华为云用户手册

查看、修改模板 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入模板管理页，单击目标模板名称。 图1 单击模板名称 进入模板详情页面，可以查看到模板的详细信息。 图2 查看模板详情 如果模板内容需要修改，您可以单击“版本信息”模块中目标模板版本“操作”列的“编辑”。 配置模板的相关语法等详细说明请参阅模板简介。 图3 修改模板 修改模板完成后，单击右上角的“保存模板”。完成模板修改。

场景预置模板 RGC提供以下场景预置模板供您使用： 组织与账号管理模块 CreateAccount：该模板支持激活后通过 RFS 控制台创建账号，不适用于在账号工厂创建账号时选用。 运维监控模块 CreateAomPrometheus：该模板用于创建 AOM prometheus实例资源。 CreateCesAlarmRule：该模板用于创建 云监控 告警规则资源。 CreateSmnTopicSubscription：该模板用于创建 SMN 主题资源。 身份权限模块 CreateIdentityAgencyWithService：该模板可用于创建云服务委托。 合规审计模块 CreateLtsGroupStream：该模板用于创建日志流资源。 CreateLtsStreamToGroup：该模板用于创建日志流并添加到已有日志组。 CreateObsBucketPolicy：该模板用于将策略绑定到OBS桶资源。 安全合规模块 CreatePostPaidCFW：该模板用于创建按需计费 云防火墙 。 CreatePostPaidWAF：该模板用于创建按需计费web应用防火墙。 CreatePrePaidCFW：该模板用于创建包年/包月计费云防火墙。 CreatePrePaidWAF：该模板用于创建包年/包月计费web应用防火墙。 网络规划模块 CreateRamErShare：该模板可使用网络账号共享ER给业务账号。 CreateRamVpcSubnetShare：该模板可使用网络账号创建VPC并共享给业务账号。 DNS：该模板可进行DNS Endpoint配置、DNS规则配置以及关联VPC。 ER：该模板可直接创建ER及路由配置，并且创建和已有VPC的连接。 VPC：该模板可直接创建VPC和subnet。 财务治理模块 CreateResourceTags：该模板用于创建其他服务资源的标签。

模板简介 模板是一个HCL语法文本描述文件，支持tf、tf.json、zip包文件格式，用于描述您的云资源。模板中可以定义大批量、不同服务、不同规格的资源实例，通过编写模板即可完成应用设计与资源的规划，实现众多资源的自动化部署或销毁操作，使业务的组织和管理变得轻松。且同一模板可以多次重复使用，提升了工作效率。 RGC的账号工厂功能支持通过模板快速创建账号，以满足业务需求。管理账号可以直接在RGC或RFS中设置账号的基线模板。后续管理账号在指定组织单元下创建新的成员账号，新建账号内会基于最佳实践自动配置账号基线。 RGC服务基于RFS资源栈集管理Landing Zone环境内的资源，通过将最佳实践固化在模板中，并通过资源栈集在各个成员账号内生成资源栈，将模板描述的所有云服务资源作为一个整体来进行创建、删除、更新、查询等。 更多关于模板的信息，请参阅 资源编排 服务用户指南。

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入账号工厂页，单击右上角“创建账号”。 图1 创建账号 配置账号基本信息。输入账号名、手机号。不能与其他账号重复。 基本信息中的手机号，仅展示作用，不用于密码找回等场景。 图2 填写基本信息 配置 IAM 身份中心的信息。输入IAM身份中心邮箱地址和用户名。 创建账号后，系统将会同步创建一个IAM身份中心的用户。创建的用户可以使用IAM身份中心的门户URL进行登录，并且可以使用IAM身份中心邮箱地址进行密码找回等。 图3 配置IAM身份中心信息 配置所属组织单元。选择一个已注册的组织单元，并为此账户启用该组织单元配置的所有控制策略。 图4 选择组织单元 （可选）配置账号工厂的RFS模板。选择使用的RFS模板和模板的版本，如选择通过模板创建账号，可以实现账号的批量复制创建。 更多关于资源编排服务RFS模板的信息，请参考RFS模板介绍。 选择模板：选择在RFS中创建好的模板。 模板版本：选择模板的版本。 配置参数：根据业务需求，修改模板中的参数配置。 图5 配置模板 单击“创建账号”，创建成功的账号将会显示在列表中。

操作步骤 以RGC管理账号的身份登录华为云，进入华为云RGC控制台。 进入组织管理页，单击需要查看的账号名称。 图1 查看账号详情 在基本信息中，可以查看账号的状态、组织单元、受监管区域的数量、合规状态、以及已启用的控制策略数量。 如账号下存在不合规资源，将会展示为“不合规”状态。 图2 查看账号基本信息 选择“不合规资源”页签，将会显示当前账号下存在的不合规资源，以及不合规资源ID、相关的控制策略、类型、服务和所在区域等。 图3 查看不合规资源 选择“已启用控制策略”页签，将会显示针对当前账号已启用的控制策略。 如需了解控制策略详情，请参考查看控制策略详情。 图4 查看已启用控制策略 选择“模板详情”页签，将会显示该账号使用的RFS模板详情。如果该账号未使用模板，则将不会显示相关信息。 图5 查看模板详情 选择“区域”页签，将会显示该账号受监管的区域详情。账号以及账号的资源将在展示的区域中，受到Landing Zone的监管。其他区域的资源则不受监管。 图6 查看账号受监管的区域 选择“外部Config规则”页签，将会显示该账号除当前Landing Zone开启的Config规则外，账号下的其他Config规则，以及对应规则作用的区域。 图7 查看外部Config规则

后续操作 停用Landing Zone后，以下资源需要进行手动删除，才能够设置新的Landing Zone。 如果新设置的Landing Zone需要使用和原Landing Zone同名的核心组织单元，则需要手动将原核心组织单元进行删除。删除组织单元的操作，请参考删除组织单元。 如果原Landing Zone使用了IAM身份中心，新设置的Landing Zone需要更换主区域，则需要将原IAM身份中心进行重置。重置IAM身份中心的操作，请参考删除IAM身份中心配置。 用于存放日志的OBS桶。删除OBS桶的操作，请参考删除桶。 RFS中的RGCLoggingResources资源栈集。删除资源栈集的操作，请参考删除资源栈集。 RFS中用户自行创建的模板。 IAM中的委托，包括：RGCAgencyForStack、RGCBlueprintExecutionAgency、RGCBlueprintStackSetAdminAgency、RGCIAMTokenAccess、RGCAdminAgency。删除委托的操作，请参考删除或修改委托。

相关说明 后续需要对现有的组织单元和成员账号进行部署和管理，请参见组织管理概述。 Landing Zone搭建成功后，系统将自动为核心账号所在的组织单元绑定所有的预防性控制策略。 Landing Zone搭建成功后，系统将为存放日志的OBS桶自动配置名为“AllowCtsAccessBucket”和“AllowConfigAccessBucket”的桶策略，详细的桶策略内容可以前往OBS控制台进行查看。 Landing Zone搭建成功后，系统将为存放日志的OBS桶自动配置“对象读权限”，使核心账号拥有查看桶内日志的权限。

背景说明 通过RGC服务，预计可实现以下功能： RGC将会拥有必要的权限来治理Organizations内的所有组织单元以及成员账号。 您需要在RGC中搭建Landing Zone，并且设置您的多账号环境治理范围。RGC不会将云上环境治理扩展到您组织服务内现有的其他组织单元和成员账号。 当您将现有组织单元由RGC纳入治理范围的过程，称为注册组织单元。 在搭建Landing Zone后，您可以在RGC中注册现有的组织单元。 搭建Landing Zone时，RGC将执行以下操作： 启动组织服务并开启组织，创建两个组织单元：核心组织单元（可选）和附加组织单元（可选）。 创建或添加两个核心账号：日志存档账号和审计账号。 根据默认配置会开通IAM身份中心用于组织内多账号内身份权限的集中管控。 应用所有必选的控制策略（包括必选的预防性控制策略和检测性控制策略）。 收集所有已纳管账号的操作和资源配置的日志，并创建OBS桶或使用现有OBS桶用于日志的长期存储。 搭建Landing Zone时，会创建SMN、RFS等诸多云服务资源。随意删除或修改这些资源将导致Landing Zone使用异常，请严格按照用户文档指导进行操作。

VPC 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_EIP_UNBOUND_CHECK 弹性公网IP未进行任何绑定，视为“不合规”。 优化成本 中 vpc:::eipAssociate 不涉及 RGC-GR_CONFIG_VPC_FLOW_ LOG S_ENABLED 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规”。 建立日志记录和监控 中 vpc:::flowLog 不涉及 RGC-GR_CONFIG_EIP_BANDW IDT H_LIMIT 弹性公网IP可用带宽小于指定参数值，视为“不合规” 提高可用性 中 vpc:::eip 是 RGC-GR_RFS_VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS_CHECK 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于80和443以外的端口。 限制网络访问 高 networking:::secgroupRule 不涉及 RGC-GR_RFS_VPC_SG_RESTRICTED_COMMON_PORTS_CHECK 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于特定的高风险端口。 限制网络访问 严重 networking:::secgroupRule 不涉及

WAF 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_WAF_GLOBAL_ACL_NOT_EMPTY_CHECK 要求任何WAF全局ACL拥有规则。 限制网络访问 中 waf:::ruleGlobalProtectionWhitelist 不涉及 RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK 要求WAF规则组为非空。 限制网络访问 中 waf:::addressGroup 不涉及

TMS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_REQUIRED_ALL_TAGS 指定标签列表，不具有所有指定标签键的资源，视为“不合规”。 保护配置 低 tms:::resourceTags TagKeys：是 TagValues：否 RGC-GR_CONFIG_REQUIRED_TAG_CHECK 指定一个标签，不具有此标签的资源，视为“不合规”。 保护配置 低 tms:::resourceTags specifiedTagKey：是 specifiedTagValue：否 RGC-GR_CONFIG_REQUIRED_TAG_EXIST 指定标签列表，不具有任一指定标签的资源，视为“不合规”。 保护配置 低 tms:::resourceTags TagKeys：是 TagValues：否 RGC-GR_CONFIG_RESOURCE_TAG_KEY_PREFIX_SUFFIX 指定前缀和后缀，资源不具有任意匹配前后缀的标签键，视为“不合规”。 保护配置 低 tms:::resourceTags tagKeyPrefix：否 tagKeySuffix：否 RGC-GR_CONFIG_RESOURCE_TAG_NOT_EMPTY 资源未配置标签，视为“不合规”。 保护配置 低 tms:::resourceTags 不涉及

OBS、Access Analyzer 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_OBS_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED OBS桶策略中授权任意禁止的action给外部身份，视为“不合规”。 强制执行最低权限 高 obs:::bucket 否 RGC-GR_CONFIG_OBS_BUCKET_SSL_REQUESTS_ONLY OBS桶策略授权了无需SSL加密的行为，视为“不合规”。 加密传输中的数据 中 obs:::bucket 不涉及

TaurusDB 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG 未开启审计日志的TaurusDB资源，视为“不合规”。 建立日志记录和监控 中 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP 未开启备份的TaurusDB资源，视为“不合规”。 提高韧性 中 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的TaurusDB资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的TaurusDB资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_MULTIPLE_AZ_CHECK TaurusDB实例未跨AZ部署，视为“不合规”。 提高可用性 中 gaussdb:::mysqlInstance 不涉及

MRS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_MRS_CLUSTER_MULTIAZ_DEPLOYMENT MRS集群没有多az部署，视为“不合规”。 提高可用性 中 mrs:::cluster 不涉及 RGC-GR_CONFIG_MRS_CLUSTER_ENCRYPT_ENABLE KMS密钥不处于“计划删除”状态。 保护数据完整性 中 mrs:::cluster 不涉及

RDS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP 未开启备份的rds资源，视为“不合规”。 提高韧性 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的rds资源，视为“不合规”。 建立日志记录和监控 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的rds资源，视为“不合规”。 建立日志记录和监控 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_LOGGING_ENABLED 未配备任何日志的rds资源，视为“不合规”。 建立日志记录和监控 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_MULTI_AZ_SUPPORT RDS实例仅支持一个可用区，视为“不合规”。 提高可用性 中 rds:::instance 不涉及 RGC-GR_CONFIG_ALLOWED_RDS_FLAVORS RDS实例的规格不在指定的范围内，视为“不合规”。 保护配置 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTAN CES _IN_VPC 指定虚拟私有云ID，不属于此VPC的rds资源，视为“不合规”。 限制网络访问 高 rds:::instance 否 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_AUDITLOG 未启用审计日志或者审计日志保存天数不足的rds资源，视为“不合规”。 建立日志记录和监控 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENGINE_VERSION_CHECK RDS实例数据库引擎的版本低于指定版本，视为“不合规”。 管理漏洞 低 rds:::instance postgresqlVersion：否 mariadbVersion：否 mysqlVersion：否 sqlserverVersion：否 RGC-GR_RFS_RDS_INSTANCE_DEPLOYED_IN_VPC_CHECK 要求RDS数据库实例具有VPC配置。 限制网络访问 高 rds:::instance 不涉及 RGC-GR_RFS_RDS_DB_SECURITY_GROUP_NOT_ALLOWED_CHECK 要求RDS实例配置数据库安全组。 限制网络访问 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_MULTIPLE_AZ_CHECK 要求为RDS实例配置多个可用区以实现高可用性。 提高可用性 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_TLS_CHECK 要求RDS实例需要为支持的引擎类型提供传输层安全性协议（TLS）连接。 加密传输中的数据 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_BACKUP_ENABLED_CHECK 要求RDS实例配置自动备份 提高韧性 中 rds:::instance 不涉及

OBS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_OBS_BUCKET_DEFAULT_ENCRYPTION_KMS_CHECK 要求OBS存储桶使用KMS密钥配置服务器端加密。 加密静态数据 中 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_VERSIONING_ENABLED_CHECK 要求OBS存储桶启用版本控制。 提高可用性 低 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_LOGGING_ENABLED_CHECK 要求OBS存储桶配置服务器访问日志记录。 建立日志记录和监控 中 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_MULTIPLE_AZ_CHECK 要求OBS桶配置多个可用区以实现高可用性。 提高可用性 低 obs:::bucket 不涉及

GES 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_GES_GRAPHS_LTS_ENABLE GES图未开启LTS日志，视为“不合规”。 建立日志记录和监控 中 ges:::graph 不涉及 RGC-GR_CONFIG_GES_GRAPHS_MULTI_AZ_SUPPORT GES图不支持跨AZ高可用，视为“不合规”。 提高可用性 中 ges:::graph 不涉及 RGC-GR_RFS_GES_GRAPH_MULTIPLE_AZ_CHECK 要求GES图配置多个可用区以实现高可用性。 提高可用性 低 ges:::graph 不涉及

GeminiDB 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_GAUSSDB_NOSQL_DEPLOY_IN_SINGLE_AZ GeminiDB部署在单个可用区中，视为“不合规” 提高可用性 中 gaussdb:::mongoInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_BACKUP GeminiDB未开启备份，视为“不合规” 提高韧性 中 gaussdb:::mongoInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_NOSQL_ENABLE_ERROR_LOG GeminiDB未开启错误日志，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mongoInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_NOSQL_SUPPORT_SLOW_LOG GeminiDB不支持慢查询日志，视为“不合规”。 建立日志记录和监控 低 gaussdb:::mongoInstance 不涉及 RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_TLS_CHECK 要求 GaussDB Mongo实例需要为支持的引擎类型提供传输层安全性协议（TLS）连接。 加密传输中的数据 中 gaussdb:::mongoInstance 不涉及 RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_AUTO_BACKUP_CHECK 要求GaussDB Mongo实例配置自动备份。 提高韧性 中 gaussdb:::mongoInstance 不涉及 RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_AUTO_BACKUP_CHECK 要求GaussDB Redis实例配置自动备份。 提高韧性 中 gaussdb:::redisInstance 不涉及 RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_TLS_CHECK 要求GaussDB Redis实例需要为支持的引擎类型提供传输层安全性协议（TLS）连接。 加密传输中的数据 中 gaussdb:::redisInstance 不涉及 RGC-GR_RFS_GAUSSDB_INFLUX_INSTANCE_MULTIPLE_AZ_CHECK 要求GaussDB Influx实例配置多个可用区以实现高可用性。 提高可用性 低 gaussdb:::influxInstance 不涉及 RGC-GR_RFS_GAUSSDB_MONGO_INSTANCE_MULTIPLE_AZ_CHECK 要求GaussDB MongoDB实例配置多个可用区以实现高可用性。 提高可用性 低 gaussdb:::mongoInstance 不涉及 RGC-GR_RFS_GAUSSDB_INFLUX_INSTANCE_AUTO_BACKUP_CHECK 要求GaussDB influx实例配置自动备份。 提高韧性 中 gaussdb:::influxInstance 不涉及 RGC-GR_RFS_GAUSSDB_INFLUX_INSTANCE_SSL_CHECK 要求GaussDB influx实例需要为支持的引擎类型提供传输层安全性协议（TLS）连接。 加密静态数据 中 gaussdb:::influxInstance 不涉及 RGC-GR_RFS_GAUSSDB_REDIS_INSTANCE_MULTIPLE_AZ_CHECK 任何一个GaussDB redis实例都需要配置多个可用分区。 提高可用性 低 gaussdb:::redisInstance 不涉及

IAM 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS IAM策略中授权KMS的任一阻拦action，视为“不合规”。 强制执行最低权限 中 identity:::role identity:::protectionPolicy 不涉及 RGC-GR_CONFIG_IAM_USER_CHECK_NON_ADMIN_GROUP 根用户以外的IAM用户加入admin用户组，视为“不合规”。 强制执行最低权限 低 identity:::user 不涉及 RGC-GR_CONFIG_IAM_USER_NO_POLICIES_CHECK IAM用户直接附加了策略或权限，视为“不合规”。 强制执行最低权限 低 identity:::user 不涉及 RGC-GR_RFS_IDENTITY_USER_ACCESS_TYPE_CHECK 要求IDC用户只能用于编程访问。 管理漏洞 中 identity:::user 不涉及

FunctionGraph 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_FUNCTION_GRAPH_CONCURRENCY_CHECK FunctionGraph函数并发数不在指定的范围内，视为“不合规”。 提高可用性 中 fgs:::function 不涉及 RGC-GR_CONFIG_FUNCTION_GRAPH_INSIDE_VPC 函数工作流 未使用指定VPC，视为“不合规” 限制网络访问 低 fgs:::function 否 RGC-GR_CONFIG_FUNCTION_GRAPH_SETTINGS_CHECK 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规” 管理漏洞 中 fgs:::function 否 RGC-GR_CONFIG_FUNCTION_GRAPH_LOGGING_ENABLED 函数工作流的函数未启用日志配置，视为“不合规”。 建立日志记录和监控 中 fgs:::function 不涉及

GaussDB 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_AUDITLOG 未开启审计日志的GaussDB资源，视为“不合规”。 建立日志记录和监控 中 gaussdb:::opengaussInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_BACKUP 未开启资源备份的GaussDB资源，视为“不合规”。 提高韧性 中 gaussdb:::opengaussInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的GaussDB资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::opengaussInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的GaussDB资源，视为“不合规”。 建立日志记录和监控 低 gaussdb:::opengaussInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_INSTANCE_MULTIPLE_AZ_CHECK GaussDB资源未跨AZ部署，视为“不合规”。 提高可用性 中 gaussdb:::opengaussInstance 不涉及 RGC-GR_RFS_GAUSSDB_OPENGAUSS_INSTANCE_MULTIPLE_AZ_CHECK 要求GaussDB OpenGauss实例配置多个可用区以实现高可用性。 提高可用性 低 gaussdb:::opengaussInstance 不涉及

EVS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_EVS_USE_IN_SPECIFIED_DAYS 创建的EVS在指定天数后仍未绑定到资源实例，视为“不合规”。 优化成本 中 evs:::volume 不涉及 RGC-GR_CONFIG_VOLUME_UNUSED_CHECK 云硬盘未挂载给任何云服务器，视为“不合规”。 优化成本 高 evs:::volume 不涉及 RGC-GR_CONFIG_ALLOWED_VOLUME_SPE CS 指定允许的云硬盘类型列表，云硬盘的类型不在指定的范围内，视为“不合规”。 保护配置 低 evs:::volume 否

ECS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_ALLOWED_ECS_FLAVORS ECS资源的规格不在指定的范围内，视为“不合规”。 保护配置 低 ecs:::instanceV1 否 RGC-GR_CONFIG_ALLOWED_IMAGES_BY_NAME 指定允许的镜像名称列表，ECS实例的镜像名称不在指定的范围内，视为“不合规”。 管理漏洞 高 ecs:::instanceV1 是 RGC-GR_CONFIG_STOPPED_ECS_DATE_DIFF 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规”。 优化成本 中 ecs:::instanceV1ecs:::instanceV1 是 RGC-GR_CONFIG_ECS_ATTACHED_HSS_AGENTS_CHECK ECS实例未绑定HSS代理并启用防护，视为“不合规”。 管理漏洞 中 ecs:::instanceV1 不涉及

ECS、IMS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_ALLOWED_IMAGES_BY_ID 指定允许的镜像ID列表，ECS实例的镜像ID不在指定的范围内，视为“不合规”。 管理漏洞 高 ecs:::instanceV1 否 RGC-GR_CONFIG_APPROVED_IMS_BY_TAG ECS的镜像不在指定tag的IMS的范围内，视为“不合规”。 管理漏洞 中 ecs:::instanceV1 specifiedIMSTagKey：是 specifiedIMSTagValue：否

DWS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_DWS_ENABLE_SNAPSHOT DWS集群未启用自动快照，视为“不合规”。 提高韧性 中 dws:::cluster 不涉及 RGC-GR_CONFIG_DWS_MAINTAIN_WINDOW_CHECK DWS集群运维时间窗不满足配置，视为“不合规”。 为事件响应做好准备 中 dws:::cluster 不涉及 RGC-GR_CONFIG_DWS_ENABLE_LOG_DUMP DWS集群未启用日志转储，视为“不合规”。 建立日志记录和监控 中 dws:::cluster 不涉及 RGC-GR_RFS_DWS_CLUSTER_ENCRYPTION_ENABLED_CHECK 要求对所有DWS集群进行静态加密。 加密静态数据 中 dws:::cluster 不涉及

ELB 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_ELB_MULTIPLE_AZ_CHECK 检查负载均衡器是否已从多个可用分区注册实例。如果负载均衡器的实例注册在少于2个可用区，视为“不合规”。 弹性负载均衡 中 elb:::loadbalancer 不涉及 RGC-GR_CONFIG_ELB_MEMBERS_WEIGHT_CHECK 后端服务器的权重为0，且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时，视为“不合规”。 提高可用性 低 elb:::member 不涉及 RGC-GR_RFS_ELB_PREDEFINED_SECURITY_POLICY_CHECK 要求任何独享型 ELB负载均衡 器HTTPS侦听器具有一个拥有强配置的预定义安全策略。 限制网络访问 中 elb:::listener 不涉及 RGC-GR_RFS_LB_TLS_HTTPS_LISTENERS_ONLY_CHECK 要求为私网类型的ELB负载均衡器侦听器配置HTTPS终止。 加密传输中的数据 中 lb:::listener 不涉及 RGC-GR_RFS_ELB_TLS_HTTPS_LISTENERS_ONLY_CHECK 要求为独享型ELB应用程序或经典负载均衡器侦听器配置HTTPS终止。 加密传输中的数据 中 elb:::listener 不涉及 RGC-GR_RFS_ELB_DELETION_PROTECTION_ENABLED_CHECK 要求激活应用程序负载均衡器删除保护。 提高可用性 中 elb:::loadbalancer 不涉及 RGC-GR_RFS_ELB_MULTIPLE_AZ_CHECK 要求任何经典负载均衡器配置多个可用区。 提高可用性 中 elb:::loadbalancer 不涉及

DDS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_DDS_INSTANCE_HAMODE 指定实例类型，不属于此的DDS实例资源，视为“不合规”。 保护配置 低 dds:::instance 否 RGC-GR_CONFIG_DDS_INSTANCE_ENGINE_VERSION_CHECK 低于指定版本的DDS实例，视为“不合规”。 管理漏洞 低 dds:::instance 否 RGC-GR_RFS_DDS_INSTANCE_ENCRYPTED_CHECK 要求对DDS实例进行静态加密。 加密静态数据 中 dds:::instance 不涉及

CTS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_MULTI_REGION_CTS_TRACKER_EXISTS 账号未在指定Region列表创建并启用CTS追踪器，视为“不合规”。 建立日志记录和监控 高 cts:::tracker 否 RGC-GR_CONFIG_CTS_OBS_BUCKET_TRACK 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规”。 建立日志记录和监控 高 cts:::tracker 是 RGC-GR_CONFIG_CTS_TRACKER_ENABLED_SECURITY 不存在满足安全最佳实践的CTS追踪器，视为“不合规”。 建立日志记录和监控 高 cts:::tracker 否 RGC-GR_RFS_CTS_LOG_FILE_VALIDATION_ENABLED_CHECK 要求CTS追踪器激活日志文件验证。 保护数据完整性 高 cts:::tracker 不涉及 RGC-GR_RFS_CTS_LOGS_ENABLED_CHECK 要求CTS追踪器具有LTS日志组配置。 建立日志记录和监控 低 cts:::tracker 不涉及

DMS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_KAFKA_MULTIPLE_AZ_CHECK 要求Kafka实例配置多个可用区以实现高可用性。 提高可用性 低 dms:::kafkaInstance 不涉及 RGC-GR_RFS_ROCKETMQ_MULTIPLE_AZ_CHECK 要求RocketMQ实例配置多个可用区以实现高可用性。 提高可用性 低 dms:::rocketmqInstance 不涉及 RGC-GR_RFS_RABBITMQ_MULTIPLE_AZ_CHECK 要求RabbitMQ实例配置多个可用区以实现高可用性。 提高可用性 低 dms:::rabbitmqInstance 不涉及 RGC-GR_RFS_KAFKA_INSTANCE_TLS_CHECK 要求Kafka实例需要为支持的引擎类型提供传输层安全性协议（TLS）连接。 加密传输中的数据 中 dms:::kafkaInstance 不涉及 RGC-GR_RFS_RABBITMQ_INSTANCE_TLS_CHECK 要求RabbitMQ实例需要为支持的引擎类型提供传输层安全性协议（TLS）连接。 加密传输中的数据 中 dms:::rabbitmqInstance 不涉及 RGC-GR_RFS_ROCKETMQ_INSTANCE_TLS_CHECK 要求RocketMQ实例需要为支持的引擎类型提供传输层安全性协议（TLS）连接。 加密传输中的数据 中 dms:::rocketmqInstance 不涉及 RGC-GR_RFS_RABBITMQ_DLQ_CHECK 要求任何RabbitMQ队列配置死信队列。 提高韧性 高 dms:::rabbitmqInstance 不涉及

DEW 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_DEW_KEY_ROTATION_ENABLED_CHECK 要求任何KMS密钥配置轮换。 加密静态数据 中 kms:::key 不涉及 RGC-GR_CONFIG_C SMS _SECRETS_AUTO_ROTATION_ENABLED CSMS凭据未启动自动轮转，视为“不合规”。 管理机密 中 csms:::secret 不涉及 RGC-GR_CONFIG_CSMS_SECRETS_PERIODIC_ROTATION CSMS凭据未在指定天数内轮转，视为“不合规”。 管理机密 中 csms:::secret 不涉及 RGC-GR_CONFIG_CSMS_SECRETS_USING_CMK CSMS凭据未使用指定的KMS，视为“不合规”。 加密静态数据 高 csms:::secret 否