网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts 盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts 盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务
更新时间:2025-02-19 GMT+08:00
分享

可选控制策略

*

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_REGULAR_MATCHING_OF_NAMES

资源名称不满足正则表达式,视为“不合规”。

保护配置

*

RGC-GR_CONFIG_RESOURCE_IN_ENTERPRISE_PROJECT

指定企业项目ID,属于该企业项目的资源,视为“不合规”。

保护配置

*

RGC-GR_CONFIG_RESOURCES_IN_ALLOWED_TYPES

用户创建指定类型以外的资源,视为“不合规”。

保护配置

*

RGC-GR_CONFIG_RESOURCES_IN_NOT_ALLOWED_TYPES

用户创建指定类型的资源,视为“不合规”。

保护配置

*

RGC-GR_CONFIG_RESOURCES_IN_SUPPORTED_REGION

资源不在指定区域内,视为“不合规”。

保护配置

*

APIG

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_APIG_INSTANCES_EXECUTION_LOGGING_ENABLED

APIG专享版实例未配置访问日志,视为“不合规”。

建立日志记录和监控

apig:::instance

不涉及

AS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_AS_CAPACITY_REBALANCING

弹性伸缩组扩缩容时,没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略,视为“不合规”。

提高可用性

as:::group

不涉及

RGC-GR_CONFIG_AS_GROUP_ELB_HEALTHCHECK_REQUIRED

与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查,视为“不合规”。

提高可用性

as:::group

不涉及

RGC-GR_CONFIG_AS_MULTIPLE_AZ

弹性伸缩组没有启用多AZ部署,视为“不合规”。

提高可用性

as:::group

不涉及

RGC-GR_CONFIG_AS_GROUP_IPV6_DISABLED

弹性伸缩组绑定IPv6共享带宽,视为“不合规”。

优化成本

as:::group

不涉及

RGC-GR_RFS_AS_GROUP_MULTIPLE_AZ_CHECK

要求AS组拥有多个可用区。

提高可用性

as:::group

不涉及

CBR

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CBR_POLICY_MINIMUM_FREQUENCY_CHECK

CBR备份策略执行频率低于设定值,视为“不合规”。

为灾难恢复做好准备

cbr:::policy

不涉及

RGC-GR_CONFIG_CBR_VAULT_MINIMUM_RETENTION_CHECK

存储库未绑定策略或绑定的策略按天数保留且保留天数低于设定值,视为“不合规”。

为灾难恢复做好准备

cbr:::vault

不涉及

CBR、ECS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ECS_PROTECTED_BY_CBR

ECS资源没有关联备份存储库,视为“不合规”。

为灾难恢复做好准备

ecs:::instanceV1

不涉及

RGC-GR_CONFIG_ECS_LAST_BACKUP_CREATED

ECS云服务器最近一次备份创建时间超过参数要求,视为“不合规”。

为灾难恢复做好准备

ecs:::instanceV1

不涉及

CBR、EVS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_EVS_PROTECTED_BY_CBR

EVS磁盘没有关联备份存储库,视为“不合规”。

为灾难恢复做好准备

evs:::volume

不涉及

RGC-GR_CONFIG_EVS_LAST_BACKUP_CREATED

EVS磁盘最近一次备份创建时间超过参数要求,视为“不合规”。

为灾难恢复做好准备

evs:::volume

不涉及

CBR、SFSturbo

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_SFSTURBO_PROTECTED_BY_CBR

SFSturbo资源没有关联备份存储库,视为“不合规”。

为灾难恢复做好准备

sfs:::turbo

不涉及

RGC-GR_CONFIG_SFSTURBO_LAST_BACKUP_CREATED

SFSturbo资源最近一次备份创建时间超过参数要求,视为“不合规”。

为灾难恢复做好准备

sfs:::turbo

不涉及

CCE

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CCE_CLUSTER_END_OF_MAINTENANCE_VERSION

CCE集群版本为停止维护的版本,视为“不合规”。

管理漏洞

cce:::cluster

不涉及

RGC-GR_CONFIG_CCE_CLUSTER_OLDEST_SUPPORTED_VERSION

如果CCE集群运行的是受支持的最旧版本(等于参数“最旧版本支持”),视为“不合规”。

管理漏洞

cce:::cluster

不涉及

RGC-GR_CONFIG_ALLOWED_CCE_FLAVORS

CCE集群的规格不在指定的范围内,视为“不合规”。

保护配置

cce:::cluster

RGC-GR_RFS_CCE_SECRETS_ENCRYPTED_CHECK

要求使用密钥管理服务(KMS)密钥为CCE集群配置密钥加密。

加密静态数据

cce:::cluster

不涉及

CCM

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_PCA_CERTIFICATE_AUTHORITY_ROOT_DISABLE

私有根CA未停用,视为“不合规”。

管理机密

scm:::certificate

不涉及

RGC-GR_CONFIG_PCA_ALGORITHM_CHECK

私有证书管理服务使用了禁止的密钥算法或签名哈希算法,视为“不合规”

加密传输中的数据

ccm:::privateCertificate

  • blockedKeyAlgorithm:
  • blockedSignatureAlgorithm:

CES

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALARM_ACTION_ENABLED_CHECK

CES告警操作未启用,视为“不合规”。

建立日志记录和监控

ces:::alarmRule

不涉及

RGC-GR_CONFIG_ALARM_RESOURCE_CHECK

指定的资源类型没有绑定指定指标CES告警,视为“不合规”

建立日志记录和监控

ces:::alarmRule

  • provider:
  • resourceType:
  • metricName:

RGC-GR_CONFIG_ALARM_SETTINGS_CHECK

特定指标的CES告警没有进行特定配置,视为“不合规”

建立日志记录和监控

ces:::alarmRule

  • metricName:
  • threshold:
  • count:
  • period:
  • comparisonOperator:
  • filter:

RGC-GR_RFS_CES_ALARM_ACTION_CHECK

要求CES警报为警报状态配置操作。

建立日志记录和监控

ces:::alarmRule

不涉及

RGC-GR_RFS_CES_ALARM_ACTION_ENABLED_CHECK

要求CES警报激活操作。

建立日志记录和监控

严重

ces:::alarmRule

不涉及

CES、DEW

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALARM_KMS_DISABLE_OR_DELETE_KEY

CES未配置监控KMS禁用或计划删除密钥的事件监控告警,视为“不合规”。

建立日志记录和监控

严重

ces:::alarmRule

不涉及

CES、OBS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALARM_OBS_BUCKET_POLICY_CHANGE

CES未配置监控OBS桶策略变更的事件监控告警,视为“不合规”。

建立日志记录和监控

严重

ces:::alarmRule

不涉及

CES、VPC

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALARM_VPC_CHANGE

CES未配置监控VPC变更的事件监控告警,视为“不合规”。

建立日志记录和监控

ces:::alarmRule

不涉及

CFW

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_CFW_POLICY_RULE_GROUP_ASSOCIATED_CHECK

要求任何Cloud Firewall防火墙策略具有关联的规则组。

限制网络访问

cfw:::aclRule

不涉及

CodeArts Deploy

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CODEARTSDEPLOY_HOST_CLUSTER_RESOURCE_STATUS

CodeArts项目下的主机集群,如果状态不可用,则该主机集群视为“不合规”。

提高可用性

codeartsDeploy:::host

不涉及

Config

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_TRACKER_CONFIG_ENABLED_CHECK

如果账号未开启资源记录器,视为“不合规”。

建立日志记录和监控

rms:::resourceRecorder

不涉及

CSS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_CSS_CLUSTER_BACKUP_AVAILABLE

CSS集群未启用快照,视为“不合规”。

提高韧性

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_AZ_CHECK

CSS集群没有多AZ容灾,视为“不合规”。

提高可用性

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_MULTIPLE_INSTANCES_CHECK

CSS集群没有多实例容灾,视为“不合规”。

提高可用性

css:::cluster

不涉及

RGC-GR_CONFIG_CSS_CLUSTER_IN_VPC

CSS集群未与指定的VPC资源绑定,视为“不合规”。

限制网络访问

严重

css:::cluster

RGC-GR_CONFIG_CSS_CLUSTER_SLOWLOG_ENABLE

CSS集群未开启慢日志,视为“不合规”。

建立日志记录和监控

css:::cluster

不涉及

CTS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_MULTI_REGION_CTS_TRACKER_EXISTS

账号未在指定Region列表创建并启用CTS追踪器,视为“不合规”。

建立日志记录和监控

cts:::tracker

RGC-GR_CONFIG_CTS_OBS_BUCKET_TRACK

账号下的所有CTS追踪器未追踪指定的OBS桶,视为“不合规”。

建立日志记录和监控

cts:::tracker

RGC-GR_CONFIG_CTS_TRACKER_ENABLED_SECURITY

不存在满足安全最佳实践的CTS追踪器,视为“不合规”。

建立日志记录和监控

cts:::tracker

RGC-GR_RFS_CTS_LOG_FILE_VALIDATION_ENABLED_CHECK

要求CTS追踪器激活日志文件验证。

保护数据完整性

cts:::tracker

不涉及

RGC-GR_RFS_CTS_LOGS_ENABLED_CHECK

要求CTS追踪器具有LTS日志组配置。

建立日志记录和监控

cts:::tracker

不涉及

DEW

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_DEW_KEY_ROTATION_ENABLED_CHECK

要求任何KMS密钥配置轮换。

加密静态数据

kms:::key

不涉及

RGC-GR_CONFIG_CSMS_SECRETS_AUTO_ROTATION_ENABLED

CSMS凭据未启动自动轮转,视为“不合规”。

管理机密

csms:::secret

不涉及

RGC-GR_CONFIG_CSMS_SECRETS_PERIODIC_ROTATION

CSMS凭据未在指定天数内轮转,视为“不合规”。

管理机密

csms:::secret

不涉及

RGC-GR_CONFIG_CSMS_SECRETS_USING_CMK

CSMS凭据未使用指定的KMS,视为“不合规”。

加密静态数据

csms:::secret

DDS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DDS_INSTANCE_HAMODE

指定实例类型,不属于此的DDS实例资源,视为“不合规”。

保护配置

dds:::instance

RGC-GR_CONFIG_DDS_INSTANCE_ENGINE_VERSION_CHECK

低于指定版本的DDS实例,视为“不合规”。

管理漏洞

dds:::instance

RGC-GR_RFS_DDS_INSTANCE_ENCRYPTED_CHECK

要求对DDS实例进行静态加密。

加密静态数据

dds:::instance

不涉及

DMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_KAFKA_MULTIPLE_AZ_CHECK

要求Kafka实例配置多个可用区以实现高可用性。

提高可用性

dms:::kafkaInstance

不涉及

RGC-GR_RFS_ROCKETMQ_MULTIPLE_AZ_CHECK

要求RocketMQ实例配置多个可用区以实现高可用性。

提高可用性

dms:::rocketmqInstance

不涉及

RGC-GR_RFS_RABBITMQ_MULTIPLE_AZ_CHECK

要求RabbitMQ实例配置多个可用区以实现高可用性。

提高可用性

dms:::rabbitmqInstance

不涉及

RGC-GR_RFS_KAFKA_INSTANCE_TLS_CHECK

要求Kafka实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

dms:::kafkaInstance

不涉及

RGC-GR_RFS_RABBITMQ_INSTANCE_TLS_CHECK

要求RabbitMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

dms:::rabbitmqInstance

不涉及

RGC-GR_RFS_ROCKETMQ_INSTANCE_TLS_CHECK

要求RocketMQ实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

dms:::rocketmqInstance

不涉及

RGC-GR_RFS_RABBITMQ_DLQ_CHECK

要求任何RabbitMQ队列配置死信队列。

提高韧性

dms:::rabbitmqInstance

不涉及

DWS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_DWS_ENABLE_SNAPSHOT

DWS集群未启用自动快照,视为“不合规”。

提高韧性

dws:::cluster

不涉及

RGC-GR_CONFIG_DWS_MAINTAIN_WINDOW_CHECK

DWS集群运维时间窗不满足配置,视为“不合规”。

为事件响应做好准备

dws:::cluster

不涉及

RGC-GR_CONFIG_DWS_ENABLE_LOG_DUMP

DWS集群未启用日志转储,视为“不合规”。

建立日志记录和监控

dws:::cluster

不涉及

RGC-GR_RFS_DWS_CLUSTER_ENCRYPTION_ENABLED_CHECK

要求对所有DWS集群进行静态加密。

加密静态数据

dws:::cluster

不涉及

ECS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALLOWED_ECS_FLAVORS

ECS资源的规格不在指定的范围内,视为“不合规”。

保护配置

ecs:::instanceV1

RGC-GR_CONFIG_ALLOWED_IMAGES_BY_NAME

指定允许的镜像名称列表,ECS实例的镜像名称不在指定的范围内,视为“不合规”。

管理漏洞

ecs:::instanceV1

RGC-GR_CONFIG_STOPPED_ECS_DATE_DIFF

关机状态的ECS未进行任意操作的时间超过了允许的天数,视为“不合规”。

优化成本

ecs:::instanceV1ecs:::instanceV1

RGC-GR_CONFIG_ECS_ATTACHED_HSS_AGENTS_CHECK

ECS实例未绑定HSS代理并启用防护,视为“不合规”。

管理漏洞

ecs:::instanceV1

不涉及

ECS、IMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ALLOWED_IMAGES_BY_ID

指定允许的镜像ID列表,ECS实例的镜像ID不在指定的范围内,视为“不合规”。

管理漏洞

ecs:::instanceV1

RGC-GR_CONFIG_APPROVED_IMS_BY_TAG

ECS的镜像不在指定tag的IMS的范围内,视为“不合规”。

管理漏洞

ecs:::instanceV1

  • specifiedIMSTagKey:
  • specifiedIMSTagValue:

EIP

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_EIP_USE_IN_SPECIFIED_DAYS

创建的EIP在指定天数后仍未绑定到资源实例,视为“不合规”。

优化成本

vpc:::eipAssociate

不涉及

ELB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ELB_MULTIPLE_AZ_CHECK

检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区,视为“不合规”。

弹性负载均衡

elb:::loadbalancer

不涉及

RGC-GR_CONFIG_ELB_MEMBERS_WEIGHT_CHECK

后端服务器的权重为0,且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时,视为“不合规”。

提高可用性

elb:::member

不涉及

RGC-GR_RFS_ELB_PREDEFINED_SECURITY_POLICY_CHECK

要求任何独享型ELB负载均衡器HTTPS侦听器具有一个拥有强配置的预定义安全策略。

限制网络访问

elb:::listener

不涉及

RGC-GR_RFS_LB_TLS_HTTPS_LISTENERS_ONLY_CHECK

要求为私网类型的ELB负载均衡器侦听器配置HTTPS终止。

加密传输中的数据

lb:::listener

不涉及

RGC-GR_RFS_ELB_TLS_HTTPS_LISTENERS_ONLY_CHECK

要求为独享型ELB应用程序或经典负载均衡器侦听器配置HTTPS终止。

加密传输中的数据

elb:::listener

不涉及

RGC-GR_RFS_ELB_DELETION_PROTECTION_ENABLED_CHECK

要求激活应用程序负载均衡器删除保护。

提高可用性

elb:::loadbalancer

不涉及

RGC-GR_RFS_ELB_MULTIPLE_AZ_CHECK

要求任何经典负载均衡器配置多个可用区。

提高可用性

elb:::loadbalancer

不涉及

ER

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_ER_INSTANCE_AUTO_VPC_ATTACH_DISABLED_CHECK

要求企业路由器拒绝自动接受共享连接创建。

限制网络访问

er:::instance

不涉及

EVS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_EVS_USE_IN_SPECIFIED_DAYS

创建的EVS在指定天数后仍未绑定到资源实例,视为“不合规”。

优化成本

evs:::volume

不涉及

RGC-GR_CONFIG_VOLUME_UNUSED_CHECK

云硬盘未挂载给任何云服务器,视为“不合规”。

优化成本

evs:::volume

不涉及

RGC-GR_CONFIG_ALLOWED_VOLUME_SPECS

指定允许的云硬盘类型列表,云硬盘的类型不在指定的范围内,视为“不合规”。

保护配置

evs:::volume

RGC-GR_EVS_ALL_OPERATION_PROHIBITED

不允许调用EVS的API。

保护配置

严重

evs:::volume

不涉及

RGC-GR_ECS_ATTACH_NO_ENCRYPTED_EVS_PROHIBITED

不允许对云服务器挂载一个未加密的云硬盘。

保护配置

严重

evs:::volume

不涉及

FunctionGraph

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_FUNCTION_GRAPH_CONCURRENCY_CHECK

FunctionGraph函数并发数不在指定的范围内,视为“不合规”。

提高可用性

fgs:::function

不涉及

RGC-GR_CONFIG_FUNCTION_GRAPH_INSIDE_VPC

函数工作流未使用指定VPC,视为“不合规”

限制网络访问

fgs:::function

RGC-GR_CONFIG_FUNCTION_GRAPH_SETTINGS_CHECK

函数工作流的运行时、超时时间、内存限制不在指定范围内,视为“不合规”

管理漏洞

fgs:::function

RGC-GR_CONFIG_FUNCTION_GRAPH_LOGGING_ENABLED

函数工作流的函数未启用日志配置,视为“不合规”。

建立日志记录和监控

fgs:::function

不涉及

GaussDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_AUDITLOG

未开启审计日志的GaussDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_BACKUP

未开启资源备份的GaussDB资源,视为“不合规”。

提高韧性

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_ERRORLOG

未开启错误日志的GaussDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_SLOWLOG

未开启慢日志的GaussDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::opengaussInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_INSTANCE_MULTIPLE_AZ_CHECK

GaussDB资源未跨AZ部署,视为“不合规”。

提高可用性

gaussdb:::opengaussInstance

不涉及

GeminiDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_NOSQL_DEPLOY_IN_SINGLE_AZ

GeminiDB部署在单个可用区中,视为“不合规”

提高可用性

gaussdb:::mongoInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_BACKUP

GeminiDB未开启备份,视为“不合规”

提高韧性

gaussdb:::mongoInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_ERROR_LOG

GeminiDB未开启错误日志,视为“不合规”。

建立日志记录和监控

gaussdb:::mongoInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_NOSQL_SUPPORT_SLOW_LOG

GeminiDB不支持慢查询日志,视为“不合规”。

建立日志记录和监控

gaussdb:::mongoInstance

不涉及

RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_TLS_CHECK

要求GaussDB Mongo实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

gaussdb:::mongoInstance

不涉及

RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_AUTO_BACKUP_CHECK

要求GaussDB Mongo实例配置自动备份。

提高韧性

gaussdb:::mongoInstance

不涉及

RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_AUTO_BACKUP_CHECK

要求GaussDB Redis实例配置自动备份。

提高韧性

gaussdb:::redisInstance

不涉及

RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_TLS_CHECK

要求GaussDB Redis实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

gaussdb:::redisInstance

不涉及

RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_MULTIPLE_AZ_CHECK

要求GaussDB MongoDB实例配置多个可用区以实现高可用性。

提高可用性

gaussdb:::mongoInstance

不涉及

GES

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GES_GRAPHS_LTS_ENABLE

GES图未开启LTS日志,视为“不合规”。

建立日志记录和监控

ges:::graph

不涉及

RGC-GR_CONFIG_GES_GRAPHS_MULTI_AZ_SUPPORT

GES图不支持跨AZ高可用,视为“不合规”。

提高可用性

ges:::graph

不涉及

IAM

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS

IAM策略中授权KMS的任一阻拦action,视为“不合规”。

强制执行最低权限

  • identity:::role
  • identity:::protectionPolicy

不涉及

RGC-GR_CONFIG_IAM_USER_CHECK_NON_ADMIN_GROUP

根用户以外的IAM用户加入admin用户组,视为“不合规”。

强制执行最低权限

identity:::user

不涉及

RGC-GR_CONFIG_IAM_USER_NO_POLICIES_CHECK

IAM用户直接附加了策略或权限,视为“不合规”。

强制执行最低权限

identity:::user

不涉及

LTS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_LTS_GROUP_RETENTION_PERIOD_CHECK

要求将LTS日志组保留至少180天。

建立日志记录和监控

lts:::group

不涉及

MRS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_MRS_CLUSTER_MULTIAZ_DEPLOYMENT

MRS集群没有多az部署,视为“不合规”。

提高可用性

mrs:::cluster

不涉及

RGC-GR_CONFIG_MRS_CLUSTER_ENCRYPT_ENABLE

KMS密钥不处于“计划删除”状态。

保护数据完整性

mrs:::cluster

不涉及

Network、ACL

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_NACL_NO_UNRESTRICTED_SSH_RDP_CHECK

要求任何网络ACL防止从0.0.0.0/0进入端口22或端口3389。

限制网络访问

network:::aclRule

不涉及

RDS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP

未开启备份的rds资源,视为“不合规”。

提高韧性

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG

未开启错误日志的rds资源,视为“不合规”。

建立日志记录和监控

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG

未开启慢日志的rds资源,视为“不合规”。

建立日志记录和监控

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_LOGGING_ENABLED

未配备任何日志的rds资源,视为“不合规”。

建立日志记录和监控

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_MULTI_AZ_SUPPORT

RDS实例仅支持一个可用区,视为“不合规”。

提高可用性

rds:::instance

不涉及

RGC-GR_CONFIG_ALLOWED_RDS_FLAVORS

RDS实例的规格不在指定的范围内,视为“不合规”。

保护配置

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCES_IN_VPC

指定虚拟私有云ID,不属于此VPC的rds资源,视为“不合规”。

限制网络访问

rds:::instance

RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_AUDITLOG

未启用审计日志或者审计日志保存天数不足的rds资源,视为“不合规”。

建立日志记录和监控

rds:::instance

不涉及

RGC-GR_CONFIG_RDS_INSTANCE_ENGINE_VERSION_CHECK

RDS实例数据库引擎的版本低于指定版本,视为“不合规”。

管理漏洞

rds:::instance

  • postgresqlVersion:
  • mariadbVersion:
  • mysqlVersion:
  • sqlserverVersion:

RGC-GR_RFS_RDS_INSTANCE_DEPLOYED_IN_VPC_CHECK

要求RDS数据库实例具有VPC配置。

限制网络访问

rds:::instance

不涉及

RGC-GR_RFS_RDS_DB_SECURITY_GROUP_NOT_ALLOWED_CHECK

要求RDS实例配置数据库安全组。

限制网络访问

rds:::instance

不涉及

RGC-GR_RFS_RDS_INSTANCE_MULTIPLE_AZ_CHECK

要求为RDS实例配置多个可用区以实现高可用性。

提高可用性

rds:::instance

不涉及

RGC-GR_RFS_RDS_INSTANCE_TLS_CHECK

要求RDS实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。

加密传输中的数据

rds:::instance

不涉及

RGC-GR_RFS_RDS_INSTANCE_BACKUP_ENABLED_CHECK

要求RDS实例配置自动备份

提高韧性

rds:::instance

不涉及

OBS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_OBS_BUCKET_DEFAULT_ENCRYPTION_KMS_CHECK

要求OBS存储桶使用KMS密钥配置服务器端加密。

加密静态数据

obs:::bucket

不涉及

RGC-GR_RFS_OBS_BUCKET_VERSIONING_ENABLED_CHECK

要求OBS存储桶启用版本控制。

提高可用性

obs:::bucket

不涉及

RGC-GR_RFS_OBS_BUCKET_LOGGING_ENABLED_CHECK

要求OBS存储桶配置服务器访问日志记录。

建立日志记录和监控

obs:::bucket

不涉及

OBS、Access Analyzer

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_OBS_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED

OBS桶策略中授权任意禁止的action给外部身份,视为“不合规”。

强制执行最低权限

obs:::bucket

RGC-GR_CONFIG_OBS_BUCKET_SSL_REQUESTS_ONLY

OBS桶策略授权了无需SSL加密的行为,视为“不合规”。

加密传输中的数据

obs:::bucket

不涉及

Organizations

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_ACCOUNT_PART_OF_ORGANIZATIONS

账号未加入组织中,视为“不合规”。

强制执行最低权限

organizations:::accountAssociate

SFS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_SFS_ENCRYPTED_CHECK

要求SFS文件系统使用KMS对文件数据进行静态加密。

加密静态数据

sfs:::fileSystem

不涉及

SMN

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_SMN_LTS_ENABLE

SMN主题未启用事件分析,视为“不合规”。

建立日志记录和监控

smn:::topic

不涉及

SWR

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_SWR_PRIVATE_IMAGE_CHECK

要求SWR为私有存储库。

管理漏洞

swr:::repository

不涉及

TMS

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_REQUIRED_ALL_TAGS

指定标签列表,不具有所有指定标签键的资源,视为“不合规”。

保护配置

tms:::resourceTags

  • TagKeys:
  • TagValues:

RGC-GR_CONFIG_REQUIRED_TAG_CHECK

指定一个标签,不具有此标签的资源,视为“不合规”。

保护配置

tms:::resourceTags

  • specifiedTagKey:
  • specifiedTagValue:

RGC-GR_CONFIG_REQUIRED_TAG_EXIST

指定标签列表,不具有任一指定标签的资源,视为“不合规”。

保护配置

tms:::resourceTags

  • TagKeys:
  • TagValues:

RGC-GR_CONFIG_RESOURCE_TAG_KEY_PREFIX_SUFFIX

指定前缀和后缀,资源不具有任意匹配前后缀的标签键,视为“不合规”。

保护配置

tms:::resourceTags

  • tagKeyPrefix:
  • tagKeySuffix:

RGC-GR_CONFIG_RESOURCE_TAG_NOT_EMPTY

资源未配置标签,视为“不合规”。

保护配置

tms:::resourceTags

不涉及

TaurusDB

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG

未开启审计日志的TaurusDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP

未开启备份的TaurusDB资源,视为“不合规”。

提高韧性

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG

未开启错误日志的TaurusDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG

未开启慢日志的TaurusDB资源,视为“不合规”。

建立日志记录和监控

gaussdb:::mysqlInstance

不涉及

RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_MULTIPLE_AZ_CHECK

TaurusDB实例未跨AZ部署,视为“不合规”。

提高可用性

gaussdb:::mysqlInstance

不涉及

VPC

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_EIP_UNBOUND_CHECK

弹性公网IP未进行任何绑定,视为“不合规”。

优化成本

vpc:::eipAssociate

不涉及

RGC-GR_CONFIG_VPC_FLOW_LOGS_ENABLED

检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”。

建立日志记录和监控

vpc:::flowLog

不涉及

RGC-GR_CONFIG_EIP_BANDWIDTH_LIMIT

弹性公网IP可用带宽小于指定参数值,视为“不合规”

提高可用性

vpc:::eip

RGC-GR_RFS_VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS_CHECK

要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于80和443以外的端口。

限制网络访问

networking:::secgroupRule

不涉及

RGC-GR_RFS_VPC_SG_RESTRICTED_COMMON_PORTS_CHECK

要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于特定的高风险端口。

限制网络访问

严重

networking:::secgroupRule

不涉及

VPCEP

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_VPCEP_ENDPOINT_ENABLED

检查账号下是否存在指定服务名的终端节点,如果不存在任何一个,视为“不合规”。

限制网络访问

vpcep:::endpoint

VPN

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_CONFIG_VPN_CONNECTIONS_ACTIVE

VPN连接状态不为“正常”,视为“不合规”。

提高可用性

vpnaas:::siteConnectionV2

不涉及

RGC-GR_VPN_CONNECTION_PROHIBITED

不允许订阅虚拟专用网络。

保护配置

严重

  • vpn:::connection
  • vpn:::gateway
  • vpn:::customerGateway

不涉及

WAF

控制策略名称

功能

场景

严重程度

资源

规则参数是否必填

RGC-GR_RFS_WAF_GLOBAL_ACL_NOT_EMPTY_CHECK

要求任何WAF全局ACL拥有规则。

限制网络访问

waf:::ruleGlobalProtectionWhitelist

不涉及

RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK

要求WAF规则组为非空。

限制网络访问

waf:::addressGroup

不涉及

相关文档