資源編排服務ROS已與配置審計Config集成,面對大量資源幫您輕松實現(xiàn)基礎設施的自主監(jiān)管,確保持續(xù)性合規(guī)。在ROS控制臺中創(chuàng)建資源棧時,您可以對ROS模板進行資源創(chuàng)建前的合規(guī)預檢。
具體操作
當您創(chuàng)建資源棧時,資源編排控制臺會根據(jù)您輸入模板中的資源,選擇匹配的托管規(guī)則檢測資源的配置項是否合規(guī),請參見完成合規(guī)檢測。
支持合規(guī)預檢的云服務
資源編排目前僅支持為部分云服務提供合規(guī)預檢功能。
關于支持合規(guī)預檢的云服務,請參見托管規(guī)則列表。
支持合規(guī)預檢的地域
合規(guī)預檢功能支持所有地域。
支持合規(guī)預檢的資源類型
資源類型 | 預檢規(guī)則名稱 | 預檢規(guī)則描述 |
ALIYUN::CR::Repository | cr-repository-type-private | 容器鏡像服務鏡像倉庫類型設置為私有,視為“合規(guī)”。 |
ALIYUN::ECS::Disk | ecs-disk-encrypted | 檢測您賬號下所有數(shù)據(jù)磁盤均已加密,存在未加密的數(shù)據(jù)磁盤視為“不合規(guī)”。 |
ALIYUN::ECS::Instance | ecs-memory-min-size-limit | 如果ECS實例的內存大小大于或等于指定的閾值,則認為該配置符合要求。 |
ecs-instance-deletion-protection-enabled | 檢測您賬號ECS實例是否開啟釋放保護開關(僅支持按量付費支付類型),未開啟視為“不合規(guī)”。 | |
ecs-instance-login-use-keypair | 使用密鑰對登錄Linux系統(tǒng)主機,視為“合規(guī)”。 | |
ALIYUN::ECS::SecurityGroup | sg-public-access-check | 安全組入網設置中包含如下規(guī)則:授權策略選擇允許,端口范圍設置為-1/-1,授權對象設置為0.0.0.0/0,即為”不合規(guī)“。 |
ALIYUN::Elasticsearch::Instance | elasticsearch-instance-enabled-public-check | Elasticsearch實例未開啟公網訪問,視為“合規(guī)”。 |
ALIYUN::OSS::Bucket | oss-bucket-public-write-prohibited | 檢測OSS存儲桶是否不允許公開寫入,如果某個OSS存儲桶策略或存儲桶 ACL 允許公開寫入,則視為“不合規(guī)”。 |
oss-bucket-logging-enabled | 檢查您的OSS存儲桶是否已啟用日志記錄,未啟用視為“不合規(guī)”。 | |
ALIYUN::OTS::Instance | ots-instance-network-not-normal | 表格存儲實例網絡類型設置為限定VPC或控制臺訪問,視為“合規(guī)”。 |
ALIYUN::POLARDB::DBCluster | polardb-public-access-check | 檢測賬號下PolarDB實例不允許任意來源公網訪問,允許視為“不合規(guī)”。 |
ALIYUN::RDS::DBInstance | rds-instance-enabled-security-ip-list | 檢測您賬號下RDS數(shù)據(jù)庫實例是否啟用安全白名單功能,未啟用視為“不合規(guī)”。 |