本文解释了配置审计的基本概念,帮助您正确理解和使用配置审计。概念 说明 资源类型 资源类型是一组实体资源的归类。例如:云服务器ECS实例的资源类型为ECS实例。资源可以分为以下几类:计算实例、存储实例等实体资源。工作组、工作流等...
规则详情 参数 说明 规则名称 CDN使用的SSL证书未过期 规则标识 cdn-certificate-expired-check 标签 CDN,Certificate 自动修正 不支持 规则触发机制 周期执行 触发频率 24小时 规则支持的资源类型 ACS:CDN:Domain 规则入参 days(默认值:...
Redis实例开启审计日志且日志保留天数大于等于指定值,视为“合规”。应用场景 Redis实例的审计日志保留足够天数,满足相关法规和安全要求。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 ...
OSS存储桶开启TLS且使用的TLS版本在参数指定的版本范围内,视为“合规”。应用场景 为保障数据传输安全,建议OSS存储桶通过HTTPS(TLS加密)提供服务,并使用安全的TLS版本(推荐 TLSv1.2 或 TLSv1.3)。风险等级 默认风险等级:中风险。当...
操作审计将在2020年8月28日23:59:59后不再支持呈现读事件中的相关资源信息。变更说明 读事件是用户在阿里云上的读操作事件。读操作指本身没有在云上增加、删除或修改配置的操作意图,也不会对云上配置造成变更,仅读取云上产品和资源的信息...
使用的ACK集群版本未停止维护,视为“合规”。应用场景 容器服务ACK会定期发布支持的Kubernetes版本并逐步停止对过期版本的技术支持,过期版本集群存在安全和稳定性风险,请及时升级。风险等级 默认风险等级:中风险。当您使用该规则时,...
本文介绍操作审计支持的地域。公共云 华东1(杭州)华东2(上海)华东5(南京-本地地域-关停中)华东6(福州-本地地域-关停中)华北1(青岛)华北2(北京)华北3(张家口)华北5(呼和浩特)华北6(乌兰察布)华南1(深圳)华南2(河源)...
应用场景 本文以配置审计控制台通过规则模板“ECS实例开启释放保护”创建一条风险等级为“高风险”的规则为例。配置审计自动审计当前账号或多账号下所有ECS实例,发现ECS实例未开启释放保护,配置审计将不合规事件自动投递到云监控,继而...
SLB实例使用的证书为阿里云签发,视为“合规”。应用场景 推荐您使用阿里云签发的证书,实现网站HTTPS化,使网站具备可信、防劫持、防篡改和防监听等特点。您可以对证书进行统一生命周期管理,简化证书部署。风险等级 默认风险等级:中风险...
重要 开通日志服务SLS不收费,配置审计将资源数据投递到日志服务SLS,并使用其查询和分析功能需要收费。具体计费标准,请参见 计费概述。如果您需要将大文件投递到对象存储OSS的存储空间,则需要开通对象存储OSS并创建存储空间。具体操作,...
FC使用的运行时未废弃,则视为“合规”。截止2025-04-20,本规则检测废弃版本清单为:nodejs12,nodejs10,nodejs8,dotnetcore2.1,python2.7,nodejs6,nodejs4.4。风险等级 默认风险等级:低风险。当您使用该规则时,可以按照实际需求...
您可以在配置审计中设置将资源配置变更历史和资源不合规事件投递到轻量消息队列(原 MNS)的指定主题,您还可以根据所需设置该主题的推送方式和内容。前提条件 请确保您已开通轻量消息队列(原 MNS)。具体操作,请参见 开通轻量消息队列...
操作审计仅默认为每个阿里云账号记录最近90天的事件,为了满足长期存储和合规性回溯的需求,您可以创建跟踪,将后续新产生的事件投递到日志服务SLS或对象存储OSS中,确保您后续能够查看并分析超过90天的事件详情。本文为您介绍单账号跟踪的...
在配置审计中,每个资源都有属于自己的合规检测历史。当规则评估该资源时,产生合规评估记录,持续的合规评估形成了资源的合规检测历史。背景信息 合规检测历史是资源的一组合规评估记录,包括的要素如下表所示。要素 说明 合规检测历史上...
本文以查询审计跟踪的变更事件为例,为您介绍如何通过操作审计的系统模板,检索并查看与网络及数据安全最佳实践事件相关的日志信息。前提条件 请确保您已创建跟踪,且将事件投递到日志服务SLS中。具体操作,请参见 创建单账号跟踪 和 创建...
参数 说明 规则名称 使用独享型的PolarDB实例 规则标识 polardb-instance-sub-category-exclusive 标签 PolarDB 自动修正 不支持 规则触发机制 配置变更 规则支持的资源类型 PolarDB集群 规则入参 无 修正指导 配置PolarDB实例使用的计算...
除ECS外的云服务(例如:云防火墙、NAT网关等)或虚商所使用的安全组不适用本规则,视为“不适用”。说明 除ECS外的云服务在托管模式下创建的安全组称为托管安全组。关于托管安全组的更多信息,请参见 托管安全组。规则详情 参数 说明 规则...
操作审计 帮助您监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。您可以将这些行为事件下载或保存到日志服务或OSS存储空间,然后进行行为分析、安全分析、资源变更行为追踪和...
应用场景 关注及管理在闲置周期内未投入使用的NAT网关,有助于企业更好的管理成本。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 NAT网关绑定EIP且绑定的EIP设置SNAT或DNAT条目,视为“合规...
应用场景 关注及管理在闲置周期内未投入使用的VPN网关,有助于企业更好的管理成本。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 VPN网关配置目的路由、配置策略路由且开启路由自动传播,视...
在配置审计中,每个资源都有属于自己的合规检测历史。当规则评估该资源时,产生合规评估记录,持续的合规评估形成了资源的合规检测历史。背景信息 合规检测历史是资源的一组合规评估记录,包括的要素如下表所示。要素 说明 合规检测历史上...
背景信息 资源清单中仅展示已支持配置审计的云服务和资源类型。更多信息,请参见 配置审计支持的资源类型和资源关系。操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行该操作。单个阿里云...
操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。在左侧导航栏,选择 合规审计 规则。在 规则 页面,通过筛选或搜索功能找到目标规则。搜索:您可以通过规则...
您需要使用的云产品中有部分暂时不支持角色访问。支持角色访问(即通过STS访问)的云产品请参见 支持STS的云服务。您的IdP不支持复杂的自定义属性配置。您没有上述需要使用角色SSO的业务需求,而又希望尽量简化IdP配置。风险等级 默认风险...
当已有规则不能满足您资源审计的需求时,您可以根据所需修改规则。背景信息 如果您新建了合规包,您还可以直接在目标合规包中修改对应的规则。具体操作,请参见 修改合规包。操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组...
操作审计将于2022年12月22日00:00:00起,对全局事件查询功能进行变更。本次变更仅针对全局事件,非全局事件不受影响。变更说明 全局事件 查询功能变更后,您只能在以下地域查询全局事件:公共云:华东1(杭州)。金融云:华东2 金融云。...
应用场景 关注及管理在闲置周期内未投入使用的NAS文件系统,有助于企业更好的管理成本。风险等级 默认风险等级:低风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 NAS文件系统添加挂载点,视为“合规”。NAS文件系统未...
检测逻辑 检测数据依赖云安全中心的资产指纹调查,确保使用的云安全中心版本为企业版或者旗舰版。ECS实例运行进程列表不包含指定名称的进程,视为“合规”。ECS实例运行进程列表包含指定名称的进程,视为“不合规”。关于如何修正该问题,...
应用场景 关注及管理在闲置周期内未投入使用的实例,有助于企业更好的管理成本。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 容器镜像实例创建命名空间与镜像仓库,视为“合规”。容器镜像...
应用场景 关注及管理在闲置周期内未投入使用的SLB负载均衡实例,有助于企业更好的管理成本。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 SLB负载均衡存在运行中的监听,视为“合规”。SLB...
常见问题 在配置审计控制台创建 轻量消息队列(原 MNS)投递时使用的主题可以作为事件总线EventBridge的事件源吗?不可以,因为事件总线EventBridge对于轻量消息队列(原 MNS)的事件源仅支持队列。您可以为轻量消息队列(原 MNS)的主题...
当配置审计预置的规则模板不能满足需求时,您可以通过可视化设置条件规则的三要素(资源特征、操作符和预期值),快速创建自定义规则,对目标资源进行审计。背景信息 关于自定义条件规则的概念、应用场景和核心特性,请参见 自定义条件规则...
操作审计支持Insights事件,帮助您从管控事件中发现异常行为。开通Insights事件后,操作审计将基于管控事件识别存在风险的API调用事件、API错误事件、IP请求事件、AccessKey调用事件、权限变更事件、密码变更事件和隐匿行踪事件并生成...
应用场景 关注及管理在闲置周期内未投入使用的VPC NAT网关,有助于企业更好的管理成本。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 VPC NAT网关绑定的EIP已设置SNAT或DNAT条目,视为“合规...
检测数据依赖云安全中心的资产指纹调查,请您确保使用的云安全中心版本为企业版或旗舰版。应用场景 确保ECS实例有指定的运行进程,满足统一的管控和业务要求。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险...
本文为您介绍如何通过配置审计的高级搜索功能,查询并下载自定义资源清单。背景信息 上云的企业在日常内部治理和运维过程中经常需要将云上的资源数据进行导出,导出的要求包括限于指定资源类型、指定资源类型的属性等。配置审计高级搜索...
关于配置审计支持的资源类型,请参见 配置审计支持的资源类型和资源关系。每日投递时间 资源定时快照的每日投递时间。说明 如果您不设置该参数,则默认每天00:00:00和12:00:00投递资源数据。单击 确认。(可选)在 确认操作 对话框,单击 ...
表格存储OTS已与操作审计服务集成,操作审计支持将数据事件投递到日志服务SLS的LogStore中,您可以在日志服务SLS对数据事件进行查询分析,满足实时审计、问题回溯分析等需求。操作审计记录了用户通过OpenAPI或控制台等方式操作云资源时产生...
您可以授予RAM用户访问和管理操作审计的权限,包括查询事件、管理跟踪、管理事件告警等。本文为您介绍如何为RAM用户授予管理操作审计的相关权限。前提条件 请确保您已创建RAM用户。具体操作,请参见 创建RAM用户。请确保您已创建操作审计...
本文为您介绍基于操作审计的跟踪和告警功能,对创建RAM用户进行监控并通过短信通知方式进行告警。使用场景 现代企业数字化转型过程中,随着云上账号使用的普及,企业开始对云上账号管理以及账号安全逐渐重视。私自创建账号会造成敏感信息...