调用DescribeRiskCheckResult查询检查项检测结果_云安全中心-阿里云帮助中心

查询检查项的检测结果，可根据类别或名称进行筛选查询。

接口说明

该接口已下线，使用升级接口ListCheckResult替换。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用背景高亮的方式表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	访问级别	资源类型	条件关键字	关联操作
yundun-sas:DescribeRiskCheckResult	Read	全部资源 acs:yundun-sas::{#accountId}:	无	无

请求参数

名称	类型	必填	描述	示例值
SourceIp	string	否	访问源的IP地址。	1.2.XX.XX
Lang	string	否	设置请求和接收消息的语言类型，默认为zh。取值： zh：中文 en：英文	zh
GroupId	long	否	要查询的检查项类型。取值： 1：身份认证及权限 2：网络访问控制 3：日志审计 4：数据安全 5：监控告警 6：基础安全防护说明不设置检查项类型，默认查询所有检查项类型。	1
CurrentPage	integer	否	设置从返回结果的第几页开始显示查询结果。默认值为1，表示从第1页开始显示。	1
RiskLevel	string	否	要查询的检查项风险等级。取值： high：高危 medium：中危 low：低危	high
Status	string	否	检查结果的状态。取值： pass：通过 failed：失败 running：运行中 waiting：等待运行 ignored：已忽略 falsePositive：已标记误报	pass
AssetType	string	否	要查询的云产品类型。云产品类型对应的风险检查项详细信息，请参见本文档返回参数后的风险检查项表格。	RDS
Name	string	否	检查项名称。检查项名称及对应的风险检查项详细信息，请参见本文档返回参数后的风险检查项表格。	ALB_NetWorkAccessControl
PageSize	integer	否	设置分页查询时，每页显示的检查结果的数量。默认值为20，表示每页显示20条检查结果。	20
QueryFlag	string	否	检查项的启用状态。取值： enabled：已启用 disabled：未启用	enabled
ItemIds	array	否	检查项ID。ID值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。
	string	否	检查项ID。ID值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。	15

返回参数

名称	类型	描述	示例值
	object	请求返回数据。
CurrentPage	integer	分页查询时，当前页的页码。	1
RequestId	string	本次调用请求的ID，是由阿里云为该请求生成的唯一标识符，可用于排查和定位问题。	AD271C07-4ACE-413D-AA9B-F14FD3B7717F
PageSize	integer	分页查询时，每页显示的检查结果的数量。默认值为20，表示每页显示20条检查结果。	20
TotalCount	integer	查询到的检查结果数据的总条数。	12
PageCount	integer	查询到的检查结果数据的总页数。	20
Count	integer	分页查询时，显示的当前页的数据条数。	10
List	object []	检查项信息列表。
RiskLevel	string	检查项的风险等级。取值： high：高危 medium：中危 low：低危	high
Status	string	检查项检查状态。取值： pass：通过 failed：失败 running：运行中 waiting：等待运行 ignored：已忽略 falsePositive：已标记误报	pass
Type	string	检查项类型。取值：身份认证及权限网络访问控制日志审计数据安全监控告警基础安全防护	Log audit
Sort	integer	检查结果的排序序号。仅决定展示检查项的顺序。	1
RepairStatus	string	配置检查项是否支持修复功能。取值： enabled：支持修复 disabled：不支持修复	disabled
RemainingTime	integer	预计下一次检查的时间。	0
ItemId	long	检查项ID。检查项ID及对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。	1
StartStatus	string	检查项启用状态。取值： enabled：用户所用的产品版本支持检测该检查项。 disable：用户所用的产品版本不支持检测该检查项。	enabled
AffectedCount	integer	受影响的资产数量。	0
RiskAssertType	string	受影响的资产类型。	ECS
Title	string	检查项名称。	RDS - Whitelist Configuration
TaskId	long	检查任务的ID。	15384933
CheckTime	long	最新检测的时间戳，单位为毫秒。	1639429164000
RiskItemResources	object []	检查项的详情数据。
ContentResource	object	检查结果详情。
	any	检查结果详情。	{ "type": "link", "url": "https://*.aliyun.com/abc.html", "value": "https://*.aliyun.com/abc.html" }
ResourceName	string	详情的标题。取值： bestPractice：检查描述 influence：威胁影响 suggestion：指导方案 helpResource：帮助资源	bestPractice

以下表格展示了所有云平台配置检查项的ID、名称、类型、风险等级、云产品类型和说明。

ItemId（检查项ID）	Name（检查项名称）	GroupId（检查项类型）	RiskLevel（风险等级）	AssetType（云产品类型）	说明
1	操作审计-日志配置	3（日志审计）	medium	ActionTrail	检查是否已启用操作审计服务记录云平台操作日志，并正确配置日志保存到OSS Bucket。
2	RDS-数据库安全策略	4（数据安全）	medium	RDS	检查RDS的各个实例是否已启用数据加密传输（SSL）、数据加密存储（TDE）和SQL审计服务。
3	主账号安全-双因素认证	1（身份认证及权限）	high	RAM	检查用户登录阿里云控制台的主账号，是否已启用双因素认证MFA（Multi-Factor Authentication)。
4	云盾-高防回源配置	2（网络访问控制）	high	DDoS	检查使用DDoS高防服务后，是否已隐藏后端服务器真实IP地址。避免攻击者直接访问真实IP绕过高防。通过设置白名单的方式可以隐藏后端服务器真实IP地址，当真实IP为弹性计算服务（ECS） IP时，在弹性计算服务（ECS）安全组设置访问控制策略；当真实IP为负载均衡服务（SLB） IP时，在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许高防回源IP地址访问。
5	RDS-白名单配置	2（网络访问控制）	high	RDS	检查数据库服务（RDS）的访问控制策略是否有0.0.0.0/0（任意IP）的配置，不建议数据库类服务直接对公网开放，需要限定访问范围为指定IP访问。
6	SLB-高危端口暴露	2（网络访问控制）	high	SLB	检查负载均衡服务（SLB）是否已配置高危服务端口转发到公网。
7	云盾-WAF回源配置	2（网络访问控制）	high	WAF	检查使用WAF服务后，是否已隐藏后端服务器真实IP地址。避免攻击者直接访问真实IP绕过WAF。通过设置白名单的方式可以实现，当真实IP为弹性计算服务（ECS） IP时，在弹性计算服务（ECS）安全组设置相应访问控制策略；当真实IP为负载均衡服务（SLB）IP时，在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许WAF回源IP地址访问。
8	云盾-主机安全防护	6（基础安全防护）	high	ECS	检查ECS主机的云安全中心Agent是否持续在线，提供安全防护。
12	OSS-Bucket权限设置	4（数据安全）	high	OSS	检查OSS所有Bucket是否允许公共读写或公共读。公共读（public-read）、公共读写（public-read-write）权限可以不通过身份验证直接读取或者写入您Bucket中的数据，安全风险高，为确保您的数据安全，不推荐此配置，建议您选择私有（private）访问控制方式。
13	云安全中心-AK泄露检测配置	5（监控告警）	medium	RAM	检查是否开启了AK和账密防泄漏功能。API凭证（即阿里云AccessKey）是用户访问内部资源最重要的身份凭证。为了避免不慎泄露AccessKey造成的恶劣影响，建议在云安全中心开启AK泄漏检测。
14	MongoDB-白名单配置	2（网络访问控制）	high	MongoDB	检查云数据库MongoDB实例是否已开启白名单限制。如果开启白名单，并且白名单设置为0.0.0.0/0和空代表不设IP访问的限制，数据库将会有高安全风险。建议仅将您访问MongoDB数据库的服务器外网IP/IP段设为可访问权限。
15	RAM-子账号双因素认证	1（身份认证及权限）	medium	RAM	子账号安全-检测是否已开启双因素认证。
16	OSS-日志记录配置	4（数据安全）	medium	OSS	检查OSS所有Bucket是否已启用日志记录。用户在访问OSS的过程中，会产生大量的访问日志。日志存储功能，可将OSS的访问日志，以小时为单位，按照固定的命名规则，生成一个Object写入您指定的Bucket（目标 Bucket，Target Bucket）。您可以使用阿里云DataLakeAnalytics或搭建Spark集群等方式对这些日志文件进行分析。同时，您可以配置目标 Bucket 的生命周期管理规则，将这些日志文件转成归档存储，长期归档保存。
17	OSS-跨区域复制配置	4（数据安全）	low	OSS	检查OSS所有Bucket是否已启用跨区域复制。跨区域复制（Bucket Cross-Region Replication）是跨不同OSS数据中心（地域）的Bucket自动、异步复制Object，它会将Object的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。该功能能够很好的提供Bucket跨区域容灾或满足用户数据复制的需求。目标Bucket中的对象是源Bucket中对象的精确副本，它们具有相同的对象名、元数据以及内容，例如创建时间、拥有者、用户定义的元数据、Object ACL、对象内容等。
18	RDS-开启数据库备份	4（数据安全）	medium	RDS	数据安全-检查是否开启数据库备份。建议RDS数据库实例开启数据备份功能，数据备份应当每天备份一次。
19	Redis-白名单配置	2（网络访问控制）	high	Redis	数据安全-检查Redis访问控制。
20	ECS-密钥对登录	1（身份认证及权限）	medium	ECS	ECS-密钥对登录检查。
21	SLB-健康状态	5（监控告警）	low	SLB	负载均衡实例健康状态检查。
22	PolarDB-白名单配置	2（网络访问控制）	medium	PolarDB	检查云数据库PolarDB的访问控制策略是否开放公网访问且有0.0.0.0/0（任意IP）的配置，不建议数据库类服务直接对公网开放，需要限定访问范围为指定IP访问。
23	分析型数据库PostgreSQL版-白名单配置	2（网络访问控制）	medium	PostgreSQL	检查分析型数据库PostgreSQL版的访问控制策略是否有0.0.0.0/0（任意IP）的配置，不建议数据库类服务直接对公网开放，需要限定访问范围为指定IP访问。
24	ECS-存储加密	4（数据安全）	low	ECS	检查ECS主机磁盘是否开启加密，开启云盘加密，可以满足您的业务更高的安全需求或法规合规要求。
25	SLB-白名单配置	2（网络访问控制）	medium	SLB	检查SLB负载均衡实例访问控制配置，建议非http/https服务启用访问控制，并且不能开放0.0.0.0/0。
26	SLB-证书过期	5（监控告警）	medium	SLB	检查SLB证书是否过期。
27	ECS-自动快照策略	4（数据安全）	medium	ECS	检查ECS是否已开启自动快照策略。
28	SSL证书-有效期检查	4（数据安全）	medium	SSL	检查SSL证书是否在有效期内。
30	OSS-Bucket服务端加密	4（数据安全）	low	OSS	检查OSS-Bucket服务端是否已加密。
31	OSS-Bucket防盗链配置	2（网络访问控制）	low	OSS	检查OSS-Bucket防盗链是否已配置。
32	RDS-跨地域备份	4（数据安全）	low	RDS	检查RDS是否已配置跨地域备份。
33	MongoDB-备份设置	4（数据安全）	medium	MongoDB	检查MongoDB是否已开启备份。
34	MongoDB-日志审计	3（日志审计）	medium	MongoDB	检查MongoDB是否已开启日志审计。
35	MongoDB-SSL开启	4（数据安全）	medium	MongoDB	检查MongoDB是否已开启SSL证书检查。
36	云监控-主机插件状态	5（监控告警）	medium	CloudMonitor	检查云监控主机插件状态是否正常。
37	ECS-安全组策略	2（网络访问控制）	medium	ECS	检查ECS安全组策略。
38	VPC-DNAT管理端口开放	2（网络访问控制）	medium	VPC	检查VPC-DNAT管理开放的端口。
39	Redis-备份设置	4（数据安全）	medium	Redis	检查是否已开启Redis备份设置。
40	容器镜像服务-仓库权限设置	4（数据安全）	high	CR	检查容器镜像服务是否设置正确的仓库权限。
41	容器镜像服务-安全扫描	6（基础安全防护）	low	CR	检查容器镜像服务是否启用安全扫描。
42	SLB-访问日志配置	3（日志审计）	medium	SLB	检查SLB是否已设置访问日志配置。
43	Redis-审计日志配置	3（日志审计）	low	Redis	检查Redis审计日志配置检查。
44	OSS-授权策略	1（身份认证及权限）	medium	OSS	检查OSS是否已配置正确的授权策略。
46	PolarDB-备份设置	4（数据安全）	medium	PolarDB	检查PolarDB是否已开启备份。
47	PolarDB-SQL洞察	3（日志审计）	medium	PolarDB	检查PolarDB是否已开启SQL洞察。
49	主账号安全-AK使用	1（身份认证及权限）	medium	RAM	检查主账号是否已启用AK。
51	CDN-实时日志推送	3（日志审计）	medium	CDN	检查CDN是否已开启实时日志推送。
52	Redis-SSL开启	4（数据安全）	medium	Redis	检查Redis是否已使用SSL证书。

示例

正常返回示例

JSON格式

{
  "CurrentPage": 1,
  "RequestId": "AD271C07-4ACE-413D-AA9B-F14FD3B7717F",
  "PageSize": 20,
  "TotalCount": 12,
  "PageCount": 20,
  "Count": 10,
  "List": [
    {
      "RiskLevel": "high",
      "Status": "pass",
      "Type": "Log audit",
      "Sort": 1,
      "RepairStatus": "disabled",
      "RemainingTime": 0,
      "ItemId": 1,
      "StartStatus": "enabled",
      "AffectedCount": 0,
      "RiskAssertType": "ECS",
      "Title": "RDS - Whitelist Configuration",
      "TaskId": 15384933,
      "CheckTime": 1639429164000,
      "RiskItemResources": [
        {
          "ContentResource": {
            "key": "{\n      \"type\": \"link\",\n      \"url\": \"https://***.aliyun.com/abc.html\",\n      \"value\": \"https://***.aliyun.com/abc.html\"\n}"
          },
          "ResourceName": "bestPractice"
        }
      ]
    }
  ]
}

错误码

HTTP status code	错误码	错误信息	描述
400	NoPermission	no permission	无此服务的访问权限。
403	NoPermission	caller has no permission	当前操作未被授权，请联系主账号在RAM控制台进行授权后再执行操作。
500	ServerError	ServerError	服务故障

访问错误中心查看更多错误码。

变更历史

变更时间	变更内容概要	操作

暂无变更历史