ecs-cpu-min-count-limit

检查 ECS 实例的CPU数量最小限制。

Trigger type: 配置更改

资源:ACS::ECS::Instance

参数:

  • cpuCount
  • esc实例包含的最小cpu数量

修复指南:

当您账号下的ECS实例CPU数量小于您设置的规则参数阈值,会导致该规则不合规。

方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的CPU数量大于等于您设置的规则参数阈值。Config会在10分钟内感知到您的修改并自动启动审计。

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

控制台更改实例规格:

ECS_1ECS_2

API更改实例规格:调用ModifyInstanceSpec接口,修改实例规格InstanceType的值。

ecs-desired-instance-type

检查 ECS 实例是否具有指定的实例类型。

资源:ACS::ECS::Instance

Trigger type: 配置更改

参数:instanceTypes

逗号分隔的 ECS 实例类型列表(例如t2.small, m4.large, i2.xlarge)。

修复指南:

您账号下ECS实例规格族未在规则参数阈值中列举出,则会导致该规则不合规。规则参数阈值列表中包含ECS实例的实例规格,该实例即为合规。

方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),更改成规则参数阈值中列出的实例规格中的某一个。Config会在10分钟内感知到您的修改并自动启动审计。

方法二:编辑规则参数阈值,将ECS实例的实例规格添加到规则参数阈值中。编辑后单击重新审计后刷新页面进行验证。

控制台更改实例规格:

ECS_3

API更改实例规格:

调用ModifyInstanceSpec接口,修改实例规格InstanceType的值。

ecs-disk-encrypted

检查处于连接状态的 磁盘是否已加密。如果使用 kmsId 参数为加密指定了 KMS 密钥的 ID,则该规则将检查连接状态中的 磁盘是否使用该 KMS 密钥进行加密。

资源:ACS::ECS::Disk

Trigger type: 配置更改

参数:

kmsIds

用于加密卷的 KMS 密钥的 ID。

修复指南:

1、您账号下所有处于关联状态的云盘若未加密,则会导致该规则不合规;

2、若加密云盘的KMSKeyId未存在您列出的规则参数阈值中,则会导致该规则不合规。

加密云盘的KMSKeyId存在于规则参数阈值中,该云盘即为合规。目前云盘加密功能只支持数据盘,解决方法只针对于数据盘。

方法一:重新创建加密云盘,并将云盘用规则参数阈值中列出的KMSKeyId进行加密。Config会在10分钟内感知到您的修改并自动启动审计。

不合规的云盘处理方法:释放云盘。

风险:释放云盘会导致云盘数据丢失。

释放云盘风险及操作步骤,请参见释放云盘

方法二:将加密云盘的KMSKeyId添加到规则参数阈值中,单击重新审计后刷新页面进行验证。

ecs-disk-in-use

检查磁盘是否在使用中。

资源:ACS::ECS::Disk

Trigger type: 配置更改

参数:无

修复指南:您账号下的ECS云盘处于待挂载状态中,会导致该规则不合规。将云盘挂载到实例上,使其状态变为使用中,既为合规。

控制台操作:进入云盘控制台,通过云盘列表,单击更多 > 挂载将云盘挂载到实例上。

ECS_4

API操作:调用AttachDisk为一台ECS实例挂载一块按量付费数据盘。

合规验证方法:Config会在10分钟内感知到您的修改并自动启动审计。

ecs-gpu-min-count-limit

检查 ECS 实例的CPU数量最小限制。

Trigger type: 配置更改

资源:ACS::ECS::Instance

参数:

gpuCount

gsc实例包含的最小cpu数量。

修复指南:

当您账号下的ECS实例GPU数量小于您设置的规则参数阈值,会导致该规则不合规。

方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的GPU数量大于等于您设置的规则参数阈值。Config会在10分钟内感知到您的修改并自动启动审计。

需注意,含有本地存储的实例暂不支持变更实例规格。

若不合规实例为本地存储的实例,需要重新购买符合规则要求的ECS实例。

不合规的旧ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果一直未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

释放实例风险及操作步骤,请参见释放实例

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

控制台更改实例规格:

ECS_5

API更改实例规格:调用ModifyInstanceSpec接口,修改实例规格InstanceType的值

ecs-instance-attached-security-group

检测ECS实例是否附加到特定安全组,已开通视为合规。

Trigger type: 配置更改

资源:ACS::ECS::Instance

参数:

securityGroupIds

逗号分隔的 安全组ID列表(例如sg-hp3ebbv7irjeg1,sg-hp3ebbv7irj)。

修复指南:

您账号下的ECS实例加入的安全组Id未在规则参数阈值中列举出,则会导致该规则不合规。规则参数阈值列表中包含实例加入的任何一个安全组Id,该实例即为合规。

方法一:将ECS实例加入到规则参数阈值中列出的安全组中。Config会在10分钟内感知到您的修改并自动启动审计。

方法二:将ECS实例加入的安全组Id添加到规则参数阈值中,单击重新审计后刷新页面进行验证。

控制台操作-绑定实例与安全组:

方法一:进入安全组管理页面,在本实例安全组页签下,单击加入安全组

ECS_6

方法二:进入安全组管理页面,在安全组内实例列表页签下,单击添加实例

ECS_7

API操作:

绑定实例与安全组:调用JoinSecurityGroup接口将将一台ECS实例加入到指定的安全组。

ecs-instance-deletion-protection-enabled

检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),已开通视为合规。

Trigger type: 配置更改

资源:ecs-instances-in-vpc

参数:无

修复指南:

检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),未开启会导致该规则不合规。

控制台操作:

进入ECS控制台,更多-实例设置-修改实例属性,勾选“开启实例释放保护”。Config会在10分钟内感知到您的修改并自动启动审计。

ECS_8

API操作:

通过ModifyInstanceAttribute接口将DeletionProtection的值设为true

合规验证方法:

窗口期后,回到配置审计-规则详情单击重新审计进行验证或者等规则自动触发后查看审计结果。

ecs-instances-in-vpc

检查您的 ECS 实例是否属于某个 Virtual Private Cloud(VPC)。或者,您可以指定要与您的实例关联的 VPC ID。ECS实例属于指定ID的VPC返回合规;ECS实例不属于指定ID的VPC返回不合规;ECS实例无VPC信息,返回不适用。

Trigger type: 配置更改

资源:ACS::ECS::Instance

参数:vpcIds

包含这些实例的 VPC 的 ID(多个vpcId以逗号隔开,例如vpc-25vk5xwn8,vpc-6wesmaymqkgiuru5xmkvx,vpc-8vbc16loavvujlzli1yc8)。

修复指南:

您账号下ECS实例绑定的VpcId未在规则参数阈值中列举出,则会导致该规则不合规。

方法一:重新创建新的ECS实例,并将实例绑定到规则参数阈值中列出的VpcId中的某一个。Config会在10分钟内感知到您的修改并自动启动审计。

不合规的旧ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果一直未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

释放实例风险及操作步骤,请参见释放实例

购买ECS时,在网络和安全组-网络中选择VPC。

ECS_9

方法二:编辑规则参数阈值,将ECS实例绑定的VpcId添加到规则参数阈值中。编辑后单击重新审计后刷新页面进行验证。

ecs-instance-no-public-ip

ECS实例未直接绑定公网IP,视为“合规”。该规则仅适用于 IPv4 协议。

Trigger type: 配置更改

资源:ACS::ECS::Instance

参数:无

您账号下的ECS实例绑定公网IP,会导致该规则不合规。当ECS实例只有私有地址时,资源评估结果为合规。

方法一:若ECS绑定了弹性公网IP,将弹性公网IP进行解绑。Config会在10分钟内感知到您的修改并自动启动审计。

ECS_10

方法二:若ECS绑定了公网IP,将公网IP转换成弹性公网IP,在将弹性公网IP进行解绑。Config会在10分钟内感知到您的修改并自动启动审计。

ECS_11

方法三:购买新的ECS,在网络和安全组中不勾选“分配公网ipv4地址”。Config会在10分钟内感知到您的修改并自动启动审计。

ECS_12

不合规的旧ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果一直未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。

风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。

释放实例风险及操作步骤,请参见释放实例

ecs-memory-min-size-limit

检查ECS实例内存最小容量限制。

Trigger type: 配置更改

资源:ACS::ECS::Instance

参数:

memorySize(esc实例内存最小容)

修复指南:

当您账号下的ECS实例内存容量小于您设置的规则参数阈值,会导致该规则不合规。

方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的CPU数量大于等于您设置的规则参数阈值。Config会在10分钟内感知到您的修改并自动启动审计。

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

控制台更改实例规格:

ECS_13

API更改实例规格:调用ModifyInstanceSpec接口,修改实例规格InstanceType的值。

sg-public-access-check

安全组检测是否匹配0.0.0.0/0

Trigger type: 配置更改

资源:ACS::ECS::SecurityGroup

参数:无

修复指南:ECS安全组规则入方向,授权策略为允许,授权对象为0.0.0.0/0,会导致该规则不合规。

方法一:将授权对象为0.0.0.0/0的安全组入方向规则的授权策略调整为拒绝或者修改授权对象。Config会在10分钟内感知到您的修改并自动启动审计。

方法二:删除授权策略为允许,授权对象为0.0.0.0/0安全组入方向规则。Config会在10分钟内感知到您的修改并自动启动审计。

控制台操作:

调整授权策略和修改授权对象:进入安全组控制台,编辑安全组规则-授权策略设置为拒绝或者修改授权对象。

ECS_14

删除安全组规则:进入安全组控制台-安全组规则-入方向,删除授权策略为允许,授权对象为0.0.0.0/0的规则。

ECS_15

API操作:

  • 调用ModifySecurityGroupRule修改安全组入方向规则修改Policy(访问权限)或者SourceCidrIp(授权对象)的值。
  • 调用RevokeSecurityGroup删除一条安全组入方向规则。

sg-risky-ports-check

检测安全组是否开启风险端口。

Trigger type: 配置更改

资源:ACS::ECS::SecurityGroup

参数:

ports(风险端口)

修复指南:

ECS安全组规则(包含出方向和入方向)开启的端口号出现在规则参数阈值中时,会导致该规则不合规。“-1/-1”代表不限制端口,若在安全组规则中设置了“-1/-1”,会导致该规则不合规。

方法一:关闭ECS安全组规则中,规则参数阈值中列出的端口,即将对应端口的授权策略设置为拒绝。Config会在10分钟内感知到您的修改并自动启动审计。

方法二:删除开启了规则参数阈值中列出端口的安全组规则。Config会在10分钟内感知到您的修改并自动启动审计。

方法三:修改对应安全组规则的端口范围。Config会在10分钟内感知到您的修改并自动启动审计。

方法四:编辑规则参数阈值,将对应的端口号从阈值中删除。单击重新审计后刷新页面进行验证。

控制台操作:

进入安全组控制台,编辑安全组规则-授权策略设置为拒绝或者修改端口范围

ECS_16

删除安全组规则:进入安全组控制台-安全组规则,删除开启了规则参数阈值中列出端口的安全组规则。

ECS_17

API操作:

  • 调用ModifySecurityGroupRule(入方向)和ModifySecurityGroupEgressRule(出方向)修改安全组规则修改Policy(访问权限)或者PortRange(端口范围)的值。
  • 调用RevokeSecurityGroup(入方向)和RevokeSecurityGroupEgress(出方向)删除一条安全组规则。