本文介绍配置审计为云服务器ECS提供的托管规则详情,以及当规则不合规时的修复方法。

ecs-cpu-min-count-limit

检查ECS实例的CPU数量最小限制。

触发机制:配置更改

资源:ACS::ECS::Instance

参数:cpuCount(CPU最小核数)

修复指南:当您账号下的ECS实例CPU核数小于您设置的规则参数阈值,会导致该规则不合规。修复方法如下:
  • 方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的CPU核数大于等于您设置的规则参数阈值。配置审计会在10分钟内感知到您的修改并自动启动审计。操作方法如下:
    • 控制台

      更改ECS实例规格的方法:在ECS控制台的实例列表中,单击更改实例规格

    • API

      调用ModifyInstanceSpec接口,修改实例规格InstanceType的值,请参见ModifyInstanceSpec

  • 方法二:修改规则参数阈值,将ECS实例的实例规格添加到规则参数阈值中。

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-desired-instance-type

检查ECS实例是否具有指定的实例类型。

资源:ACS::ECS::Instance

触发机制:配置更改

参数:instanceTypes(ECS实例类型列表,多个以英文逗号(,)分隔,例如:t2.small, m4.large, i2.xlarge。)

修复指南:您账号下ECS实例规格族未在规则参数阈值中列举出,则会导致该规则不合规。规则参数阈值列表中包含ECS实例的实例规格,该实例即为合规。修复方法如下:
  • 方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),更改成规则参数阈值中列出的实例规格中的某一个。配置审计会在10分钟内感知到您的修改并自动启动审计。操作方法如下:
    • 控制台

      更改ECS实例规格的方法:在ECS控制台的实例列表中,单击更改实例规格

    • API

      调用ModifyInstanceSpec接口,修改实例规格InstanceType的值,请参见ModifyInstanceSpec

  • 方法二:编辑规则参数阈值,将ECS实例的实例规格添加到规则参数阈值中。

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-disk-encrypted

检查处于连接状态的磁盘是否已加密。如果使用KMSKeyId参数为加密指定了KMS密钥ID,则该规则将检查连接状态中的磁盘是否使用该KMS密钥进行加密。

资源:ACS::ECS::Disk

触发机制:配置更改

参数:kmsKeyIds(用于加密卷的KMS密钥的ID。)

修复指南:
  • 如果您账号下所有处于关联状态的云盘若未加密,则会导致该规则不合规。
  • 如果加密云盘的KMSKeyId不在规则参数阈值中,则会导致该规则不合规。
加密云盘的KMSKeyId存在于规则参数阈值中,该云盘即为合规。目前云盘加密功能只支持数据盘,解决方法只针对于数据盘。修复方法如下:
  • 方法一:重新创建加密云盘,并用规则参数KMSKeyId中的阈值对云盘进行加密。配置审计会在10分钟内感知到您的修改并自动启动审计。

    不合规的云盘处理方法:释放云盘。

    风险:释放云盘会导致云盘数据丢失。释放云盘风险及操作步骤,请参见释放云盘

  • 方法二:将加密云盘的KMSKeyId添加到规则参数的阈值中。

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-disk-in-use

检查磁盘是否在使用中。

资源:ACS::ECS::Disk

触发机制:配置更改

参数:无

修复指南:您账号下的ECS云盘处于待挂载状态中,会导致该规则不合规。将云盘挂载到实例上,使其状态变为使用中,既为合规。修复方法如下:
  • 控制台

    进入云服务器ECS控制台,通过云盘列表,单击更多 > 挂载,将云盘挂载到实例上。

  • API

    调用AttachDisk接口为一台ECS实例挂载一块按量付费的数据盘,请参见AttachDisk

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-gpu-min-count-limit

检查ECS实例的GPU数量最小限制。

触发机制:配置更改

资源:ACS::ECS::Instance

参数:gpuCount(ECS实例包含的最小GPU数量。)

修复指南:当您账号下的ECS实例GPU数量小于您设置的规则参数阈值,会导致该规则不合规。修复方法如下:
  • 方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的GPU数量大于等于您设置的规则参数阈值。配置审计会在10分钟内感知到您的修改并自动启动审计。操作方法如下:
    • 控制台

      更改ECS实例规格的方法:在ECS控制台的实例列表中,单击更改实例规格

    • API

      调用ModifyInstanceSpec接口,修改实例规格InstanceType的值,请参见ModifyInstanceSpec

    若不合规实例为本地存储的实例,需要重新购买符合规则要求的ECS实例。

    不合规的旧ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果15天内未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

    风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

    释放实例风险及操作步骤,请参见释放实例

  • 方法二:编辑规则参数阈值,将ECS实例的实例规格添加到规则参数阈值中。

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-instance-attached-security-group

检测ECS实例是否附加到特定安全组,已开通视为合规。

触发机制:配置更改

资源:ACS::ECS::Instance

参数:securityGroupIds(安全组ID列表,多个以英文逗号(,)分隔,例如:sg-hp3ebbv7ir****,sg-hp3ebbv****。)

修复指南:您账号下的ECS实例加入的安全组ID未在规则参数阈值中列举出,则会导致该规则不合规。规则参数阈值列表中包含实例加入的任何一个安全组ID,该实例合规。修复方法如下:
  • 方法一:将ECS实例加入到规则参数阈值中列出的安全组中。配置审计会在10分钟内感知到您的修改并自动启动审计。
  • 方法二:将ECS实例加入的安全组ID添加到规则参数阈值中。绑定ECS实例与安全组的方法如下:
    • 控制台
      方法一:在ECS控制台的本实例安全组安全组列表页签下,单击加入安全组ECS_6
      方法二:在ECS控制台的安全组内实例列表页面,单击右上角的添加实例ECS_7
    • API

      调用JoinSecurityGroup接口将一台ECS实例加入到指定的安全组,请参见JoinSecurityGroup

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-instance-deletion-protection-enabled

检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),已开通视为合规。

触发机制:配置更改

资源:ACS::ECS::Instance

参数:无

修复指南:检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),未开启会导致该规则不合规。修复方法如下:
  • 控制台

    在ECS控制台的实例列表中,单击目标实例对应的更多 > 实例设置 > 修改实例释放保护,打开实例释放保护开关。配置审计会在10分钟内感知到您的修改并自动启动审计。

  • API

    通过ModifyInstanceAttribute接口将DeletionProtection的值设为true,请参见ModifyInstanceAttribute

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-instances-in-vpc

检查您的ECS实例是否属于某个VPC。您可以指定待关联实例的VPC ID,如果ECS实例属于指定VPC ID返回合规;ECS实例不属于指定VPC ID返回不合规;ECS实例无VPC信息,返回不适用。

触发机制:配置更改

资源:ACS::ECS::Instance

参数:vpcIds(ECS实例的VPC ID,多个以英文逗号(,)分隔,例如:vpc-25vk5****,vpc-6wesmaymqkgiuru5x****,vpc-8vbc16loavvujlzli****。)

修复指南:您账号下ECS实例绑定的VPC ID未在规则参数阈值中列举出,则会导致该规则不合规。修复方法如下:
  • 方法一:重新创建ECS实例,并将实例的VPC ID绑定到规则参数阈值中。配置审计会在10分钟内感知到您的修改并自动启动审计。

    不合规ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果15天内未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

    风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

    释放实例风险及操作方法,请参见释放实例

    当您购买ECS实例时,在网络与安全页面选择专有网络。

  • 方法二:编辑规则参数阈值,将ECS实例绑定的VPC ID添加到规则参数阈值中。

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-instance-no-public-ip

ECS实例未直接绑定公网IP,视为合规。该规则仅适用于IPv4协议。

触发机制:配置更改

资源:ACS::ECS::Instance

参数:无

修复指南:您账号下的ECS实例绑定公网IP,会导致该规则不合规。当ECS实例只有私有地址时,资源评估结果为合规。修复方法如下:
  • 方法一:如果ECS绑定了弹性公网IP,则将弹性公网IP进行解绑。配置审计会在10分钟内感知到您的修改并自动启动审计。

    在ECS控制台的实例列表中,单击目标实例对应的更多 > 网络和安全 > 解绑弹性IP,解绑弹性IP。

  • 方法二:如果ECS绑定了公网IP,则将公网IP转换成弹性公网IP,在将弹性公网IP进行解绑。配置审计会在10分钟内感知到您的修改并自动启动审计。

    在ECS控制台的实例列表中,单击目标实例对应的更多 > 网络和安全 > 公网IP转换为弹性公网IP,将公网IP转换成弹性公网IP。配置审计会在10分钟内感知到您的修改并自动启动审计。

  • 方法三:当您购买新ECS实例时,在网络和安全组页面,不勾选公网IP中的分配公网IPv4地址。配置审计会在10分钟内感知到您的修改并自动启动审计。

    不合规的ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果15天内未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

    风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

    释放实例风险及操作方法,请参见释放实例

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

ecs-memory-min-size-limit

检查ECS实例内存最小容量限制。

触发机制:配置更改

资源:ACS::ECS::Instance

参数:memorySize(ECS实例内存最小容量)

修复指南:当您账号下的ECS实例内存容量小于您设置的规则参数阈值,会导致该规则不合规。修复方法如下:
  • 方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后ECS实例的内存大于等于您设置的规则参数阈值。操作方法如下:
    • 控制台

      更改ECS实例规格的方法:在ECS控制台的实例列表中,单击更改实例规格

    • API

      调用ModifyInstanceSpec接口,修改实例规格InstanceType的值,请参见ModifyInstanceSpec

  • 方法二:修改规则参数的阈值,将ECS实例的实例规格添加到规则参数的阈值中。

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

sg-public-access-check

安全组检测是否匹配0.0.0.0/0。

触发机制:配置更改

资源:ACS::ECS::SecurityGroup

参数:无

修复指南:ECS安全组入方向规则,授权策略为允许,授权对象为0.0.0.0/0,会导致该规则不合规。修复方法如下:
  • 方法一:将授权对象为0.0.0.0/0的安全组入方向规则的授权策略调整为拒绝或者修改授权对象。
  • 方法二:删除授权策略为允许,授权对象为0.0.0.0/0安全组入方向规则。
    • 控制台

      调整授权策略和修改授权对象:在ECS控制台的安全组规则入方向页签,编辑安全组规则,将授权策略设置为拒绝,或者修改授权对象。

      删除安全组规则:在ECS控制台的安全组规则入方向页签,删除授权策略为允许,授权对象为0.0.0.0/0的规则。

    • API

      调用ModifySecurityGroupRule修改安全组入方向规则Policy(访问权限)或者SourceCidrIp(授权对象)的值,请参见ModifySecurityGroupRule

      调用RevokeSecurityGroup删除一条安全组入方向规则,请参见RevokeSecurityGroup

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。

sg-risky-ports-check

检测安全组是否开启风险端口。

触发机制:配置更改

资源:ACS::ECS::SecurityGroup

参数:ports(风险端口)

修复指南:ECS安全组规则(包含出方向和入方向)开启的端口号出现在规则参数阈值中时,会导致该规则不合规。“-1/-1”代表不限制端口,若在安全组规则中设置了“-1/-1”,会导致该规则不合规。修复方法如下:
  • 方法一:关闭ECS安全组规则中,规则参数阈值中列出的端口,即将对应端口的授权策略设置为拒绝。
  • 方法二:删除开启了规则参数阈值中列出端口的安全组规则。
  • 方法三:修改对应安全组规则的端口范围。
  • 方法四:编辑规则参数阈值,将对应的端口号从阈值中删除。
    • 控制台
      入方向快速添加页面,将授权策略设置为拒绝或修改端口范围。ECS_16

      入方向列表中,单击目标授权策略对应的删除,删除已开启规则参数阈值中列出端口的安全组规则。

    • API
      • 调用ModifySecurityGroupRule(入方向)和ModifySecurityGroupEgressRule(出方向)修改Policy(访问权限)或PortRange(端口范围)的值,请参见ModifySecurityGroupRuleModifySecurityGroupEgressRule
      • 调用RevokeSecurityGroup(入方向)和RevokeSecurityGroupEgress(出方向)删除一条安全组规则,请参见RevokeSecurityGroup

合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。