调用DescribeRiskCheckResult接口查询云平台配置检查的检查结果列表。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeRiskCheckResult

要执行的操作。取值:DescribeRiskCheckResult

SourceIp String 1.2.XX.XX

访问源的IP地址。

Lang String zh

设置请求和接收消息的语言类型,默认为zh。取值:

  • zh:中文
  • en:英文
GroupId Long 1

要查询的检查项类型。取值:

  • 1:身份认证及权限
  • 2:网络访问控制
  • 3:日志审计
  • 4:数据安全
  • 5:监控告警
  • 6:基础安全防护
说明 不设置检查项类型,默认查询所有检查项类型。
CurrentPage Integer 1

设置从返回结果的第几页开始显示查询结果。默认值为1,表示从第1页开始显示。

RiskLevel String high

要查询的检查项风险等级。取值:

  • high:高危
  • medium:中危
  • low:低危
Status String pass

检查结果的状态。取值:

  • pass:通过
  • failed:失败
  • running:运行中
  • waiting:等待运行
  • ignored:已忽略
  • falsePositive:已标记误报
AssetType String RDS

要查询的云产品类型。云产品类型对应的风险检查项详细信息,请参见本文档返回参数后的风险检查项表格。

Name String 云平台-主账号双因素认证配置检查

检查项名称。检查项名称及对应的风险检查项详细信息,请参见本文档返回参数后的风险检查项表格。

PageSize Integer 20

设置分页查询时,每页显示的检查结果的数量。默认值为20,表示每页显示20条检查结果。

QueryFlag String enabled

检查项的启用状态。取值:

  • enabled:已启用
  • disabled:未启用
ItemIds.N String 15

检查项ID。ID值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。

返回数据

名称 类型 示例值 描述
CurrentPage Integer 1

分页查询时,当前页的页码。

RequestId String AD271C07-4ACE-413D-AA9B-F14FD3B7717F

本次调用请求的ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

PageSize Integer 20

分页查询时,每页显示的检查结果的数量。默认值为20,表示每页显示20条检查结果。

TotalCount Integer 12

查询到的检查结果数据的总条数。

PageCount Integer 20

查询到的检查结果数据的总页数。

Count Integer 10

分页查询时,显示的当前页的数据条数。

List Array of RiskCheckResultForDisplay

检查项信息。

RiskLevel String high

检查项的风险等级。取值:

  • high:高危
  • medium:中危
  • low:低危
Status String pass

检查项检查状态。取值:

  • pass:通过
  • failed:失败
  • running:运行中
  • waiting:等待运行
  • ignored:已忽略
  • falsePositive:已标记误报
Type String 身份认证及权限

检查项类型。取值:

  • 身份认证及权限
  • 网络访问控制
  • 日志审计
  • 数据安全
  • 监控告警
  • 基础安全防护
Sort Integer 1

检查结果的排序序号。仅决定展示检查项的顺序。

RepairStatus String disabled

配置检查项是否支持修复功能。取值:

  • enabled:支持修复
  • disabled:不支持修复
RemainingTime Integer 0

预计下一次检查的时间。

ItemId Long 1

检查项ID。检查项ID及对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。

StartStatus String enabled

检查项启用状态。取值:

  • enabled:用户所用的产品版本支持检测该检查项。
  • disable:用户所用的产品版本不支持检测该检查项。
AffectedCount Integer 0

受影响的资产数量。

RiskAssertType String ECS

受影响的资产类型。

Title String 云平台-主账号双因素认证配置检查

检查项名称。

TaskId Long 15384933

检查任务的ID。

CheckTime Long 1639429164000

最新检测的时间戳,单位为毫秒。

RiskItemResources Array of RiskItemResource

检查项的详情数据。

ContentResource String { "type": "link", "value": "未开启多因素认证,存在风险\n", "url": "https://***.aliyun.com/#/secure\n" }

检查结果详情。

ResourceName String bestPractice

详情的标题。取值:

  • bestPractice:检查描述
  • influence:威胁影响
  • suggestion:指导方案
  • helpResource:帮助资源

以下表格展示了所有云平台配置检查项的ID、名称、类型、风险等级、云产品类型和说明。

ItemId(检查项ID)

Name(检查项名称)

GroupId(检查项类型)

RiskLevel(风险等级)

AssetType(云产品类型)

说明

1

操作审计-日志配置

3(日志审计)

medium

ActionTrail

检查是否已启用操作审计服务记录云平台操作日志,并正确配置日志保存到OSS Bucket。

2

RDS-数据库安全策略

4(数据安全)

medium

RDS

检查RDS的各个实例是否已启用数据加密传输(SSL)、数据加密存储(TDE)和SQL审计服务。

3

主账号安全-双因素认证

1(身份认证及权限)

high

RAM

检查用户登录阿里云控制台的主账号,是否已启用双因素认证MFA(Multi-Factor Authentication)。

4

云盾-高防回源配置

2(网络访问控制)

high

DDoS

检查使用DDoS高防服务后,是否已隐藏后端服务器真实IP地址。避免攻击者直接访问真实IP绕过高防。通过设置白名单的方式可以隐藏后端服务器真实IP地址,当真实IP为弹性计算服务(ECS) IP时,在弹性计算服务(ECS)安全组设置访问控制策略;当真实IP为负载均衡服务(SLB) IP时,在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许高防回源IP地址访问。

5

RDS-白名单配置

2(网络访问控制)

high

RDS

检查数据库服务(RDS)的访问控制策略是否有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。

6

SLB-高危端口暴露

2(网络访问控制)

high

SLB

检查负载均衡服务(SLB)是否已配置高危服务端口转发到公网。

7

云盾-WAF回源配置

2(网络访问控制)

high

WAF

检查使用WAF服务后,是否已隐藏后端服务器真实IP地址。避免攻击者直接访问真实IP绕过WAF。通过设置白名单的方式可以实现,当真实IP为弹性计算服务(ECS) IP时,在弹性计算服务(ECS)安全组设置相应访问控制策略;当真实IP为负载均衡服务(SLB)IP时,在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许WAF回源IP地址访问。

8

云盾-主机安全防护

6(基础安全防护)

high

ECS

检查ECS主机的云安全中心Agent是否持续在线,提供安全防护。

12

OSS-Bucket权限设置

4(数据安全)

high

OSS

检查OSS所有Bucket是否允许公共读写或公共读。公共读(public-read)、公共读写(public-read-write)权限可以不通过身份验证直接读取或者写入您Bucket中的数据,安全风险高,为确保您的数据安全,不推荐此配置,建议您选择私有(private)访问控制方式。

13

云安全中心-AK泄露检测配置

5(监控告警)

medium

RAM

检查是否开启了AK和账密防泄漏功能。API凭证(即阿里云AccessKey)是用户访问内部资源最重要的身份凭证。为了避免不慎泄露AccessKey造成的恶劣影响,建议在云安全中心开启AK泄漏检测。

14

MongoDB-白名单配置

2(网络访问控制)

high

MongoDB

检查云数据库MongoDB实例是否已开启白名单限制。如果开启白名单,并且白名单设置为0.0.0.0/0和空代表不设IP访问的限制,数据库将会有高安全风险。建议仅将您访问MongoDB数据库的服务器外网IP/IP段设为可访问权限。

15

RAM-子账号双因素认证

1(身份认证及权限)

medium

RAM

子账号安全-检测是否已开启双因素认证。

16

OSS-日志记录配置

4(数据安全)

medium

OSS

检查OSS所有Bucket是否已启用日志记录。用户在访问OSS的过程中,会产生大量的访问日志。日志存储功能,可将OSS的访问日志,以小时为单位,按照固定的命名规则,生成一个Object写入您指定的Bucket(目标 Bucket,Target Bucket)。您可以使用阿里云DataLakeAnalytics或搭建Spark集群等方式对这些日志文件进行分析。同时,您可以配置目标 Bucket 的生命周期管理规则,将这些日志文件转成归档存储,长期归档保存。

17

OSS-跨区域复制配置

4(数据安全)

low

OSS

检查OSS所有Bucket是否已启用跨区域复制。跨区域复制(Bucket Cross-Region Replication)是跨不同OSS数据中心(地域)的Bucket自动、异步复制Object,它会将Object的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。该功能能够很好的提供Bucket跨区域容灾或满足用户数据复制的需求。目标Bucket中的对象是源Bucket中对象的精确副本,它们具有相同的对象名、元数据以及内容,例如创建时间、拥有者、用户定义的元数据、Object ACL、对象内容等。

18

RDS-开启数据库备份

4(数据安全)

medium

RDS

数据安全-检查是否开启数据库备份。建议RDS数据库实例开启数据备份功能,数据备份应当每天备份一次。

19

Redis-白名单配置

2(网络访问控制)

high

Redis

数据安全-检查Redis访问控制。

20

ECS-密钥对登录

1(身份认证及权限)

medium

ECS

ECS-密钥对登录检查。

21

SLB-健康状态

5(监控告警)

low

SLB

负载均衡实例健康状态检查。

22

PolarDB-白名单配置

2(网络访问控制)

medium

PolarDB

检查云数据库PolarDB的访问控制策略是否开放公网访问且有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。

23

分析型数据库PostgreSQL版-白名单配置

2(网络访问控制)

medium

PostgreSQL

检查分析型数据库PostgreSQL版的访问控制策略是否有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。

24

ECS-存储加密

4(数据安全)

low

ECS

检查ECS主机磁盘是否开启加密,开启云盘加密,可以满足您的业务更高的安全需求或法规合规要求。

25

SLB-白名单配置

2(网络访问控制)

medium

SLB

检查SLB负载均衡实例访问控制配置,建议非http/https服务启用访问控制,并且不能开放0.0.0.0/0。

26

SLB-证书过期

5(监控告警)

medium

SLB

检查SLB证书是否过期。

27

ECS-自动快照策略

4(数据安全)

medium

ECS

检查ECS是否已开启自动快照策略。

28

SSL证书-有效期检查

4(数据安全)

medium

SSL

检查SSL证书是否在有效期内。

30

OSS-Bucket服务端加密

4(数据安全)

low

OSS

检查OSS-Bucket服务端是否已加密。

31

OSS-Bucket防盗链配置

2(网络访问控制)

low

OSS

检查OSS-Bucket防盗链是否已配置。

32

RDS-跨地域备份

4(数据安全)

low

RDS

检查RDS是否已配置跨地域备份。

33

MongoDB-备份设置

4(数据安全)

medium

MongoDB

检查MongoDB是否已开启备份。

34

MongoDB-日志审计

3(日志审计)

medium

MongoDB

检查MongoDB是否已开启日志审计。

35

MongoDB-SSL开启

4(数据安全)

medium

MongoDB

检查MongoDB是否已开启SSL证书检查。

36

云监控-主机插件状态

5(监控告警)

medium

CloudMonitor

检查云监控主机插件状态是否正常。

37

ECS-安全组策略

2(网络访问控制)

medium

ECS

检查ECS安全组策略。

38

VPC-DNAT管理端口开放

2(网络访问控制)

medium

VPC

检查VPC-DNAT管理开放的端口。

39

Redis-备份设置

4(数据安全)

medium

Redis

检查是否已开启Redis备份设置。

40

容器镜像服务-仓库权限设置

4(数据安全)

high

CR

检查容器镜像服务是否设置正确的仓库权限。

41

容器镜像服务-安全扫描

6(基础安全防护)

low

CR

检查容器镜像服务是否启用安全扫描。

42

SLB-访问日志配置

3(日志审计)

medium

SLB

检查SLB是否已设置访问日志配置。

43

Redis-审计日志配置

3(日志审计)

low

Redis

检查Redis审计日志配置检查。

44

OSS-授权策略

1(身份认证及权限)

medium

OSS

检查OSS是否已配置正确的授权策略。

46

PolarDB-备份设置

4(数据安全)

medium

PolarDB

检查PolarDB是否已开启备份。

47

PolarDB-SQL洞察

3(日志审计)

medium

PolarDB

检查PolarDB是否已开启SQL洞察。

49

主账号安全-AK使用

1(身份认证及权限)

medium

RAM

检查主账号是否已启用AK。

51

CDN-实时日志推送

3(日志审计)

medium

CDN

检查CDN是否已开启实时日志推送。

52

Redis-SSL开启

4(数据安全)

medium

Redis

检查Redis是否已使用SSL证书。

示例

请求示例

http(s)://[Endpoint]/?Action=DescribeRiskCheckResult
&SourceIp=1.2.XX.XX
&Lang=zh
&GroupId=1
&CurrentPage=1
&RiskLevel=high
&Status=pass
&AssetType=RDS
&Name=云平台-主账号双因素认证配置检查
&PageSize=20
&QueryFlag=enabled
&ItemIds=["15"]
&公共请求参数

正常返回示例

XML格式

HTTP/1.1 200 OK
Content-Type:application/xml

<DescribeRiskCheckResultResponse>
    <CurrentPage>1</CurrentPage>
    <RequestId>AD271C07-4ACE-413D-AA9B-F14FD3B7717F</RequestId>
    <PageSize>20</PageSize>
    <TotalCount>12</TotalCount>
    <PageCount>20</PageCount>
    <Count>10</Count>
    <List>
        <RiskLevel>high</RiskLevel>
        <Status>pass</Status>
        <Type>身份认证及权限</Type>
        <Sort>1</Sort>
        <RepairStatus>disabled</RepairStatus>
        <RemainingTime>0</RemainingTime>
        <ItemId>1</ItemId>
        <StartStatus>enabled</StartStatus>
        <AffectedCount>0</AffectedCount>
        <RiskAssertType>ECS</RiskAssertType>
        <Title>云平台-主账号双因素认证配置检查</Title>
        <TaskId>15384933</TaskId>
        <CheckTime>1639429164000</CheckTime>
        <RiskItemResources>
            <ContentResource>{   "type": "link",   "value": "未开启多因素认证,存在风险\n",   "url": "https://***.aliyun.com/#/secure\n" }</ContentResource>
            <ResourceName>bestPractice</ResourceName>
        </RiskItemResources>
    </List>
</DescribeRiskCheckResultResponse>

JSON格式

HTTP/1.1 200 OK
Content-Type:application/json

{
  "CurrentPage" : 1,
  "RequestId" : "AD271C07-4ACE-413D-AA9B-F14FD3B7717F",
  "PageSize" : 20,
  "TotalCount" : 12,
  "PageCount" : 20,
  "Count" : 10,
  "List" : [ {
    "RiskLevel" : "high",
    "Status" : "pass",
    "Type" : "身份认证及权限",
    "Sort" : 1,
    "RepairStatus" : "disabled",
    "RemainingTime" : 0,
    "ItemId" : 1,
    "StartStatus" : "enabled",
    "AffectedCount" : 0,
    "RiskAssertType" : "ECS",
    "Title" : "云平台-主账号双因素认证配置检查",
    "TaskId" : 15384933,
    "CheckTime" : 1639429164000,
    "RiskItemResources" : [ {
      "ContentResource" : "{   \"type\": \"link\",   \"value\": \"未开启多因素认证,存在风险\\n\",   \"url\": \"https://***.aliyun.com/#/secure\\n\" }",
      "ResourceName" : "bestPractice"
    } ]
  } ]
}

错误码

HttpCode 错误码 错误信息 描述
400 NoPermission no permission 限制访问
500 ServerError ServerError 服务故障

访问错误中心查看更多错误码。