vpc-sg-port 限制检查

检查安全组是否明确限制从 0.0.0.0/0 或:: /0 到受限端口的传入流量。如果安全组允许通过 TCP/UDP 端口 22/3389 或参数中指定的来自 0.0.0.0/0 或:: /0 的传入流量，则该规则不合规。

标识符：VPC_SG_PORT_RESTRICTION_CHECK

资源类型： AWS::EC2::SecurityGroup

触发器类型： 定期

AWS 区域: 所有支持的 AWS 区域

参数：

限制端口（可选）

类型：CSV

以逗号分隔的端口列表，这些端口不应为整个 IP 范围内的传入流量开放。有效的端口号范围为 0 到 65535。如果未指定，则该规则默认为检查 22 和 3389。

协议类型（可选）

类型：字符串

要检查的规则的传输协议类型。有效值包括 'TCP'、'UDP' 和 'ALL'（不区分大小写）。如果设置为 “全部”，则该规则将检查是否有使用 “TCP”、“UDP” 或 “ALL” (-1) 协议的规则。默认值为 “全部”。

排除ExternalSecurityGroups （可选）

类型：布尔值

布尔值标志，用于排除对外部安全组的评估。如果设置为 “true”，则该规则在评估中将不包括外部安全组。否则，如果值设置为 “false”，则会评估所有安全组。默认值为 “真”。

IP 类型（可选）

类型：字符串

要检查的规则的互联网协议 (IP) 版本。有效值包括 'IPv4'、'IPv6' 和 'ALL'（不区分大小写）。如果未指定，则该规则默认为检查 “全部”。

AWS CloudFormation 模板

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅使用 AWS CloudFormation 模板创建 AWS Config 托管规则。