预设策略列表

当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。

当前配置审计服务支持的预设策略如下表所示。

表1 配置审计支持的预设策略
云服务	预设策略	触发方式	评估资源
公共可用预设策略	资源名称满足正则表达式	配置变更	全部资源
	资源具有所有指定的标签键	配置变更	支持标签的云服务和资源类型
	资源存在任一指定的标签	配置变更	支持标签的云服务和资源类型
	资源具有指定前后缀的标签键	配置变更	支持标签的云服务和资源类型
	资源标签非空	配置变更	支持标签的云服务和资源类型
	资源具有指定的标签	配置变更	支持标签的云服务和资源类型
	资源属于指定企业项目ID	配置变更	全部资源
	资源在指定区域内	配置变更	全部资源
API网关 APIG	APIG专享版实例配置安全认证类型	配置变更	apig.instances
	APIG专享版实例配置访问日志	配置变更	apig.instances
	APIG专享版实例域名均关联SSL证书	配置变更	apig.instances
部署 CodeArts Deploy	CodeArts项目下的主机集群为可用状态	配置变更	codeartsdeploy.host-cluster
MapReduce服务 MRS	MRS资源属于指定安全组	配置变更	mrs.mrs
	MRS资源属于指定VPC	配置变更	mrs.mrs
	MRS集群开启kerberos认证	配置变更	mrs.mrs
	MRS集群使用多AZ部署	配置变更	mrs.mrs
	MRS集群未绑定公网IP	配置变更	mrs.mrs
NAT网关 NAT	NAT私网网关绑定指定VPC资源	配置变更	nat.privateNatGateways
VPC终端节点 VPCEP	创建了指定服务名的终端节点	周期触发	vpcep.endpoints
Web应用防火墙 WAF	WAF防护域名配置防护策略	配置变更	waf.instance
弹性负载均衡 ELB	ELB资源不具有公网IP	配置变更	elb.loadbalancers
	ELB监听器配置指定预定义安全策略	配置变更	elb.loadbalancers
	ELB监听器配置HTTPS监听协议	配置变更	elb.loadbalancers
	ELB后端服务器权重检查	配置变更	elb.members
弹性公网IP EIP	EIP带宽限制	配置变更	vpc.publicips
	弹性公网IP未进行任何绑定	配置变更	vpc.publicips
	EIP在指定天数内绑定到资源实例	周期触发	vpc.publicips
弹性伸缩 AS	弹性伸缩组均衡扩容	配置变更	as.scalingGroups
	弹性伸缩组使用弹性负载均衡健康检查	配置变更	as.scalingGroups
	弹性伸缩组启用多AZ部署	配置变更	as.scalingGroups
弹性文件服务器 SFS	弹性文件服务通过KMS进行加密	配置变更	sfsturbo.shares
弹性云服务器 ECS	ECS资源规格在指定的范围	配置变更	ecs.cloudservers
	ECS实例的镜像ID在指定的范围	配置变更	ecs.cloudservers
	ECS的镜像在指定Tag的IMS的范围内	配置变更	ecs.cloudservers
	绑定指定标签的ECS关联在指定安全组ID列表内	配置变更	ecs.cloudservers
	ECS资源属于指定虚拟私有云ID	配置变更	ecs.cloudservers
	ECS资源配置秘钥对	配置变更	ecs.cloudservers
	ECS资源不能公网访问	配置变更	ecs.cloudservers
	检查ECS资源是否具有多个公网IP	配置变更	ecs.cloudservers
	关机状态的ECS未进行任意操作的时间检查	周期触发	ecs.cloudservers
分布式缓存服务 DCS	DCS Memcached资源支持SSL	配置变更	dcs.memcached
	DCS Memcached资源属于指定虚拟私有云ID	配置变更	dcs.memcached
	DCS Memcached资源不存在公网IP	配置变更	dcs.memcached
	DCS Memcached资源需要密码访问	配置变更	dcs.memcached
	DCS Redis实例支持SSL	配置变更	dcs.redis
	DCS Redis实例高可用	配置变更	dcs.redis
	DCS Redis实例属于指定虚拟私有云ID	配置变更	dcs.redis
	DCS Redis实例不存在公网IP	配置变更	dcs.redis
	DCS Redis实例需要密码访问	配置变更	dcs.redis
函数工作流 FunctionGraph	函数工作流的函数并发数在指定范围内	配置变更	fgs.functions
	函数工作流使用指定VPC	配置变更	fgs.functions
	函数工作流的函数不允许访问公网	配置变更	fgs.functions
	检查函数工作流参数设置	配置变更	fgs.functions
内容分发网络 CDN	CDN使用HTTPS证书	配置变更	cdn.domains
	CDN回源方式使用HTTPS	配置变更	cdn.domains
	CDN安全策略检查	配置变更	cdn.domains
	CDN使用自有证书	配置变更	cdn.domains
配置审计 Config	账号开启资源记录器	周期触发	config.trackers
数据仓库服务 DWS	DWS集群启用KMS加密	配置变更	dws.clusters
	DWS集群启用日志转储	配置变更	dws.clusters
	DWS集群启用自动快照	配置变更	dws.clusters
	DWS集群启用SSL加密连接	配置变更	dws.clusters
数据复制服务 DRS	数据复制服务实时灾备任务不使用公网网络	配置变更	drs.dataGuardJob
	数据复制服务实时迁移任务不使用公网网络	配置变更	drs.migrationJob
	数据复制服务实时同步任务不使用公网网络	配置变更	drs.synchronizationJob
数据加密服务 DEW	KMS密钥不处于“计划删除”状态	配置变更	kms.keys
数据加密服务 DEW	KMS密钥启用密钥轮换	配置变更	kms.keys
统一身份认证服务 IAM	IAM用户的AccessKey在指定时间内轮换	周期触发	iam.users
	IAM策略中不存在KMS的任一阻拦action	配置变更	iam.roles&iam.policies
	IAM用户组添加了IAM用户	配置变更	iam.groups
	IAM用户密码策略符合要求	配置变更	iam.users
	IAM策略黑名单检查	配置变更	iam.users、iam.groups、iam.agencies
	IAM策略不具备Admin权限	配置变更	iam.roles、iam.policies
	IAM自定义策略具备所有权限	配置变更	iam.roles、iam.policies
	IAM账号存在可使用的访问密钥	周期触发	iam.users
	IAM用户访问模式	配置变更	iam.users
	IAM用户创建时设置AccessKey	配置变更	iam.users
	IAM用户归属用户组	配置变更	iam.users
	IAM用户在指定时间内有登录行为	周期触发	iam.users
	IAM用户开启MFA	配置变更	iam.users
	IAM用户单访问密钥	配置变更	iam.users
	Console侧密码登录的IAM用户开启MFA认证	配置变更	iam.users
	根账号开启MFA认证	周期触发	iam.users
文档数据库服务 DDS	DDS实例开启SSL	配置变更	dds.instances
	DDS实例属于指定实例类型	配置变更	dds.instances
	DDS实例未绑定公网IP	配置变更	dds.instances
	DDS实例属于指定虚拟私有云ID	配置变更	dds.instances
消息通知服务 SMN	SMN主题配置访问日志	配置变更	smn.topic
虚拟私有云 VPC	未与子网关联的网络ACL	配置变更	vpc.firewallGroups
	默认安全组关闭出、入方向流量	配置变更	vpc.securityGroups
	VPC启用流日志	配置变更	vpc.vpcs
	安全组端口检查	配置变更	vpc.securityGroups
	安全组入站流量限制指定端口	配置变更	vpc.securityGroups
	安全组入站流量限制SSH端口	配置变更	vpc.securityGroups
虚拟专用网络 VPN	VPN连接状态为“正常”	配置变更	vpnaas.vpnConnections、vpnaas.ipsec-site-connections
云监控服务 CES	CES启用告警操作	配置变更	ces.alarms
	CES配置监控KMS禁用或计划删除的事件监控告警	周期触发	ces.alarms
	CES配置监控OBS桶策略变更的事件监控告警	周期触发	ces.alarms
	指定的资源类型绑定指定指标CES告警	周期触发	ces.alarms
	检查特定指标的CES告警进行特定配置	配置变更	ces.alarms
	CES配置监控VPC变更的事件监控告警	周期触发	ces.alarms
云容器引擎 CCE	CCE集群版本为处于维护的版本	配置变更	cce.clusters
	CCE集群运行的非受支持的最旧版本	配置变更	cce.clusters
	CCE集群资源不具有公网IP	配置变更	cce.clusters
云审计服务 CTS	CTS追踪器通过KMS进行加密	配置变更	cts.trackers
	CTS追踪器启用事件分析	配置变更	cts.trackers
	CTS追踪器追踪指定的OBS桶	周期触发	cts.trackers
	CTS追踪器打开事件文件校验	配置变更	cts.trackers
	创建并启用CTS追踪器	周期触发	cts.trackers
	在指定区域创建并启用CTS追踪器	周期触发	cts.trackers
云数据库 RDS	GaussDB资源属于指定虚拟私有云ID	配置变更	gaussdb.instance
	GaussDB NoSQL部署在单个可用区	配置变更	nosql.instances
	GaussDB NoSQL开启备份	配置变更	nosql.instances
	GaussDB NoSQL使用磁盘加密	配置变更	nosql.instances
	GaussDB NoSQL开启错误日志	配置变更	nosql.instances
	GaussDB NoSQL支持慢查询日志	配置变更	nosql.instances
	GaussDB实例开启审计日志	配置变更	gaussdb.instance
	GaussDB实例开启自动备份	配置变更	gaussdb.instance
	GaussDB实例开启错误日志	配置变更	gaussdb.instance
	GaussDB实例开启慢日志	配置变更	gaussdb.instance
	GaussDB for MySQL实例开启审计日志	配置变更	gaussdb.instance
	GaussDB for MySQL实例开启备份	配置变更	gaussdb.instance
	GaussDB for MySQL实例开启错误日志	配置变更	gaussdb.instance
	GaussDB for MySQL实例开启慢日志	配置变更	gaussdb.instance
	RDS实例开启备份	配置变更	rds.instances
	RDS实例开启错误日志	配置变更	rds.instances
	RDS实例开启慢日志	配置变更	rds.instances
	RDS实例支持多可用区	配置变更	rds.instances
	RDS实例不具有公网IP	配置变更	rds.instances
	RDS实例开启存储加密	配置变更	rds.instances
	RDS实例属于指定虚拟私有云ID	配置变更	rds.instances
	RDS实例配备日志	配置变更	rds.instances
云搜索服务 CSS	CSS集群启用认证	配置变更	css.clusters
	CSS集群启用快照	配置变更	css.clusters
	CSS集群开启磁盘加密	配置变更	css.clusters
	CSS集群启用HTTPS	配置变更	css.clusters
	CSS集群绑定指定VPC资源	配置变更	css.clusters
	CSS集群具备多AZ容灾	配置变更	css.clusters
	CSS集群具备多实例容灾	配置变更	css.clusters
	CSS集群不能公网访问	配置变更	css.clusters
	CSS集群开启安全模式	配置变更	css.clusters
	CSS集群白名单不生效	配置变更	css.clusters
	CSS集群kibana白名单不生效	配置变更	css.clusters
云硬盘 EVS	云硬盘的类型在指定的范围内	配置变更	evs.volumes
	云硬盘创建后在指定天数内绑定资源实例	周期触发	evs.volumes
	云硬盘闲置检测	配置变更	evs.volumes
	已挂载的云硬盘开启加密	配置变更	evs.volumes
云证书管理服务 CCM	检查私有CA是否过期	周期触发	pca.ca
云证书管理服务 CCM	检查私有证书是否过期	周期触发	pca.cert
分布式消息服务Kafka版	DMS Kafka队列打开内网SSL加密访问	配置变更	dms.kafkas
	DMS Kafka队列打开公网SSL加密访问	配置变更	dms.kafkas
	DMS Kafka队列开启公网访问	配置变更	dms.kafkas
分布式消息服务RabbitMQ版	DMS RabbitMq队列打开SSL加密访问	配置变更	dms.rabbitmqs
分布式消息服务RocketMQ版	DMS Reliability队列打开SSL加密访问	配置变更	dms.reliabilitys

父主题： 系统内置预设策略

配置审计 CONFIG-预设策略列表

配置审计 CONFIG-预设策略列表

预设策略列表

7*24

备案

专业服务

退订

建议反馈

售前咨询热线