合规预检

资源编排服务ROS已与配置审计Config集成,面对大量资源帮您轻松实现基础设施的自主监管,确保持续性合规。在ROS控制台中创建资源栈时,您可以对ROS模板进行资源创建前的合规预检。

具体操作

当您创建资源栈时,资源编排控制台会根据您输入模板中的资源,选择匹配的托管规则检测资源的配置项是否合规,请参见完成合规检测。

支持合规预检的云服务

资源编排目前仅支持为部分云服务提供合规预检功能。

关于支持合规预检的云服务,请参见托管规则列表

支持合规预检的地域

合规预检功能支持所有地域。

支持合规预检的资源类型

资源类型

预检规则名称

预检规则描述

ALIYUN::CR::Repository

cr-repository-type-private

容器镜像服务镜像仓库类型设置为私有,视为“合规”。

ALIYUN::ECS::Disk

ecs-disk-encrypted

检测您账号下所有数据磁盘均已加密,存在未加密的数据磁盘视为“不合规”。

ALIYUN::ECS::Instance

ecs-memory-min-size-limit

如果ECS实例的内存大小大于或等于指定的阈值,则认为该配置符合要求。

ecs-instance-deletion-protection-enabled

检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),未开启视为“不合规”。

ecs-instance-login-use-keypair

使用密钥对登录Linux系统主机,视为“合规”。

ALIYUN::ECS::SecurityGroup

sg-public-access-check

安全组入网设置中包含如下规则:授权策略选择允许,端口范围设置为-1/-1,授权对象设置为0.0.0.0/0,即为”不合规“。

ALIYUN::Elasticsearch::Instance

elasticsearch-instance-enabled-public-check

Elasticsearch实例未开启公网访问,视为“合规”。

ALIYUN::OSS::Bucket

oss-bucket-public-write-prohibited

检测OSS存储桶是否不允许公开写入,如果某个OSS存储桶策略或存储桶 ACL 允许公开写入,则视为“不合规”。

oss-bucket-logging-enabled

检查您的OSS存储桶是否已启用日志记录,未启用视为“不合规”。

ALIYUN::OTS::Instance

ots-instance-network-not-normal

表格存储实例网络类型设置为限定VPC或控制台访问,视为“合规”。

ALIYUN::POLARDB::DBCluster

polardb-public-access-check

检测账号下PolarDB实例不允许任意来源公网访问,允许视为“不合规”。

ALIYUN::RDS::DBInstance

rds-instance-enabled-security-ip-list

检测您账号下RDS数据库实例是否启用安全白名单功能,未启用视为“不合规”。