為AccessKey及許可權的治理提供最佳實務,從AccessKey、阿里雲帳號、RAM使用者的設定和使用方式等方面進行檢測。本文為您介紹AccessKey及許可權治理最佳實務合規包中的預設規則。
規則名稱 | 規則描述 |
RAM使用者下AccessKey的建立時間距離檢查時間不超過指定天數,視為“合規”。預設值:90天。 | |
RAM使用者AccessKey的最後使用時間距今天數小於參數設定的天數,視為“合規”。預設值:90天。 | |
RAM使用者未同時開啟控制台訪問和API調用訪問,視為“合規”。 | |
如果RAM使用者在最近90天有登入行為,視為“合規”。如果RAM使用者的最近登入時間為空白,則檢查更新時間,當更新時間小於等於90天時,視為“合規”。未開啟控制台訪問的使用者視為“不適用”。 | |
RAM使用者存在狀態為啟用同時建立時間超過了指定天數的AccessKey數量小於2個,視為“合規”。建議RAM使用者最多存在1個有效AccessKey,輪換時可短時間內持有2個。 | |
RAM使用者密碼策略中各項配置滿足參數設定的值,視為“合規”。 | |
RAM使用者、RAM使用者組、RAM角色均未擁有Resource為 | |
阿里雲帳號開啟MFA,視為“合規”。 | |
啟用ACK叢集的RRSA功能,視為“合規”。RRSA功能可以在叢集內實現Pod維度OpenAPI許可權隔離,從而實現雲資源存取權限的細粒度隔離,降低安全風險。 | |
ECS執行個體被授予了執行個體RAM角色,視為“合規”。 | |
Function Compute服務配置了服務角色,視為“合規”。避免因暴露阿里雲帳號密鑰,造成安全風險。 |