可选控制策略
*
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_REGULAR_MATCHING_OF_NAMES | 资源名称不满足正则表达式,视为“不合规”。 | 保护配置 | 低 | * | |
RGC-GR_CONFIG_RESOURCE_IN_ENTERPRISE_PROJECT | 指定企业项目ID,属于该企业项目的资源,视为“不合规”。 | 保护配置 | 低 | * | |
RGC-GR_CONFIG_RESOURCES_IN_ALLOWED_TYPES | 用户创建指定类型以外的资源,视为“不合规”。 | 保护配置 | 低 | * | |
RGC-GR_CONFIG_RESOURCES_IN_NOT_ALLOWED_TYPES | 用户创建指定类型的资源,视为“不合规”。 | 保护配置 | 低 | * | |
RGC-GR_CONFIG_RESOURCES_IN_SUPPORTED_REGION | 资源不在指定区域内,视为“不合规”。 | 保护配置 | 低 | * |
AOM
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_AOM_ALARM_ACTION_CHECK | 要求AOM警报为警报状态配置操作。 | 建立日志记录和监控 | 严重 | aom::alarmRule | 不涉及 |
RGC-GR_RFS_AOM_ALARM_ACTION_ENABLE_CHECK | 要求AOM警报为开启状态。 | 建立日志记录和监控 | 高 | aom::alarmRule | 不涉及 |
APIG
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_APIG_INSTANCES_EXECUTION_LOGGING_ENABLED | APIG专享版实例未配置访问日志,视为“不合规”。 | 建立日志记录和监控 | 中 | apig:::instance | 不涉及 |
AS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_AS_CAPACITY_REBALANCING | 弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略,视为“不合规”。 | 提高可用性 | 中 | as:::group | 不涉及 |
RGC-GR_CONFIG_AS_GROUP_ELB_HEALTHCHECK_REQUIRED | 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规”。 | 提高可用性 | 低 | as:::group | 不涉及 |
RGC-GR_CONFIG_AS_MULTIPLE_AZ | 弹性伸缩组没有启用多AZ部署,视为“不合规”。 | 提高可用性 | 中 | as:::group | 不涉及 |
RGC-GR_CONFIG_AS_GROUP_IPV6_DISABLED | 弹性伸缩组绑定IPv6共享带宽,视为“不合规”。 | 优化成本 | 低 | as:::group | 不涉及 |
RGC-GR_RFS_AS_GROUP_MULTIPLE_AZ_CHECK | 要求AS组拥有多个可用区。 | 提高可用性 | 中 | as:::group | 不涉及 |
CBR
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CBR_POLICY_MINIMUM_FREQUENCY_CHECK | CBR备份策略执行频率低于设定值,视为“不合规”。 | 为灾难恢复做好准备 | 中 | cbr:::policy | 不涉及 |
RGC-GR_CONFIG_CBR_VAULT_MINIMUM_RETENTION_CHECK | 存储库未绑定策略或绑定的策略按天数保留且保留天数低于设定值,视为“不合规”。 | 为灾难恢复做好准备 | 中 | cbr:::vault | 不涉及 |
CBR、ECS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ECS_PROTECTED_BY_CBR | ECS资源没有关联备份存储库,视为“不合规”。 | 为灾难恢复做好准备 | 中 | ecs:::instanceV1 | 不涉及 |
RGC-GR_CONFIG_ECS_LAST_BACKUP_CREATED | ECS云服务器最近一次备份创建时间超过参数要求,视为“不合规”。 | 为灾难恢复做好准备 | 低 | ecs:::instanceV1 | 不涉及 |
CBR、EVS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_EVS_PROTECTED_BY_CBR | EVS磁盘没有关联备份存储库,视为“不合规”。 | 为灾难恢复做好准备 | 中 | evs:::volume | 不涉及 |
RGC-GR_CONFIG_EVS_LAST_BACKUP_CREATED | EVS磁盘最近一次备份创建时间超过参数要求,视为“不合规”。 | 为灾难恢复做好准备 | 低 | evs:::volume | 不涉及 |
CBR、SFSturbo
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_SFSTURBO_PROTECTED_BY_CBR | SFSturbo资源没有关联备份存储库,视为“不合规”。 | 为灾难恢复做好准备 | 中 | sfs:::turbo | 不涉及 |
RGC-GR_CONFIG_SFSTURBO_LAST_BACKUP_CREATED | SFSturbo资源最近一次备份创建时间超过参数要求,视为“不合规”。 | 为灾难恢复做好准备 | 低 | sfs:::turbo | 不涉及 |
CCE
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CCE_CLUSTER_END_OF_MAINTENANCE_VERSION | CCE集群版本为停止维护的版本,视为“不合规”。 | 管理漏洞 | 中 | cce:::cluster | 不涉及 |
RGC-GR_CONFIG_CCE_CLUSTER_OLDEST_SUPPORTED_VERSION | 如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规”。 | 管理漏洞 | 中 | cce:::cluster | 不涉及 |
RGC-GR_CONFIG_ALLOWED_CCE_FLAVORS | CCE集群的规格不在指定的范围内,视为“不合规”。 | 保护配置 | 低 | cce:::cluster | |
RGC-GR_RFS_CCE_SECRETS_ENCRYPTED_CHECK | 要求使用密钥管理服务(KMS)密钥为CCE集群配置密钥加密。 | 加密静态数据 | 中 | cce:::cluster | 不涉及 |
CCM
CES
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ALARM_ACTION_ENABLED_CHECK | CES告警操作未启用,视为“不合规”。 | 建立日志记录和监控 | 中 | ces:::alarmRule | 不涉及 |
RGC-GR_CONFIG_ALARM_RESOURCE_CHECK | 指定的资源类型没有绑定指定指标CES告警,视为“不合规” | 建立日志记录和监控 | 低 | ces:::alarmRule | |
RGC-GR_CONFIG_ALARM_SETTINGS_CHECK | 特定指标的CES告警没有进行特定配置,视为“不合规” | 建立日志记录和监控 | 低 | ces:::alarmRule | |
RGC-GR_RFS_CES_ALARM_ACTION_CHECK | 要求CES警报为警报状态配置操作。 | 建立日志记录和监控 | 高 | ces:::alarmRule | 不涉及 |
RGC-GR_RFS_CES_ALARM_ACTION_ENABLED_CHECK | 要求CES警报激活操作。 | 建立日志记录和监控 | 严重 | ces:::alarmRule | 不涉及 |
CES、DEW
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ALARM_KMS_DISABLE_OR_DELETE_KEY | CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规”。 | 建立日志记录和监控 | 严重 | ces:::alarmRule | 不涉及 |
CES、OBS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ALARM_OBS_BUCKET_POLICY_CHANGE | CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规”。 | 建立日志记录和监控 | 严重 | ces:::alarmRule | 不涉及 |
CES、VPC
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ALARM_VPC_CHANGE | CES未配置监控VPC变更的事件监控告警,视为“不合规”。 | 建立日志记录和监控 | 高 | ces:::alarmRule | 不涉及 |
CFW
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_CFW_POLICY_RULE_GROUP_ASSOCIATED_CHECK | 要求任何Cloud Firewall防火墙策略具有关联的规则组。 | 限制网络访问 | 中 | cfw:::aclRule | 不涉及 |
CodeArts Deploy
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CODEARTSDEPLOY_HOST_CLUSTER_RESOURCE_STATUS | CodeArts项目下的主机集群,如果状态不可用,则该主机集群视为“不合规”。 | 提高可用性 | 低 | codeartsDeploy:::host | 不涉及 |
Config
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_TRACKER_CONFIG_ENABLED_CHECK | 如果账号未开启资源记录器,视为“不合规”。 | 建立日志记录和监控 | 中 | rms:::resourceRecorder | 不涉及 |
CSS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_CSS_CLUSTER_BACKUP_AVAILABLE | CSS集群未启用快照,视为“不合规”。 | 提高韧性 | 中 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_AZ_CHECK | CSS集群没有多AZ容灾,视为“不合规”。 | 提高可用性 | 中 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_INSTANCES_CHECK | CSS集群没有多实例容灾,视为“不合规”。 | 提高可用性 | 中 | css:::cluster | 不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_IN_VPC | CSS集群未与指定的VPC资源绑定,视为“不合规”。 | 限制网络访问 | 严重 | css:::cluster | |
RGC-GR_CONFIG_CSS_CLUSTER_SLOWLOG_ENABLE | CSS集群未开启慢日志,视为“不合规”。 | 建立日志记录和监控 | 中 | css:::cluster | 不涉及 |
RGC-GR_RFS_CSS_CLUSTER_MULTIPLE_AZ_CHECK | 要求CSS集群配置多个可用区以实现高可用性。 | 提高可用性 | 低 | css:::cluster | 不涉及 |
RGC-GR_RFS_CSS_CLUSTER_HTTPS_ENABLED_CHECK | 要求CSS集群开启HTTPS通信加密。 | 加密静态数据 | 中 | css:::cluster | 不涉及 |
CTS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_MULTI_REGION_CTS_TRACKER_EXISTS | 账号未在指定Region列表创建并启用CTS追踪器,视为“不合规”。 | 建立日志记录和监控 | 高 | cts:::tracker | |
RGC-GR_CONFIG_CTS_OBS_BUCKET_TRACK | 账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”。 | 建立日志记录和监控 | 高 | cts:::tracker | |
RGC-GR_CONFIG_CTS_TRACKER_ENABLED_SECURITY | 不存在满足安全最佳实践的CTS追踪器,视为“不合规”。 | 建立日志记录和监控 | 高 | cts:::tracker | |
RGC-GR_RFS_CTS_LOG_FILE_VALIDATION_ENABLED_CHECK | 要求CTS追踪器激活日志文件验证。 | 保护数据完整性 | 高 | cts:::tracker | 不涉及 |
RGC-GR_RFS_CTS_LOGS_ENABLED_CHECK | 要求CTS追踪器具有LTS日志组配置。 | 建立日志记录和监控 | 低 | cts:::tracker | 不涉及 |
DCS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_DCS_INSTANCE_MULTIPLE_AZ_CHECK | 要求DCS实例配置多个可用区以实现高可用性。 | 提高可用性 | 低 | dcs:::instance | 不涉及 |
DDM
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_DDM_INSTANCE_MULTIPLE_AZ_CHECK | 要求DDM实例配置多个可用区以实现高可用性。 | 提高可用性 | 低 | ddm:::instance | 不涉及 |
DDS
DEW
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_DEW_KEY_ROTATION_ENABLED_CHECK | 要求任何KMS密钥配置轮换。 | 加密静态数据 | 中 | kms:::key | 不涉及 |
RGC-GR_CONFIG_CSMS_SECRETS_AUTO_ROTATION_ENABLED | CSMS凭据未启动自动轮转,视为“不合规”。 | 管理机密 | 中 | csms:::secret | 不涉及 |
RGC-GR_CONFIG_CSMS_SECRETS_PERIODIC_ROTATION | CSMS凭据未在指定天数内轮转,视为“不合规”。 | 管理机密 | 中 | csms:::secret | 不涉及 |
RGC-GR_CONFIG_CSMS_SECRETS_USING_CMK | CSMS凭据未使用指定的KMS,视为“不合规”。 | 加密静态数据 | 高 | csms:::secret |
DMS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_KAFKA_MULTIPLE_AZ_CHECK | 要求Kafka实例配置多个可用区以实现高可用性。 | 提高可用性 | 低 | dms:::kafkaInstance | 不涉及 |
RGC-GR_RFS_ROCKETMQ_MULTIPLE_AZ_CHECK | 要求RocketMQ实例配置多个可用区以实现高可用性。 | 提高可用性 | 低 | dms:::rocketmqInstance | 不涉及 |
RGC-GR_RFS_RABBITMQ_MULTIPLE_AZ_CHECK | 要求RabbitMQ实例配置多个可用区以实现高可用性。 | 提高可用性 | 低 | dms:::rabbitmqInstance | 不涉及 |
RGC-GR_RFS_KAFKA_INSTANCE_TLS_CHECK | 要求Kafka实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 | 加密传输中的数据 | 中 | dms:::kafkaInstance | 不涉及 |
RGC-GR_RFS_RABBITMQ_INSTANCE_TLS_CHECK | 要求RabbitMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 | 加密传输中的数据 | 中 | dms:::rabbitmqInstance | 不涉及 |
RGC-GR_RFS_ROCKETMQ_INSTANCE_TLS_CHECK | 要求RocketMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 | 加密传输中的数据 | 中 | dms:::rocketmqInstance | 不涉及 |
RGC-GR_RFS_RABBITMQ_DLQ_CHECK | 要求任何RabbitMQ队列配置死信队列。 | 提高韧性 | 高 | dms:::rabbitmqInstance | 不涉及 |
DWS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_DWS_ENABLE_SNAPSHOT | DWS集群未启用自动快照,视为“不合规”。 | 提高韧性 | 中 | dws:::cluster | 不涉及 |
RGC-GR_CONFIG_DWS_MAINTAIN_WINDOW_CHECK | DWS集群运维时间窗不满足配置,视为“不合规”。 | 为事件响应做好准备 | 中 | dws:::cluster | 不涉及 |
RGC-GR_CONFIG_DWS_ENABLE_LOG_DUMP | DWS集群未启用日志转储,视为“不合规”。 | 建立日志记录和监控 | 中 | dws:::cluster | 不涉及 |
RGC-GR_RFS_DWS_CLUSTER_ENCRYPTION_ENABLED_CHECK | 要求对所有DWS集群进行静态加密。 | 加密静态数据 | 中 | dws:::cluster | 不涉及 |
ECS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ALLOWED_ECS_FLAVORS | ECS资源的规格不在指定的范围内,视为“不合规”。 | 保护配置 | 低 | ecs:::instanceV1 | |
RGC-GR_CONFIG_ALLOWED_IMAGES_BY_NAME | 指定允许的镜像名称列表,ECS实例的镜像名称不在指定的范围内,视为“不合规”。 | 管理漏洞 | 高 | ecs:::instanceV1 | |
RGC-GR_CONFIG_STOPPED_ECS_DATE_DIFF | 关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规”。 | 优化成本 | 中 | ecs:::instanceV1ecs:::instanceV1 | |
RGC-GR_CONFIG_ECS_ATTACHED_HSS_AGENTS_CHECK | ECS实例未绑定HSS代理并启用防护,视为“不合规”。 | 管理漏洞 | 中 | ecs:::instanceV1 | 不涉及 |
ECS、IMS
EIP
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_EIP_USE_IN_SPECIFIED_DAYS | 创建的EIP在指定天数后仍未绑定到资源实例,视为“不合规”。 | 优化成本 | 中 | vpc:::eipAssociate | 不涉及 |
ELB
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ELB_MULTIPLE_AZ_CHECK | 检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区,视为“不合规”。 | 弹性负载均衡 | 中 | elb:::loadbalancer | 不涉及 |
RGC-GR_CONFIG_ELB_MEMBERS_WEIGHT_CHECK | 后端服务器的权重为0,且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时,视为“不合规”。 | 提高可用性 | 低 | elb:::member | 不涉及 |
RGC-GR_RFS_ELB_PREDEFINED_SECURITY_POLICY_CHECK | 要求任何独享型ELB负载均衡器HTTPS侦听器具有一个拥有强配置的预定义安全策略。 | 限制网络访问 | 中 | elb:::listener | 不涉及 |
RGC-GR_RFS_LB_TLS_HTTPS_LISTENERS_ONLY_CHECK | 要求为私网类型的ELB负载均衡器侦听器配置HTTPS终止。 | 加密传输中的数据 | 中 | lb:::listener | 不涉及 |
RGC-GR_RFS_ELB_TLS_HTTPS_LISTENERS_ONLY_CHECK | 要求为独享型ELB应用程序或经典负载均衡器侦听器配置HTTPS终止。 | 加密传输中的数据 | 中 | elb:::listener | 不涉及 |
RGC-GR_RFS_ELB_DELETION_PROTECTION_ENABLED_CHECK | 要求激活应用程序负载均衡器删除保护。 | 提高可用性 | 中 | elb:::loadbalancer | 不涉及 |
RGC-GR_RFS_ELB_MULTIPLE_AZ_CHECK | 要求任何经典负载均衡器配置多个可用区。 | 提高可用性 | 中 | elb:::loadbalancer | 不涉及 |
ER
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_ER_INSTANCE_AUTO_VPC_ATTACH_DISABLED_CHECK | 要求企业路由器拒绝自动接受共享连接创建。 | 限制网络访问 | 高 | er:::instance | 不涉及 |
EVS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_EVS_USE_IN_SPECIFIED_DAYS | 创建的EVS在指定天数后仍未绑定到资源实例,视为“不合规”。 | 优化成本 | 中 | evs:::volume | 不涉及 |
RGC-GR_CONFIG_VOLUME_UNUSED_CHECK | 云硬盘未挂载给任何云服务器,视为“不合规”。 | 优化成本 | 高 | evs:::volume | 不涉及 |
RGC-GR_CONFIG_ALLOWED_VOLUME_SPECS | 指定允许的云硬盘类型列表,云硬盘的类型不在指定的范围内,视为“不合规”。 | 保护配置 | 低 | evs:::volume |
FunctionGraph
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_FUNCTION_GRAPH_CONCURRENCY_CHECK | FunctionGraph函数并发数不在指定的范围内,视为“不合规”。 | 提高可用性 | 中 | fgs:::function | 不涉及 |
RGC-GR_CONFIG_FUNCTION_GRAPH_INSIDE_VPC | 函数工作流未使用指定VPC,视为“不合规” | 限制网络访问 | 低 | fgs:::function | |
RGC-GR_CONFIG_FUNCTION_GRAPH_SETTINGS_CHECK | 函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规” | 管理漏洞 | 中 | fgs:::function | |
RGC-GR_CONFIG_FUNCTION_GRAPH_LOGGING_ENABLED | 函数工作流的函数未启用日志配置,视为“不合规”。 | 建立日志记录和监控 | 中 | fgs:::function | 不涉及 |
GaussDB
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_AUDITLOG | 未开启审计日志的GaussDB资源,视为“不合规”。 | 建立日志记录和监控 | 中 | gaussdb:::opengaussInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_BACKUP | 未开启资源备份的GaussDB资源,视为“不合规”。 | 提高韧性 | 中 | gaussdb:::opengaussInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_ERRORLOG | 未开启错误日志的GaussDB资源,视为“不合规”。 | 建立日志记录和监控 | 低 | gaussdb:::opengaussInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_SLOWLOG | 未开启慢日志的GaussDB资源,视为“不合规”。 | 建立日志记录和监控 | 低 | gaussdb:::opengaussInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_MULTIPLE_AZ_CHECK | GaussDB资源未跨AZ部署,视为“不合规”。 | 提高可用性 | 中 | gaussdb:::opengaussInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_OPENGAUSS_INSTANCE_MULTIPLE_AZ_CHECK | 要求GaussDB OpenGauss实例配置多个可用区以实现高可用性。 | 提高可用性 | 低 | gaussdb:::opengaussInstance | 不涉及 |
GeminiDB
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_NOSQL_DEPLOY_IN_SINGLE_AZ | GeminiDB部署在单个可用区中,视为“不合规” | 提高可用性 | 中 | gaussdb:::mongoInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_BACKUP | GeminiDB未开启备份,视为“不合规” | 提高韧性 | 中 | gaussdb:::mongoInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_ERROR_LOG | GeminiDB未开启错误日志,视为“不合规”。 | 建立日志记录和监控 | 低 | gaussdb:::mongoInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_NOSQL_SUPPORT_SLOW_LOG | GeminiDB不支持慢查询日志,视为“不合规”。 | 建立日志记录和监控 | 低 | gaussdb:::mongoInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_TLS_CHECK | 要求GaussDB Mongo实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 | 加密传输中的数据 | 中 | gaussdb:::mongoInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_AUTO_BACKUP_CHECK | 要求GaussDB Mongo实例配置自动备份。 | 提高韧性 | 中 | gaussdb:::mongoInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_AUTO_BACKUP_CHECK | 要求GaussDB Redis实例配置自动备份。 | 提高韧性 | 中 | gaussdb:::redisInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_TLS_CHECK | 要求GaussDB Redis实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 | 加密传输中的数据 | 中 | gaussdb:::redisInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_INFLUX_INSTANCE_MULTIPLE_AZ_CHECK | 要求GaussDB Influx实例配置多个可用区以实现高可用性。 | 提高可用性 | 低 | gaussdb:::influxInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_MULTIPLE_AZ_CHECK | 要求GaussDB MongoDB实例配置多个可用区以实现高可用性。 | 提高可用性 | 低 | gaussdb:::mongoInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_INFLUX_INSTANCE_AUTO_BACKUP_CHECK | 要求GaussDB influx实例配置自动备份。 | 提高韧性 | 中 | gaussdb:::influxInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_INFLUX_INSTANCE_SSL_CHECK | 要求GaussDB influx实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 | 加密静态数据 | 中 | gaussdb:::influxInstance | 不涉及 |
RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_MULTIPLE_AZ_CHECK | 任何一个GaussDB redis实例都需要配置多个可用分区。 | 提高可用性 | 低 | gaussdb:::redisInstance | 不涉及 |
GES
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_GES_GRAPHS_LTS_ENABLE | GES图未开启LTS日志,视为“不合规”。 | 建立日志记录和监控 | 中 | ges:::graph | 不涉及 |
RGC-GR_CONFIG_GES_GRAPHS_MULTI_AZ_SUPPORT | GES图不支持跨AZ高可用,视为“不合规”。 | 提高可用性 | 中 | ges:::graph | 不涉及 |
RGC-GR_RFS_GES_GRAPH_MULTIPLE_AZ_CHECK | 要求GES图配置多个可用区以实现高可用性。 | 提高可用性 | 低 | ges:::graph | 不涉及 |
IAM
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS | IAM策略中授权KMS的任一阻拦action,视为“不合规”。 | 强制执行最低权限 | 中 |
| 不涉及 |
RGC-GR_CONFIG_IAM_USER_CHECK_NON_ADMIN_GROUP | 根用户以外的IAM用户加入admin用户组,视为“不合规”。 | 强制执行最低权限 | 低 | identity:::user | 不涉及 |
RGC-GR_CONFIG_IAM_USER_NO_POLICIES_CHECK | IAM用户直接附加了策略或权限,视为“不合规”。 | 强制执行最低权限 | 低 | identity:::user | 不涉及 |
RGC-GR_RFS_IDENTITY_USER_ACCESS_TYPE_CHECK | 要求IAM用户只能用于编程访问。 | 管理漏洞 | 中 | identity:::user | 不涉及 |
LTS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_LTS_GROUP_RETENTION_PERIOD_CHECK | 要求将LTS日志组保留至少180天。 | 建立日志记录和监控 | 中 | lts:::group | 不涉及 |
MRS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_MRS_CLUSTER_MULTIAZ_DEPLOYMENT | MRS集群没有多az部署,视为“不合规”。 | 提高可用性 | 中 | mrs:::cluster | 不涉及 |
RGC-GR_CONFIG_MRS_CLUSTER_ENCRYPT_ENABLE | KMS密钥不处于“计划删除”状态。 | 保护数据完整性 | 中 | mrs:::cluster | 不涉及 |
Network、ACL
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_NACL_NO_UNRESTRICTED_SSH_RDP_CHECK | 要求任何网络ACL防止从0.0.0.0/0进入端口22或端口3389。 | 限制网络访问 | 中 | network:::aclRule | 不涉及 |
RDS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP | 未开启备份的rds资源,视为“不合规”。 | 提高韧性 | 中 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG | 未开启错误日志的rds资源,视为“不合规”。 | 建立日志记录和监控 | 低 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG | 未开启慢日志的rds资源,视为“不合规”。 | 建立日志记录和监控 | 低 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_LOGGING_ENABLED | 未配备任何日志的rds资源,视为“不合规”。 | 建立日志记录和监控 | 中 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_MULTI_AZ_SUPPORT | RDS实例仅支持一个可用区,视为“不合规”。 | 提高可用性 | 中 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_ALLOWED_RDS_FLAVORS | RDS实例的规格不在指定的范围内,视为“不合规”。 | 保护配置 | 低 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCES_IN_VPC | 指定虚拟私有云ID,不属于此VPC的rds资源,视为“不合规”。 | 限制网络访问 | 高 | rds:::instance | |
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_AUDITLOG | 未启用审计日志或者审计日志保存天数不足的rds资源,视为“不合规”。 | 建立日志记录和监控 | 中 | rds:::instance | 不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_ENGINE_VERSION_CHECK | RDS实例数据库引擎的版本低于指定版本,视为“不合规”。 | 管理漏洞 | 低 | rds:::instance | |
RGC-GR_RFS_RDS_INSTANCE_DEPLOYED_IN_VPC_CHECK | 要求RDS数据库实例具有VPC配置。 | 限制网络访问 | 高 | rds:::instance | 不涉及 |
RGC-GR_RFS_RDS_DB_SECURITY_GROUP_NOT_ALLOWED_CHECK | 要求RDS实例配置数据库安全组。 | 限制网络访问 | 中 | rds:::instance | 不涉及 |
RGC-GR_RFS_RDS_INSTANCE_MULTIPLE_AZ_CHECK | 要求为RDS实例配置多个可用区以实现高可用性。 | 提高可用性 | 中 | rds:::instance | 不涉及 |
RGC-GR_RFS_RDS_INSTANCE_TLS_CHECK | 要求RDS实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 | 加密传输中的数据 | 中 | rds:::instance | 不涉及 |
RGC-GR_RFS_RDS_INSTANCE_BACKUP_ENABLED_CHECK | 要求RDS实例配置自动备份 | 提高韧性 | 中 | rds:::instance | 不涉及 |
OBS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_OBS_BUCKET_DEFAULT_ENCRYPTION_KMS_CHECK | 要求OBS存储桶使用KMS密钥配置服务器端加密。 | 加密静态数据 | 中 | obs:::bucket | 不涉及 |
RGC-GR_RFS_OBS_BUCKET_VERSIONING_ENABLED_CHECK | 要求OBS存储桶启用版本控制。 | 提高可用性 | 低 | obs:::bucket | 不涉及 |
RGC-GR_RFS_OBS_BUCKET_LOGGING_ENABLED_CHECK | 要求OBS存储桶配置服务器访问日志记录。 | 建立日志记录和监控 | 中 | obs:::bucket | 不涉及 |
RGC-GR_RFS_OBS_BUCKET_MULTIPLE_AZ_CHECK | 要求OBS桶配置多个可用区以实现高可用性。 | 提高可用性 | 低 | obs:::bucket | 不涉及 |
OBS、Access Analyzer
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_OBS_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED | OBS桶策略中授权任意禁止的action给外部身份,视为“不合规”。 | 强制执行最低权限 | 高 | obs:::bucket | |
RGC-GR_CONFIG_OBS_BUCKET_SSL_REQUESTS_ONLY | OBS桶策略授权了无需SSL加密的行为,视为“不合规”。 | 加密传输中的数据 | 中 | obs:::bucket | 不涉及 |
Organizations
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_ACCOUNT_PART_OF_ORGANIZATIONS | 账号未加入组织中,视为“不合规”。 | 强制执行最低权限 | 高 | organizations:::accountAssociate |
RAM
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_RAM_RESOURCE_EXTERNAL_PRINCIPALS_CHECK | 要求资源共享实例只能共享给组织内的账号。 | 管理机密 | 中 | ram:::resource | 不涉及 |
SFS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_SFS_ENCRYPTED_CHECK | 要求SFS文件系统使用KMS对文件数据进行静态加密。 | 加密静态数据 | 中 | sfs:::fileSystem | 不涉及 |
SMN
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_SMN_LTS_ENABLE | SMN主题未启用事件分析,视为“不合规”。 | 建立日志记录和监控 | 中 | smn:::topic | 不涉及 |
SWR
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_SWR_PRIVATE_IMAGE_CHECK | 要求SWR为私有存储库。 | 管理漏洞 | 高 | swr:::repository | 不涉及 |
TMS
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_REQUIRED_ALL_TAGS | 指定标签列表,不具有所有指定标签键的资源,视为“不合规”。 | 保护配置 | 低 | tms:::resourceTags | |
RGC-GR_CONFIG_REQUIRED_TAG_CHECK | 指定一个标签,不具有此标签的资源,视为“不合规”。 | 保护配置 | 低 | tms:::resourceTags | |
RGC-GR_CONFIG_REQUIRED_TAG_EXIST | 指定标签列表,不具有任一指定标签的资源,视为“不合规”。 | 保护配置 | 低 | tms:::resourceTags | |
RGC-GR_CONFIG_RESOURCE_TAG_KEY_PREFIX_SUFFIX | 指定前缀和后缀,资源不具有任意匹配前后缀的标签键,视为“不合规”。 | 保护配置 | 低 | tms:::resourceTags | |
RGC-GR_CONFIG_RESOURCE_TAG_NOT_EMPTY | 资源未配置标签,视为“不合规”。 | 保护配置 | 低 | tms:::resourceTags | 不涉及 |
TaurusDB
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG | 未开启审计日志的TaurusDB资源,视为“不合规”。 | 建立日志记录和监控 | 中 | gaussdb:::mysqlInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP | 未开启备份的TaurusDB资源,视为“不合规”。 | 提高韧性 | 中 | gaussdb:::mysqlInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG | 未开启错误日志的TaurusDB资源,视为“不合规”。 | 建立日志记录和监控 | 低 | gaussdb:::mysqlInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG | 未开启慢日志的TaurusDB资源,视为“不合规”。 | 建立日志记录和监控 | 低 | gaussdb:::mysqlInstance | 不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_MULTIPLE_AZ_CHECK | TaurusDB实例未跨AZ部署,视为“不合规”。 | 提高可用性 | 中 | gaussdb:::mysqlInstance | 不涉及 |
VPC
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_EIP_UNBOUND_CHECK | 弹性公网IP未进行任何绑定,视为“不合规”。 | 优化成本 | 中 | vpc:::eipAssociate | 不涉及 |
RGC-GR_CONFIG_VPC_FLOW_LOGS_ENABLED | 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”。 | 建立日志记录和监控 | 中 | vpc:::flowLog | 不涉及 |
RGC-GR_CONFIG_EIP_BANDWIDTH_LIMIT | 弹性公网IP可用带宽小于指定参数值,视为“不合规” | 提高可用性 | 中 | vpc:::eip | |
RGC-GR_RFS_VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS_CHECK | 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于80和443以外的端口。 | 限制网络访问 | 高 | networking:::secgroupRule | 不涉及 |
RGC-GR_RFS_VPC_SG_RESTRICTED_COMMON_PORTS_CHECK | 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于特定的高风险端口。 | 限制网络访问 | 严重 | networking:::secgroupRule | 不涉及 |
VPCEP
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_VPCEP_ENDPOINT_ENABLED | 检查账号下是否存在指定服务名的终端节点,如果不存在任何一个,视为“不合规”。 | 限制网络访问 | 中 | vpcep:::endpoint |
VPN
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_CONFIG_VPN_CONNECTIONS_ACTIVE | VPN连接状态不为“正常”,视为“不合规”。 | 提高可用性 | 中 | vpnaas:::siteConnectionV2 | 不涉及 |
WAF
控制策略名称 | 功能 | 场景 | 严重程度 | 资源 | 规则参数是否必填 |
|---|---|---|---|---|---|
RGC-GR_RFS_WAF_GLOBAL_ACL_NOT_EMPTY_CHECK | 要求任何WAF全局ACL拥有规则。 | 限制网络访问 | 中 | waf:::ruleGlobalProtectionWhitelist | 不涉及 |
RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK | 要求WAF规则组为非空。 | 限制网络访问 | 中 | waf:::addressGroup | 不涉及 |
