 |
加密静态数据 |
中 |
gaussdb:::mongoInstance |
不涉及 |
IAM
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_IAM_ROOT_ACCESS_KEY_CHECK |
账号存在可使用的访问密钥,视为“不合规”。 |
强制执行最低权限 |
严重 |
identity:::accessKey |
不涉及 |
RGC-GR_CONFIG_ROOT_ACCOUNT_MFA_ENABLED |
根账号未开启MFA认证,视为“不合规”。 |
强制执行最低权限 |
高 |
identity:::acl |
不涉及 |
RGC-GR_CONFIG_IAM_GROUP_HAS_USERS_CHECK |
IAM用户组未添加任意IAM用户,视为“不合规”。 |
强制执行最低权限 |
中 |
identity:::group |
不涉及 |
RGC-GR_CONFIG_IAM_USER_ACCESS_MODE |
IAM用户同时开启控制台访问和API访问,视为“不合规”。 |
强制执行最低权限 |
中 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_IAM_USER_CONSOLE_AND_API_ACCESS_AT_CREATION |
对于从console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规”。 |
管理机密 |
中 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_IAM_USER_SINGLE_ACCESS_KEY |
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规”。 |
管理机密 |
高 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS |
通过console密码登录的IAM用户未开启MFA认证,视为“不合规”。 |
强制执行最低权限 |
中 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS |
IAM策略admin权限(*:*:*或*:*或*),视为“不合规”。 |
强制执行最低权限 |
高 |
identity:::protectionPolicy |
不涉及 |
RGC-GR_CONFIG_IAM_ROLE_HAS_ALL_PERMISSIONS |
IAM自定义策略具有allow的*:*权限,视为“不合规”。 |
强制执行最低权限 |
低 |
identity:::role |
不涉及 |
RGC-GR_CONFIG_IAM_USER_MFA_ENABLED |
IAM用户未开启MFA认证,视为“不合规”。 |
强制执行最低权限 |
中 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_ACCESS_KEYS_ROTATED |
IAM用户的访问密钥未在指定天数内轮转,视为“不合规”。 |
强制执行最低权限 |
高 |
identity:::accessKey |
不涉及 |
RGC-GR_CONFIG_IAM_PASSWORD_POLICY |
IAM用户密码强度不满足密码强度要求,视为“不合规”。 |
使用强身份验证 |
高 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_IAM_USER_LAST_LOGIN_CHECK |
IAM用户在指定时间范围内无登录行为,视为“不合规”。 |
强制执行最低权限 |
低 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_IAM_POLICY_IN_USE |
IAM策略未附加到IAM用户、用户组或委托,视为“不合规”。 |
强制执行最低权限 |
低 |
identity:::protectionPolicy |
不涉及 |
RGC-GR_CONFIG_IAM_ROLE_IN_USE |
IAM权限未附加到IAM用户、用户组或委托,视为“不合规”。 |
强制执行最低权限 |
低 |
identity:::role |
不涉及 |
RGC-GR_CONFIG_IAM_USER_LOGIN_PROTECTION_ENABLED |
IAM用户未开启登录保护,视为“不合规”。 |
使用强力身份验证 |
中 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_IAM_POLICY_BLACKLISTED_CHECK |
IAM的用户、用户组、委托使用指定权限或策略,视为“不合规”。 |
强制执行最低权限 |
高 |
|
|
RGC-GR_CONFIG_IAM_USER_GROUP_MEMBERSHIP_CHECK |
IAM用户不属于指定IAM用户组,视为“不合规”。 |
强制执行最低权限 |
中 |
identity:::user |
|
RGC-GR_CONFIG_IAM_AGENCIES_MANAGED_POLICY_CHECK |
IAM委托未绑定指定的IAM策略和权限,视为“不合规”。 |
强制执行最低权限 |
高 |
identity:::agency |
|
RGC-GR_CREATE_ROOT_AK_PROHIBITED |
不允许创建根用户访问密钥。 |
保护配置 |
严重 |
identity:::accessKey |
不涉及 |
RGC-GR_ROOT_USER_PROHIBITED |
不允许以根用户身份操作。 |
保护配置 |
严重 |
identity:::user |
不涉及 |
IMS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_IMS_IMAGES_ENABLE_ENCRYPTION |
私有镜像未开启加密,视为“不合规”。 |
加密静态数据 |
高 |
images:::image |
不涉及 |
MRS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_MRS_CLUSTER_KERBEROS_ENABLED |
MRS集群未开启kerberos认证,视为“不合规”。 |
使用强身份验证 |
中 |
mrs:::cluster |
不涉及 |
RGC-GR_CONFIG_MRS_CLUSTER_NO_PUBLIC_IP |
MRS集群绑定公网IP,视为“不合规”。 |
限制网络访问 |
中 |
mrs:::cluster |
不涉及 |
RGC-GR_CONFIG_MRS_CLUSTER_IN_ALLOWED_SECURITY_GROUPS |
指定安全组ID,不属于此安全组的mrs资源,视为“不合规”。 |
限制网络访问 |
中 |
mrs:::cluster |
|
RGC-GR_CONFIG_MRS_CLUSTER_IN_VPC |
指定虚拟私有云ID,不属于此VPC的mrs资源,视为“不合规”。 |
限制网络访问 |
中 |
mrs:::cluster |
NAT
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_PRIVATE_NAT_GATEWAY_AUTHORIZED_VPC_ONLY |
NAT私网网关未与指定的VPC资源绑定,视为“不合规”。 |
限制网络访问 |
高 |
nat:::privateGateway |
OBS
RDS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_RDS_INSTANCE_NO_PUBLIC_IP |
RDS资源具有公网IP,视为“不合规”。 |
限制网络访问 |
高 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCES_ENABLE_KMS |
未开启存储加密的rds资源,视为“不合规”。 |
加密静态数据 |
低 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_PORT_CHECK |
RDS实例的端口包含被禁止的端口,视为“不合规”。 |
限制网络访问 |
高 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_SSL_ENABLE |
RDS实例未启用SSL加密通讯,视为“不合规”。 |
加密静态数据 |
高 |
rds:::instance |
不涉及 |
SFS Turbo
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_SFSTURBO_ENCRYPTED_CHECK |
弹性文件服务(SFS Turbo)未通过KMS进行加密,视为“不合规”。 |
加密静态数据 |
低 |
sfsturbo:::dir |
不涉及 |
TaurusDB
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_IN_VPC |
TaurusDB实例绑定的VPC不在对应VPC列表,视为“不合规”。 |
限制网络访问 |
高 |
gaussdb:::mysqlInstance |
|
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_NO_PUBLIC_IP_CHECK |
TaurusDB实例如绑定弹性公网IP,视为“不合规”。 |
限制网络访问 |
高 |
gaussdb:::mysqlInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_SSL_ENABLE |
TaurusDB实例未启用SSL数据传输加密,视为“不合规”。 |
加密传输中的数据 |
高 |
gaussdb:::mysqlInstance |
不涉及 |
VPC
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_VPC_SG_PORTS_CHECK |
当安全组入方向源地址设置为0.0.0.0/0,且开放了所有的TCP/UDP端口时,视为“不合规”。 |
限制网络访问 |
高 |
networking:::secgroup |
不涉及 |
RGC-GR_CONFIG_VPC_ACL_UNUSED_CHECK |
检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联,视为“不合规”。 |
保护配置 |
低 |
vpc:::networkAcl |
不涉及 |
RGC-GR_CONFIG_VPC_DEFAULT_SG_CLOSED |
虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规”。 |
限制网络访问 |
高 |
networking:::secgroup |
不涉及 |
RGC-GR_CONFIG_VPC_SG_RESTRICTED_SSH |
当安全组入方向源地址设置为0.0.0.0/0,且开放TCP 22端口,视为“不合规”。 |
限制网络访问 |
高 |
networking:::secgroup |
不涉及 |
RGC-GR_CONFIG_VPC_SG_ATTACHED_PORTS |
检查非默认安全组是否连接到弹性网络接口(ports)。如果安全组未关联弹性网络接口(ports),视为“不合规” |
限制网络访问 |
中 |
vpc:::eip |
不涉及 |
RGC-GR_CONFIG_VPC_SG_BY_WHITE_LIST_PORTS_CHECK |
除指定的白名单端口外,其余端口的安全组策略为允许,视为“不合规”。 |
限制网络访问 |
高 |
vpc:::eip |
|
RGC-GR_CONFIG_VPC_SG_RESTRICTED_COMMON_PORTS |
当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6端口(::/0),视为“不合规”。 |
限制网络访问 |
高 |
vpc:::eip |
不涉及 |
WAF
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_WAF_INSTANCE_POLICY_NOT_EMPTY |
WAF防护域名未配置防护策略,视为“不合规”。 |
限制网络访问 |
中 |
waf:::cloudInstance |
不涉及 |
RGC-GR_CONFIG_WAF_POLICY_NOT_EMPTY |
WAF防护策略未配置防护规则,视为“不合规”。 |
限制网络访问 |
中 |
waf:::policy |
不涉及 |
RGC-GR_CONFIG_WAF_INSTANCE_ENABLE_BLOCK_POLICY |
WAF实例未启用拦截模式防护策略,视为“不合规”。 |
限制网络访问 |
中 |
waf:::cloudInstance |
不涉及 |
RGC-GR_CONFIG_WAF_INSTANCE_ENABLE_PROTECT |
如果账号未配置并启用WAF防护策略的域名防护,视为“不合规”。 |
限制网络访问 |
中 |
waf:::cloudInstance |
不涉及 |
RGC-GR_CONFIG_WAF_POLICY_ENABLE_GEOIP |
如果账号不存在启用地理位置访问控制规则的waf服务防护策略,视为“不合规”。 |
限制网络访问 |
中 |
waf:::policy |
不涉及 |