AccessKey と権限管理のコンプライアンスパッケージは、AccessKey、Alibaba Cloud アカウント、および Resource Access Management (RAM) ユーザーの設定と使用状況をチェックします。次の表に、このコンプライアンスパッケージのデフォルトルールを示します。
|
ルール名 |
ルールの説明 |
|
RAM ユーザーの AccessKey は、作成後の経過日数が指定された日数を超えない場合に準拠します。デフォルト値:90 日。 |
|
|
RAM ユーザーの AccessKey は、最終使用日からの日数がパラメーターで指定された値未満である場合に準拠します。デフォルト値:90 日。 |
|
|
RAM ユーザーは、コンソールアクセスと API 呼び出しアクセスの両方が有効になっていない場合に準拠します。 |
|
|
RAM ユーザーは、過去 90 日以内にログオンしている場合に準拠します。最終ログオン時刻が空の場合、そのユーザーは過去 90 日以内にプロファイルが更新されていれば準拠します。このルールは、コンソールアクセス権を持たないユーザーには適用されません。 |
|
|
RAM ユーザーは、指定された日数より古いアクティブな AccessKey が 2 つ未満の場合に準拠します。RAM ユーザーが持つアクティブな AccessKey は 1 つのみにすることを推奨します。ただし、キーのローテーション中は、一時的に 2 つのアクティブな AccessKey を持つことができます。 |
|
|
RAM ユーザーのパスワードポリシーは、すべての設定がパラメーターで指定された値と一致する場合に準拠します。 |
|
|
RAM ユーザー、RAM ユーザーグループ、または RAM ロールに、 |
|
|
Alibaba Cloud アカウントは、多要素認証 (MFA) が有効になっている場合に準拠します。 |
|
|
Container Service for Kubernetes (ACK) クラスターは、RRSA 機能が有効になっている場合に準拠します。RRSA 機能は、クラスター内で Pod レベルの OpenAPI 権限分離を提供します。これにより、クラウドリソースへのアクセスに対するきめ細かな権限分離が可能になり、セキュリティリスクが低減されます。 |
|
|
Elastic Compute Service (ECS) インスタンスは、インスタンス RAM ロールがアタッチされている場合に準拠します。 |
|
|
Function Compute サービスは、サービスロールが設定されている場合に準拠します。これにより、Alibaba Cloud アカウントの AccessKey が漏洩することによって生じる可能性のあるセキュリティリスクを防ぎます。 |