Resource Orchestration Service服務ROS已與配置審計Config整合,面對大量資源幫您輕鬆實現基礎設施的自主監管,確保持久性合規。在ROS控制台中建立資源棧時,您可以對ROS模板進行資源建立前的合規預檢。
具體操作
當您建立資源棧時,Resource Orchestration Service控制台會根據您輸入模板中的資源,選擇匹配的託管規則檢測資源的配置項是否合規,請參見完成合規檢測。
支援合規預檢的雲端服務
Resource Orchestration Service目前僅支援為部分雲端服務提供合規預檢功能。
關於支援合規預檢的雲端服務,請參見託管規則列表。
支援合規預檢的地區
合規預檢功能支援所有地區。
支援合規預檢的資源類型
資源類型 | 預檢規則名稱 | 預檢規則描述 |
ALIYUN::CR::Repository | cr-repository-type-private | Container Registry鏡像倉庫類型設定為私人,視為“合規”。 |
ALIYUN::ECS::Disk | ecs-disk-encrypted | 檢測您帳號下所有資料磁碟均已加密,存在未加密的資料磁碟視為“不合規”。 |
ALIYUN::ECS::Instance | ecs-memory-min-size-limit | 如果ECS執行個體的記憶體大小大於或等於指定的閾值,則認為該配置符合要求。 |
ecs-instance-deletion-protection-enabled | 檢測您帳號ECS執行個體是否開啟釋放保護開關(僅支援隨用隨付支付類型),未開啟視為“不合規”。 | |
ecs-instance-login-use-keypair | 使用金鑰組登入Linux系統主機,視為“合規”。 | |
ALIYUN::ECS::SecurityGroup | sg-public-access-check | 安全性群組入網設定中包含如下規則:授權策略選擇允許,連接埠範圍設定為-1/-1,授權對象設定為0.0.0.0/0,即為”不合規“。 |
ALIYUN::Elasticsearch::Instance | elasticsearch-instance-enabled-public-check | Elasticsearch執行個體未開啟公網訪問,視為“合規”。 |
ALIYUN::OSS::Bucket | oss-bucket-public-write-prohibited | 檢測OSS儲存桶是否不允許公開寫入,如果某個OSS儲存桶策略或儲存桶 ACL 允許公開寫入,則視為“不合規”。 |
oss-bucket-logging-enabled | 檢查您的OSS儲存桶是否已啟用日誌記錄,未啟用視為“不合規”。 | |
ALIYUN::OTS::Instance | ots-instance-network-not-normal | Table Store執行個體網路類型設定為限定VPC或控制台訪問,視為“合規”。 |
ALIYUN::POLARDB::DBCluster | polardb-public-access-check | 檢測帳號下PolarDB執行個體不允許任意來源公網訪問,允許視為“不合規”。 |
ALIYUN::RDS::DBInstance | rds-instance-enabled-security-ip-list | 檢測您帳號下RDS資料庫執行個體是否啟用安全白名單功能,未啟用視為“不合規”。 |