rds-cpu-min-count-limit

检查 RDS 实例的CPU数量最小限制。

阿里云2000元代金券免费领,最新优惠1折抢购,2核4G云服务器仅799元/3年,新老用户同享,立即抢购>>>

Trigger type: 配置更改

资源:ACS::RDS::DBInstance

参数:cpuCount(RDS实例包含的最小cpu数量)

修复指南:当您账号下的RDS实例CPU数量小于您设置的规则参数阈值,会导致该规则不合规。

方法一:更改RDS实例规格,使变更后的RDS实例的CPU数量大于等于您设置的规则参数阈值。Config会在10分钟内感知到您的修改并自动启动审计。

RDS_预设规则_资源合规审计_配置审计

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

API更改实例规格:调用ModifyDBInstanceSpec接口变更RDS实例的规格,修改实例规格DBInstanceClass的值。

rds-desired-instance-type

检查 RDS 实例是否具有指定的实例类型。

Trigger type: 配置更改

资源:ACS::RDS::DBInstance

参数:instanceTypes(逗号分隔的 RDS 实例类型列表) 。例如:rds.mysql.s2.large,mysql.n1.micro.1。

修复指南:您账号下RDS实例规格未在规则参数阈值中列举出,则会导致该规则不合规。规则参数阈值列表中包含RDS实例的实例规格,该实例即为合规。

方法一:更改RDS实例规格,更改成规则参数阈值中列出的实例规格中的某一个。Config会在10分钟内感知到您的修改并自动启动审计。

方法二:编辑规则参数阈值,将RDS实例的实例规格添加到规则参数阈值中。编辑后单击重新审计后刷新页面进行验证。

控制台更改实例规格:进入RDS控制台,实例列表-更多-变更配置来更改RDS实例规格。

RDS_预设规则_资源合规审计_配置审计

API更改实例规格:调用ModifyDBInstanceSpec接口变更RDS实例的规格,修改实例规格DBInstanceClass的值。

rds-high-availability-category

检查RDS实例是否具备高可用能力。

Trigger type: 配置更改

资源:ACS::RDS::DBInstance

参数:无

修复指南:您账号下RDS实例不具备高可用能力,会导致该规则不合规。

方法一:针对无法升级版本的RDS实例(SQL Server以外的实例),需重新购买。购买RDS实例时,选择RDS实例系列为高可用版系列。Config会在10分钟内感知到您的修改并自动启动审计。

不合规的旧RDS实例处理方法:您可以手动释放按量付费实例或者退订包年包月实例。您可以登录退订管理页面进行退订操作。详情请参见退款规则及退订流程

风险:实例释放或退订后,实例立即被清除,数据不再保留,请提前备份数据。

释放实例风险及操作步骤请参见:

  1. RDS for MySQL:释放实例
  2. RDS for SQL Server:释放实例
  3. RDS for PostgreSQL:释放实例
  4. RDS for PPAS:释放实例
  5. RDS for MariaDB TX:释放实例

方法二:您可以将SQL Server的基础版实例升级为高可用版实例,升级时可以同步升级版本。Config会在10分钟内感知到您的修改并自动启动审计。

SQL Server基础版实例升级为高可用版实例,请参见基础版升级为高可用版

RDS_预设规则_资源合规审计_配置审计

控制台操作:登录控制台购买页面,单击基础配置 > 系列选择

SQL Server升级版本:进入RDS控制台,在基本信息页面,单击升级版本

RDS_预设规则_资源合规审计_配置审计RDS_预设规则_资源合规审计_配置审计

升级的规则如下:

RDS_预设规则_资源合规审计_配置审计

API操作:调用CreateDBInstance接口创建RDS实例时,将Category的值设置为HighAvailability(高可用版)。

rds-instance-enabled-security-ip-list

检测您账号下RDS数据库实例是否启用安全白名单功能,已开通视为合规。

Trigger type: 配置更改

资源:ACS::RDS::DBInstance

参数:无

修复指南:您账号下RDS数据库实例在白名单中设置了0.0.0.0/0会导致该规则不合规。修改RDS数据库实例在白名单中的值,值不为0.0.0.0/0。Config会在10分钟内感知到您的修改并自动启动审计。

控制台操作:进入RDS控制台,进入RDS实例详细信息页-数据安全性,修改白名单的值,取消0.0.0.0/0的设置。

RDS_预设规则_资源合规审计_配置审计

API操作:调用ModifySecurityIps接口修改白名单SecurityIps的值。

rds-instance-storage-min-size-limit

检查RDS实例最小存储空间限制。

Trigger type: 配置更改

资源:ACS::RDS::DBInstance

参数:storageSize(rds实例最小存储空间)

您账号下的RDS实例存储空间小于您设置的阈值,会导致该规则不合规。

方法一:更改RDS实例规格,使变更后的RDS实例的存储空间容量大于等于您设置的规则参数阈值。Config会在10分钟内感知到您的修改并自动启动审计。

RDS_预设规则_资源合规审计_配置审计RDS_预设规则_资源合规审计_配置审计

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

API更改实例规格:调用ModifyDBInstanceSpec接口变更RDS实例的规格,修改实例规格DBInstanceClass的值。

rds-instances-in-vpc

检查您的 RDS 实例是否属于某个 Virtual Private Cloud(VPC)。或者,您可以指定要与您的实例关联的 VPC ID。实例属于指定id的vpc返回合规实。例

Trigger type: 配置更改

资源:ACS::RDS::DBInstance

参数:

vpcIds

包含这些实例的 VPC 的 ID,多个vpcId以逗号隔开,例如:vpc-25vk5xwn8,vpc-6wesmaymqkgiuru5xmkvx,vpc-8vbc16loavvujlzli1yc8。

修复指南:您账号下RDS实例绑定的VpcId未在规则参数阈值中列举出,则会导致该规则不合规。

方法一:重新创建新的RDS实例,并将实例绑定到规则参数阈值中列出的VpcId中的某一个。Config会在10分钟内感知到您的修改并自动启动审计。

购买RDS时,在网络和安全组-VPC中选择VPC。

RDS_预设规则_资源合规审计_配置审计

方法二:编辑规则参数阈值,将RDS实例绑定的VpcId添加到规则参数阈值中。编辑后单击重新审计后刷新页面进行验证。

rds-memory-min-size-limit

检查 RDS 实例内存最小容量限制。

Trigger type: 配置更改

资源:ACS::RDS::DBInstance

参数:memorySize(rds实例内容最小容量)

修复指南:当您账号下的RDS实例内存容量小于您设置的规则参数阈值,会导致该规则不合规。

方法一:更改RDS实例规格,使变更后的RDS实例的内存容量大于等于您设置的规则参数阈值。Config会在10分钟内感知到您的修改并自动启动审计。

RDS_预设规则_资源合规审计_配置审计

方法二:修改规则参数的规则参数阈值,单击重新审计后刷新页面进行验证。

API更改实例规格:调用ModifyDBInstanceSpec接口变更RDS实例的规格,修改实例规格DBInstanceClass的值

rds-multi-az-support

检查您的 RDS 数据库实例是否支持多可用区。

资源:ACS::RDS::DBInstance

Trigger type: 配置更改

参数:无

修复指南:您账号下RDS实例不支持多可用区时,会导致该规则不合规。

方法一:MySQL 、SQL Server、PPAS支持迁移可用区。迁移RDS实例可用区后,Config会在10分钟内感知到您的修改并自动启动审计。

迁移可用区风险及操作步骤参请参见:

  1. RDS for MySQL:迁移可用区
  2. RDS for SQL Server:迁移可用区
  3. RDS for PPAS:迁移可用区

方法二:若RDS实例不支持迁移可用区,需重新购买RDS实例。购买RDS实例时,选择RDS可用区为多可用区。Config会在10分钟内感知到您的修改并自动启动审计。

不合规的旧RDS实例处理方法:您可以手动释放按量付费实例或者退订包年包月实例。您可以登录退订管理页面进行退订操作。详情请参见退款规则及退订流程

风险:实例释放或退订后,实例立即被清除,数据不再保留,请提前备份数据。

释放实例风险及操作步骤请参见:

  1. RDS for MySQL:释放实例
  2. RDS for SQL Server:释放实例
  3. RDS for PostgreSQL:释放实例
  4. RDS for PPAS:释放实例
  5. RDS for MariaDB TX:释放实例

控制台操作:控制台购买页面-基础配置-可用区选择多可用区。

RDS_预设规则_资源合规审计_配置审计

API操作:

调用CreateDBInstance接口创建RDS实例时,将ZoneId的值填写成多可用区格式。

调用MigrateToOtherZone接口迁移RDS实例可用区。

rds-public-access-check

检测RDS实例是否允许公网访问。

Trigger type: 配置更改

资源:ACS::RDS::DBInstance

参数:无

修复指南:您账号下RDS数据库实例在白名单中设置了0.0.0.0/0会导致该规则不合规。修改RDS数据库实例在白名单中的值,值不为0.0.0.0/0。Config会在10分钟内感知到您的修改并自动启动审计。

控制台操作:进入RDS控制台,进入RDS实例详细信息页-数据安全性,修改白名单的值,取消0.0.0.0/0的设置。

RDS_预设规则_资源合规审计_配置审计

API操作:调用ModifySecurityIps接口修改白名单SecurityIps的值。