BestPracticesForIdentityAndPermissions コンプライアンスパッケージテンプレートは、アクセスキーペア、Alibaba Cloud アカウント、および RAM ユーザーの設定と使用状況をチェックします。このトピックでは、BestPracticesForIdentityAndPermissions コンプライアンスパッケージテンプレートで管理されているルールについて説明します。
ルール名 | 説明 |
各 RAM ユーザーのアクセスキーペアが作成された時刻が、チェック時刻の指定日数以前であるかどうかをチェックします。そうである場合、評価結果は「準拠」です。デフォルト値:90。単位:日。 | |
各 RAM ユーザーのアクセスキーペアが使用された時刻が、現在の日付の指定日数以前であるかどうかをチェックします。そうである場合、評価結果は「準拠」です。デフォルト値:90。単位:日。 | |
各 RAM ユーザーに対して、コンソールアクセスと API アクセスのいずれかの機能が有効になっているかどうかをチェックします。そうである場合、評価結果は「準拠」です。 | |
各 RAM ユーザーが過去 90 日以内にログオンしたかどうかをチェックします。そうである場合、評価結果は「準拠」です。RAM ユーザーが過去 90 日以内に更新されたかどうかをチェックします。そうである場合、RAM ユーザーが最近ログオンしたかどうかに関係なく、評価結果は「準拠」です。コンソールアクセス権のない RAM ユーザーの場合、評価結果は「該当なし」です。 | |
各 RAM ユーザーが、指定日数以上前に作成されたアクティブなアクセスキーペアを 2 つ未満所有しているかどうかをチェックします。そうである場合、評価結果は「準拠」です。ほとんどの場合、各 RAM ユーザーは 1 つの有効なアクセスキーペアを所有し、ローテーション中は 2 つの有効なアクセスキーペアを所有することをお勧めします。 | |
各 RAM ユーザーに設定されているパスワードポリシーの設定が指定された値を満たしているかどうかをチェックします。そうである場合、評価結果は「準拠」です。 | |
RAM ユーザー、RAM ユーザーグループ、および RAM ロールの Action パラメーターが、スーパー管理者権限を示す * に設定されていないかどうかをチェックします。そうである場合、評価結果は「準拠」です。 | |
現在の Alibaba Cloud アカウントで多要素認証(MFA)が有効になっているかどうかをチェックします。そうである場合、評価結果は「準拠」です。 | |
各 ACK クラスタで RRSA 機能が有効になっているかどうかをチェックします。そうである場合、評価結果は「準拠」です。RRSA は、ポッドベースの API アクセス隔離を保証します。これにより、クラウドリソースへのアクセス権限をきめ細かく隔離し、セキュリティリスクを軽減できます。 | |
各 ECS インスタンスに RAM ロールが割り当てられているかどうかをチェックします。そうである場合、評価結果は「準拠」です。 | |
Function Compute でサービスロールが有効になっているかどうかをチェックします。そうである場合、評価結果は「準拠」です。これは、Alibaba Cloud アカウントシークレットの漏洩によるセキュリティリスクを防ぎます。 |