本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢查安全群組是否明確將傳入流量從 0.0.0.0/0 或 ::/0 限制到受限連接埠。如果安全群組允許從 0.0.0.0/0 或 ::/0 透過 TCP/UDP 連接埠 22/3389 或參數中指定的傳入流量,則表示規則為「NON_COMPLIANT」。
識別符:VPC_SG_PORT_RESTRICTION_CHECK
資源類型:AWS::EC2::SecurityGroup
觸發類型:定期
AWS 區域:除中國 (北京)、亞太區域 (馬來西亞)、加拿大西部 (卡加利) AWS 區域以外所有支援的 區域
參數:
- restrictPorts (選用)
- 類型:CSV
-
以逗號分隔的連接埠清單,這些連接埠不應針對整個 IP 範圍內的傳入流量開啟。有效的連接埠號碼範圍為 0 到 65535。如果未指定,則規則預設為檢查 22 和 3389。
- protocolType (選用)
- 類型:字串
-
要檢查之規則的傳輸通訊協定類型。有效值包括 'TCP'、'UDP' 和 'ALL' (不區分大小寫)。如果設為 'ALL',規則將檢查使用 'TCP'、'UDP' 或 'ALL' (-1) 通訊協定的規則。預設值為 'ALL'。
- excludeExternalSecurityGroups (選用)
- 類型:布林值
-
排除外部安全群組評估的布林值旗標。如果設定為「true」,則規則不會在評估中包含外部安全群組。否則,如果值設為 'false',則會評估所有安全群組。預設值為 'true'。
- ipType (選用)
- 類型:字串
-
規則要檢查的網際網路通訊協定 (IP) 版本。有效值包括 'IPv4'、'IPv6' 和 'ALL' (不區分大小寫)。如果未指定,則規則預設為檢查 'ALL'。
AWS CloudFormation 範本
若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則,請參閱 使用 AWS CloudFormation 範本建立 AWS Config 受管規則。
