以下为配置审计服务为您准备好的规则,您在控制台创建规则时可直接选用以下规则。该规则列表将支持更新。

若您有额外的规则需求,可通过工单提交给我们,我们评估后会酌情支持,将具备普遍适用性的规则实现为系统预设规则。

下述规则列表中,“适用的资源类型”是以Namespace的方式呈现,您可以在支持的资源类型列表中查阅对应的中文描述。

检查您当前账号是否启用了操作审计产品

  • 规则函数名称:actiontrail-enabled
  • 适用的资源类型:ACS::ActionTrail::Trail
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:账号开启操作审计服务,视为“合规”
  • 规则使用场景说明:为满足企业内部合规,一般要求账号开启操作审计服务,实时监控并记录账号下对资源进行的操作日志。使用该规则检测账号是否开启操作审计

检查ECS实例的CPU数量不能低于某阈值

  • 规则函数名称:ecs-cpu-min-count-limit
  • 适用的资源类型:ACS::ECS::Instance
  • 规则入参:cpuCount=阈值,cpuCount是ECS实例的核数,阈值需您在控制台定义
  • 触发机制:配置变更
  • 规则合规说明:当您账号下的ECS实例cpuCount大于等于您设置的阈值,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控账号下的ECS实例规格,CPU数量不能低于您设置的阈值

检查账号下的ECS实例是否为指定的实例类型

  • 规则函数名称:ecs-desired-instance-type
  • 适用的资源类型:ACS::ECS::Instance
  • 规则入参:instanceTypes=阈值,阈值为逗号分隔的 ECS 实例类型列表 (例如“t2.small, m4.large, i2.xlarge”),您需要在控制台定义该阈值
  • 触发机制:配置变更
  • 规则合规说明:您账号下所有的ECS实例类型均已在阈值中列举出,视为“合规”
  • 规则使用场景说明:您可以使用该规则限定账号下只能购买某几种类型的ECS实例

检查处于连接状态的ECS磁盘是否已加密

  • 规则函数名称:ecs-disk-encrypted
  • 适用的资源类型:ACS::ECS::Disk
  • 规则入参:kmsIds=阈值,若您不配置阈值,则规则只会检测磁盘是否加密;若您配置了阈值,规则会检测加密的密钥Id是否在您设定的阈值中。kmsIds支持多个密钥Id用“,”分隔
  • 触发机制:配置变更
  • 规则合规说明:您账号下所有处于关联状态的磁盘均已加密;若您配置阈值,则磁盘加密的Id需存在您列出的阈值中,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控磁盘的加密状态和加密合规

检查ECS磁盘是否在使用中

  • 规则函数名称:ecs-disk-in-use
  • 适用的资源类型:ACS::ECS::Disk
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:您账号下所有ECS磁盘处于使用中,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控磁盘的使用状态

检查ECS实例是否已关联到VPC实例

  • 规则函数名称:ecs-instances-in-vpc
  • 适用的资源类型:ACS::ECS::Instance
  • 规则入参:vpcIds=阈值,若您不配置阈值,则规则只会检测ECS实例是否已关联到某VPC上;若您配置了阈值,规则会检测ECS实例关联的VPC是否在您设定的阈值中。vpcIds支持多个VpcId用“,”分隔
  • 触发机制:配置变更
  • 规则合规说明:您账号下所有ECS实例已关联到VPC;若您配置阈值,则关联的VpcId需存在您列出的阈值中,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控您的ECS实例是否都挂载到VPC上,或是否够挂载到指定的VPC上

检查ECS实例的GPU数量不能低于某阈值

  • 规则函数名称:ecs-gpu-min-count-limit
  • 适用的资源类型:ACS::ECS::Instance
  • 规则入参:gpuCount=阈值,gpuCount为gsc实例包含cpu数量,阈值需要您在控制台定义
  • 触发机制:配置变更
  • 规则合规说明:您账号下的gsc实例的cpu数量需大于等于您设置的阈值,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控gsc实例的cpu数量合规

检查ECS实例的内存容量不小于某阈值

  • 规则函数名称:ecs-memory-min-size-limit
  • 适用的资源类型:ACS::ECS::Instance
  • 规则入参:memorySize=阈值,memorySize是ECS实例内存容量,您需要在控制台配置阈值
  • 触发机制:配置变更
  • 规则合规说明:您账号下的ECS实例内存容量大于等于您设置的阈值,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控ECS实例内存容量大小合规

检查 RDS 实例的CPU数量不小于某阈值

  • 规则函数名称:rds-cpu-min-count-limit
  • 适用的资源类型:ACS::RDS::DBInstance
  • 规则入参:cpuCount=阈值,cpuCount是RDS实例cpu数量,您需要在控制台配置阈值
  • 触发机制:配置变更
  • 规则合规说明:您账号下的RDS实例cpu数量大于等于您设置的阈值,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控RDS实例cpu数量合规

检查账号下的RDS实例是否为指定的实例类型

  • 规则函数名称:rds-desired-instance-type
  • 适用的资源类型:ACS::RDS::DBInstance
  • 规则入参:instanceTypes=阈值,阈值为逗号分隔的 RDS 实例类型列表 (例如"rds.mysql.s2.large,mysql.n1.micro.1"),您需要在控制台定义该阈值
  • 触发机制:配置变更
  • 规则合规说明:您账号下所有的RDS实例类型均已在阈值中列举出,视为“合规”
  • 规则使用场景说明:您可以使用该规则限定账号下只能购买某几种类型的RDS实例

检查RDS实例是否具备高可用能力

  • 规则函数名称:rds-high-availability-category
  • 适用的资源类型:ACS::RDS::DBInstance
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:账号下RDS实例具备高可用能力,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控您账号下RDS实例的高可用能力配置

检查RDS实例是否已关联到VPC实例

  • 规则函数名称:rds-instances-in-vpc
  • 适用的资源类型:ACS::RDS::DBInstance
  • 规则入参:vpcIds=阈值,若您不配置阈值,则规则只会检测RDS实例是否已关联到某VPC上;若您配置了阈值,规则会检测RDS实例关联的VPC是否在您设定的阈值中。vpcIds支持多个VpcId用“,”分隔
  • 触发机制:配置变更
  • 规则合规说明:您账号下RDS实例已关联到VPC;若您配置阈值,则关联的VpcId需存在您列出的阈值中,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控您的RDS实例是否都挂载到VPC上,或是否够挂载到指定的VPC上

检查RDS实例的存储空间不小于某阈值

  • 规则函数名称:rds-instance-storage-min-size-limit
  • 适用的资源类型:ACS::RDS::DBInstance
  • 规则入参:storageSize=阈值,storageSize是rds实例存储空间,您需要在控制台配置阈值
  • 触发机制:配置变更
  • 规则合规说明:您账号下的RDS实例存储空间大于等于您设置的阈值,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控RDS实例存储空间大小合规

检查RDS实例的内存容量不小于某阈值

  • 规则函数名称:rds-memory-min-size-limit
  • 适用的资源类型:ACS::RDS::DBInstance
  • 规则入参:memorySize=阈值,memorySize是RDS实例内存容量,您需要在控制台配置阈值
  • 触发机制:配置变更
  • 规则合规说明:您账号下的RDS实例内存容量大于等于您设置的阈值,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控RDS实例内存容量大小合规

检查RDS实例是否支持多可用区

  • 规则函数名称:rds-multi-az-support
  • 适用的资源类型:ACS::RDS::DBInstance
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:账号下RDS实例支持多可用区,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控RDS实例对多可用区的支持合规

检查RDS实例是否允许公网访问

  • 规则函数名称:rds-public-access-check
  • 适用的资源类型:ACS::RDS::DBInstance
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:账号下RDS实例不允许公网访问,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控RDS实例的公网访问合规

检查指定资源是否具有指定标签

  • 规则函数名称:required-tags
  • 适用的资源类型:ACS::RDS::DBInstance;ACS::SLB::LoadBalancer;ACS::ECS::Disk;ACS::ECS::SecurityGroup;ACS::ECS::Instance;ACS::ECS::NetworkInterface
  • 规则入参:tag1Key,指定标签的Key;tag1Value,指定标签的值。
  • 触发机制:配置变更
  • 规则合规说明:关联的资源类型下实体资源均已有指定标签,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控您的资源是否打了完整的标签

检查安全组是否配置为0.0.0.0/0

  • 规则函数名称:sg-public-acces-check
  • 适用的资源类型:ACS::ECS::SecurityGroup
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:账号下ECS安全组配置不为“0.0.0.0/0”,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控ECS安全组是否为有效配置

检查负载均衡是否开通HTTPS监听

  • 规则函数名称:slb-listener-https-enabled
  • 适用的资源类型:ACS::SLB::LoadBalancer
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:负载均衡开启HTTPS监听,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控负载均衡监听合规

检查弹性公网IP是否绑定到ECS或SLB实例上

  • 规则函数名称:eip-attached
  • 适用的资源类型:ACS::VPC::EipAddress
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:EIP已绑定到ECS或SLB实例,视为“合规”
  • 规则使用场景说明:您可以使用该规则监控弹性公网IP的生效状态合规

检查ECS实例是否绑定公网Ip

  • 规则函数名称:ecs-instance-no-public-ip
  • 适用的资源类型:ACS::ECS::Instance
  • 规则入参:无
  • 触发机制:配置变更
  • 规则合规说明:ECS实例未直接绑定公网IP,视为“合规”。该规则仅适用于 IPv4 协议
  • 规则使用场景说明:您可以使用该规则监控ECS的公网访问合规