計算巢架起了夥伴與客戶在雲上的橋樑,既協助夥伴降低應用交付成本、提升營運效率,也協助其客戶實現高效的軟體部署、獲得流暢的客戶體驗。本文將從安全、設計、效能和法律等方面介紹計算巢服務發布的審核標準。
提交之前
為了協助您順利地通過計算巢服務發布審核,請確保在提交審核之前您已經完成核對下方列表中的每一項內容。請確保:
安全
當使用者通過計算巢部署軟體時,他們希望獲得安全的體驗。如果您的服務不符合安全準則,請修訂後再提交審核。
服務資訊審核標準
服務名稱、表徵圖、服務簡介不應包含涉嫌暴力、血腥、政治、宗教、歧視、色情、侵犯個人隱私等禁止或敏感內容。
您理解並同意,中華人民共和國的國家秘密受法律保護,您有保守中華人民共和國國家秘密的義務;服務資訊應遵守相關保密法律法規的要求,並不得危害中華人民共和國國家秘密的安全。
模板輸入參數(Parameters)審核標準
模板輸入參數不得包含使用者的ALIYUN憑據(例如密碼、共有密鑰、私人密鑰或認證)。
不要為遠程服務,CIDR/IP或資料庫的密碼設定預設值,這些參數必須作為輸入參數由使用者提供;對於密碼類敏感輸入內容,請選擇NoEcho輸入並啟用更嚴格的Regex;對於其他的輸入,設定最常見的輸入及相應的協助文本。
模板網路和安全參數審核標準
確保預設SSH連接埠 (22) 或 RDP連接埠 (3389) 未對0.0.0.0 開啟,具體請參考Elastic Compute Service安全性。
私人化部署不允許使用傳統網路執行個體。
將RAM的角色和原則設定為最低許可權,原則上不允許信任關係授權於非阿里雲服務,如果需要使用InstanceRole功能,請參考通過ECS執行個體RAM角色授權ECS訪問其他雲資源。
鏡像和交付物審核標準
鏡像中不能包含有漏洞的系統軟體,請到Security Center掃描漏洞。
我們建議執行個體身分識別驗證使用金鑰組的存取權限,而非基於密碼的身分識別驗證。
鏡像內不得出於任何原因包含密碼、身分識別驗證密鑰、金鑰組、安全密鑰或其他憑證。
鏡像不得向使用者請求或者使用密鑰或者私人密鑰以訪問ALIYUN資源。
基於Linux的鏡像不得允許SSH密碼身分識別驗證,可以通過sshd_config檔案將PasswordAuthentication設定為NO以禁用密碼身分識別驗證。
資料安全性稽核標準
服務商應實施適當的安全舉措,確保按照計算巢服務合約和本文中法律準則的部分妥善處理收集到的使用者資訊,防止對這些資訊進行未經授權使用、披露或者被第三方訪問。
效能
為保證使用者在部署服務執行個體時的體驗,請確保您發布的計算巢服務符合如下的效能要求。
計算巢服務完成度
提交至阿里雲審核的申請應為該服務的最終版本,保證使用者在購買該服務時擷取到完整可用的服務。提交審核前,請確保已經對該服務部署過程進行了穩定性測試。我們將拒絕不完整的服務以及會出現明顯錯誤問題的服務。
準確的中繼資料
請確保您的服務資訊能夠準確反映該服務的核心內容,以便客戶準確地瞭解他們購買時所獲得的服務。在您更新服務版本時,請同時更新服務資訊以保持與服務版本相應的最新描述。請勿在服務中包含隱藏、休眠或未記錄的功能,計算巢服務包含的功能應清晰可見。
部署時間配置
在建立服務的過程中,您可以在部署時間配置處設定預計部署時間和部署逾時時間。預計部署時間會顯示給使用者,告知其部署時間預期。部署逾時時間設定了該服務部署時超過多長時間則為異常,使用者側部署時,如果部署時間超過了逾時時間,則會顯示部署失敗。
服務穩定性
服務應保持穩定,包括升級的穩定性,即在服務升級過程中不會影響使用者的正常使用。
設計
請遵循計算巢服務的設計規範,從而保證服務的品質。
服務資訊規範
服務資訊需要提供中文和英文,且全面完整。
在服務簡介中,需要明確說明服務的限制,適用和不適用情境。
套餐使用規範
在建立服務的過程中,您可以通過套餐設定,簡化使用者輸入參數較多的使用流程。在模板中定義好使用者需要輸入的參數後,從這些輸入參數中選擇套餐需要包含的參數,並配置各套餐參數的預設值,即可完成套餐設定。
模板內容規範
錄入模板時,請參考錄入模板完成模板錄入。
模板參數的描述Description需要提供中文和英文。
法律
只要計算巢服務向某個地區的使用者提供,那麼就必須遵守該地區的所有法律要求。請確保您遵守計算巢服務合約相關的條款。
資料收集和儲存規範
許可:服務商必須要經過使用者的同意,才能收集使用者的資料。付費功能不得依賴或要求使用者授予訪問這些資料的許可權。服務商應實施適當的安全舉措,妥善處理收集到的使用者資訊,防止對這些資訊進行未經授權使用、披露或者被第三方訪問。
存取權限:服務商需要按照與使用者達成的購買協議,遵循相應對於使用者資料的存取權限。例如使用者的連絡方式、代營運需要擷取的使用者資料等。
資料使用和共用規範
除非法律另有許可,否則您不得未經使用者允許而使用、傳輸或共用使用者的個人資料。您必須提供相應的資訊,說明以何種方式在哪裡使用這些資料。如果服務在未經使用者同意或未能符合資料隱私保護法律的情況下共用使用者資料,則該服務可能會被下架,並且可能導致您從計算巢計劃中除名。
除非法律另有明確許可,否則未經使用者的額外同意,為一個用途而收集的資料不可用於其他用途。
智慧財產權規範
服務商擁有其品牌、標識、通過計算巢發布的服務、其他公示於計算巢的各類資訊或製作其派生作品的相關智慧財產權,並同意授予計算巢營運方免費的許可使用權利,使計算巢營運方有權(全部或部分地)使用、複製、轉載、執行和展示服務商的品牌、標識、公示於計算巢的各類資訊內容等。
服務商必須保證對其在計算巢中發布的服務,擁有合法的自有智慧財產權(包括著作權、專利權和商標權等),或已取得合法、充分的授權,承擔一切關於智慧財產權合法性的法律責任和風險。計算巢營運方有權隨時要求服務商提供相關智慧財產權證明材料以供查證。確保不會侵犯任何第三方享有的合法權利或權益。
提交之後
在計算巢控制台中建立服務並提交審核之後,就會進入審核流程。請謹記以下幾點:
時間:阿里雲會儘快檢查您的服務並在3個工作日內完成審核。如果該服務比較複雜或者存在新的問題,則可能需要更深入的審查和考量。
狀態更新:你提交審核的服務的目前狀態會反映在計算巢控制台的審核申請中,請注意查看。
發布日期:在計算巢服務通過審核後,您需要自己點擊上線服務將該服務上線,並且需要自行建立雲市場商品將其關聯。因此您可以自己控制發布日期。
拒絕:如果您的服務審核申請被拒絕,但您存在疑問,或希望提供其他資訊,請聯絡阿里雲客戶經理或者阿里雲售後直接溝通。