計算巢架起了合作伙伴與客戶在云上的橋梁,既幫助合作伙伴降低應用交付成本、提升運營效率,也幫助其客戶實現高效的軟件部署、獲得流暢的客戶體驗。本文將從安全、設計、性能和法律等方面介紹計算巢服務發布的審核標準。
提交之前
為了幫助您順利地通過計算巢服務發布審核,請確保在提交審核之前您已經完成核對下方列表中的每一項內容。請確保:
安全
當用戶通過計算巢部署軟件時,他們希望獲得安全的體驗。如果您的服務不符合安全準則,請修訂后再提交審核。
服務信息審核標準
服務名稱、圖標、服務簡介不應包含涉嫌暴力、血腥、政治、宗教、歧視、色情、侵犯個人隱私等禁止或敏感內容。
您理解并同意,中華人民共和國的國家秘密受法律保護,您有保守中華人民共和國國家秘密的義務;服務信息應遵守相關保密法律法規的要求,并不得危害中華人民共和國國家秘密的安全。
模板輸入參數(Parameters)審核標準
模板輸入參數不得包含用戶的ALIYUN憑據(例如密碼、共有密鑰、私有密鑰或證書)。
不要為遠程服務,CIDR/IP或數據庫的密碼設置默認值,這些參數必須作為輸入參數由用戶提供;對于密碼類敏感輸入內容,請選擇NoEcho輸入并啟用更嚴格的正則表達式;對于其他的輸入,設置最常見的輸入及相應的幫助文本。
模板網絡和安全參數審核標準
確保默認SSH端口 (22) 或 RDP端口 (3389) 未對0.0.0.0 打開,具體請參考云服務器ECS安全性。
私有化部署不允許使用經典網絡實例。
將RAM的角色和策略設置為最低權限,原則上不允許信任關系授權于非阿里云服務,如果需要使用InstanceRole功能,請參考配置ECS實例RAM角色。
鏡像和交付物審核標準
鏡像中不能包含有漏洞的系統軟件,請到云安全中心掃描漏洞。
我們建議實例身份驗證使用密鑰對的訪問權限,而非基于密碼的身份驗證。
鏡像內不得出于任何原因包含密碼、身份驗證密鑰、密鑰對、安全密鑰或其他憑證。
鏡像不得向用戶請求或者使用密鑰或者私有密鑰以訪問ALIYUN資源。
基于Linux的鏡像不得允許SSH密碼身份驗證,可以通過sshd_config文件將PasswordAuthentication設置為NO以禁用密碼身份驗證。
數據安全審核標準
服務商應實施適當的安全舉措,確保按照計算巢服務協議和本文中法律準則的部分妥善處理收集到的用戶信息,防止對這些信息進行未經授權使用、披露或者被第三方訪問。
性能
為保證用戶在部署服務實例時的體驗,請確保您發布的計算巢服務符合如下的性能要求。
計算巢服務完成度
提交至阿里云審核的申請應為該服務的最終版本,保證用戶在購買該服務時獲取到完整可用的服務。提交審核前,請確保已經對該服務部署過程進行了穩定性測試。我們將拒絕不完整的服務以及會出現明顯錯誤問題的服務。
準確的元數據
請確保您的服務信息能夠準確反映該服務的核心內容,以便客戶準確地了解他們購買時所獲得的服務。在您更新服務版本時,請同時更新服務信息以保持與服務版本相應的最新描述。請勿在服務中包含隱藏、休眠或未記錄的功能,計算巢服務包含的功能應清晰可見。
部署時間配置
在創建服務的過程中,您可以在部署時間配置處設置預計部署時間和部署超時時間。預計部署時間會顯示給用戶,告知其部署時間預期。部署超時時間設定了該服務部署時超過多長時間則為異常,用戶側部署時,如果部署時間超過了超時時間,則會顯示部署失敗。
服務穩定性
服務應保持穩定,包括升級的穩定性,即在服務升級過程中不會影響用戶的正常使用。
設計
請遵循計算巢服務的設計規范,從而保證服務的質量。
服務信息規范
服務信息需要提供中文和英文,且全面完整。
在服務簡介中,需要明確說明服務的限制,適用和不適用場景。
套餐使用規范
在創建服務的過程中,您可以通過套餐設置,簡化用戶輸入參數較多的使用流程。在模板中定義好用戶需要輸入的參數后,從這些輸入參數中選擇套餐需要包含的參數,并配置各套餐參數的默認值,即可完成套餐設定。
模板內容規范
錄入模板時,請參考錄入模板完成模板錄入。
模板參數的描述Description需要提供中文和英文。
法律
只要計算巢服務向某個地區的用戶提供,那么就必須遵守該地區的所有法律要求。請確保您遵守計算巢服務協議相關的條款。
數據收集和存儲規范
許可:服務商必須要經過用戶的同意,才能收集用戶的數據。付費功能不得依賴或要求用戶授予訪問這些數據的權限。服務商應實施適當的安全舉措,妥善處理收集到的用戶信息,防止對這些信息進行未經授權使用、披露或者被第三方訪問。
訪問權限:服務商需要按照與用戶達成的購買協議,遵循相應對于用戶數據的訪問權限。例如用戶的聯系方式、代運維需要獲取的用戶數據等。
數據使用和共享規范
除非法律另有許可,否則您不得未經用戶允許而使用、傳輸或共享用戶的個人數據。您必須提供相應的信息,說明以何種方式在哪里使用這些數據。如果服務在未經用戶同意或未能符合數據隱私保護法律的情況下共享用戶數據,則該服務可能會被下架,并且可能導致您從計算巢計劃中除名。
除非法律另有明確許可,否則未經用戶的額外同意,為一個用途而收集的數據不可用于其他用途。
知識產權規范
服務商擁有其品牌、標識、通過計算巢發布的服務、其他公示于計算巢的各類信息或制作其派生作品的相關知識產權,并同意授予計算巢運營方免費的許可使用權利,使計算巢運營方有權(全部或部分地)使用、復制、轉載、執行和展示服務商的品牌、標識、公示于計算巢的各類信息內容等。
服務商必須保證對其在計算巢中發布的服務,擁有合法的自有知識產權(包括著作權、專利權和商標權等),或已取得合法、充分的授權,承擔一切關于知識產權合法性的法律責任和風險。計算巢運營方有權隨時要求服務商提供相關知識產權證明材料以供查證。確保不會侵犯任何第三方享有的合法權利或權益。
提交之后
在計算巢控制臺中創建服務并提交審核之后,就會進入審核流程。請謹記以下幾點:
時間:阿里云會盡快檢查您的服務并在3個工作日內完成審核。如果該服務比較復雜或者存在新的問題,則可能需要更深入的審查和考量。
狀態更新:你提交審核的服務的當前狀態會反映在計算巢控制臺的審核申請中,請注意查看。
發布日期:在計算巢服務通過審核后,您需要自己點擊上線服務將該服務上線,并且需要自行創建云市場商品將其關聯。因此您可以自己控制發布日期。
拒絕:如果您的服務審核申請被拒絕,但您存在疑問,或希望提供其他信息,請聯系阿里云客戶經理或者阿里云售后直接溝通。