服務啟用時快速體驗合規包,為您提供雲上資源管理與治理的基礎實踐檢測。本文為您介紹QuickStartCompliancePack中的預設規則。
規則名稱 | 規則描述 |
阿里雲主帳號不存在任何狀態的AccessKey,視為“合規”。阿里雲主帳號AccessKey許可權過大且不可縮小,一旦泄漏會造成災難後果,建議使用RAM使用者AccessKey並做好許可權控制。 | |
Action Trail中存在開啟狀態的跟蹤,且跟蹤全部地區和全部事件類型,視為“合規”。如果是資來源目錄成員帳號,當管理員有建立應用到所有成員帳號的跟蹤時,視為“合規”。 | |
阿里雲主帳號開啟MFA,視為“合規”。建議為阿里雲主帳號開啟多因素認證(MFA),降低帳號被盜風險。 | |
ECS執行個體沒有直接綁定IPv4公網IP或Elastic IP Address,視為“合規”。 | |
OSS儲存空間的ACL不開啟公用讀取,視為“合規”。OSS儲存空間的公用讀取許可權會增加儲存資料在公網泄露的風險,建議關閉。 | |
RAM使用者、RAM使用者組、RAM角色均未賦予Resource為且Action為的Admin許可權,視為“合規”。建議最小化控制RAM使用者權限,不建議為RAM使用者、RAM使用者組或RAM角色添加Resource為且Action為的Admin許可權。 | |
檢測RAM使用者是否開通MFA二次驗證登入,開通視為“合規”。 | |
RAM使用者的AccessKey建立時間或者AccessKey最後使用時間距離檢查時間不超過指定天數,視為“合規”。預設值:90天。 | |
RAM使用者存在狀態為啟用同時建立時間超過了指定天數的AccessKey數量小於2個,視為“合規”。建議RAM使用者最多存在1個有效AccessKey,輪換時可短時間內持有2個。 | |
RDS執行個體未開啟公網IP,或者開啟白名單未設定為對所有來源IP開放,視為“合規”。 |