云平台配置检查项说明

应启用存储桶历史数据恢复功能

• 检查是否启用了版本控制，如果否，则不合规。
• 版本控制是针对存储空间（Bucket）级别的数据保护功能。开启该功能后，当您删除或覆盖数据时，TOS会自动保存您原数据的历史版本，当您误操作时，您可以将数据恢复至历史版本，避免数据丢失或修改。

1. 进入对象存储（TOS）控制台，在桶列表选择对应的 Bucket。
2. 选择权限管理>容灾与容错>版本控制。
3. 单击编辑。
4. 开启版本控制并确认。

应限制对匿名账号授予读写/完全控制权限

• 检查存储桶及ACL是否对匿名账号授予读写/完全控制权限，如果是，则不合规。
• 创建公共访问权限后，任意用户均可不通过验证访问您的存储桶，为了保证您的文件安全性，不建议对匿名账号授予读写/完全控制权限。

• 方法一
  1. 进入云安全中心控制台。
  2. 选择安全预防>云平台配置检查>检查内容。
  3. 单击该检查项对应的详情。
  4. 勾选未通过检查的资源后单击快速修复。
• 方法二
  1. 进入对象存储（TOS）控制台，在桶列表选择对应的 Bucket。
  2. 选择权限管理>桶ACLs>公共访问权限。
  3. 单击匿名用户组对应的编辑。
  4. 取消读写/完全控制授权并确认。

应限制对匿名用户授予存在风险的动作

检查TOS所有Bucket是否允许公共读写/公共读，如果是，则不合规。

1. 进入对象存储（TOS）控制台，在桶列表选择对应的 Bucket。
2. 选择权限管理>存储桶授权策略管理。
3. 单击对应策略的编辑。
4. 被授权用户选择匿名用户。
5. 取消 Put*、 List*、ListBucket、GetObject 、PutObject、PutObjectAcl 、PutBucketAcl、PutBucketPolicy 等动作授权并确认。

应遵循最小权限原则开放安全组访问策略

• 检查是否按最小力度开放访问策略，如果否，则不合规。
• 建议安全组最小粒度开放访问策略 ，仅对必须全网开放的服务端口才开启0.0.0.0/0 ，例如 80、 8080。 端口22 、3389 等不建议全网开启，应遵循最小原则。

1. 进入云服务器（ECS）控制台。
2. 选择网络安全>安全组。
3. 单击对应安全组的配置规则。
4. 根据实际使用情况，遵循最小授权原则允许/拒绝端口服务。