• 地址:广州市天河区华南植物园-龙洞慧创百思G220
  • 免费热线 : 020-87581205
  • 电子邮箱 : sw@51mimu.com

ECS_预设规则_资源合规审计_配置审计-阿里云

 知识中心     |      2020-05-28 15:03:21

ECS

更新时间:2020-05-11 11:11:38

本页目录

ecs-cpu-min-count-limit

检查ECS实例的CPU数量最小限制。

Trigger type:配置更改

资源:ACS::ECS::Instance

参数:

  • cpuCount
  • ECS实例包含的最小CPU数量

修复指南:

当您账号下的ECS实例CPU数量小于您设置的规则参数阈值,会导致该规则不合规。

方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的CPU数量大于等于您设置的规则参数阈值。配置审计会在10分钟内感知到您的修改并自动启动审计。

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

控制台更改实例规格:

ECS_1ECS_2

API更改实例规格:调用ModifyInstanceSpec接口,修改实例规格InstanceType的值。

ecs-desired-instance-type

检查ECS实例是否具有指定的实例类型。

资源:ACS::ECS::Instance

Trigger type:配置更改

参数:instanceTypes

英文逗号分隔的ECS实例类型列表(例如t2.small, m4.large, i2.xlarge)。

修复指南:

您账号下ECS实例规格族未在规则参数阈值中列举出,则会导致该规则不合规。规则参数阈值列表中包含ECS实例的实例规格,该实例即为合规。

方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),更改成规则参数阈值中列出的实例规格中的某一个。配置审计会在10分钟内感知到您的修改并自动启动审计。

方法二:编辑规则参数阈值,将ECS实例的实例规格添加到规则参数阈值中。编辑后单击重新审计后刷新页面进行验证。

控制台更改实例规格:

ECS_3

API更改实例规格:

调用ModifyInstanceSpec接口,修改实例规格InstanceType的值。

ecs-disk-encrypted

检查处于连接状态的磁盘是否已加密。如果使用kmsId参数为加密指定了KMS密钥的ID,则该规则将检查连接状态中的磁盘是否使用该KMS密钥进行加密。

资源:ACS::ECS::Disk

Trigger type:配置更改

参数:

kmsIds

用于加密卷的KMS密钥的ID。

修复指南:

  1. 您账号下所有处于关联状态的云盘若未加密,则会导致该规则不合规。
  2. 若加密云盘的KMSKeyId未存在您列出的规则参数阈值中,则会导致该规则不合规。

加密云盘的KMSKeyId存在于规则参数阈值中,该云盘即为合规。目前云盘加密功能只支持数据盘,解决方法只针对于数据盘。

方法一:重新创建加密云盘,并将云盘用规则参数阈值中列出的KMSKeyId进行加密。配置审计会在10分钟内感知到您的修改并自动启动审计。

不合规的云盘处理方法:释放云盘。

风险:释放云盘会导致云盘数据丢失。

释放云盘风险及操作步骤,请参见释放云盘

方法二:将加密云盘的KMSKeyId添加到规则参数阈值中,单击重新审计后刷新页面进行验证。

ecs-disk-in-use

检查磁盘是否在使用中。

资源:ACS::ECS::Disk

Trigger type:配置更改

参数:无

修复指南:您账号下的ECS云盘处于待挂载状态中,会导致该规则不合规。将云盘挂载到实例上,使其状态变为使用中,既为合规。

控制台操作:进入云盘控制台,通过云盘列表,单击更多 > 挂载将云盘挂载到实例上。

ECS_4

API操作:调用AttachDisk为一台ECS实例挂载一块按量付费数据盘。

合规验证方法:配置审计会在10分钟内感知到您的修改并自动启动审计。

ecs-gpu-min-count-limit

检查ECS实例的GPU数量最小限制。

Trigger type:配置更改

资源:ACS::ECS::Instance

参数:

gpuCount

ECS实例包含的最小GPU数量。

修复指南:

当您账号下的ECS实例GPU数量小于您设置的规则参数阈值,会导致该规则不合规。

方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的GPU数量大于等于您设置的规则参数阈值。配置审计会在10分钟内感知到您的修改并自动启动审计。

需注意,含有本地存储的实例暂不支持变更实例规格。

若不合规实例为本地存储的实例,需要重新购买符合规则要求的ECS实例。

不合规的旧ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果一直未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

释放实例风险及操作步骤,请参见释放实例

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

控制台更改实例规格:

ECS_5

API更改实例规格:调用ModifyInstanceSpec接口,修改实例规格InstanceType的值

ecs-instance-attached-security-group

检测ECS实例是否附加到特定安全组,已开通视为合规。

Trigger type:配置更改

资源:ACS::ECS::Instance

参数:

securityGroupIds

英文逗号分隔的安全组ID列表(例如sg-hp3ebbv7irjeg1,sg-hp3ebbv7irj)。

修复指南:

您账号下的ECS实例加入的安全组ID未在规则参数阈值中列举出,则会导致该规则不合规。规则参数阈值列表中包含实例加入的任何一个安全组Id,该实例即为合规。

方法一:将ECS实例加入到规则参数阈值中列出的安全组中。配置审计会在10分钟内感知到您的修改并自动启动审计。

方法二:将ECS实例加入的安全组ID添加到规则参数阈值中,单击重新审计后刷新页面进行验证。

控制台操作-绑定实例与安全组:

方法一:进入安全组管理页面,在本实例安全组页签下,单击加入安全组

ECS_6

方法二:进入安全组管理页面,在安全组内实例列表页签下,单击添加实例

ECS_7

API操作:

绑定实例与安全组:调用JoinSecurityGroup接口将将一台ECS实例加入到指定的安全组。

ecs-instance-deletion-protection-enabled

检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),已开通视为合规。

Trigger type:配置更改

资源:ecs-instances-in-vpc

参数:无

修复指南:

检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),未开启会导致该规则不合规。

控制台操作:

进入ECS控制台,更多-实例设置-修改实例属性,勾选“开启实例释放保护”。配置审计会在10分钟内感知到您的修改并自动启动审计。

ECS_8

API操作:

通过ModifyInstanceAttribute接口将DeletionProtection的值设为true

合规验证方法:

窗口期后,在配置审计的规则详情页面,单击重新审计进行验证或者等规则自动触发后查看审计结果。

ecs-instances-in-vpc

检查您的ECS实例是否属于某个Virtual Private Cloud(VPC)。您可以指定要与您的实例关联的VPC ID。ECS实例属于指定ID的VPC返回合规;ECS实例不属于指定ID的VPC返回不合规;ECS实例无VPC信息,返回不适用。

Trigger type:配置更改

资源:ACS::ECS::Instance

参数:vpcIds

包含这些实例的VPC的ID(多个VPC的ID以英文逗号隔开,例如vpc-25vk5****,vpc-6wesmaymqkgiuru5x****,vpc-8vbc16loavvujlzli****)。

修复指南:

您账号下ECS实例绑定的VpcId未在规则参数阈值中列举出,则会导致该规则不合规。

方法一:重新创建新的ECS实例,并将实例绑定到规则参数阈值中列出的VpcId中的某一个。配置审计会在10分钟内感知到您的修改并自动启动审计。

不合规的旧ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果一直未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

释放实例风险及操作步骤,请参见释放实例

购买ECS时,在网络和安全组-网络中选择VPC。

ECS_9

方法二:编辑规则参数阈值,将ECS实例绑定的VpcId添加到规则参数阈值中。编辑后单击重新审计后刷新页面进行验证。

ecs-instance-no-public-ip

ECS实例未直接绑定公网IP,视为“合规”。该规则仅适用于IPv4协议。

Trigger type:配置更改

资源:ACS::ECS::Instance

参数:无

您账号下的ECS实例绑定公网IP,会导致该规则不合规。当ECS实例只有私有地址时,资源评估结果为合规。

方法一:若ECS绑定了弹性公网IP,将弹性公网IP进行解绑。配置审计会在10分钟内感知到您的修改并自动启动审计。

ECS_10

方法二:若ECS绑定了公网IP,将公网IP转换成弹性公网IP,在将弹性公网IP进行解绑。配置审计会在10分钟内感知到您的修改并自动启动审计。

ECS_11

方法三:购买新的ECS,在网络和安全组中不勾选“分配公网IPv4地址”。配置审计会在10分钟内感知到您的修改并自动启动审计。

ECS_12

不合规的旧ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果一直未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

释放实例风险及操作步骤,请参见释放实例

ecs-memory-min-size-limit

检查ECS实例内存最小容量限制。

Trigger type:配置更改

资源:ACS::ECS::Instance

参数:

memorySize(ECS实例内存最小容)

修复指南:

当您账号下的ECS实例内存容量小于您设置的规则参数阈值,会导致该规则不合规。

方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的CPU数量大于等于您设置的规则参数阈值。配置审计会在10分钟内感知到您的修改并自动启动审计。

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

控制台更改实例规格:

ECS_13

API更改实例规格:调用ModifyInstanceSpec接口,修改实例规格InstanceType的值。

sg-public-access-check

安全组检测是否匹配0.0.0.0/0

Trigger type:配置更改

资源:ACS::ECS::SecurityGroup

参数:无

修复指南:ECS安全组规则入方向,授权策略为允许,授权对象为0.0.0.0/0,会导致该规则不合规。

方法一:将授权对象为0.0.0.0/0的安全组入方向规则的授权策略调整为拒绝或者修改授权对象。配置审计会在10分钟内感知到您的修改并自动启动审计。

方法二:删除授权策略为允许,授权对象为0.0.0.0/0安全组入方向规则。配置审计会在10分钟内感知到您的修改并自动启动审计。

控制台操作:

调整授权策略和修改授权对象:进入安全组控制台,编辑安全组规则-授权策略设置为拒绝或者修改授权对象。

ECS_14

删除安全组规则:在安全组控制台的安全组规则入方向页签,删除授权策略为允许,授权对象为0.0.0.0/0的规则。

ECS_15

API操作:

  • 调用ModifySecurityGroupRule修改安全组入方向规则修改Policy(访问权限)或者SourceCidrIp(授权对象)的值。
  • 调用RevokeSecurityGroup删除一条安全组入方向规则。

sg-risky-ports-check

检测安全组是否开启风险端口。

Trigger type:配置更改

资源:ACS::ECS::SecurityGroup

参数:

ports(风险端口)

修复指南:

ECS安全组规则(包含出方向和入方向)开启的端口号出现在规则参数阈值中时,会导致该规则不合规。“-1/-1”代表不限制端口,若在安全组规则中设置了“-1/-1”,会导致该规则不合规。

方法一:关闭ECS安全组规则中,规则参数阈值中列出的端口,即将对应端口的授权策略设置为拒绝。配置审计会在10分钟内感知到您的修改并自动启动审计。

方法二:删除开启了规则参数阈值中列出端口的安全组规则。配置审计会在10分钟内感知到您的修改并自动启动审计。

方法三:修改对应安全组规则的端口范围。配置审计会在10分钟内感知到您的修改并自动启动审计。

方法四:编辑规则参数阈值,将对应的端口号从阈值中删除。单击重新审计后刷新页面进行验证。

控制台操作:

在安全组控制台上,将编辑安全组规则页面的授权策略设置为拒绝或者修改端口范围。

ECS_16

删除安全组规则:进入安全组控制台-安全组规则,删除开启了规则参数阈值中列出端口的安全组规则。

ECS_17

API操作:

  • 调用ModifySecurityGroupRule(入方向)和ModifySecurityGroupEgressRule(出方向)修改安全组规则修改Policy(访问权限)或者PortRange(端口范围)的值。
  • 调用RevokeSecurityGroup(入方向)和RevokeSecurityGroupEgress(出方向)删除一条安全组规则。


COPYRIGHT © 2018-2019,WWW.51MIMU.COM,ALL RIGHTS RESERVED版权所有 © 广州米姆信息科技有限公司(阿里云、腾讯云代理商) 粤ICP备18145377号

sitemap feed