本文介绍配置审计为云服务器ECS提供的托管规则详情,以及当规则不合规时的修复方法。
ecs-cpu-min-count-limit
检查ECS实例的CPU数量最小限制。
触发机制:配置更改
资源:ACS::ECS::Instance
参数:cpuCount(CPU最小核数)
- 方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的CPU核数大于等于您设置的规则参数阈值。配置审计会在10分钟内感知到您的修改并自动启动审计。操作方法如下:
- 控制台
更改ECS实例规格的方法:在ECS控制台的实例列表中,单击更改实例规格。
- API
调用ModifyInstanceSpec接口,修改实例规格InstanceType的值,请参见ModifyInstanceSpec。
- 控制台
-
方法二:修改规则参数阈值,将ECS实例的实例规格添加到规则参数阈值中。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-desired-instance-type
检查ECS实例是否具有指定的实例类型。
资源:ACS::ECS::Instance
触发机制:配置更改
参数:instanceTypes(ECS实例类型列表,多个以英文逗号(,)分隔,例如:t2.small, m4.large, i2.xlarge。)
- 方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),更改成规则参数阈值中列出的实例规格中的某一个。配置审计会在10分钟内感知到您的修改并自动启动审计。操作方法如下:
- 控制台
更改ECS实例规格的方法:在ECS控制台的实例列表中,单击更改实例规格。
- API
调用ModifyInstanceSpec接口,修改实例规格InstanceType的值,请参见ModifyInstanceSpec。
- 控制台
-
方法二:编辑规则参数阈值,将ECS实例的实例规格添加到规则参数阈值中。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-disk-encrypted
检查处于连接状态的磁盘是否已加密。如果使用KMSKeyId参数为加密指定了KMS密钥ID,则该规则将检查连接状态中的磁盘是否使用该KMS密钥进行加密。
资源:ACS::ECS::Disk
触发机制:配置更改
参数:kmsKeyIds(用于加密卷的KMS密钥的ID。)
- 如果您账号下所有处于关联状态的云盘若未加密,则会导致该规则不合规。
- 如果加密云盘的KMSKeyId不在规则参数阈值中,则会导致该规则不合规。
- 方法一:重新创建加密云盘,并用规则参数KMSKeyId中的阈值对云盘进行加密。配置审计会在10分钟内感知到您的修改并自动启动审计。
不合规的云盘处理方法:释放云盘。
风险:释放云盘会导致云盘数据丢失。释放云盘风险及操作步骤,请参见释放云盘。
- 方法二:将加密云盘的KMSKeyId添加到规则参数的阈值中。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-disk-in-use
检查磁盘是否在使用中。
资源:ACS::ECS::Disk
触发机制:配置更改
参数:无
- 控制台
进入云服务器ECS控制台,通过云盘列表,单击,将云盘挂载到实例上。
- API
调用AttachDisk接口为一台ECS实例挂载一块按量付费的数据盘,请参见AttachDisk。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-gpu-min-count-limit
检查ECS实例的GPU数量最小限制。
触发机制:配置更改
资源:ACS::ECS::Instance
参数:gpuCount(ECS实例包含的最小GPU数量。)
- 方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后的ECS实例的GPU数量大于等于您设置的规则参数阈值。配置审计会在10分钟内感知到您的修改并自动启动审计。操作方法如下:
- 控制台
更改ECS实例规格的方法:在ECS控制台的实例列表中,单击更改实例规格。
- API
调用ModifyInstanceSpec接口,修改实例规格InstanceType的值,请参见ModifyInstanceSpec。
若不合规实例为本地存储的实例,需要重新购买符合规则要求的ECS实例。
不合规的旧ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果15天内未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。
风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。
释放实例风险及操作步骤,请参见释放实例。
- 控制台
- 方法二:编辑规则参数阈值,将ECS实例的实例规格添加到规则参数阈值中。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-instance-attached-security-group
检测ECS实例是否附加到特定安全组,已开通视为合规。
触发机制:配置更改
资源:ACS::ECS::Instance
参数:securityGroupIds(安全组ID列表,多个以英文逗号(,)分隔,例如:sg-hp3ebbv7ir****,sg-hp3ebbv****。)
- 方法一:将ECS实例加入到规则参数阈值中列出的安全组中。配置审计会在10分钟内感知到您的修改并自动启动审计。
- 方法二:将ECS实例加入的安全组ID添加到规则参数阈值中。绑定ECS实例与安全组的方法如下:
- 控制台
方法一:在ECS控制台的本实例安全组的安全组列表页签下,单击加入安全组。
方法二:在ECS控制台的安全组内实例列表页面,单击右上角的添加实例。
- API
调用JoinSecurityGroup接口将一台ECS实例加入到指定的安全组,请参见JoinSecurityGroup。
- 控制台
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-instance-deletion-protection-enabled
检测您账号ECS实例是否开启释放保护开关(仅支持按量付费支付类型),已开通视为合规。
触发机制:配置更改
资源:ACS::ECS::Instance
参数:无
- 控制台
在ECS控制台的实例列表中,单击目标实例对应的,打开实例释放保护开关。配置审计会在10分钟内感知到您的修改并自动启动审计。
- API
通过ModifyInstanceAttribute接口将DeletionProtection的值设为true,请参见ModifyInstanceAttribute。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-instances-in-vpc
检查您的ECS实例是否属于某个VPC。您可以指定待关联实例的VPC ID,如果ECS实例属于指定VPC ID返回合规;ECS实例不属于指定VPC ID返回不合规;ECS实例无VPC信息,返回不适用。
触发机制:配置更改
资源:ACS::ECS::Instance
参数:vpcIds(ECS实例的VPC ID,多个以英文逗号(,)分隔,例如:vpc-25vk5****,vpc-6wesmaymqkgiuru5x****,vpc-8vbc16loavvujlzli****。)
- 方法一:重新创建ECS实例,并将实例的VPC ID绑定到规则参数阈值中。配置审计会在10分钟内感知到您的修改并自动启动审计。
不合规ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果15天内未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。
风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。
释放实例风险及操作方法,请参见释放实例。
当您购买ECS实例时,在网络与安全页面选择专有网络。
- 方法二:编辑规则参数阈值,将ECS实例绑定的VPC ID添加到规则参数阈值中。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-instance-no-public-ip
ECS实例未直接绑定公网IP,视为合规。该规则仅适用于IPv4协议。
触发机制:配置更改
资源:ACS::ECS::Instance
参数:无
- 方法一:如果ECS绑定了弹性公网IP,则将弹性公网IP进行解绑。配置审计会在10分钟内感知到您的修改并自动启动审计。
在ECS控制台的实例列表中,单击目标实例对应的,解绑弹性IP。
- 方法二:如果ECS绑定了公网IP,则将公网IP转换成弹性公网IP,在将弹性公网IP进行解绑。配置审计会在10分钟内感知到您的修改并自动启动审计。
在ECS控制台的实例列表中,单击目标实例对应的,将公网IP转换成弹性公网IP。配置审计会在10分钟内感知到您的修改并自动启动审计。
- 方法三:当您购买新ECS实例时,在网络和安全组页面,不勾选公网IP中的分配公网IPv4地址。配置审计会在10分钟内感知到您的修改并自动启动审计。
不合规的ECS实例处理方法:释放ECS实例(仅支持按量付费的ECS实例)。对于包年包月实例,计费周期到期后,您可以手动释放;如果15天内未续费,实例也会自动释放。实例到期前,您可以申请退款提前释放实例,也可以将计费方式转为按量付费后释放实例。
风险:释放ECS实例后会丢失所有数据,释放前,请做好备份。
释放实例风险及操作方法,请参见释放实例。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
ecs-memory-min-size-limit
检查ECS实例内存最小容量限制。
触发机制:配置更改
资源:ACS::ECS::Instance
参数:memorySize(ECS实例内存最小容量)
- 方法一:更改ECS实例规格(停止状态的实例才能更改实例规格),使更改后ECS实例的内存大于等于您设置的规则参数阈值。操作方法如下:
- 控制台
更改ECS实例规格的方法:在ECS控制台的实例列表中,单击更改实例规格。
- API
调用ModifyInstanceSpec接口,修改实例规格InstanceType的值,请参见ModifyInstanceSpec。
- 控制台
- 方法二:修改规则参数的阈值,将ECS实例的实例规格添加到规则参数的阈值中。
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
sg-public-access-check
安全组检测是否匹配0.0.0.0/0。
触发机制:配置更改
资源:ACS::ECS::SecurityGroup
参数:无
- 方法一:将授权对象为0.0.0.0/0的安全组入方向规则的授权策略调整为拒绝或者修改授权对象。
- 方法二:删除授权策略为允许,授权对象为0.0.0.0/0安全组入方向规则。
- 控制台
调整授权策略和修改授权对象:在ECS控制台的安全组规则的入方向页签,编辑安全组规则,将授权策略设置为拒绝,或者修改授权对象。
删除安全组规则:在ECS控制台的安全组规则的入方向页签,删除授权策略为允许,授权对象为0.0.0.0/0的规则。
- API
调用ModifySecurityGroupRule修改安全组入方向规则Policy(访问权限)或者SourceCidrIp(授权对象)的值,请参见ModifySecurityGroupRule。
调用RevokeSecurityGroup删除一条安全组入方向规则,请参见RevokeSecurityGroup。
- 控制台
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
sg-risky-ports-check
检测安全组是否开启风险端口。
触发机制:配置更改
资源:ACS::ECS::SecurityGroup
参数:ports(风险端口)
- 方法一:关闭ECS安全组规则中,规则参数阈值中列出的端口,即将对应端口的授权策略设置为拒绝。
- 方法二:删除开启了规则参数阈值中列出端口的安全组规则。
- 方法三:修改对应安全组规则的端口范围。
- 方法四:编辑规则参数阈值,将对应的端口号从阈值中删除。
- 控制台
在入方向的快速添加页面,将授权策略设置为拒绝或修改端口范围。
在入方向列表中,单击目标授权策略对应的删除,删除已开启规则参数阈值中列出端口的安全组规则。
- API
- 调用ModifySecurityGroupRule(入方向)和ModifySecurityGroupEgressRule(出方向)修改Policy(访问权限)或PortRange(端口范围)的值,请参见ModifySecurityGroupRule和ModifySecurityGroupEgressRule。
- 调用RevokeSecurityGroup(入方向)和RevokeSecurityGroupEgress(出方向)删除一条安全组规则,请参见RevokeSecurityGroup。
- 控制台
合规验证方法:在配置审计的规则详情页面,单击重新审计进行验证,或等10分钟配置审计自动启动验证。
在文档使用中是否遇到以下问题
更多建议
匿名提交