云治理中心合规实践是基于云治理中心的最佳实践,对多账号环境的安全性做持续检测。本文为您介绍账号权限合规管理最佳实践合规包中的默认规则。
规则名称 | 规则描述 |
OSS存储空间开启服务端OSS完全托管加密,视为“合规”。 | |
OSS存储空间的ACL策略禁止公共读写,视为“合规”。 | |
OSS存储空间的ACL策略禁止公共读,视为“合规”。 | |
阿里云账号不存在任何状态的AccessKey,视为“合规”。 | |
阿里云账号开启MFA,视为“合规”。 | |
ECS数据磁盘已开启加密,视为“合规”。 | |
当安全组入网网段设置为0.0.0.0/0时,端口范围不包含指定风险端口,视为“合规”。若入网网段未设置为0.0.0.0/0时,即使端口范围包含指定的风险端口,也视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 | |
安全组入方向授权策略为允许,当端口范围-1/-1和授权对象0.0.0.0/0未同时出现,或者被优先级更高的授权策略拒绝,视为“合规”。云产品或虚商所使用的安全组视为“不适用”。 | |
如果未指定参数,则检查RDS实例的网络类型为专有网络;如果指定参数,则检查RDS实例的专有网络实例在指定参数范围内,视为“合规”。多个参数值用半角逗号(,)分隔。 | |
RDS实例的数据安全性设置开启TDE加密,视为“合规”。 | |
RDS实例未配置公网地址,视为“合规”。生产环境的RDS实例不推荐配置公网直接访问,容易被黑客攻击。 | |
RAM用户密码策略中各项配置满足参数设置的值,视为“合规”。 | |
RAM用户AccessKey的最后使用时间距今天数小于参数设置的天数,视为“合规”。默认值:90天。 | |
ECS实例开启释放保护,视为“合规”。 | |
SLB实例开启释放保护,视为“合规”。 | |
阿里云账号拥有指定名称的角色,视为“合规”。 | |
开启控制台访问功能的RAM用户登录设置中必须开启多因素认证或者已启用MFA,视为“合规”。 | |
SLB在指定端口上开启HTTPS协议的监听,视为“合规”。如果SLB实例只开启TCP或者UDP协议的监听,视为“不适用”。 | |
资源归属于参数指定的区域范围,视为“合规”。 | |
如果RAM用户在最近90天有登录行为,视为“合规”。如果RAM用户的最近登录时间为空,则检查更新时间,当更新时间小于等于90天时,视为“合规”。未开启控制台访问的用户视为“不适用”。 | |
资源匹配参数指定的标签键值对,视为“合规”。标签输入大小写敏感,支持通配符 | |
最多可定义6组标签,资源需同时具有指定的所有标签,视为“合规”。标签输入大小写敏感,每组最多只能输入一个值。 | |
OSS存储空间的日志管理中开启日志转存,视为“合规”。 |