雲治理中心合規實踐是雲端式治理中心的最佳實務,對多帳號環境的安全性做持續檢測。本文為您介紹帳號許可權合規管理最佳實務合規包中的預設規則。
規則名稱 | 規則描述 |
OSS儲存空間開啟服務端OSS完全託管加密,視為“合規”。 | |
OSS儲存空間的ACL策略禁止公用讀寫,視為“合規”。 | |
OSS儲存空間的ACL策略禁止公用讀取,視為“合規”。 | |
阿里雲帳號不存在任何狀態的AccessKey,視為“合規”。 | |
阿里雲帳號開啟MFA,視為“合規”。 | |
ECS資料磁碟已開啟加密,視為“合規”。 | |
當安全性群組入網網段設定為0.0.0.0/0時,連接埠範圍不包含指定風險連接埠,視為“合規”。若入網網段未設定為0.0.0.0/0時,即使連接埠範圍包含指定的風險連接埠,也視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | |
安全性群組入方向授權策略為允許,當連接埠範圍-1/-1和授權對象0.0.0.0/0未同時出現,或者被優先順序更高的授權策略拒絕,視為“合規”。雲產品或虛商所使用的安全性群組視為“不適用”。 | |
如果未指定參數,則檢查RDS執行個體的網路類型為專用網路;如果指定參數,則檢查RDS執行個體的專用網路執行個體在指定參數範圍內,視為“合規”。多個參數值用半形逗號(,)分隔。 | |
RDS執行個體的資料安全性設定開啟TDE加密,視為“合規”。 | |
RDS執行個體未配置公網地址,視為“合規”。生產環境的RDS執行個體不推薦配置公網直接存取,容易被駭客攻擊。 | |
RAM使用者密碼策略中各項配置滿足參數設定的值,視為“合規”。 | |
RAM使用者AccessKey的最後使用時間距今天數小於參數設定的天數,視為“合規”。預設值:90天。 | |
ECS執行個體開啟釋放保護,視為“合規”。 | |
SLB執行個體開啟釋放保護,視為“合規”。 | |
阿里雲帳號擁有指定名稱的角色,視為“合規”。 | |
開啟控制台訪問功能的RAM使用者登入設定中必須開啟多因素認證或者已啟用MFA,視為“合規”。 | |
SLB在指定連接埠上開啟HTTPS協議的監聽,視為“合規”。如果SLB執行個體只開啟TCP或者UDP協議的監聽,視為“不適用”。 | |
資源歸屬於參數指定的地區範圍,視為“合規”。 | |
如果RAM使用者在最近90天有登入行為,視為“合規”。如果RAM使用者的最近登入時間為空白,則檢查更新時間,當更新時間小於等於90天時,視為“合規”。未開啟控制台訪問的使用者視為“不適用”。 | |
資源匹配參數指定的標籤索引值對,視為“合規”。標籤輸入大小寫敏感,支援萬用字元 | |
最多可定義6組標籤,資源需同時具有指定的所有標籤,視為“合規”。標籤輸入大小寫敏感,每組最多隻能輸入一個值。 | |
OSS儲存空間的日誌管理中開啟日誌轉存,視為“合規”。 |