可选控制策略
*
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_REGULAR_MATCHING_OF_NAMES |
资源名称不满足正则表达式,视为“不合规”。 |
保护配置 |
低 |
* |
|
RGC-GR_CONFIG_RESOURCE_IN_ENTERPRISE_PROJECT |
指定企业项目ID,属于该企业项目的资源,视为“不合规”。 |
保护配置 |
低 |
* |
|
RGC-GR_CONFIG_RESOURCES_IN_ALLOWED_TYPES |
用户创建指定类型以外的资源,视为“不合规”。 |
保护配置 |
低 |
* |
|
RGC-GR_CONFIG_RESOURCES_IN_NOT_ALLOWED_TYPES |
用户创建指定类型的资源,视为“不合规”。 |
保护配置 |
低 |
* |
|
RGC-GR_CONFIG_RESOURCES_IN_SUPPORTED_REGION |
资源不在指定区域内,视为“不合规”。 |
保护配置 |
低 |
* |
APIG
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_APIG_INSTANCES_EXECUTION_LOGGING_ENABLED |
APIG专享版实例未配置访问日志,视为“不合规”。 |
建立日志记录和监控 |
中 |
apig:::instance |
不涉及 |
AS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_AS_CAPACITY_REBALANCING |
弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略,视为“不合规”。 |
提高可用性 |
中 |
as:::group |
不涉及 |
RGC-GR_CONFIG_AS_GROUP_ELB_HEALTHCHECK_REQUIRED |
与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规”。 |
提高可用性 |
低 |
as:::group |
不涉及 |
RGC-GR_CONFIG_AS_MULTIPLE_AZ |
弹性伸缩组没有启用多AZ部署,视为“不合规”。 |
提高可用性 |
中 |
as:::group |
不涉及 |
RGC-GR_CONFIG_AS_GROUP_IPV6_DISABLED |
弹性伸缩组绑定IPv6共享带宽,视为“不合规”。 |
优化成本 |
低 |
as:::group |
不涉及 |
RGC-GR_RFS_AS_GROUP_MULTIPLE_AZ_CHECK |
要求AS组拥有多个可用区。 |
提高可用性 |
中 |
as:::group |
不涉及 |
CBR
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CBR_POLICY_MINIMUM_FREQUENCY_CHECK |
CBR备份策略执行频率低于设定值,视为“不合规”。 |
为灾难恢复做好准备 |
中 |
cbr:::policy |
不涉及 |
RGC-GR_CONFIG_CBR_VAULT_MINIMUM_RETENTION_CHECK |
存储库未绑定策略或绑定的策略按天数保留且保留天数低于设定值,视为“不合规”。 |
为灾难恢复做好准备 |
中 |
cbr:::vault |
不涉及 |
CBR、ECS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ECS_PROTECTED_BY_CBR |
ECS资源没有关联备份存储库,视为“不合规”。 |
为灾难恢复做好准备 |
中 |
ecs:::instanceV1 |
不涉及 |
RGC-GR_CONFIG_ECS_LAST_BACKUP_CREATED |
ECS云服务器最近一次备份创建时间超过参数要求,视为“不合规”。 |
为灾难恢复做好准备 |
低 |
ecs:::instanceV1 |
不涉及 |
CBR、EVS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_EVS_PROTECTED_BY_CBR |
EVS磁盘没有关联备份存储库,视为“不合规”。 |
为灾难恢复做好准备 |
中 |
evs:::volume |
不涉及 |
RGC-GR_CONFIG_EVS_LAST_BACKUP_CREATED |
EVS磁盘最近一次备份创建时间超过参数要求,视为“不合规”。 |
为灾难恢复做好准备 |
低 |
evs:::volume |
不涉及 |
CBR、SFSturbo
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_SFSTURBO_PROTECTED_BY_CBR |
SFSturbo资源没有关联备份存储库,视为“不合规”。 |
为灾难恢复做好准备 |
中 |
sfs:::turbo |
不涉及 |
RGC-GR_CONFIG_SFSTURBO_LAST_BACKUP_CREATED |
SFSturbo资源最近一次备份创建时间超过参数要求,视为“不合规”。 |
为灾难恢复做好准备 |
低 |
sfs:::turbo |
不涉及 |
CCE
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CCE_CLUSTER_END_OF_MAINTENANCE_VERSION |
CCE集群版本为停止维护的版本,视为“不合规”。 |
管理漏洞 |
中 |
cce:::cluster |
不涉及 |
RGC-GR_CONFIG_CCE_CLUSTER_OLDEST_SUPPORTED_VERSION |
如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规”。 |
管理漏洞 |
中 |
cce:::cluster |
不涉及 |
RGC-GR_CONFIG_ALLOWED_CCE_FLAVORS |
CCE集群的规格不在指定的范围内,视为“不合规”。 |
保护配置 |
低 |
cce:::cluster |
|
RGC-GR_RFS_CCE_SECRETS_ENCRYPTED_CHECK |
要求使用密钥管理服务(KMS)密钥为CCE集群配置密钥加密。 |
加密静态数据 |
中 |
cce:::cluster |
不涉及 |
CCM
CES
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ALARM_ACTION_ENABLED_CHECK |
CES告警操作未启用,视为“不合规”。 |
建立日志记录和监控 |
中 |
ces:::alarmRule |
不涉及 |
RGC-GR_CONFIG_ALARM_RESOURCE_CHECK |
指定的资源类型没有绑定指定指标CES告警,视为“不合规” |
建立日志记录和监控 |
低 |
ces:::alarmRule |
|
RGC-GR_CONFIG_ALARM_SETTINGS_CHECK |
特定指标的CES告警没有进行特定配置,视为“不合规” |
建立日志记录和监控 |
低 |
ces:::alarmRule |
|
RGC-GR_RFS_CES_ALARM_ACTION_CHECK |
要求CES警报为警报状态配置操作。 |
建立日志记录和监控 |
高 |
ces:::alarmRule |
不涉及 |
RGC-GR_RFS_CES_ALARM_ACTION_ENABLED_CHECK |
要求CES警报激活操作。 |
建立日志记录和监控 |
严重 |
ces:::alarmRule |
不涉及 |
CES、DEW
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ALARM_KMS_DISABLE_OR_DELETE_KEY |
CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规”。 |
建立日志记录和监控 |
严重 |
ces:::alarmRule |
不涉及 |
CES、OBS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ALARM_OBS_BUCKET_POLICY_CHANGE |
CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规”。 |
建立日志记录和监控 |
严重 |
ces:::alarmRule |
不涉及 |
CES、VPC
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ALARM_VPC_CHANGE |
CES未配置监控VPC变更的事件监控告警,视为“不合规”。 |
建立日志记录和监控 |
高 |
ces:::alarmRule |
不涉及 |
CFW
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_CFW_POLICY_RULE_GROUP_ASSOCIATED_CHECK |
要求任何Cloud Firewall防火墙策略具有关联的规则组。 |
限制网络访问 |
中 |
cfw:::aclRule |
不涉及 |
CodeArts Deploy
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CODEARTSDEPLOY_HOST_CLUSTER_RESOURCE_STATUS |
CodeArts项目下的主机集群,如果状态不可用,则该主机集群视为“不合规”。 |
提高可用性 |
低 |
codeartsDeploy:::host |
不涉及 |
Config
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_TRACKER_CONFIG_ENABLED_CHECK |
如果账号未开启资源记录器,视为“不合规”。 |
建立日志记录和监控 |
中 |
rms:::resourceRecorder |
不涉及 |
CSS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_CSS_CLUSTER_BACKUP_AVAILABLE |
CSS集群未启用快照,视为“不合规”。 |
提高韧性 |
中 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_AZ_CHECK |
CSS集群没有多AZ容灾,视为“不合规”。 |
提高可用性 |
中 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_INSTANCES_CHECK |
CSS集群没有多实例容灾,视为“不合规”。 |
提高可用性 |
中 |
css:::cluster |
不涉及 |
RGC-GR_CONFIG_CSS_CLUSTER_IN_VPC |
CSS集群未与指定的VPC资源绑定,视为“不合规”。 |
限制网络访问 |
严重 |
css:::cluster |
|
RGC-GR_CONFIG_CSS_CLUSTER_SLOWLOG_ENABLE |
CSS集群未开启慢日志,视为“不合规”。 |
建立日志记录和监控 |
中 |
css:::cluster |
不涉及 |
CTS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_MULTI_REGION_CTS_TRACKER_EXISTS |
账号未在指定Region列表创建并启用CTS追踪器,视为“不合规”。 |
建立日志记录和监控 |
高 |
cts:::tracker |
|
RGC-GR_CONFIG_CTS_OBS_BUCKET_TRACK |
账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”。 |
建立日志记录和监控 |
高 |
cts:::tracker |
|
RGC-GR_CONFIG_CTS_TRACKER_ENABLED_SECURITY |
不存在满足安全最佳实践的CTS追踪器,视为“不合规”。 |
建立日志记录和监控 |
高 |
cts:::tracker |
|
RGC-GR_RFS_CTS_LOG_FILE_VALIDATION_ENABLED_CHECK |
要求CTS追踪器激活日志文件验证。 |
保护数据完整性 |
高 |
cts:::tracker |
不涉及 |
RGC-GR_RFS_CTS_LOGS_ENABLED_CHECK |
要求CTS追踪器具有LTS日志组配置。 |
建立日志记录和监控 |
低 |
cts:::tracker |
不涉及 |
DEW
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_DEW_KEY_ROTATION_ENABLED_CHECK |
要求任何KMS密钥配置轮换。 |
加密静态数据 |
中 |
kms:::key |
不涉及 |
RGC-GR_CONFIG_CSMS_SECRETS_AUTO_ROTATION_ENABLED |
CSMS凭据未启动自动轮转,视为“不合规”。 |
管理机密 |
中 |
csms:::secret |
不涉及 |
RGC-GR_CONFIG_CSMS_SECRETS_PERIODIC_ROTATION |
CSMS凭据未在指定天数内轮转,视为“不合规”。 |
管理机密 |
中 |
csms:::secret |
不涉及 |
RGC-GR_CONFIG_CSMS_SECRETS_USING_CMK |
CSMS凭据未使用指定的KMS,视为“不合规”。 |
加密静态数据 |
高 |
csms:::secret |
DDS
DMS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_KAFKA_MULTIPLE_AZ_CHECK |
要求Kafka实例配置多个可用区以实现高可用性。 |
提高可用性 |
低 |
dms:::kafkaInstance |
不涉及 |
RGC-GR_RFS_ROCKETMQ_MULTIPLE_AZ_CHECK |
要求RocketMQ实例配置多个可用区以实现高可用性。 |
提高可用性 |
低 |
dms:::rocketmqInstance |
不涉及 |
RGC-GR_RFS_RABBITMQ_MULTIPLE_AZ_CHECK |
要求RabbitMQ实例配置多个可用区以实现高可用性。 |
提高可用性 |
低 |
dms:::rabbitmqInstance |
不涉及 |
RGC-GR_RFS_KAFKA_INSTANCE_TLS_CHECK |
要求Kafka实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 |
加密传输中的数据 |
中 |
dms:::kafkaInstance |
不涉及 |
RGC-GR_RFS_RABBITMQ_INSTANCE_TLS_CHECK |
要求RabbitMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 |
加密传输中的数据 |
中 |
dms:::rabbitmqInstance |
不涉及 |
RGC-GR_RFS_ROCKETMQ_INSTANCE_TLS_CHECK |
要求RocketMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 |
加密传输中的数据 |
中 |
dms:::rocketmqInstance |
不涉及 |
RGC-GR_RFS_RABBITMQ_DLQ_CHECK |
要求任何RabbitMQ队列配置死信队列。 |
提高韧性 |
高 |
dms:::rabbitmqInstance |
不涉及 |
DWS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_DWS_ENABLE_SNAPSHOT |
DWS集群未启用自动快照,视为“不合规”。 |
提高韧性 |
中 |
dws:::cluster |
不涉及 |
RGC-GR_CONFIG_DWS_MAINTAIN_WINDOW_CHECK |
DWS集群运维时间窗不满足配置,视为“不合规”。 |
为事件响应做好准备 |
中 |
dws:::cluster |
不涉及 |
RGC-GR_CONFIG_DWS_ENABLE_LOG_DUMP |
DWS集群未启用日志转储,视为“不合规”。 |
建立日志记录和监控 |
中 |
dws:::cluster |
不涉及 |
RGC-GR_RFS_DWS_CLUSTER_ENCRYPTION_ENABLED_CHECK |
要求对所有DWS集群进行静态加密。 |
加密静态数据 |
中 |
dws:::cluster |
不涉及 |
ECS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ALLOWED_ECS_FLAVORS |
ECS资源的规格不在指定的范围内,视为“不合规”。 |
保护配置 |
低 |
ecs:::instanceV1 |
|
RGC-GR_CONFIG_ALLOWED_IMAGES_BY_NAME |
指定允许的镜像名称列表,ECS实例的镜像名称不在指定的范围内,视为“不合规”。 |
管理漏洞 |
高 |
ecs:::instanceV1 |
|
RGC-GR_CONFIG_STOPPED_ECS_DATE_DIFF |
关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规”。 |
优化成本 |
中 |
ecs:::instanceV1ecs:::instanceV1 |
|
RGC-GR_CONFIG_ECS_ATTACHED_HSS_AGENTS_CHECK |
ECS实例未绑定HSS代理并启用防护,视为“不合规”。 |
管理漏洞 |
中 |
ecs:::instanceV1 |
不涉及 |
ECS、IMS
EIP
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_EIP_USE_IN_SPECIFIED_DAYS |
创建的EIP在指定天数后仍未绑定到资源实例,视为“不合规”。 |
优化成本 |
中 |
vpc:::eipAssociate |
不涉及 |
ELB
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ELB_MULTIPLE_AZ_CHECK |
检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区,视为“不合规”。 |
弹性负载均衡 |
中 |
elb:::loadbalancer |
不涉及 |
RGC-GR_CONFIG_ELB_MEMBERS_WEIGHT_CHECK |
后端服务器的权重为0,且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时,视为“不合规”。 |
提高可用性 |
低 |
elb:::member |
不涉及 |
RGC-GR_RFS_ELB_PREDEFINED_SECURITY_POLICY_CHECK |
要求任何独享型ELB负载均衡器HTTPS侦听器具有一个拥有强配置的预定义安全策略。 |
限制网络访问 |
中 |
elb:::listener |
不涉及 |
RGC-GR_RFS_LB_TLS_HTTPS_LISTENERS_ONLY_CHECK |
要求为私网类型的ELB负载均衡器侦听器配置HTTPS终止。 |
加密传输中的数据 |
中 |
lb:::listener |
不涉及 |
RGC-GR_RFS_ELB_TLS_HTTPS_LISTENERS_ONLY_CHECK |
要求为独享型ELB应用程序或经典负载均衡器侦听器配置HTTPS终止。 |
加密传输中的数据 |
中 |
elb:::listener |
不涉及 |
RGC-GR_RFS_ELB_DELETION_PROTECTION_ENABLED_CHECK |
要求激活应用程序负载均衡器删除保护。 |
提高可用性 |
中 |
elb:::loadbalancer |
不涉及 |
RGC-GR_RFS_ELB_MULTIPLE_AZ_CHECK |
要求任何经典负载均衡器配置多个可用区。 |
提高可用性 |
中 |
elb:::loadbalancer |
不涉及 |
ER
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_ER_INSTANCE_AUTO_VPC_ATTACH_DISABLED_CHECK |
要求企业路由器拒绝自动接受共享连接创建。 |
限制网络访问 |
高 |
er:::instance |
不涉及 |
EVS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_EVS_USE_IN_SPECIFIED_DAYS |
创建的EVS在指定天数后仍未绑定到资源实例,视为“不合规”。 |
优化成本 |
中 |
evs:::volume |
不涉及 |
RGC-GR_CONFIG_VOLUME_UNUSED_CHECK |
云硬盘未挂载给任何云服务器,视为“不合规”。 |
优化成本 |
高 |
evs:::volume |
不涉及 |
RGC-GR_CONFIG_ALLOWED_VOLUME_SPECS |
指定允许的云硬盘类型列表,云硬盘的类型不在指定的范围内,视为“不合规”。 |
保护配置 |
低 |
evs:::volume |
|
RGC-GR_EVS_ALL_OPERATION_PROHIBITED |
不允许调用EVS的API。 |
保护配置 |
严重 |
evs:::volume |
不涉及 |
RGC-GR_ECS_ATTACH_NO_ENCRYPTED_EVS_PROHIBITED |
不允许对云服务器挂载一个未加密的云硬盘。 |
保护配置 |
严重 |
evs:::volume |
不涉及 |
FunctionGraph
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_FUNCTION_GRAPH_CONCURRENCY_CHECK |
FunctionGraph函数并发数不在指定的范围内,视为“不合规”。 |
提高可用性 |
中 |
fgs:::function |
不涉及 |
RGC-GR_CONFIG_FUNCTION_GRAPH_INSIDE_VPC |
函数工作流未使用指定VPC,视为“不合规” |
限制网络访问 |
低 |
fgs:::function |
|
RGC-GR_CONFIG_FUNCTION_GRAPH_SETTINGS_CHECK |
函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规” |
管理漏洞 |
中 |
fgs:::function |
|
RGC-GR_CONFIG_FUNCTION_GRAPH_LOGGING_ENABLED |
函数工作流的函数未启用日志配置,视为“不合规”。 |
建立日志记录和监控 |
中 |
fgs:::function |
不涉及 |
GaussDB
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_AUDITLOG |
未开启审计日志的GaussDB资源,视为“不合规”。 |
建立日志记录和监控 |
中 |
gaussdb:::opengaussInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_BACKUP |
未开启资源备份的GaussDB资源,视为“不合规”。 |
提高韧性 |
中 |
gaussdb:::opengaussInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_ERRORLOG |
未开启错误日志的GaussDB资源,视为“不合规”。 |
建立日志记录和监控 |
低 |
gaussdb:::opengaussInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_SLOWLOG |
未开启慢日志的GaussDB资源,视为“不合规”。 |
建立日志记录和监控 |
低 |
gaussdb:::opengaussInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_INSTANCE_MULTIPLE_AZ_CHECK |
GaussDB资源未跨AZ部署,视为“不合规”。 |
提高可用性 |
中 |
gaussdb:::opengaussInstance |
不涉及 |
GeminiDB
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_NOSQL_DEPLOY_IN_SINGLE_AZ |
GeminiDB部署在单个可用区中,视为“不合规” |
提高可用性 |
中 |
gaussdb:::mongoInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_BACKUP |
GeminiDB未开启备份,视为“不合规” |
提高韧性 |
中 |
gaussdb:::mongoInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_ERROR_LOG |
GeminiDB未开启错误日志,视为“不合规”。 |
建立日志记录和监控 |
低 |
gaussdb:::mongoInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_NOSQL_SUPPORT_SLOW_LOG |
GeminiDB不支持慢查询日志,视为“不合规”。 |
建立日志记录和监控 |
低 |
gaussdb:::mongoInstance |
不涉及 |
RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_TLS_CHECK |
要求GaussDB Mongo实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 |
加密传输中的数据 |
中 |
gaussdb:::mongoInstance |
不涉及 |
RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_AUTO_BACKUP_CHECK |
要求GaussDB Mongo实例配置自动备份。 |
提高韧性 |
中 |
gaussdb:::mongoInstance |
不涉及 |
RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_AUTO_BACKUP_CHECK |
要求GaussDB Redis实例配置自动备份。 |
提高韧性 |
中 |
gaussdb:::redisInstance |
不涉及 |
RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_TLS_CHECK |
要求GaussDB Redis实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 |
加密传输中的数据 |
中 |
gaussdb:::redisInstance |
不涉及 |
RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_MULTIPLE_AZ_CHECK |
要求GaussDB MongoDB实例配置多个可用区以实现高可用性。 |
提高可用性 |
低 |
gaussdb:::mongoInstance |
不涉及 |
GES
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_GES_GRAPHS_LTS_ENABLE |
GES图未开启LTS日志,视为“不合规”。 |
建立日志记录和监控 |
中 |
ges:::graph |
不涉及 |
RGC-GR_CONFIG_GES_GRAPHS_MULTI_AZ_SUPPORT |
GES图不支持跨AZ高可用,视为“不合规”。 |
提高可用性 |
中 |
ges:::graph |
不涉及 |
IAM
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS |
IAM策略中授权KMS的任一阻拦action,视为“不合规”。 |
强制执行最低权限 |
中 |
|
不涉及 |
RGC-GR_CONFIG_IAM_USER_CHECK_NON_ADMIN_GROUP |
根用户以外的IAM用户加入admin用户组,视为“不合规”。 |
强制执行最低权限 |
低 |
identity:::user |
不涉及 |
RGC-GR_CONFIG_IAM_USER_NO_POLICIES_CHECK |
IAM用户直接附加了策略或权限,视为“不合规”。 |
强制执行最低权限 |
低 |
identity:::user |
不涉及 |
LTS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_LTS_GROUP_RETENTION_PERIOD_CHECK |
要求将LTS日志组保留至少180天。 |
建立日志记录和监控 |
中 |
lts:::group |
不涉及 |
MRS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_MRS_CLUSTER_MULTIAZ_DEPLOYMENT |
MRS集群没有多az部署,视为“不合规”。 |
提高可用性 |
中 |
mrs:::cluster |
不涉及 |
RGC-GR_CONFIG_MRS_CLUSTER_ENCRYPT_ENABLE |
KMS密钥不处于“计划删除”状态。 |
保护数据完整性 |
中 |
mrs:::cluster |
不涉及 |
Network、ACL
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_NACL_NO_UNRESTRICTED_SSH_RDP_CHECK |
要求任何网络ACL防止从0.0.0.0/0进入端口22或端口3389。 |
限制网络访问 |
中 |
network:::aclRule |
不涉及 |
RDS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP |
未开启备份的rds资源,视为“不合规”。 |
提高韧性 |
中 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG |
未开启错误日志的rds资源,视为“不合规”。 |
建立日志记录和监控 |
低 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG |
未开启慢日志的rds资源,视为“不合规”。 |
建立日志记录和监控 |
低 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_LOGGING_ENABLED |
未配备任何日志的rds资源,视为“不合规”。 |
建立日志记录和监控 |
中 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_MULTI_AZ_SUPPORT |
RDS实例仅支持一个可用区,视为“不合规”。 |
提高可用性 |
中 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_ALLOWED_RDS_FLAVORS |
RDS实例的规格不在指定的范围内,视为“不合规”。 |
保护配置 |
低 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCES_IN_VPC |
指定虚拟私有云ID,不属于此VPC的rds资源,视为“不合规”。 |
限制网络访问 |
高 |
rds:::instance |
|
RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_AUDITLOG |
未启用审计日志或者审计日志保存天数不足的rds资源,视为“不合规”。 |
建立日志记录和监控 |
中 |
rds:::instance |
不涉及 |
RGC-GR_CONFIG_RDS_INSTANCE_ENGINE_VERSION_CHECK |
RDS实例数据库引擎的版本低于指定版本,视为“不合规”。 |
管理漏洞 |
低 |
rds:::instance |
|
RGC-GR_RFS_RDS_INSTANCE_DEPLOYED_IN_VPC_CHECK |
要求RDS数据库实例具有VPC配置。 |
限制网络访问 |
高 |
rds:::instance |
不涉及 |
RGC-GR_RFS_RDS_DB_SECURITY_GROUP_NOT_ALLOWED_CHECK |
要求RDS实例配置数据库安全组。 |
限制网络访问 |
中 |
rds:::instance |
不涉及 |
RGC-GR_RFS_RDS_INSTANCE_MULTIPLE_AZ_CHECK |
要求为RDS实例配置多个可用区以实现高可用性。 |
提高可用性 |
中 |
rds:::instance |
不涉及 |
RGC-GR_RFS_RDS_INSTANCE_TLS_CHECK |
要求RDS实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 |
加密传输中的数据 |
中 |
rds:::instance |
不涉及 |
RGC-GR_RFS_RDS_INSTANCE_BACKUP_ENABLED_CHECK |
要求RDS实例配置自动备份 |
提高韧性 |
中 |
rds:::instance |
不涉及 |
OBS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_OBS_BUCKET_DEFAULT_ENCRYPTION_KMS_CHECK |
要求OBS存储桶使用KMS密钥配置服务器端加密。 |
加密静态数据 |
中 |
obs:::bucket |
不涉及 |
RGC-GR_RFS_OBS_BUCKET_VERSIONING_ENABLED_CHECK |
要求OBS存储桶启用版本控制。 |
提高可用性 |
低 |
obs:::bucket |
不涉及 |
RGC-GR_RFS_OBS_BUCKET_LOGGING_ENABLED_CHECK |
要求OBS存储桶配置服务器访问日志记录。 |
建立日志记录和监控 |
中 |
obs:::bucket |
不涉及 |
OBS、Access Analyzer
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_OBS_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED |
OBS桶策略中授权任意禁止的action给外部身份,视为“不合规”。 |
强制执行最低权限 |
高 |
obs:::bucket |
|
RGC-GR_CONFIG_OBS_BUCKET_SSL_REQUESTS_ONLY |
OBS桶策略授权了无需SSL加密的行为,视为“不合规”。 |
加密传输中的数据 |
中 |
obs:::bucket |
不涉及 |
Organizations
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_ACCOUNT_PART_OF_ORGANIZATIONS |
账号未加入组织中,视为“不合规”。 |
强制执行最低权限 |
高 |
organizations:::accountAssociate |
SFS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_SFS_ENCRYPTED_CHECK |
要求SFS文件系统使用KMS对文件数据进行静态加密。 |
加密静态数据 |
中 |
sfs:::fileSystem |
不涉及 |
SMN
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_SMN_LTS_ENABLE |
SMN主题未启用事件分析,视为“不合规”。 |
建立日志记录和监控 |
中 |
smn:::topic |
不涉及 |
SWR
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_SWR_PRIVATE_IMAGE_CHECK |
要求SWR为私有存储库。 |
管理漏洞 |
高 |
swr:::repository |
不涉及 |
TMS
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_REQUIRED_ALL_TAGS |
指定标签列表,不具有所有指定标签键的资源,视为“不合规”。 |
保护配置 |
低 |
tms:::resourceTags |
|
RGC-GR_CONFIG_REQUIRED_TAG_CHECK |
指定一个标签,不具有此标签的资源,视为“不合规”。 |
保护配置 |
低 |
tms:::resourceTags |
|
RGC-GR_CONFIG_REQUIRED_TAG_EXIST |
指定标签列表,不具有任一指定标签的资源,视为“不合规”。 |
保护配置 |
低 |
tms:::resourceTags |
|
RGC-GR_CONFIG_RESOURCE_TAG_KEY_PREFIX_SUFFIX |
指定前缀和后缀,资源不具有任意匹配前后缀的标签键,视为“不合规”。 |
保护配置 |
低 |
tms:::resourceTags |
|
RGC-GR_CONFIG_RESOURCE_TAG_NOT_EMPTY |
资源未配置标签,视为“不合规”。 |
保护配置 |
低 |
tms:::resourceTags |
不涉及 |
TaurusDB
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG |
未开启审计日志的TaurusDB资源,视为“不合规”。 |
建立日志记录和监控 |
中 |
gaussdb:::mysqlInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP |
未开启备份的TaurusDB资源,视为“不合规”。 |
提高韧性 |
中 |
gaussdb:::mysqlInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG |
未开启错误日志的TaurusDB资源,视为“不合规”。 |
建立日志记录和监控 |
低 |
gaussdb:::mysqlInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG |
未开启慢日志的TaurusDB资源,视为“不合规”。 |
建立日志记录和监控 |
低 |
gaussdb:::mysqlInstance |
不涉及 |
RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_MULTIPLE_AZ_CHECK |
TaurusDB实例未跨AZ部署,视为“不合规”。 |
提高可用性 |
中 |
gaussdb:::mysqlInstance |
不涉及 |
VPC
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_EIP_UNBOUND_CHECK |
弹性公网IP未进行任何绑定,视为“不合规”。 |
优化成本 |
中 |
vpc:::eipAssociate |
不涉及 |
RGC-GR_CONFIG_VPC_FLOW_LOGS_ENABLED |
检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”。 |
建立日志记录和监控 |
中 |
vpc:::flowLog |
不涉及 |
RGC-GR_CONFIG_EIP_BANDWIDTH_LIMIT |
弹性公网IP可用带宽小于指定参数值,视为“不合规” |
提高可用性 |
中 |
vpc:::eip |
|
RGC-GR_RFS_VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS_CHECK |
要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于80和443以外的端口。 |
限制网络访问 |
高 |
networking:::secgroupRule |
不涉及 |
RGC-GR_RFS_VPC_SG_RESTRICTED_COMMON_PORTS_CHECK |
要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于特定的高风险端口。 |
限制网络访问 |
严重 |
networking:::secgroupRule |
不涉及 |
VPCEP
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_VPCEP_ENDPOINT_ENABLED |
检查账号下是否存在指定服务名的终端节点,如果不存在任何一个,视为“不合规”。 |
限制网络访问 |
中 |
vpcep:::endpoint |
VPN
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_CONFIG_VPN_CONNECTIONS_ACTIVE |
VPN连接状态不为“正常”,视为“不合规”。 |
提高可用性 |
中 |
vpnaas:::siteConnectionV2 |
不涉及 |
RGC-GR_VPN_CONNECTION_PROHIBITED |
不允许订阅虚拟专用网络。 |
保护配置 |
严重 |
|
不涉及 |
WAF
控制策略名称 |
功能 |
场景 |
严重程度 |
资源 |
规则参数是否必填 |
---|---|---|---|---|---|
RGC-GR_RFS_WAF_GLOBAL_ACL_NOT_EMPTY_CHECK |
要求任何WAF全局ACL拥有规则。 |
限制网络访问 |
中 |
waf:::ruleGlobalProtectionWhitelist |
不涉及 |
RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK |
要求WAF规则组为非空。 |
限制网络访问 |
中 |
waf:::addressGroup |
不涉及 |