适用于统一身份认证服务(IAM)的最佳实践
该示例模板中对应的合规规则的说明如下表所示:
|
合规规则 |
规则中文名称 |
涉及云服务 |
规则描述 |
|---|---|---|---|
|
access-keys-rotated |
IAM用户的AccessKey在指定时间内轮换 |
iam |
IAM用户的访问密钥未在指定天数内轮转,视为“不合规”. |
|
iam-group-has-users-check |
IAM用户组添加了IAM用户 |
iam |
IAM用户组未添加任意IAM用户,视为“不合规” |
|
iam-password-policy |
IAM用户密码策略符合要求 |
iam |
IAM用户密码强度不满足密码强度要求,视为“不合规” |
|
iam-root-access-key-check |
IAM账号存在可使用的访问密钥 |
iam |
账号存在可使用的访问密钥,视为“不合规” |
|
iam-user-console-and-api-access-at-creation |
IAM用户创建时设置AccessKey |
iam |
对于从Console侧访问的IAM用户,其创建时设置访问密钥,视为“不合规” |
|
iam-user-group-membership-check |
IAM用户归属指定用户组 |
iam |
IAM用户不属于指定IAM用户组,视为“不合规” |
|
iam-user-last-login-check |
IAM用户在指定时间内有登录行为 |
iam |
IAM用户在指定时间范围内无登录行为,视为“不合规” |
|
iam-user-mfa-enabled |
IAM用户开启MFA |
iam |
IAM用户未开启MFA认证,视为“不合规” |
|
iam-user-single-access-key |
IAM用户单访问密钥 |
iam |
IAM用户拥有多个处于“active”状态的访问密钥,视为“不合规” |
|
mfa-enabled-for-iam-console-access |
Console侧密码登录的IAM用户开启MFA认证 |
iam |
通过Console密码登录的IAM用户未开启MFA认证,视为“不合规” |
|
root-account-mfa-enabled |
根账号开启MFA认证 |
iam |
根账号未开启MFA认证,视为“不合规” |
|
iam-policy-in-use |
IAM策略使用中 |
iam |
IAM策略未附加到IAM用户、用户组或委托,视为“不合规” |
|
iam-role-in-use |
IAM权限使用中 |
iam |
IAM权限未附加到IAM用户、用户组或委托,视为“不合规” |
|
iam-user-login-protection-enabled |
IAM用户开启登录保护 |
iam |
IAM用户未开启登录保护,视为“不合规” |
|
iam-user-no-policies-check |
IAM用户不直接附加策略或权限 |
iam |
IAM用户直接附加了策略或权限,视为“不合规” |
|
iam-user-check-non-admin-group |
IAM用户admin权限检查 |
iam |
根用户以外的IAM用户加入admin用户组,视为“不合规” |
