资源编排服务ROS已与配置审计Config集成,面对大量资源帮您轻松实现基础设施的自主监管,确保持续性合规。在ROS控制台中创建资源栈时,您可以对ROS模板进行资源创建前的合规预检。
具体操作
当您创建资源栈时,资源编排控制台会根据您输入模板中的资源,选择匹配的托管规则检测资源的配置项是否合规,请参见完成合规检测。
支持合规预检的云服务
资源编排目前仅支持为部分云服务提供合规预检功能。
关于支持合规预检的云服务,请参见托管规则列表。
支持合规预检的地域
合规预检功能支持所有地域。
支持合规预检的资源类型
资源类型 | 预检规则名称 | 预检规则描述 |
ALIYUN::CR::Repository | cr-repository-type-private | 容器镜像服务镜像仓库类型设置为私有,视为“合规”。 |
ALIYUN::ECS::Disk | ecs-disk-encrypted | 检测您账号下所有数据磁盘均已加密,存在未加密的数据磁盘视为“不合规”。 |
ALIYUN::ECS::Instance | ecs-memory-min-size-limit | 如果ECS实例的内存大小大于或等于指定的阈值,则认为该配置符合要求。 |
ecs-instance-deletion-protection-enabled | 检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),未开启视为“不合规”。 | |
ecs-instance-login-use-keypair | 使用密钥对登录Linux系统主机,视为“合规”。 | |
ALIYUN::ECS::SecurityGroup | sg-public-access-check | 安全组入网设置中包含如下规则:授权策略选择允许,端口范围设置为-1/-1,授权对象设置为0.0.0.0/0,即为”不合规“。 |
ALIYUN::Elasticsearch::Instance | elasticsearch-instance-enabled-public-check | Elasticsearch实例未开启公网访问,视为“合规”。 |
ALIYUN::OSS::Bucket | oss-bucket-public-write-prohibited | 检测OSS存储桶是否不允许公开写入,如果某个OSS存储桶策略或存储桶 ACL 允许公开写入,则视为“不合规”。 |
oss-bucket-logging-enabled | 检查您的OSS存储桶是否已启用日志记录,未启用视为“不合规”。 | |
ALIYUN::OTS::Instance | ots-instance-network-not-normal | 表格存储实例网络类型设置为限定VPC或控制台访问,视为“合规”。 |
ALIYUN::POLARDB::DBCluster | polardb-public-access-check | 检测账号下PolarDB实例不允许任意来源公网访问,允许视为“不合规”。 |
ALIYUN::RDS::DBInstance | rds-instance-enabled-security-ip-list | 检测您账号下RDS数据库实例是否启用安全白名单功能,未启用视为“不合规”。 |