本文介绍配置审计为云数据库RDS提供的预设规则详情,以及当规则不合规时的修复方法。

rds-cpu-min-count-limit

检查 RDS 实例的CPU数量最小限制。

触发机制:配置更改

资源:ACS::RDS::DBInstance

参数:cpuCount(RDS实例包含的最小cpu数量)

修复指南:当您账号下的RDS实例CPU数量小于您设置的规则参数阈值,会导致该规则不合规。修复方法如下:
  • 控制台
    • 方法一:修改RDS实例的CPU核数,使其大于等于您设置的规则入参的阈值。

      在云数据库RDS管理控制台上,修改CPU核数,操作方法请参见变更配置

    • 方法二:将规则入参的阈值修改为小于等于RDS实例的CPU核数。
      1. 在云数据库RDS管理控制台上,查看RDS实例的CPU核数。
        1. 实例列表中,单击目标实例ID的链接。
        2. 基本信息基本信息区域,您可以查看实例的CPU核数。
      2. 在配置审计控制台上,修改cpuCount的阈值。

        操作方法请参见修改规则

  • API

    调用ModifyDBInstanceSpec接口修改DBInstanceClass的值,请参见ModifyDBInstanceSpec

rds-desired-instance-type

检查 RDS 实例是否具有指定的实例类型。

触发机制:配置更改

资源:ACS::RDS::DBInstance

参数:instanceTypes(逗号分隔的 RDS 实例类型列表) 。例如:rds.mysql.s2.large,mysql.n1.micro.1。

修复指南:您账号下RDS实例规格未在规则参数阈值中列举出,则会导致该规则不合规。规则参数阈值列表中包含RDS实例的实例规格,该实例即为合规。修复方法如下:
  • 控制台
    • 方法一:修改RDS实例规格,使其为规则入参阈值中的某个值。

      在云数据库RDS管理控制台上,修改RDS实例规格,操作方法请参见变更配置

    • 方法二:修改规则入参阈值,将RDS实例规格添加到规则入参的阈值中。
      1. 在云数据库RDS管理控制台上,查看RDS实例规格。
        1. 实例列表中,单击目标实例ID的链接。
        2. 基本信息配置信息区域,您可以查看RDS实例规格。
      2. 在配置审计控制台上,将RDS实例规格添加到规则入参的阈值中。

        操作方法请参见修改规则

  • API

    调用ModifyDBInstanceSpec接口修改DBInstanceClass的值,请参见ModifyDBInstanceSpec

rds-high-availability-category

检查RDS实例是否具备高可用能力。

触发机制:配置更改

资源:ACS::RDS::DBInstance

参数:无

修复指南:您账号下RDS实例不具备高可用能力,会导致该规则不合规。修复方法如下:
  • 控制台
    • 方法一:针对无法升级版本的RDS实例(SQL Server以外的实例),您需要重新创建实例。
      说明 您可以手动释放按量付费实例或退订包年包月实例。

      在云数据库RDS管理控制台上,购买RDS实例时,选择实例系列为高可用版,操作方法请参见创建实例

    • 方法二:将SQL Server的基础版实例升级为高可用版实例。

      SQL Server基础版实例升级为高可用版实例,操作方法请参见基础版升级为高可用版

  • API

    调用CreateDBInstance接口创建RDS实例时,将Category设置为HighAvailability(高可用版),请参见CreateDBInstance

rds-instance-enabled-security-ip-list

检测您账号下RDS数据库实例是否启用安全白名单功能,已开通视为合规。

触发机制:配置更改

资源:ACS::RDS::DBInstance

参数:无

修复指南:您账号下RDS数据库实例在白名单中设置了0.0.0.0/0会导致该规则不合规。修改RDS数据库实例在白名单中的值,值不为0.0.0.0/0。配置审计会在10分钟内感知到您的修改并自动启动审计。修复方法如下:
  • 控制台

    在云数据库RDS管理控制台上,修改RDS实例白名单中的值,使其不为0.0.0.0/0。操作方法请参见设置白名单

  • API

    调用ModifySecurityIps接口设置RDS实例的IP白名单,修改SecurityIps的值使其不为0.0.0.0/0,请参见ModifySecurityIps

rds-instance-storage-min-size-limit

检查RDS实例最小存储空间限制。

触发机制:配置更改

资源:ACS::RDS::DBInstance

参数:storageSize(RDS实例最小存储空间)

修复指南:您账号下的RDS实例存储空间小于您设置的阈值,会导致该规则不合规。修复方法如下:
  • 控制台
    • 方法一:修改RDS实例的存储空间,使其大于等于您设置的规则入参的阈值。

      在云数据库RDS管理控制台上,修改存储空间,操作方法请参见变更配置

    • 方法二:将规则入参的阈值修改为小于等于RDS实例的存储空间。
      1. 在云数据库RDS管理控制台上,查看RDS实例的存储空间。
        1. 实例列表中,单击目标实例ID的链接。
        2. 基本信息使用量统计区域,您可以查看实例的存储空间。
      2. 在配置审计控制台上,修改storageSize的阈值。

        操作方法请参见修改规则

  • API

    调用ModifyDBInstanceSpec接口修改DBInstanceClass的值,请参见ModifyDBInstanceSpec

rds-instances-in-vpc

检查您的RDS实例的网络类型是否为专有网络。

触发机制:配置更改

资源:ACS::RDS::DBInstance

参数:vpcIds

包含RDS实例的VPC ID,多个用逗号隔开,例如:vpc-25vk5****,vpc-6wesmaymqkgiuru5x****,vpc-8vbc16loavvujlzli****。

修复指南:您账号下RDS实例绑定的VpcId未在规则参数阈值中列举出,则会导致该规则不合规。修复方法如下:
  • 方法一:重新创建RDS实例并选择网络类型为专有网络,将VPC ID配置到规则入参的阈值中。
    1. 在云数据库RDS管理控制台上,新建实例。

      操作方法请参见创建实例

    2. 在云数据库RDS管理控制台上,查看RDS实例的VPC ID。
      1. 实例列表中,单击目标实例ID的链接。
      2. 基本信息基本信息区域,您可以查看实例的VPC ID。
    3. 在配置审计控制台上,将RDS实例的VPC ID添加到规则入参的阈值中。

      操作方法请参见修改规则

  • 方法二:修改规则入参阈值,将RDS实例的VPC ID添加到规则入参的阈值中。

rds-memory-min-size-limit

检查RDS实例内存最小容量限制。

触发机制:配置更改

资源:ACS::RDS::DBInstance

参数:memorySize(RDS实例内容最小容量)

修复指南:当您账号下的RDS实例内存容量小于您设置的规则参数阈值,会导致该规则不合规。修复方法如下:
  • 控制台
    • 方法一:修改RDS实例的数据库内存,使其大于等于您设置的规则入参的阈值。

      在云数据库RDS管理控制台上,修改数据库内存,操作方法请参见变更配置

    • 方法二:将规则入参的阈值修改为小于等于RDS实例的数据库内存。
      1. 在云数据库RDS管理控制台上,查看RDS实例的数据库内存。
        1. 实例列表中,单击目标实例ID的链接。
        2. 基本信息配置信息区域,您可以查看实例的数据库内存。
      2. 在配置审计控制台上,修改memorySize的阈值。

        操作方法请参见修改规则

  • API

    调用ModifyDBInstanceSpec接口修改DBInstanceClass的值,请参见ModifyDBInstanceSpec

rds-multi-az-support

检查您的 RDS 数据库实例是否支持多可用区。

资源:ACS::RDS::DBInstance

触发机制:配置更改

参数:无

修复指南:您账号下RDS实例不支持多可用区时,会导致该规则不合规。修复方法如下:
  • 控制台
    • 方法一:迁移MySQL 、SQL Server、PPAS数据库实例的可用区。
      在云数据库RDS管理控制台上,迁移数据库实例的可用区,操作方法如下:
      1. RDS for MySQL:迁移可用区
      2. RDS for SQL Server:迁移可用区
      3. RDS for PPAS:迁移可用区
    • 方法二:对于不支持迁移的数据库实例,需要重新创建实例。

      在云数据库RDS管理控制台上,创建RDS实例时,选择部署方案多可用区部署,操作方法请参见创建实例

  • API
    • 调用MigrateToOtherZone接口迁移RDS实例时,将ZoneId设置为多可用区,请参见MigrateToOtherZone
    • 调用CreateDBInstance接口创建RDS实例时,将ZoneId设置为多可用区,请参见CreateDBInstance

rds-public-access-check

检测RDS实例是否允许公网访问。

触发机制:配置更改

资源:ACS::RDS::DBInstance

参数:无

修复指南:您账号下RDS数据库实例在白名单中设置了0.0.0.0/0会导致该规则不合规。修改RDS数据库实例在白名单中的值,值不为0.0.0.0/0。配置审计会在10分钟内感知到您的修改并自动启动审计。修复方法如下:
  • 控制台

    在云数据库RDS管理控制台上,修改RDS实例白名单中的值,使其不为0.0.0.0/0。操作方法请参见设置白名单

  • API

    调用ModifySecurityIps接口设置RDS实例的IP白名单,修改SecurityIps的值使其不为0.0.0.0/0,请参见ModifySecurityIps