文档

DescribeRiskCheckResult - 查询检查项检测结果

更新时间:

查询检查项的检测结果,可根据类别或名称进行筛选查询。

接口说明

该接口已下线,使用升级接口 ListCheckResult 替换。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
yundun-sas:DescribeRiskCheckResultRead
  • 全部资源
    *

请求参数

名称类型必填描述示例值
SourceIpstring

访问源的 IP 地址。

1.2.XX.XX
Langstring

设置请求和接收消息的语言类型,默认为 zh。取值:

  • zh:中文
  • en:英文
zh
GroupIdlong

要查询的检查项类型。取值:

  • 1:身份认证及权限
  • 2:网络访问控制
  • 3:日志审计
  • 4:数据安全
  • 5:监控告警
  • 6:基础安全防护
说明 不设置检查项类型,默认查询所有检查项类型。
1
CurrentPageinteger

设置从返回结果的第几页开始显示查询结果。默认值为 1,表示从第 1 页开始显示。

1
RiskLevelstring

要查询的检查项风险等级。取值:

  • high:高危
  • medium:中危
  • low:低危
high
Statusstring

检查结果的状态。取值:

  • pass:通过
  • failed:失败
  • running:运行中
  • waiting:等待运行
  • ignored:已忽略
  • falsePositive:已标记误报
pass
AssetTypestring

要查询的云产品类型。云产品类型对应的风险检查项详细信息,请参见本文档返回参数后的风险检查项表格。

RDS
Namestring

检查项名称。检查项名称及对应的风险检查项详细信息,请参见本文档返回参数后的风险检查项表格。

ALB_NetWorkAccessControl
PageSizeinteger

设置分页查询时,每页显示的检查结果的数量。默认值为 20,表示每页显示 20 条检查结果。

20
QueryFlagstring

检查项的启用状态。取值:

  • enabled:已启用
  • disabled:未启用
enabled
ItemIdsarray

检查项 ID。ID 值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。

string

检查项 ID。ID 值对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。

15

返回参数

名称类型描述示例值
object

请求返回数据。

CurrentPageinteger

分页查询时,当前页的页码。

1
RequestIdstring

本次调用请求的 ID,是由阿里云为该请求生成的唯一标识符,可用于排查和定位问题。

AD271C07-4ACE-413D-AA9B-F14FD3B7717F
PageSizeinteger

分页查询时,每页显示的检查结果的数量。默认值为 20,表示每页显示 20 条检查结果。

20
TotalCountinteger

查询到的检查结果数据的总条数。

12
PageCountinteger

查询到的检查结果数据的总页数。

20
Countinteger

分页查询时,显示的当前页的数据条数。

10
Listobject []

检查项信息列表。

RiskLevelstring

检查项的风险等级。取值:

  • high:高危
  • medium:中危
  • low:低危
high
Statusstring

检查项检查状态。取值:

  • pass:通过
  • failed:失败
  • running:运行中
  • waiting:等待运行
  • ignored:已忽略
  • falsePositive:已标记误报
pass
Typestring

检查项类型。取值:

  • 身份认证及权限
  • 网络访问控制
  • 日志审计
  • 数据安全
  • 监控告警
  • 基础安全防护
Log audit
Sortinteger

检查结果的排序序号。仅决定展示检查项的顺序。

1
RepairStatusstring

配置检查项是否支持修复功能。取值:

  • enabled:支持修复
  • disabled:不支持修复
disabled
RemainingTimeinteger

预计下一次检查的时间。

0
ItemIdlong

检查项 ID。检查项 ID 及对应的风险检查项详细信息请参见本文档返回参数后的风险检查项表格。

1
StartStatusstring

检查项启用状态。取值:

  • enabled:用户所用的产品版本支持检测该检查项。
  • disable:用户所用的产品版本不支持检测该检查项。
enabled
AffectedCountinteger

受影响的资产数量。

0
RiskAssertTypestring

受影响的资产类型。

ECS
Titlestring

检查项名称。

RDS - Whitelist Configuration
TaskIdlong

检查任务的 ID。

15384933
CheckTimelong

最新检测的时间戳,单位为毫秒。

1639429164000
RiskItemResourcesobject []

检查项的详情数据。

ContentResourceobject

检查结果详情。

any

检查结果详情。

{ "type": "link", "url": "https://***.aliyun.com/abc.html", "value": "https://***.aliyun.com/abc.html" }
ResourceNamestring

详情的标题。取值:

  • bestPractice:检查描述
  • influence:威胁影响
  • suggestion:指导方案
  • helpResource:帮助资源
bestPractice

以下表格展示了所有云平台配置检查项的 ID、名称、类型、风险等级、云产品类型和说明。

ItemId(检查项 ID)Name(检查项名称)GroupId(检查项类型)RiskLevel(风险等级)AssetType(云产品类型)说明
1操作审计-日志配置3(日志审计)mediumActionTrail检查是否已启用操作审计服务记录云平台操作日志,并正确配置日志保存到 OSS Bucket。
2RDS-数据库安全策略4(数据安全)mediumRDS检查 RDS 的各个实例是否已启用数据加密传输(SSL)、数据加密存储(TDE)和 SQL 审计服务。
3主账号安全-双因素认证1(身份认证及权限)highRAM检查用户登录阿里云控制台的主账号,是否已启用双因素认证 MFA(Multi-Factor Authentication)。
4云盾-高防回源配置2(网络访问控制)highDDoS检查使用 DDoS 高防服务后,是否已隐藏后端服务器真实 IP 地址。避免攻击者直接访问真实 IP 绕过高防。通过设置白名单的方式可以隐藏后端服务器真实 IP 地址,当真实 IP 为弹性计算服务(ECS) IP 时,在弹性计算服务(ECS)安全组设置访问控制策略;当真实 IP 为负载均衡服务(SLB) IP 时,在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许高防回源 IP 地址访问。
5RDS-白名单配置2(网络访问控制)highRDS检查数据库服务(RDS)的访问控制策略是否有 0.0.0.0/0(任意 IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定 IP 访问。
6SLB-高危端口暴露2(网络访问控制)highSLB检查负载均衡服务(SLB)是否已配置高危服务端口转发到公网。
7云盾-WAF 回源配置2(网络访问控制)highWAF检查使用 WAF 服务后,是否已隐藏后端服务器真实 IP 地址。避免攻击者直接访问真实 IP 绕过 WAF。通过设置白名单的方式可以实现,当真实 IP 为弹性计算服务(ECS) IP 时,在弹性计算服务(ECS)安全组设置相应访问控制策略;当真实 IP 为负载均衡服务(SLB)IP 时,在负载均衡服务上设置白名单访问控制策略。设置访问控制策略为仅允许 WAF 回源 IP 地址访问。
8云盾-主机安全防护6(基础安全防护)highECS检查 ECS 主机的云安全中心 Agent 是否持续在线,提供安全防护。
12OSS-Bucket 权限设置4(数据安全)highOSS检查 OSS 所有 Bucket 是否允许公共读写或公共读。公共读(public-read)、公共读写(public-read-write)权限可以不通过身份验证直接读取或者写入您 Bucket 中的数据,安全风险高,为确保您的数据安全,不推荐此配置,建议您选择私有(private)访问控制方式。
13云安全中心-AK 泄露检测配置5(监控告警)mediumRAM检查是否开启了 AK 和账密防泄漏功能。API 凭证(即阿里云 AccessKey)是用户访问内部资源最重要的身份凭证。为了避免不慎泄露 AccessKey 造成的恶劣影响,建议在云安全中心开启 AK 泄漏检测。
14MongoDB-白名单配置2(网络访问控制)highMongoDB检查云数据库 MongoDB 实例是否已开启白名单限制。如果开启白名单,并且白名单设置为 0.0.0.0/0 和空代表不设 IP 访问的限制,数据库将会有高安全风险。建议仅将您访问 MongoDB 数据库的服务器外网 IP/IP 段设为可访问权限。
15RAM-子账号双因素认证1(身份认证及权限)mediumRAM子账号安全-检测是否已开启双因素认证。
16OSS-日志记录配置4(数据安全)mediumOSS检查 OSS 所有 Bucket 是否已启用日志记录。用户在访问 OSS 的过程中,会产生大量的访问日志。日志存储功能,可将 OSS 的访问日志,以小时为单位,按照固定的命名规则,生成一个 Object 写入您指定的 Bucket(目标 Bucket,Target Bucket)。您可以使用阿里云 DataLakeAnalytics 或搭建 Spark 集群等方式对这些日志文件进行分析。同时,您可以配置目标 Bucket 的生命周期管理规则,将这些日志文件转成归档存储,长期归档保存。
17OSS-跨区域复制配置4(数据安全)lowOSS检查 OSS 所有 Bucket 是否已启用跨区域复制。跨区域复制(Bucket Cross-Region Replication)是跨不同 OSS 数据中心(地域)的 Bucket 自动、异步复制 Object,它会将 Object 的创建、更新和删除等操作从源存储空间复制到不同区域的目标存储空间。该功能能够很好的提供 Bucket 跨区域容灾或满足用户数据复制的需求。目标 Bucket 中的对象是源 Bucket 中对象的精确副本,它们具有相同的对象名、元数据以及内容,例如创建时间、拥有者、用户定义的元数据、Object ACL、对象内容等。
18RDS-开启数据库备份4(数据安全)mediumRDS数据安全-检查是否开启数据库备份。建议 RDS 数据库实例开启数据备份功能,数据备份应当每天备份一次。
19Redis-白名单配置2(网络访问控制)highRedis数据安全-检查 Redis 访问控制。
20ECS-密钥对登录1(身份认证及权限)mediumECSECS-密钥对登录检查。
21SLB-健康状态5(监控告警)lowSLB负载均衡实例健康状态检查。
22PolarDB-白名单配置2(网络访问控制)mediumPolarDB检查云数据库 PolarDB 的访问控制策略是否开放公网访问且有 0.0.0.0/0(任意 IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定 IP 访问。
23分析型数据库 PostgreSQL 版-白名单配置2(网络访问控制)mediumPostgreSQL检查分析型数据库 PostgreSQL 版的访问控制策略是否有 0.0.0.0/0(任意 IP)的配置,不建议数据库类服务直接对公网开放,需要限定访问范围为指定 IP 访问。
24ECS-存储加密4(数据安全)lowECS检查 ECS 主机磁盘是否开启加密,开启云盘加密,可以满足您的业务更高的安全需求或法规合规要求。
25SLB-白名单配置2(网络访问控制)mediumSLB检查 SLB 负载均衡实例访问控制配置,建议非 http/https 服务启用访问控制,并且不能开放 0.0.0.0/0。
26SLB-证书过期5(监控告警)mediumSLB检查 SLB 证书是否过期。
27ECS-自动快照策略4(数据安全)mediumECS检查 ECS 是否已开启自动快照策略。
28SSL 证书-有效期检查4(数据安全)mediumSSL检查 SSL 证书是否在有效期内。
30OSS-Bucket 服务端加密4(数据安全)lowOSS检查 OSS-Bucket 服务端是否已加密。
31OSS-Bucket 防盗链配置2(网络访问控制)lowOSS检查 OSS-Bucket 防盗链是否已配置。
32RDS-跨地域备份4(数据安全)lowRDS检查 RDS 是否已配置跨地域备份。
33MongoDB-备份设置4(数据安全)mediumMongoDB检查 MongoDB 是否已开启备份。
34MongoDB-日志审计3(日志审计)mediumMongoDB检查 MongoDB 是否已开启日志审计。
35MongoDB-SSL 开启4(数据安全)mediumMongoDB检查 MongoDB 是否已开启 SSL 证书检查。
36云监控-主机插件状态5(监控告警)mediumCloudMonitor检查云监控主机插件状态是否正常。
37ECS-安全组策略2(网络访问控制)mediumECS检查 ECS 安全组策略。
38VPC-DNAT 管理端口开放2(网络访问控制)mediumVPC检查 VPC-DNAT 管理开放的端口。
39Redis-备份设置4(数据安全)mediumRedis检查是否已开启 Redis 备份设置。
40容器镜像服务-仓库权限设置4(数据安全)highCR检查容器镜像服务是否设置正确的仓库权限。
41容器镜像服务-安全扫描6(基础安全防护)lowCR检查容器镜像服务是否启用安全扫描。
42SLB-访问日志配置3(日志审计)mediumSLB检查 SLB 是否已设置访问日志配置。
43Redis-审计日志配置3(日志审计)lowRedis检查 Redis 审计日志配置检查。
44OSS-授权策略1(身份认证及权限)mediumOSS检查 OSS 是否已配置正确的授权策略。
46PolarDB-备份设置4(数据安全)mediumPolarDB检查 PolarDB 是否已开启备份。
47PolarDB-SQL 洞察3(日志审计)mediumPolarDB检查 PolarDB 是否已开启 SQL 洞察。
49主账号安全-AK 使用1(身份认证及权限)mediumRAM检查主账号是否已启用 AK。
51CDN-实时日志推送3(日志审计)mediumCDN检查 CDN 是否已开启实时日志推送。
52Redis-SSL 开启4(数据安全)mediumRedis检查 Redis 是否已使用 SSL 证书。

示例

正常返回示例

JSON格式

{
  "CurrentPage": 1,
  "RequestId": "AD271C07-4ACE-413D-AA9B-F14FD3B7717F",
  "PageSize": 20,
  "TotalCount": 12,
  "PageCount": 20,
  "Count": 10,
  "List": [
    {
      "RiskLevel": "high",
      "Status": "pass",
      "Type": "Log audit",
      "Sort": 1,
      "RepairStatus": "disabled",
      "RemainingTime": 0,
      "ItemId": 1,
      "StartStatus": "enabled",
      "AffectedCount": 0,
      "RiskAssertType": "ECS",
      "Title": "RDS - Whitelist Configuration",
      "TaskId": 15384933,
      "CheckTime": 1639429164000,
      "RiskItemResources": [
        {
          "ContentResource": {
            "key": "{\n      \"type\": \"link\",\n      \"url\": \"https://***.aliyun.com/abc.html\",\n      \"value\": \"https://***.aliyun.com/abc.html\"\n}"
          },
          "ResourceName": "bestPractice"
        }
      ]
    }
  ]
}

错误码

HTTP status code错误码错误信息描述
400NoPermissionno permission无此服务的访问权限。
403NoPermissioncaller has no permission当前操作未被授权,请联系主账号在RAM控制台进行授权后再执行操作。
500ServerErrorServerError服务故障,请稍后重试!

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
暂无变更历史
  • 本页导读 (1)
文档反馈