查询检查项的检测结果,可根据类别或名称进行筛选查询。
接口说明
该接口已下线,使用升级接口ListCheckResult替换。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
授权信息
下表是API对应的授权信息,可以在RAM权限策略语句的Action
元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:
- 操作:是指具体的权限点。
- 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
- 资源类型:是指操作中支持授权的资源类型。具体说明如下:
- 对于必选的资源类型,用背景高亮的方式表示。
- 对于不支持资源级授权的操作,用
全部资源
表示。
- 条件关键字:是指云产品自身定义的条件关键字。
- 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作 | 访问级别 | 资源类型 | 条件关键字 | 关联操作 |
---|---|---|---|---|
yundun-sas:DescribeRiskCheckResult | Read |
|
| 无 |
请求参数
名称 | 类型 | 必填 | 描述 | 示例值 |
---|---|---|---|---|
SourceIp | string | 否 | 访问源的IP地址。 | 1.2.XX.XX |
Lang | string | 否 | 设置请求和接收消息的语言类型,默认为zh。取值:
| zh |
GroupId | long | 否 | 要查询的检查项类型。取值:
说明
不设置检查项类型,默认查询所有检查项类型。
| 1 |
CurrentPage | integer | 否 | 设置从返回结果的第几页开始显示查询结果。默认值为1,表示从第1页开始显示。 | 1 |
RiskLevel | string | 否 | 要查询的检查项风险等级。取值:
| high |
Status | string | 否 | 检查结果的状态。取值:
| pass |
AssetType | string | 否 | 要查询的云产品类型。云产品类型对应的风险检查项详细信息,请参见本文档返回参数后的风险检查项表格。 | RDS |
Name | string | 否 | 检查项名称。检查项名称及对应的风险检查项详细信息,请参见本文档返回参数后的风险检查项表格。 | ALB_NetWorkAccessControl |
PageSize | integer | 否 | 设置分页查询时,每页显示的检查结果的数量。默认值为20,表示每页显示20条检查结果。 | 20 |
QueryFlag | string | 否 | 检查项的启用状态。取值:
| enabled |
ItemIds | array | 否 | 检查项ID。ID值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。 | |
string | 否 | 检查项ID。ID值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。 | 15 |
返回参数
以下表格展示了所有云平台配置检查项的ID、名称、类型、风险等级、云产品类型和说明。
ItemId(检查项ID) | Name(检查项名称) | GroupId(检查项类型) | RiskLevel(风险等级) | AssetType(云产品类型) | 说明 |
---|---|---|---|---|---|
1 | 操作审计-日志配置 | 3(日志审计) | medium | ActionTrail | 检查是否已启用操作审计服务记录云平台操作日志,并正确配置日志保存到OSS Bucket。 |
2 | RDS-数据库安全策略 | 4(数据安全) | medium | RDS | 检查RDS的各个实例是否已启用数据加密传输(SSL)、数据加密存储(TDE)和SQL审计服务。 |
3 | 主账号安全-双因素认证 | 1(身份认证及权限) | high | RAM | 检查用户登录阿里云控制台的主账号,是否已启用双因素认证MFA(Multi-Factor Authentication)。 |
4 | 云盾-高防回源配置 | 2(网络访问控制) | high | DDoS | 检查使用DDoS高防服务后,是否已隐藏后端服务器真实IP地址。避免攻击者直接访问真实IP绕过高防。通过设置白名单的方式可以隐藏后端服务器真实IP地址,当真实IP为弹性计算服务(ECS) IP时,在弹性计算服务(ECS)安全组设置访问控制策略;当真实IP为负载均衡服务(SLB) IP时,在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许高防回源IP地址访问。 |
5 | RDS-白名单配置 | 2(网络访问控制) | high | RDS | 检查数据库服务(RDS)的访问控制策略是否有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。 |
6 | SLB-高危端口暴露 | 2(网络访问控制) | high | SLB | 检查负载均衡服务(SLB)是否已配置高危服务端口转发到公网。 |
7 | 云盾-WAF回源配置 | 2(网络访问控制) | high | WAF | 检查使用WAF服务后,是否已隐藏后端服务器真实IP地址。避免攻击者直接访问真实IP绕过WAF。通过设置白名单的方式可以实现,当真实IP为弹性计算服务(ECS) IP时,在弹性计算服务(ECS)安全组设置相应访问控制策略;当真实IP为负载均衡服务(SLB)IP时,在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许WAF回源IP地址访问。 |
8 | 云盾-主机安全防护 | 6(基础安全防护) | high | ECS | 检查ECS主机的云安全中心Agent是否持续在线,提供安全防护。 |
12 | OSS-Bucket权限设置 | 4(数据安全) | high | OSS | 检查OSS所有Bucket是否允许公共读写或公共读。公共读(public-read)、公共读写(public-read-write)权限可以不通过身份验证直接读取或者写入您Bucket中的数据,安全风险高,为确保您的数据安全,不推荐此配置,建议您选择私有(private)访问控制方式。 |
13 | 云安全中心-AK泄露检测配置 | 5(监控告警) | medium | RAM | 检查是否开启了AK和账密防泄漏功能。API凭证(即阿里云AccessKey)是用户访问内部资源最重要的身份凭证。为了避免不慎泄露AccessKey造成的恶劣影响,建议在云安全中心开启AK泄漏检测。 |
14 | MongoDB-白名单配置 | 2(网络访问控制) | high | MongoDB | 检查云数据库MongoDB实例是否已开启白名单限制。如果开启白名单,并且白名单设置为0.0.0.0/0和空代表不设IP访问的限制,数据库将会有高安全风险。建议仅将您访问MongoDB数据库的服务器外网IP/IP段设为可访问权限。 |
15 | RAM-子账号双因素认证 | 1(身份认证及权限) | medium | RAM | 子账号安全-检测是否已开启双因素认证。 |
16 | OSS-日志记录配置 | 4(数据安全) | medium | OSS | 检查OSS所有Bucket是否已启用日志记录。用户在访问OSS的过程中,会产生大量的访问日志。日志存储功能,可将OSS的访问日志,以小时为单位,按照固定的命名规则,生成一个Object写入您指定的Bucket(目标 Bucket,Target Bucket)。您可以使用阿里云DataLakeAnalytics或搭建Spark集群等方式对这些日志文件进行分析。同时,您可以配置目标 Bucket 的生命周期管理规则,将这些日志文件转成归档存储,长期归档保存。 |
17 | OSS-跨区域复制配置 | 4(数据安全) | low | OSS | 检查OSS所有Bucket是否已启用跨区域复制。跨区域复制(Bucket Cross-Region Replication)是跨不同OSS数据中心(地域)的Bucket自动、异步复制Object,它会将Object的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。该功能能够很好的提供Bucket跨区域容灾或满足用户数据复制的需求。目标Bucket中的对象是源Bucket中对象的精确副本,它们具有相同的对象名、元数据以及内容,例如创建时间、拥有者、用户定义的元数据、Object ACL、对象内容等。 |
18 | RDS-开启数据库备份 | 4(数据安全) | medium | RDS | 数据安全-检查是否开启数据库备份。建议RDS数据库实例开启数据备份功能,数据备份应当每天备份一次。 |
19 | Redis-白名单配置 | 2(网络访问控制) | high | Redis | 数据安全-检查Redis访问控制。 |
20 | ECS-密钥对登录 | 1(身份认证及权限) | medium | ECS | ECS-密钥对登录检查。 |
21 | SLB-健康状态 | 5(监控告警) | low | SLB | 负载均衡实例健康状态检查。 |
22 | PolarDB-白名单配置 | 2(网络访问控制) | medium | PolarDB | 检查云数据库PolarDB的访问控制策略是否开放公网访问且有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。 |
23 | 分析型数据库PostgreSQL版-白名单配置 | 2(网络访问控制) | medium | PostgreSQL | 检查分析型数据库PostgreSQL版的访问控制策略是否有0.0.0.0/0(任意IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定IP访问。 |
24 | ECS-存储加密 | 4(数据安全) | low | ECS | 检查ECS主机磁盘是否开启加密,开启云盘加密,可以满足您的业务更高的安全需求或法规合规要求。 |
25 | SLB-白名单配置 | 2(网络访问控制) | medium | SLB | 检查SLB负载均衡实例访问控制配置,建议非http/https服务启用访问控制,并且不能开放0.0.0.0/0。 |
26 | SLB-证书过期 | 5(监控告警) | medium | SLB | 检查SLB证书是否过期。 |
27 | ECS-自动快照策略 | 4(数据安全) | medium | ECS | 检查ECS是否已开启自动快照策略。 |
28 | SSL证书-有效期检查 | 4(数据安全) | medium | SSL | 检查SSL证书是否在有效期内。 |
30 | OSS-Bucket服务端加密 | 4(数据安全) | low | OSS | 检查OSS-Bucket服务端是否已加密。 |
31 | OSS-Bucket防盗链配置 | 2(网络访问控制) | low | OSS | 检查OSS-Bucket防盗链是否已配置。 |
32 | RDS-跨地域备份 | 4(数据安全) | low | RDS | 检查RDS是否已配置跨地域备份。 |
33 | MongoDB-备份设置 | 4(数据安全) | medium | MongoDB | 检查MongoDB是否已开启备份。 |
34 | MongoDB-日志审计 | 3(日志审计) | medium | MongoDB | 检查MongoDB是否已开启日志审计。 |
35 | MongoDB-SSL开启 | 4(数据安全) | medium | MongoDB | 检查MongoDB是否已开启SSL证书检查。 |
36 | 云监控-主机插件状态 | 5(监控告警) | medium | CloudMonitor | 检查云监控主机插件状态是否正常。 |
37 | ECS-安全组策略 | 2(网络访问控制) | medium | ECS | 检查ECS安全组策略。 |
38 | VPC-DNAT管理端口开放 | 2(网络访问控制) | medium | VPC | 检查VPC-DNAT管理开放的端口。 |
39 | Redis-备份设置 | 4(数据安全) | medium | Redis | 检查是否已开启Redis备份设置。 |
40 | 容器镜像服务-仓库权限设置 | 4(数据安全) | high | CR | 检查容器镜像服务是否设置正确的仓库权限。 |
41 | 容器镜像服务-安全扫描 | 6(基础安全防护) | low | CR | 检查容器镜像服务是否启用安全扫描。 |
42 | SLB-访问日志配置 | 3(日志审计) | medium | SLB | 检查SLB是否已设置访问日志配置。 |
43 | Redis-审计日志配置 | 3(日志审计) | low | Redis | 检查Redis审计日志配置检查。 |
44 | OSS-授权策略 | 1(身份认证及权限) | medium | OSS | 检查OSS是否已配置正确的授权策略。 |
46 | PolarDB-备份设置 | 4(数据安全) | medium | PolarDB | 检查PolarDB是否已开启备份。 |
47 | PolarDB-SQL洞察 | 3(日志审计) | medium | PolarDB | 检查PolarDB是否已开启SQL洞察。 |
49 | 主账号安全-AK使用 | 1(身份认证及权限) | medium | RAM | 检查主账号是否已启用AK。 |
51 | CDN-实时日志推送 | 3(日志审计) | medium | CDN | 检查CDN是否已开启实时日志推送。 |
52 | Redis-SSL开启 | 4(数据安全) | medium | Redis | 检查Redis是否已使用SSL证书。 |
示例
正常返回示例
JSON
格式
{
"CurrentPage": 1,
"RequestId": "AD271C07-4ACE-413D-AA9B-F14FD3B7717F",
"PageSize": 20,
"TotalCount": 12,
"PageCount": 20,
"Count": 10,
"List": [
{
"RiskLevel": "high",
"Status": "pass",
"Type": "Log audit",
"Sort": 1,
"RepairStatus": "disabled",
"RemainingTime": 0,
"ItemId": 1,
"StartStatus": "enabled",
"AffectedCount": 0,
"RiskAssertType": "ECS",
"Title": "RDS - Whitelist Configuration",
"TaskId": 15384933,
"CheckTime": 1639429164000,
"RiskItemResources": [
{
"ContentResource": {
"key": "{\n \"type\": \"link\",\n \"url\": \"https://***.aliyun.com/abc.html\",\n \"value\": \"https://***.aliyun.com/abc.html\"\n}"
},
"ResourceName": "bestPractice"
}
]
}
]
}
错误码
HTTP status code | 错误码 | 错误信息 | 描述 |
---|---|---|---|
400 | NoPermission | no permission | 无此服务的访问权限。 |
403 | NoPermission | caller has no permission | 当前操作未被授权,请联系主账号在RAM控制台进行授权后再执行操作。 |
500 | ServerError | ServerError | 服务故障 |
访问错误中心查看更多错误码。
变更历史
变更时间 | 变更内容概要 | 操作 |
---|
暂无变更历史