In questa pagina vengono descritti i criteri di rilevamento inclusi nella versione v1.0 del modello di postura predefinito per Center for Internet Security (CIS) Benchmark della piattaforma di computing di Google Cloud v2.0.0. Questa postura predefinita ti aiuta a rilevare quando il tuo ambiente Google Cloud non è in linea con il CIS Benchmark.
Puoi eseguire il deployment di questo modello di postura senza le applicazioni né apportare modifiche.
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in il modello di postura. Per ulteriori informazioni su questi rilevatori, vedi Vulnerabilità risultati.
Nome rilevatore | Descrizione |
---|---|
ACCESS_TRANSPARENCY_DISABLED |
Questo rilevatore controlla se Access Transparency è disattivato. |
ADMIN_SERVICE_ACCOUNT |
Questo rilevatore controlla se un account di servizio dispone dei privilegi di amministratore, proprietario o editor. |
ESSENTIAL_CONTACTS_NOT_CONFIGURED |
Questo rilevatore controlla se è presente almeno un Contatto necessario. |
API_KEY_APIS_UNRESTRICTED |
Questo rilevatore controlla se le chiavi API vengono utilizzate in modo troppo ampio. |
API_KEY_EXISTS |
Questo rilevatore controlla se un progetto utilizza chiavi API anziché l'autenticazione standard. |
API_KEY_NOT_ROTATED |
Questo rilevatore controlla se una chiave API è stata ruotata negli ultimi 90 giorni. |
AUDIT_CONFIG_NOT_MONITORED |
Questo rilevatore verifica se le modifiche alla configurazione dell'audit sono monitorate. |
AUDIT_LOGGING_DISABLED |
Questo rilevatore verifica se l'audit logging è disattivato per una risorsa. |
AUTO_BACKUP_DISABLED |
Questo rilevatore controlla se per un database Cloud SQL non sono attivati i backup automatici. |
BIGQUERY_TABLE_CMEK_DISABLED |
Questo rilevatore controlla se una tabella BigQuery non è configurata per l'utilizzo di una chiave di crittografia gestita dal cliente (CMEK). Per maggiori informazioni, consulta Risultati di vulnerabilità del set di dati. |
BUCKET_IAM_NOT_MONITORED |
Questo rilevatore verifica se il logging è disattivato per le modifiche alle autorizzazioni IAM in Cloud Storage. |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore verifica se è configurato un accesso uniforme a livello di bucket. |
CLOUD_ASSET_API_DISABLED |
Questo rilevatore controlla se Cloud Asset Inventory è disattivato. |
COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
Questo rilevatore verifica se vengono utilizzate chiavi SSH a livello di progetto. |
COMPUTE_SERIAL_PORTS_ENABLED |
Questo rilevatore controlla se le porte seriali sono abilitate. |
CONFIDENTIAL_COMPUTING_DISABLED |
Questo rilevatore controlla se Confidential Computing è disattivato. |
CUSTOM_ROLE_NOT_MONITORED |
Questo rilevatore controlla se il logging è disattivato per le modifiche ai ruoli personalizzati. |
DATAPROC_CMEK_DISABLED |
Questo rilevatore controlla se il supporto CMEK è disattivato per un cluster Dataproc. |
DATASET_CMEK_DISABLED |
Questo rilevatore controlla se il supporto CMEK è disattivato per un set di dati BigQuery. |
DEFAULT_NETWORK |
Questo rilevatore verifica se in un progetto esiste la rete predefinita. |
DEFAULT_SERVICE_ACCOUNT_USED |
Questo rilevatore verifica se viene utilizzato l'account di servizio predefinito. |
DISK_CSEK_DISABLED |
Questo rilevatore verifica se il supporto della chiave di crittografia fornita dal cliente (CSEK) è disattivato per una VM. |
DNS_LOGGING_DISABLED |
Questo rilevatore verifica se il logging DNS è abilitato sulla rete VPC. |
DNSSEC_DISABLED |
Questo rilevatore controlla se DNSSEC è disattivato per le zone Cloud DNS. |
FIREWALL_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Questo rilevatore controlla se i log di flusso VPC non sono attivati. |
FULL_API_ACCESS |
Questo rilevatore verifica se un'istanza utilizza un account di servizio predefinito con accesso completo a tutte le API Google Cloud. |
INSTANCE_OS_LOGIN_DISABLED |
Questo rilevatore verifica se OS Login non è attivo. |
IP_FORWARDING_ENABLED |
Questo rilevatore verifica se l'IP forwarding è attivo. |
KMS_KEY_NOT_ROTATED |
Questo rilevatore controlla se la rotazione per la crittografia di Cloud Key Management Service non è attiva. |
KMS_PROJECT_HAS_OWNER |
Questo rilevatore controlla se un utente dispone dell'autorizzazione Proprietario su un progetto che include chiavi. |
KMS_PUBLIC_KEY |
Questo rilevatore verifica se una chiave di crittografia di Cloud Key Management Service è accessibile pubblicamente. Per maggiori informazioni, consulta Risultati di vulnerabilità di KMS. |
KMS_ROLE_SEPARATION |
Questo rilevatore verifica la separazione dei compiti per le chiavi Cloud KMS. |
LEGACY_NETWORK |
Questo rilevatore verifica se in un progetto è presente una rete legacy. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccata è impostato per i log. |
LOAD_BALANCER_LOGGING_DISABLED |
Questo rilevatore controlla se il logging è disattivato per il bilanciatore del carico. |
LOG_NOT_EXPORTED |
Questo rilevatore verifica se per una risorsa non è configurato un sink di log. |
MFA_NOT_ENFORCED |
Questo rilevatore controlla se un utente non sta utilizzando la verifica in due passaggi. |
NETWORK_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
NON_ORG_IAM_MEMBER |
Questo rilevatore verifica se un utente non utilizza le credenziali dell'organizzazione. |
OPEN_RDP_PORT |
Questo rilevatore verifica se un firewall ha una porta RDP aperta. |
OPEN_SSH_PORT |
Questo rilevatore verifica se un firewall ha una porta SSH aperta che consente l'accesso generico. Per saperne di più, consulta Risultati di vulnerabilità del firewall. |
OS_LOGIN_DISABLED |
Questo rilevatore controlla se OS Login è disattivato. |
OVER_PRIVILEGED_SERVICE_ACCOUNT_USER |
Questo rilevatore controlla se un utente dispone di ruoli dell'account di servizio a livello di progetto, anziché per un account di servizio specifico. |
OWNER_NOT_MONITORED |
Questo rilevatore controlla se il logging è disattivato per le assegnazioni e le modifiche della proprietà del progetto. |
PUBLIC_BUCKET_ACL |
Questo rilevatore verifica se un bucket è accessibile pubblicamente. |
PUBLIC_DATASET |
Questo rilevatore verifica se un set di dati è configurato per essere accessibile al pubblico. Per maggiori informazioni, consulta Risultati di vulnerabilità del set di dati. |
PUBLIC_IP_ADDRESS |
Questo rilevatore verifica se un'istanza ha un indirizzo IP esterno. |
PUBLIC_SQL_INSTANCE |
Questo rilevatore verifica se Cloud SQL consente le connessioni da tutti gli indirizzi IP. |
ROUTE_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
RSASHA1_FOR_SIGNING |
Questo rilevatore verifica se RSASHA1 viene utilizzato per la firma della chiave nelle zone Cloud DNS. |
SERVICE_ACCOUNT_KEY_NOT_ROTATED |
Questo rilevatore verifica se una chiave dell'account di servizio è stata ruotata negli ultimi 90 giorni. |
SERVICE_ACCOUNT_ROLE_SEPARATION |
Questo rilevatore verifica la separazione dei compiti per le chiavi degli account di servizio. |
SHIELDED_VM_DISABLED |
Questo rilevatore controlla se la Shielded VM è disattivata. |
SQL_CONTAINED_DATABASE_AUTHENTICATION |
Questo rilevatore controlla se il flag |
SQL_CROSS_DB_OWNERSHIP_CHAINING |
Questo rilevatore controlla se il flag |
SQL_EXTERNAL_SCRIPTS_ENABLED |
Questo rilevatore controlla se il flag |
SQL_INSTANCE_NOT_MONITORED |
Questo rilevatore verifica se il logging è disattivato per le modifiche alla configurazione di Cloud SQL. |
SQL_LOCAL_INFILE |
Questo rilevatore controlla se il flag |
SQL_LOG_CONNECTIONS_DISABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_DISCONNECTIONS_DISABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_ERROR_VERBOSITY |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_DURATION_STATEMENT_ENABLED |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY |
Questo rilevatore controlla se il flag |
SQL_LOG_MIN_MESSAGES |
Questo rilevatore controlla se il flag |
SQL_LOG_STATEMENT |
Questo rilevatore controlla se il flag |
SQL_NO_ROOT_PASSWORD |
Questo rilevatore verifica se un database Cloud SQL con un indirizzo IP esterno non ha una password per l'account root. |
SQL_PUBLIC_IP |
Questo rilevatore verifica se un database Cloud SQL ha un indirizzo IP esterno. |
SQL_REMOTE_ACCESS_ENABLED |
Questo rilevatore controlla se il flag |
SQL_SKIP_SHOW_DATABASE_DISABLED |
Questo rilevatore controlla se il flag |
SQL_TRACE_FLAG_3625 |
Questo rilevatore controlla se il flag |
SQL_USER_CONNECTIONS_CONFIGURED |
Questo rilevatore verifica se il flag |
SQL_USER_OPTIONS_CONFIGURED |
Questo rilevatore verifica se il flag |
USER_MANAGED_SERVICE_ACCOUNT_KEY |
Questo rilevatore verifica se un utente gestisce una chiave dell'account di servizio. |
WEAK_SSL_POLICY |
Questo rilevatore controlla se un'istanza ha un criterio SSL debole. |
Definizione YAML
Di seguito è riportata la definizione YAML per il modello di postura per CIS 2.0.
name: organizations/123/locations/global/postureTemplates/cis_2_0
description: Posture Template to make your workload secure and CIS 2.0 compliant
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: CIS_2_0 detective policy set
description: CIS_2_0 SHA modules that new customers can automatically enable.
policies:
- policy_id: Access transparency disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ACCESS_TRANSPARENCY_DISABLED
- policy_id: Admin service account
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ADMIN_SERVICE_ACCOUNT
- policy_id: Essential contacts not configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ESSENTIAL_CONTACTS_NOT_CONFIGURED
- policy_id: API key APIs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APIS_UNRESTRICTED
- policy_id: API key APPs unrestricted
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_APPS_UNRESTRICTED
- policy_id: API key exists
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_EXISTS
- policy_id: API key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: API_KEY_NOT_ROTATED
- policy_id: Audit config not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_CONFIG_NOT_MONITORED
- policy_id: Audit logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUDIT_LOGGING_DISABLED
- policy_id: Auto backup disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: AUTO_BACKUP_DISABLED
- policy_id: BigQuery table CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BIGQUERY_TABLE_CMEK_DISABLED
- policy_id: Bucket IAM not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_IAM_NOT_MONITORED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Cloud asset API disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CLOUD_ASSET_API_DISABLED
- policy_id: Compute project wide SSH keys allowed
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED
- policy_id: Compute serial port enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: COMPUTE_SERIAL_PORTS_ENABLED
- policy_id: Confidential computing disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CONFIDENTIAL_COMPUTING_DISABLED
- policy_id: Custom role not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: CUSTOM_ROLE_NOT_MONITORED
- policy_id: Dataproc CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATAPROC_CMEK_DISABLED
- policy_id: Dataset CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DATASET_CMEK_DISABLED
- policy_id: Default network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_NETWORK
- policy_id: Default service account used
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DEFAULT_SERVICE_ACCOUNT_USED
- policy_id: Disk CSEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DISK_CSEK_DISABLED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: DNSSEC disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNSSEC_DISABLED
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: VPC flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
- policy_id: Full API access
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FULL_API_ACCESS
- policy_id: Instance OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: INSTANCE_OS_LOGIN_DISABLED
- policy_id: IP forwarding enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: IP_FORWARDING_ENABLED
- policy_id: KMS key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_KEY_NOT_ROTATED
- policy_id: KMS project has owner
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PROJECT_HAS_OWNER
- policy_id: KMS public key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_PUBLIC_KEY
- policy_id: KMS role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: KMS_ROLE_SEPARATION
- policy_id: Legacy network
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LEGACY_NETWORK
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Load balancer logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOAD_BALANCER_LOGGING_DISABLED
- policy_id: Log not exported
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOG_NOT_EXPORTED
- policy_id: MFA not enforced
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: MFA_NOT_ENFORCED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Non org IAM member
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NON_ORG_IAM_MEMBER
- policy_id: Open RDP port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_RDP_PORT
- policy_id: Open SSH port
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OPEN_SSH_PORT
- policy_id: OS login disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OS_LOGIN_DISABLED
- policy_id: Over privileged service account user
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER
- policy_id: Owner not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OWNER_NOT_MONITORED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public dataset
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_DATASET
- policy_id: Public IP address
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_IP_ADDRESS
- policy_id: Public SQL instance
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_SQL_INSTANCE
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: RSASHA1 for signing
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: RSASHA1_FOR_SIGNING
- policy_id: Service account key not rotated
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_KEY_NOT_ROTATED
- policy_id: Service account role separation
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SERVICE_ACCOUNT_ROLE_SEPARATION
- policy_id: Shielded VM disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SHIELDED_VM_DISABLED
- policy_id: SQL contained database authentication
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CONTAINED_DATABASE_AUTHENTICATION
- policy_id: SQL cross DB ownership chaining
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_CROSS_DB_OWNERSHIP_CHAINING
- policy_id: SQL external scripts enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_EXTERNAL_SCRIPTS_ENABLED
- policy_id: SQL instnance not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_INSTANCE_NOT_MONITORED
- policy_id: SQL local infile
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOCAL_INFILE
- policy_id: SQL log connections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_CONNECTIONS_DISABLED
- policy_id: SQL log disconnections disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_DISCONNECTIONS_DISABLED
- policy_id: SQL log error verbosity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_ERROR_VERBOSITY
- policy_id: SQL log min duration statement enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED
- policy_id: SQL log min error statement severity
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY
- policy_id: SQL log min messages
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_MIN_MESSAGES
- policy_id: SQL log statement
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_LOG_STATEMENT
- policy_id: SQL no root password
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_NO_ROOT_PASSWORD
- policy_id: SQL public IP
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_PUBLIC_IP
- policy_id: SQL remote access enabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_REMOTE_ACCESS_ENABLED
- policy_id: SQL skip show database disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_SKIP_SHOW_DATABASE_DISABLED
- policy_id: SQL trace flag 3625
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_TRACE_FLAG_3625
- policy_id: SQL user connection configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_CONNECTIONS_CONFIGURED
- policy_id: SQL user options configured
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: SQL_USER_OPTIONS_CONFIGURED
- policy_id: User managed service account key
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: USER_MANAGED_SERVICE_ACCOUNT_KEY
- policy_id: Weak SSL policy
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: WEAK_SSL_POLICY