查询检查项的检测结果,可根据类别或名称进行筛选查询。
接口说明
该接口已下线,使用升级接口 ListCheckResult 替换。
调试
您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。
授权信息
下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:
- 操作:是指具体的权限点。
- 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
- 资源类型:是指操作中支持授权的资源类型。具体说明如下:
- 对于必选的资源类型,用前面加 * 表示。
- 对于不支持资源级授权的操作,用
全部资源表示。
- 条件关键字:是指云产品自身定义的条件关键字。
- 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
| 操作 | 访问级别 | 资源类型 | 条件关键字 | 关联操作 |
|---|---|---|---|---|
| yundun-sas:DescribeRiskCheckResult | get | *全部资源 * |
| 无 |
请求参数
| 名称 | 类型 | 必填 | 描述 | 示例值 |
|---|---|---|---|---|
| SourceIp | string | 否 | 访问源的 IP 地址。 | 1.2.XX.XX |
| Lang | string | 否 | 设置请求和接收消息的语言类型,默认为 zh。取值:
| zh |
| GroupId | long | 否 | 要查询的检查项类型。取值:
说明
不设置检查项类型,默认查询所有检查项类型。
| 1 |
| CurrentPage | integer | 否 | 设置从返回结果的第几页开始显示查询结果。默认值为 1,表示从第 1 页开始显示。 | 1 |
| RiskLevel | string | 否 | 要查询的检查项风险等级。取值:
| high |
| Status | string | 否 | 检查结果的状态。取值:
| pass |
| AssetType | string | 否 | 要查询的云产品类型。云产品类型对应的风险检查项详细信息,请参见本文档返回参数后的风险检查项表格。 | RDS |
| Name | string | 否 | 检查项名称。检查项名称及对应的风险检查项详细信息,请参见本文档返回参数后的风险检查项表格。 | ALB_NetWorkAccessControl |
| PageSize | integer | 否 | 设置分页查询时,每页显示的检查结果的数量。默认值为 20,表示每页显示 20 条检查结果。 | 20 |
| QueryFlag | string | 否 | 检查项的启用状态。取值:
| enabled |
| ItemIds | array | 否 | 检查项 ID。ID 值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。 | |
| string | 否 | 检查项 ID。ID 值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。 | 15 |
返回参数
以下表格展示了所有云平台配置检查项的 ID、名称、类型、风险等级、云产品类型和说明。
| ItemId(检查项 ID) | Name(检查项名称) | GroupId(检查项类型) | RiskLevel(风险等级) | AssetType(云产品类型) | 说明 |
|---|---|---|---|---|---|
| 1 | 操作审计-日志配置 | 3(日志审计) | medium | ActionTrail | 检查是否已启用操作审计服务记录云平台操作日志,并正确配置日志保存到 OSS Bucket。 |
| 2 | RDS-数据库安全策略 | 4(数据安全) | medium | RDS | 检查 RDS 的各个实例是否已启用数据加密传输(SSL)、数据加密存储(TDE)和 SQL 审计服务。 |
| 3 | 主账号安全-双因素认证 | 1(身份认证及权限) | high | RAM | 检查用户登录阿里云控制台的主账号,是否已启用双因素认证 MFA(Multi-Factor Authentication)。 |
| 4 | 云盾-高防回源配置 | 2(网络访问控制) | high | DDoS | 检查使用 DDoS 高防服务后,是否已隐藏后端服务器真实 IP 地址。避免攻击者直接访问真实 IP 绕过高防。通过设置白名单的方式可以隐藏后端服务器真实 IP 地址,当真实 IP 为弹性计算服务(ECS) IP 时,在弹性计算服务(ECS)安全组设置访问控制策略;当真实 IP 为负载均衡服务(SLB) IP 时,在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许高防回源 IP 地址访问。 |
| 5 | RDS-白名单配置 | 2(网络访问控制) | high | RDS | 检查数据库服务(RDS)的访问控制策略是否有 0.0.0.0/0(任意 IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定 IP 访问。 |
| 6 | SLB-高危端口暴露 | 2(网络访问控制) | high | SLB | 检查负载均衡服务(SLB)是否已配置高危服务端口转发到公网。 |
| 7 | 云盾-WAF 回源配置 | 2(网络访问控制) | high | WAF | 检查使用 WAF 服务后,是否已隐藏后端服务器真实 IP 地址。避免攻击者直接访问真实 IP 绕过 WAF。通过设置白名单的方式可以实现,当真实 IP 为弹性计算服务(ECS) IP 时,在弹性计算服务(ECS)安全组设置相应访问控制策略;当真实 IP 为负载均衡服务(SLB)IP 时,在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许 WAF 回源 IP 地址访问。 |
| 8 | 云盾-主机安全防护 | 6(基础安全防护) | high | ECS | 检查 ECS 主机的云安全中心 Agent 是否持续在线,提供安全防护。 |
| 12 | OSS-Bucket 权限设置 | 4(数据安全) | high | OSS | 检查 OSS 所有 Bucket 是否允许公共读写或公共读。公共读(public-read)、公共读写(public-read-write)权限可以不通过身份验证直接读取或者写入您 Bucket 中的数据,安全风险高,为确保您的数据安全,不推荐此配置,建议您选择私有(private)访问控制方式。 |
| 13 | 云安全中心-AK 泄露检测配置 | 5(监控告警) | medium | RAM | 检查是否开启了 AK 和账密防泄漏功能。API 凭证(即阿里云 AccessKey)是用户访问内部资源最重要的身份凭证。为了避免不慎泄露 AccessKey 造成的恶劣影响,建议在云安全中心开启 AK 泄漏检测。 |
| 14 | MongoDB-白名单配置 | 2(网络访问控制) | high | MongoDB | 检查云数据库 MongoDB 实例是否已开启白名单限制。如果开启白名单,并且白名单设置为 0.0.0.0/0 和空代表不设 IP 访问的限制,数据库将会有高安全风险。建议仅将您访问 MongoDB 数据库的服务器外网 IP/IP 段设为可访问权限。 |
| 15 | RAM-子账号双因素认证 | 1(身份认证及权限) | medium | RAM | 子账号安全-检测是否已开启双因素认证。 |
| 16 | OSS-日志记录配置 | 4(数据安全) | medium | OSS | 检查 OSS 所有 Bucket 是否已启用日志记录。用户在访问 OSS 的过程中,会产生大量的访问日志。日志存储功能,可将 OSS 的访问日志,以小时为单位,按照固定的命名规则,生成一个 Object 写入您指定的 Bucket(目标 Bucket,Target Bucket)。您可以使用阿里云 DataLakeAnalytics 或搭建 Spark 集群等方式对这些日志文件进行分析。同时,您可以配置目标 Bucket 的生命周期管理规则,将这些日志文件转成归档存储,长期归档保存。 |
| 17 | OSS-跨区域复制配置 | 4(数据安全) | low | OSS | 检查 OSS 所有 Bucket 是否已启用跨区域复制。跨区域复制(Bucket Cross-Region Replication)是跨不同 OSS 数据中心(地域)的 Bucket 自动、异步复制 Object,它会将 Object 的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。该功能能够很好的提供 Bucket 跨区域容灾或满足用户数据复制的需求。目标 Bucket 中的对象是源 Bucket 中对象的精确副本,它们具有相同的对象名、元数据以及内容,例如创建时间、拥有者、用户定义的元数据、Object ACL、对象内容等。 |
| 18 | RDS-开启数据库备份 | 4(数据安全) | medium | RDS | 数据安全-检查是否开启数据库备份。建议 RDS 数据库实例开启数据备份功能,数据备份应当每天备份一次。 |
| 19 | Redis-白名单配置 | 2(网络访问控制) | high | Redis | 数据安全-检查 Redis 访问控制。 |
| 20 | ECS-密钥对登录 | 1(身份认证及权限) | medium | ECS | ECS-密钥对登录检查。 |
| 21 | SLB-健康状态 | 5(监控告警) | low | SLB | 负载均衡实例健康状态检查。 |
| 22 | PolarDB-白名单配置 | 2(网络访问控制) | medium | PolarDB | 检查云数据库 PolarDB 的访问控制策略是否开放公网访问且有 0.0.0.0/0(任意 IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定 IP 访问。 |
| 23 | 分析型数据库 PostgreSQL 版-白名单配置 | 2(网络访问控制) | medium | PostgreSQL | 检查分析型数据库 PostgreSQL 版的访问控制策略是否有 0.0.0.0/0(任意 IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定 IP 访问。 |
| 24 | ECS-存储加密 | 4(数据安全) | low | ECS | 检查 ECS 主机磁盘是否开启加密,开启云盘加密,可以满足您的业务更高的安全需求或法规合规要求。 |
| 25 | SLB-白名单配置 | 2(网络访问控制) | medium | SLB | 检查 SLB 负载均衡实例访问控制配置,建议非 http/https 服务启用访问控制,并且不能开放 0.0.0.0/0。 |
| 26 | SLB-证书过期 | 5(监控告警) | medium | SLB | 检查 SLB 证书是否过期。 |
| 27 | ECS-自动快照策略 | 4(数据安全) | medium | ECS | 检查 ECS 是否已开启自动快照策略。 |
| 28 | SSL 证书-有效期检查 | 4(数据安全) | medium | SSL | 检查 SSL 证书是否在有效期内。 |
| 30 | OSS-Bucket 服务端加密 | 4(数据安全) | low | OSS | 检查 OSS-Bucket 服务端是否已加密。 |
| 31 | OSS-Bucket 防盗链配置 | 2(网络访问控制) | low | OSS | 检查 OSS-Bucket 防盗链是否已配置。 |
| 32 | RDS-跨地域备份 | 4(数据安全) | low | RDS | 检查 RDS 是否已配置跨地域备份。 |
| 33 | MongoDB-备份设置 | 4(数据安全) | medium | MongoDB | 检查 MongoDB 是否已开启备份。 |
| 34 | MongoDB-日志审计 | 3(日志审计) | medium | MongoDB | 检查 MongoDB 是否已开启日志审计。 |
| 35 | MongoDB-SSL 开启 | 4(数据安全) | medium | MongoDB | 检查 MongoDB 是否已开启 SSL 证书检查。 |
| 36 | 云监控-主机插件状态 | 5(监控告警) | medium | CloudMonitor | 检查云监控主机插件状态是否正常。 |
| 37 | ECS-安全组策略 | 2(网络访问控制) | medium | ECS | 检查 ECS 安全组策略。 |
| 38 | VPC-DNAT 管理端口开放 | 2(网络访问控制) | medium | VPC | 检查 VPC-DNAT 管理开放的端口。 |
| 39 | Redis-备份设置 | 4(数据安全) | medium | Redis | 检查是否已开启 Redis 备份设置。 |
| 40 | 容器镜像服务-仓库权限设置 | 4(数据安全) | high | CR | 检查容器镜像服务是否设置正确的仓库权限。 |
| 41 | 容器镜像服务-安全扫描 | 6(基础安全防护) | low | CR | 检查容器镜像服务是否启用安全扫描。 |
| 42 | SLB-访问日志配置 | 3(日志审计) | medium | SLB | 检查 SLB 是否已设置访问日志配置。 |
| 43 | Redis-审计日志配置 | 3(日志审计) | low | Redis | 检查 Redis 审计日志配置检查。 |
| 44 | OSS-授权策略 | 1(身份认证及权限) | medium | OSS | 检查 OSS 是否已配置正确的授权策略。 |
| 46 | PolarDB-备份设置 | 4(数据安全) | medium | PolarDB | 检查 PolarDB 是否已开启备份。 |
| 47 | PolarDB-SQL 洞察 | 3(日志审计) | medium | PolarDB | 检查 PolarDB 是否已开启 SQL 洞察。 |
| 49 | 主账号安全-AK 使用 | 1(身份认证及权限) | medium | RAM | 检查主账号是否已启用 AK。 |
| 51 | CDN-实时日志推送 | 3(日志审计) | medium | CDN | 检查 CDN 是否已开启实时日志推送。 |
| 52 | Redis-SSL 开启 | 4(数据安全) | medium | Redis | 检查 Redis 是否已使用 SSL 证书。 |
示例
正常返回示例
JSON格式
{
"CurrentPage": 1,
"RequestId": "AD271C07-4ACE-413D-AA9B-F14FD3B7717F",
"PageSize": 20,
"TotalCount": 12,
"PageCount": 20,
"Count": 10,
"List": [
{
"RiskLevel": "high",
"Status": "pass",
"Type": "Log audit",
"Sort": 1,
"RepairStatus": "disabled",
"RemainingTime": 0,
"ItemId": 1,
"StartStatus": "enabled",
"AffectedCount": 0,
"RiskAssertType": "ECS",
"Title": "RDS - Whitelist Configuration",
"TaskId": 15384933,
"CheckTime": 1639429164000,
"RiskItemResources": [
{
"ContentResource": {
"key": {
"type": "link",
"url": "https://***.aliyun.com/abc.html",
"value": "https://***.aliyun.com/abc.html"
}
},
"ResourceName": "bestPractice"
}
]
}
]
}错误码
| HTTP status code | 错误码 | 错误信息 | 描述 |
|---|---|---|---|
| 400 | NoPermission | no permission | 无此服务的访问权限。 |
| 403 | NoPermission | caller has no permission | 当前操作未被授权,请联系主账号在RAM控制台进行授权后再执行操作。 |
| 500 | ServerError | ServerError | 服务故障,请稍后重试! |
访问错误中心查看更多错误码。
变更历史
| 变更时间 | 变更内容概要 | 操作 |
|---|
暂无变更历史