安全身份和合规性运营最佳实践
该示例模板中对应的合规规则的说明如下表所示:
| 合规规则 | 规则中文名称 | 涉及云服务 | 规则描述 |
|---|---|---|---|
| access-keys-rotated | IAM用户的AccessKey在指定时间内轮换 | iam | IAM用户的访问密钥未在指定天数内轮转,视为“不合规” |
| pca-certificate-authority-expiration-check | 检查私有CA是否过期 | pca | 私有CA在指定时间内过期,视为“不合规” |
| pca-certificate-expiration-check | 检查私有证书是否过期 | pca | 私有证书在指定时间内到期,视为“不合规” |
| apig-instances-execution-logging-enabled | APIG专享版实例配置访问日志 | apig | APIG专享版实例未配置访问日志,视为“不合规” |
| cts-lts-enable | CTS追踪器启用事件分析 | cts | CTS追踪器未转储到LTS,视为“不合规” |
| cts-tracker-exists | 创建并启用CTS追踪器 | cts | 账号未创建并启用CTS追踪器,视为“不合规” |
| cts-kms-encrypted-check | CTS追踪器通过KMS进行加密 | cts | CTS追踪器未通过KMS进行加密,视为“不合规” |
| cts-support-validate-check | CTS追踪器打开事件文件校验 | cts | CTS追踪器未打开事件文件校验,视为“不合规” |
| kms-rotation-enabled | KMS密钥启用密钥轮换 | kms | KMS密钥未启用密钥轮换,视为“不合规” |
| iam-customer-policy-blocked-kms-actions | IAM策略中不授权KMS的禁止的action | iam, access-analyzer-verified | IAM策略中授权KMS的任一阻拦action,视为“不合规” |
| iam-group-has-users-check | IAM用户组添加了IAM用户 | iam | IAM用户组未添加任意IAM用户,视为“不合规” |
| iam-password-policy | IAM用户密码策略符合要求 | iam | IAM用户密码强度不满足密码强度要求,视为“不合规” |
| iam-policy-no-statements-with-admin-access | IAM策略不具备Admin权限 | iam | IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规” |
| iam-role-has-all-permissions | IAM自定义策略具备所有权限 | iam | IAM自定义策略具有allow的任意云服务的全部权限,视为“不合规” |
| iam-root-access-key-check | 根用户存在可使用的访问密钥 | iam | 根用户存在可使用的访问密钥,视为“不合规” |
| iam-user-group-membership-check | IAM用户归属指定用户组 | iam | IAM用户不属于指定IAM用户组,视为“不合规” |
| iam-user-mfa-enabled | IAM用户开启MFA | iam | IAM用户未开启MFA认证,视为“不合规” |
| iam-user-last-login-check | IAM用户在指定时间内有登录行为 | iam | IAM用户在指定时间范围内无登录行为,视为“不合规” |
| vpc-sg-restricted-ssh | 安全组入站流量限制SSH端口 | vpc | 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” |
| kms-not-scheduled-for-deletion | KMS密钥不处于“计划删除”状态 | kms | KMS密钥处于“计划删除“状态,视为“不合规” |
| mfa-enabled-for-iam-console-access | Console侧密码登录的IAM用户开启MFA认证 | iam | 通过console密码登录的IAM用户未开启MFA认证,视为“不合规” |
| rds-instance-logging-enabled | RDS实例配备日志 | rds | 未配备任何日志的rds资源,视为“不合规” |
| vpc-sg-restricted-common-ports | 安全组入站流量限制指定端口 | vpc | 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6端口(::/0),视为“不合规” |
| root-account-mfa-enabled | 根用户开启MFA认证 | iam | 根用户未开启MFA认证,视为“不合规” |
| vpc-default-sg-closed | 默认安全组关闭出、入方向流量 | vpc | 虚拟私有云的默认安全组允许入方向或出方向流量,视为“不合规” |
| vpc-sg-ports-check | 安全组端口检查 | vpc | 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放了所有的TCP或UDP端口时,视为“不合规” |
