Cette page décrit les règles de détection incluses dans la version 1.0 du modèle de stratégie prédéfini pour le Center for Internet Security (CIS) Benchmark Google Cloud Computing Platform version 2.0.0. Cette stratégie prédéfinie vous aide à détecter quand votre environnement Google Cloud ne correspond pas au benchmark CIS.
Vous pouvez déployer ce modèle de stratégie n'apporte aucune modification.
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans le modèle de stratégie. Pour en savoir plus sur ces détecteurs, consultez Faille résultats.
Nom du détecteur | Description |
---|---|
ACCESS_TRANSPARENCY_DISABLED |
Ce détecteur vérifie si Access Transparency est désactivé. |
ADMIN_SERVICE_ACCOUNT |
Ce détecteur vérifie si un compte de service dispose des droits Administrateur, Propriétaire ou Éditeur. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Ce détecteur vérifie si vous avez au moins un contact essentiel. |
API_KEY_APIS_UNRESTRICTED |
Ce détecteur vérifie si les clés API sont utilisées de façon trop étendue. |
API_KEY_EXISTS |
Ce détecteur vérifie si un projet utilise des clés API au lieu de l'authentification standard. |
API_KEY_NOT_ROTATED |
Ce détecteur vérifie si une clé API a été alternée au cours des 90 derniers jours. |
AUDIT_CONFIG_NOT_MONITORED |
Ce détecteur vérifie si les modifications de configuration d'audit sont surveillées. |
AUDIT_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation d'audit est désactivée pour une ressource. |
AUTO_BACKUP_DISABLED |
Ce détecteur vérifie si les sauvegardes automatiques d'une base de données Cloud SQL ne sont pas activées. |
BIGQUERY_TABLE_CMEK_DISABLED |
Ce détecteur vérifie si une table BigQuery n'est pas configurée pour utiliser une clé de chiffrement gérée par le client (CMEK). Pour en savoir plus, consultez la section Résultats des failles des ensembles de données. |
BUCKET_IAM_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications d'autorisations IAM dans Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré. |
CLOUD_ASSET_API_DISABLED |
Ce détecteur vérifie si l'inventaire des éléments cloud est désactivé. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Ce détecteur vérifie si des clés SSH à l'échelle du projet sont utilisées. |
COMPUTE_SERIAL_PORTS_ENABLED |
Ce détecteur vérifie si les ports série sont activés. |
CONFIDENTIAL_COMPUTING_DISABLED |
Ce détecteur vérifie si l'informatique confidentielle est désactivée. |
CUSTOM_ROLE_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications de rôle personnalisé. |
DATAPROC_CMEK_DISABLED |
Ce détecteur vérifie si la compatibilité des CMEK est désactivée pour un cluster Dataproc. |
DATASET_CMEK_DISABLED |
Ce détecteur vérifie si la compatibilité des CMEK est désactivée pour un ensemble de données BigQuery. |
DEFAULT_NETWORK |
Ce détecteur vérifie si le réseau par défaut existe dans un projet. |
DEFAULT_SERVICE_ACCOUNT_USED |
Ce détecteur vérifie si le compte de service par défaut est utilisé. |
DISK_CSEK_DISABLED |
Ce détecteur vérifie si la compatibilité des clés de chiffrement fournies par le client (CSEK) est désactivée pour une VM. |
DNS_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC. |
DNSSEC_DISABLED |
Ce détecteur vérifie si DNSSEC est désactivé pour les zones Cloud DNS. |
FIREWALL_NOT_MONITORED |
Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications des règles de pare-feu VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Ce détecteur vérifie si les journaux de flux VPC ne sont pas activés. |
FULL_API_ACCESS |
Ce détecteur vérifie si une instance utilise un compte de service par défaut disposant d'un accès complet à toutes les API Google Cloud. |
INSTANCE_OS_LOGIN_DISABLED |
Ce détecteur vérifie si OS Login n'est pas activé. |
IP_FORWARDING_ENABLED |
Ce détecteur vérifie si le transfert IP est activé. |
KMS_KEY_NOT_ROTATED |
Ce détecteur vérifie si la rotation du chiffrement Cloud Key Management Service n'est pas activée. |
KMS_PROJECT_HAS_OWNER |
Ce détecteur vérifie si un utilisateur dispose de l'autorisation Propriétaire sur un projet qui inclut des clés. |
KMS_PUBLIC_KEY |
Ce détecteur vérifie si une clé cryptographique Cloud Key Management Service est accessible publiquement. Pour en savoir plus, consultez la page Résultats des failles KMS. |
KMS_ROLE_SEPARATION |
Ce détecteur vérifie la séparation des tâches pour les clés Cloud KMS. |
LEGACY_NETWORK |
Ce détecteur vérifie si un ancien réseau existe dans un projet. |
LOCKED_RETENTION_POLICY_NOT_SET |
Ce détecteur vérifie si une règle de conservation verrouillée est définie pour les journaux. |
LOAD_BALANCER_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation est désactivée pour l'équilibreur de charge. |
LOG_NOT_EXPORTED |
Ce détecteur vérifie si aucun récepteur de journaux n'est configuré pour une ressource. |
MFA_NOT_ENFORCED |
Ce détecteur vérifie si un utilisateur n'utilise pas la validation en deux étapes. |
NETWORK_NOT_MONITORED |
Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées au réseau VPC. |
NON_ORG_IAM_MEMBER |
Ce détecteur vérifie si un utilisateur n'utilise pas les identifiants de l'organisation. |
OPEN_RDP_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port RDP ouvert. |
OPEN_SSH_PORT |
Ce détecteur vérifie si un pare-feu dispose d'un port SSH ouvert qui autorise un accès générique. Pour en savoir plus, consultez la section Résultats des failles de pare-feu. |
OS_LOGIN_DISABLED |
Ce détecteur vérifie si OS Login est désactivé. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Ce détecteur vérifie si un utilisateur dispose de rôles de compte de service au niveau du projet, plutôt que pour un compte de service spécifique. |
OWNER_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les attributions de propriété de projets et les modifications. |
PUBLIC_BUCKET_ACL |
Ce détecteur vérifie si un bucket est accessible publiquement. |
PUBLIC_DATASET |
Ce détecteur vérifie si un ensemble de données est configuré pour être accessible au public. Pour en savoir plus, consultez la section Résultats des failles des ensembles de données. |
PUBLIC_IP_ADDRESS |
Ce détecteur vérifie si une instance possède une adresse IP externe. |
PUBLIC_SQL_INSTANCE |
Ce détecteur vérifie si une instance Cloud SQL autorise les connexions en provenance de toutes les adresses IP. |
ROUTE_NOT_MONITORED |
Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées aux routes du réseau VPC. |
RSASHA1_FOR_SIGNING |
Ce détecteur vérifie si RSASHA1 est utilisé pour la signature de clé dans les zones Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Ce détecteur vérifie si une clé de compte de service a été alternée au cours des 90 derniers jours. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Ce détecteur vérifie la séparation des tâches pour les clés de compte de service. |
SHIELDED_VM_DISABLED |
Ce détecteur vérifie si la VM protégée est désactivée. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Ce détecteur vérifie si l'option |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Ce détecteur vérifie si l'option |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Ce détecteur vérifie si l'option |
SQL_INSTANCE_NOT_MONITORED |
Ce détecteur vérifie si la journalisation est désactivée pour les modifications de configuration Cloud SQL. |
SQL_LOCAL_INFILE |
Ce détecteur vérifie si l'option |
SQL_LOG_CONNECTIONS_DISABLED |
Ce détecteur vérifie si l'option |
SQL_LOG_DISCONNECTIONS_DISABLED |
Ce détecteur vérifie si l'option |
SQL_LOG_ERROR_VERBOSITY |
Ce détecteur vérifie si l'option |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Ce détecteur vérifie si l'option |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Ce détecteur vérifie si l'option |
SQL_LOG_MIN_MESSAGES |
Ce détecteur vérifie si l'option |
SQL_LOG_STATEMENT |
Ce détecteur vérifie si l'option |
SQL_NO_ROOT_PASSWORD |
Ce détecteur vérifie si une base de données Cloud SQL avec une adresse IP externe n'a pas de mot de passe pour le compte racine. |
SQL_PUBLIC_IP |
Ce détecteur vérifie si une base de données Cloud SQL possède une adresse IP externe. |
SQL_REMOTE_ACCESS_ENABLED |
Ce détecteur vérifie si l'option |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Ce détecteur vérifie si l'option |
SQL_TRACE_FLAG_3625 |
Ce détecteur vérifie si l'option |
SQL_USER_CONNECTIONS_CONFIGURED |
Ce détecteur vérifie si l'option |
SQL_USER_OPTIONS_CONFIGURED |
Ce détecteur vérifie si l'option |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Ce détecteur vérifie si un utilisateur gère une clé de compte de service. |
WEAK_SSL_POLICY |
Ce détecteur vérifie si les règles SSL d'une instance sont faibles. |
Définition YAML
Voici la définition YAML du modèle de stratégie pour CIS 2.0.
name: organizations/123/locations/global/postureTemplates/cis_2_0
description: Posture Template to make your workload secure and CIS 2.0 compliant
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: CIS_2_0 detective policy set
description: CIS_2_0 SHA modules that new customers can automatically enable.
policies:
- policy_id: Access transparency disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ACCESS_TRANSPARENCY_DISABLED
- policy_id: Admin service account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ADMIN_SERVICE_ACCOUNT
- policy_id: Essential contacts not configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
- policy_id: API key APIs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APIS_UNRESTRICTED
- policy_id: API key APPs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APPS_UNRESTRICTED
- policy_id: API key exists
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_EXISTS
- policy_id: API key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_NOT_ROTATED
- policy_id: Audit config not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_CONFIG_NOT_MONITORED
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: Auto backup disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_BACKUP_DISABLED
- policy_id: BigQuery table CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BIGQUERY_TABLE_CMEK_DISABLED
- policy_id: Bucket IAM not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_IAM_NOT_MONITORED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Cloud asset API disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLOUD_ASSET_API_DISABLED
- policy_id: Compute project wide SSH keys allowed
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
- policy_id: Compute serial port enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_SERIAL_PORTS_ENABLED
- policy_id: Confidential computing disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CONFIDENTIAL_COMPUTING_DISABLED
- policy_id: Custom role not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CUSTOM_ROLE_NOT_MONITORED
- policy_id: Dataproc CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATAPROC_CMEK_DISABLED
- policy_id: Dataset CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATASET_CMEK_DISABLED
- policy_id: Default network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_NETWORK
- policy_id: Default service account used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_SERVICE_ACCOUNT_USED
- policy_id: Disk CSEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DISK_CSEK_DISABLED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: DNSSEC disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNSSEC_DISABLED
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: VPC flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Instance OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: INSTANCE_OS_LOGIN_DISABLED
- policy_id: IP forwarding enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_FORWARDING_ENABLED
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: KMS public key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PUBLIC_KEY
- policy_id: KMS role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_ROLE_SEPARATION
- policy_id: Legacy network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_NETWORK
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Load balancer logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOAD_BALANCER_LOGGING_DISABLED
- policy_id: Log not exported
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOG_NOT_EXPORTED
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OS_LOGIN_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Owner not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OWNER_NOT_MONITORED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: RSASHA1 for signing
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: RSASHA1_FOR_SIGNING
- policy_id: Service account key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_KEY_NOT_ROTATED
- policy_id: Service account role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
- policy_id: Shielded VM disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SHIELDED_VM_DISABLED
- policy_id: SQL contained database authentication
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
- policy_id: SQL cross DB ownership chaining
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
- policy_id: SQL external scripts enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
- policy_id: SQL instnance not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_INSTANCE_NOT_MONITORED
- policy_id: SQL local infile
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOCAL_INFILE
- policy_id: SQL log connections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_CONNECTIONS_DISABLED
- policy_id: SQL log disconnections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
- policy_id: SQL log error verbosity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_ERROR_VERBOSITY
- policy_id: SQL log min duration statement enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
- policy_id: SQL log min error statement severity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
- policy_id: SQL log min messages
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_MESSAGES
- policy_id: SQL log statement
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_STATEMENT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: SQL public IP
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_PUBLIC_IP
- policy_id: SQL remote access enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_REMOTE_ACCESS_ENABLED
- policy_id: SQL skip show database disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
- policy_id: SQL trace flag 3625
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_TRACE_FLAG_3625
- policy_id: SQL user connection configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_CONNECTIONS_CONFIGURED
- policy_id: SQL user options configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_OPTIONS_CONFIGURED
- policy_id: User managed service account key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: USER_MANAGED_SERVICE_ACCOUNT_KEY
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY