Zum Hauptinhalt springen

Aliyun Regeln

Gesamtanzahl der Regeln: 392

Regeln nach Schweregrad

Hoch Schweregrad (119 Regeln)

Regel-IDNameIaC-TypenBeschreibung
ack-cluster-node-multi-zoneACK-Cluster Multi-Zone-BereitstellungROS, TerraformDie ACK-Cluster-Knoten sollten für hohe Verfügbarkeit über 3 oder mehr Verfügbarkeitszonen verteilt werden.
ack-cluster-node-pool-autoscaling-enabledFür ALIYUN::CS::ClusterApplication muss WorkerVSwitchIds konfiguriert seinROSPrüft, ob WorkerVSwitchIds für ALIYUN::CS::ClusterApplication konfiguriert ist
ack-cluster-public-endpoint-checkACK-Cluster öffentlicher Endpunkt-PrüfungROS, TerraformACK-Cluster sollten keinen öffentlichen Endpunkt gesetzt haben, oder der zugehörige SLB-Listener sollte ACL aktiviert haben.
acs-cluster-node-multi-zoneACS-Cluster-Knoten Multi-Zone-BereitstellungROS, TerraformDie ACS-Cluster-Knoten sollten für hohe Verfügbarkeit über 3 oder mehr Verfügbarkeitszonen verteilt werden.
actiontrail-enabledActionTrail aktiviertROS, TerraformStellt sicher, dass ActionTrail aktiviert ist, um Kontenaktivitäten aufzuzeichnen.
actiontrail-trail-intact-enabledActionTrail Trail vollständig aktiviertROS, TerraformActionTrail Trail sollte aktiviert sein und alle Ereignistypen (Lesen und Schreiben) verfolgen.
alb-acl-public-access-checkALB ACL erlaubt keinen öffentlichen ZugriffROS, TerraformStellt sicher, dass ALB-Zugriffssteuerungslisten 0.0.0.0/0 (Erlaubnis aller IPs) nicht enthalten.
alb-all-listener-health-check-enabledALB Alle Listener Health Check aktiviertROS, TerraformStellt sicher, dass alle ALB-Listener Health Checks aktiviert haben.
alb-delete-protection-enabledALB-Instanz Löschschutz aktiviertROS, TerraformStellt sicher, dass ALB-Instanzen Löschschutz aktiviert haben.
alb-instance-multi-zoneALB-Instanz Multi-Zone-BereitstellungROS, TerraformALB-Instanzen sollten für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen bereitgestellt werden. Wenn nur eine Zone ausgewählt wird, wirkt sich ein Zonenausfall auf die ALB-Instanz und die Geschäftsstabilität aus.
alb-instance-waf-enabledALB-Instanz hat WAF-SchutzROS, TerraformStellt sicher, dass ALB-Instanzen WAF3 (Web Application Firewall) Schutz aktiviert haben.
alb-server-group-multi-serverALB-Servergruppe hat mehrere ServerROS, TerraformStellt sicher, dass ALB-Servergruppen mindestens zwei Backend-Server für Hochverfügbarkeit enthalten.
alidns-route-53-mx-checkDNS MX-Eintrag hat gültiges SPF in zugehörigem TXT-EintragROS, TerraformStellt sicher, dass MX-Einträge zugehörige TXT-Einträge mit gültigen SPF-Werten für die E-Mail-Validierung haben.
api-gateway-group-force-httpsAPI-Gateway-Gruppe HTTPS erzwingenROS, TerraformStellt sicher, dass API-Gateway-Gruppen mit öffentlichen benutzerdefinierten Domains HTTPS-Force-Redirect aktiviert haben.
bastionhost-instance-expired-checkBastionHost-Instanz AblaufprüfungROS, TerraformVorausbezahlte BastionHost-Instanzen sollten automatische Verlängerung aktiviert haben.
cdn-domain-multiple-origin-serversCDN-Domäne Mehrere UrsprungsserverROS, TerraformCDN-Domänen sollten mit mehreren Ursprungsservern für Hochverfügbarkeit und Fehlertoleranz konfiguriert werden.
cr-instance-any-ip-access-checkCR-Instanz Kein Beliebiger IP-ZugriffROS, TerraformStellt sicher, dass Container Registry-Instanzen keine beliebige IP (0.0.0.0/0) in ihrer Whitelist haben.
cr-repository-image-scanning-enabledCR-Instanz Bild-Scanning aktiviertROS, TerraformStellt sicher, dass Container Registry-Instanzen Bild-Scanning für die Erkennung von Sicherheitslücken aktiviert haben.
cr-repository-type-privateCR-Repository-Typ privatROS, TerraformStellt sicher, dass CR-Repositories auf PRIVATE gesetzt sind.
dcdn-domain-multiple-origin-serversDCDN-Domäne Mehrere UrsprungsserverROS, TerraformDCDN-Domänen sollten mit mehreren Ursprungsservern für hohe Verfügbarkeit und Fehlertoleranz konfiguriert werden.
eci-containergroup-environment-no-specified-keysECI-Containergruppe enthält keine sensiblen UmgebungsvariablenROS, TerraformStellt sicher, dass ECI-Containergruppen keine sensiblen Umgebungsvariablen wie Passwörter oder Zugriffsschlüssel haben.
ecs-available-disk-encryptedECS-Festplattenverschlüsselung aktiviertROS, TerraformStellt sicher, dass alle ECS-Festplatten verschlüsselt sind.
ecs-instance-attached-security-groupECS-Instanz Sicherheitsgruppe angehängtROS, TerraformWenn die ECS-Instanz in der angegebenen Sicherheitsgruppe enthalten ist, wird die Konfiguration als konform betrachtet.
ecs-instance-deletion-protection-enabledECS-Instanz Löschschutz aktiviertROS, TerraformStellt sicher, dass ECS-Instanzen Löschschutz aktiviert haben.
ecs-instance-enabled-security-protectionECS-Instanz Sicherheitsschutz aktiviertROS, TerraformStellt sicher, dass ECS-Instanzen Sicherheitsverbesserungsstrategie aktiviert haben.
ecs-instance-expired-checkECS-Vorauszahlungs-Instanz AblaufprüfungROS, TerraformVorauszahlungs-Instanzen sollten automatische Verlängerung aktiviert haben, um Dienstunterbrechungen aufgrund von Ablauf zu vermeiden.
ecs-instance-no-public-ipECS-Instanz sollte keine öffentliche IP bindenROS, TerraformECS-Instanzen sollten keine IPv4-öffentliche IP oder Elastic IP direkt binden, was als konform gilt.
ecs-launch-template-version-attach-security-groupECS-Startvorlagenversion fügt Sicherheitsgruppen hinzuROS, TerraformECS-Startvorlagenversionen haben Sicherheitsgruppen für Instanzen konfiguriert, was als konform gilt.
ecs-running-instance-no-public-ipECS-Instanz Keine öffentliche IPROS, TerraformECS-Instanzen sollten keine öffentliche IP-Adresse haben, um die direkte Internetexposition zu reduzieren.
ecs-security-group-egress-not-all-accessSicherheitsgruppe Egress nicht auf Vollzugriff gesetztROS, TerraformDie Egress-Richtung der Sicherheitsgruppe sollte nicht so eingestellt werden, dass sie allen Zugriff erlaubt (alle Protokolle, alle Ports, alle Ziele).
ecs-security-group-not-internet-cidr-accessSicherheitsgruppe Ingress-Quell-IP enthält keine öffentliche IPROS, TerraformSicherheitsgruppen-Ingress-Regeln mit Accept-Richtlinie sollten keine Quell-IP enthalten, die öffentliche Internet-IPs enthält.
ecs-security-group-not-open-all-portSicherheitsgruppe Ingress öffnet nicht alle PortsROS, TerraformSicherheitsgruppen-Ingress-Regeln sollten nicht alle Ports erlauben. Wenn der Portbereich nicht auf -1/-1 gesetzt ist, wird dies als konform betrachtet.
ecs-security-group-not-open-all-protocolSicherheitsgruppe Ingress öffnet nicht alle ProtokolleROS, TerraformSicherheitsgruppen-Ingress-Regeln sollten nicht alle Protokolle erlauben. Wenn der Protokolltyp nicht auf ALL gesetzt ist, wird dies als konform betrachtet.
ecs-security-group-risky-ports-check-with-protocolSicherheitsgruppe riskante Ports-Prüfung mit ProtokollROS, TerraformWenn die Sicherheitsgruppen-Eingangsquelle auf 0.0.0.0/0 gesetzt ist, sollte der Portbereich keine riskanten Ports (22, 3389) für angegebene Protokolle (TCP/UDP) enthalten, um das Risiko von Brute-Force-Angriffen zu reduzieren.
ecs-security-group-white-list-port-checkSicherheitsgruppe Nicht-Whitelist-Port-Ingress-PrüfungROS, TerraformAußer Whitelist-Ports (80) sollten andere Ports keine Ingress-Regeln haben, die Zugriff von 0.0.0.0/0 erlauben.
elasticsearch-instance-enabled-kibana-public-checkElasticsearch-Instanz Kibana aktiviert keinen öffentlichen ZugriffROS, TerraformStellt sicher, dass Elasticsearch-Instanz Kibana nicht von öffentlichen Netzwerken aus zugänglich ist.
elasticsearch-instance-enabled-public-checkElasticsearch-Instanz aktiviert keinen öffentlichen ZugriffROS, TerraformStellt sicher, dass Elasticsearch-Instanzen nicht von öffentlichen Netzwerken aus zugänglich sind.
elasticsearch-instance-node-not-use-specified-specElasticsearch-Instanz verwendet keine veraltete SpezifikationROS, TerraformStellt sicher, dass Elasticsearch-Instanzen keine veralteten oder nicht unterstützten Knotenspezifikationen verwenden.
elasticsearch-instance-version-not-deprecatedElasticsearch-Instanz verwendet keine veraltete VersionROS, TerraformStellt sicher, dass Elasticsearch-Instanzen keine veralteten oder EOL-Versionen verwenden.
elasticsearch-public-and-any-ip-access-checkElasticsearch Öffentlicher und Beliebiger IP-Zugriff PrüfungROS, TerraformStellt sicher, dass Elasticsearch-Instanzen keinen öffentlichen Zugriff aktiviert haben oder eine offene Whitelist haben.
ess-scaling-configuration-data-disk-encryptedESS-Skalierungskonfiguration DatenfestplattenverschlüsselungROS, TerraformESS-Skalierungskonfigurationen sollten Datenfestplattenverschlüsselung aktivieren, um ruhende Daten zu schützen.
ess-scaling-configuration-sg-public-accessESS-Skalierungskonfiguration Sicherheitsgruppe Öffentlicher ZugriffROS, TerraformESS-Skalierungskonfigurations-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zulassen, um unbefugten Zugriff zu verhindern.
ess-scaling-configuration-system-disk-encryptedESS-Skalierungskonfiguration System-Disk-VerschlüsselungROS, TerraformESS-Skalierungskonfigurationen sollten System-Disk-Verschlüsselung aktivieren, um Systemdaten im Ruhezustand zu schützen.
ess-scaling-group-multi-vswitch-distributionESS-Skalierungsgruppe Multi-VSwitchROSESS-Skalierungsgruppen sollten mindestens zwei VSwitches zuordnen, damit Instanzen über Zonen verteilt werden können.
fc-function-runtime-checkFC-FunktionslaufzeitprüfungROS, TerraformFC-Funktionen sollten keine veralteten Laufzeiten verwenden, die Sicherheitslücken haben können.
fc-trigger-http-not-anonymousFC HTTP-Trigger AuthentifizierungsprüfungROS, TerraformFC HTTP-Trigger sollten Authentifizierung erfordern, um unbefugten Zugriff zu verhindern.
gpdb-instance-disk-encryption-enabledGPDB-Disk-Verschlüsselung aktiviertROS, TerraformStellt sicher, dass GPDB-Instanzen Disk-Verschlüsselung aktiviert haben.
hbase-cluster-expired-checkHBase Vorausbezahlte Instanz AblaufprufungROS, TerraformVorausbezahlte HBase-Instanzen sollten automatische Verlangerung aktiviert haben.
hbase-cluster-ha-checkHBase-Cluster Hochverfugbarkeit PrufungROS, TerraformHBase-Cluster sollte fur Hochverfugbarkeit mindestens 2 Kerninstanzen haben.
kafka-instance-disk-encryptedKafka-Instanz Festplattenverschlüsselung aktiviertROS, TerraformKafka-Instanzen sollten die Festplattenverschlüsselung mit KMS aktiviert haben, um ruhende Daten zu schützen.
kafka-instance-public-access-checkKafka-Instanz Öffentlicher Zugriff PrüfungROS, TerraformKafka-Instanzen sollten nicht mit öffentlichem Zugriff (deploy_type 5) bereitgestellt werden. Verwenden Sie VPC-only-Bereitstellung (deploy_type 4), um den Zugriff auf interne Netzwerke zu beschränken.
maxcompute-project-encryption-enabledMaxCompute-Projekt Verschlüsselung aktiviertROS, TerraformStellt sicher, dass MaxCompute-Projekte Verschlüsselung aktiviert haben, um gespeicherte Daten zu schützen.
maxcompute-project-ip-whitelist-enabledMaxCompute-Projekt IP-Whitelist aktiviertROS, TerraformStellt sicher, dass MaxCompute-Projekte eine IP-Whitelist konfiguriert haben, um den Zugriff einzuschränken.
mongodb-cluster-expired-checkMongoDB-Instanz-AblaufprüfungROS, TerraformVorausbezahlte MongoDB-Instanzen sollten automatische Verlängerung aktiviert haben.
mongodb-instance-class-not-sharedMongoDB-Instanz verwendet dedizierte KlasseROS, TerraformStellt sicher, dass MongoDB-Instanzen dedizierte oder exklusive Instanzklassen verwenden, keine gemeinsam genutzten Instanzen.
mongodb-min-maxconnections-limitMongoDB erfüllt MindestverbindungsanforderungenROS, TerraformStellt sicher, dass MongoDB-Instanzen mindestens die erforderliche Mindestanzahl von Verbindungen bereitstellen.
mongodb-min-maxiops-limitMongoDB erfüllt Mindest-IOPS-AnforderungenROS, TerraformStellt sicher, dass MongoDB-Instanzen mindestens die erforderliche Mindest-IOPS bereitstellen.
mongodb-public-access-checkMongoDB-Whitelist Internet-EinschränkungROS, TerraformStellt sicher, dass MongoDB-Sicherheits-IP-Whitelists 0.0.0.0/0 nicht enthalten.
mongodb-public-and-any-ip-access-checkMongoDB öffentlicher und beliebiger IP-Zugriff-PrüfungROS, TerraformStellt sicher, dass MongoDB-Instanzen keine offene Whitelist (0.0.0.0/0) haben.
mse-cluster-architecture-checkMSE-Cluster hat mehrere KnotenROS, TerraformStellt sicher, dass MSE (Microservice Engine)-Cluster mehr als 3 Knoten für hohe Verfügbarkeit haben.
mse-cluster-internet-checkMSE-Cluster hat keinen öffentlichen InternetzugriffROS, TerraformStellt sicher, dass MSE-Cluster keinen öffentlichen Internetzugriff aktiviert haben.
mse-gateway-architecture-checkMSE-Gateway hat mehrere KnotenROS, TerraformStellt sicher, dass MSE (Microservice Engine)-Gateways mehr als 1 Knoten für hohe Verfügbarkeit haben.
nas-access-group-public-access-checkNAS-Zugriffsgruppe IP-BeschränkungROS, TerraformStellt sicher, dass NAS-Zugriffsregeln keinen uneingeschränkten Zugriff von allen IP-Adressen (0.0.0.0/0) erlauben.
nat-gateway-vpc-requiredFür ALIYUN::VPC::NatGateway muss VpcId konfiguriert seinROSPrüft, ob VpcId für ALIYUN::VPC::NatGateway konfiguriert ist
nat-risk-ports-checkNAT-Gateway-Risikoport-PrüfungROS, TerraformNAT-Gateway-DNAT-Mappings sollten keine riskanten Ports dem Internet aussetzen, um Sicherheitslücken zu verhindern.
oss-bucket-anonymous-prohibitedOSS-Bucket anonyme Zugriffe verbotenROS, TerraformStellt sicher, dass anonyme Zugriffe für den OSS-Bucket verboten sind.
oss-bucket-only-https-enabledOSS-Bucket nur HTTPS aktiviertROS, TerraformOSS-Bucket sollte eine Richtlinie haben, die Nicht-HTTPS-Anfragen ablehnt, um die Datentransportsicherheit zu gewährleisten.
oss-bucket-policy-no-any-anonymousOSS-Bucket-Richtlinie gewährt anonymen Benutzern keine BerechtigungenROS, TerraformOSS-Bucket-Richtlinie gewährt anonymen Benutzern keine Lese- oder Schreibberechtigungen.
oss-bucket-policy-outside-organization-checkOSS-Bucket-Richtlinie kein Zugriff außerhalb der OrganisationROS, TerraformStellt sicher, dass OSS-Bucket-Richtlinien keinen Zugriff auf Prinzipalen außerhalb der Organisation gewähren.
oss-bucket-public-read-prohibitedOSS-Bucket öffentliches Lesen verbotenROS, TerraformOSS-Buckets sollten keinen öffentlichen Lesezugriff zulassen, es sei denn, dies ist ausdrücklich erforderlich. Öffentlicher Lesezugriff ermöglicht es jedem, auf Objekte im Bucket zuzugreifen und sie herunterzuladen.
oss-bucket-public-write-prohibitedOSS-Bucket öffentliches Schreiben verbotenROS, TerraformOSS-Buckets sollten keinen öffentlichen Schreibzugriff zulassen. Öffentlicher Schreibzugriff ermöglicht es jedem, Objekte im Bucket hochzuladen, zu ändern oder zu löschen, was erhebliche Sicherheitsrisiken birgt.
oss-bucket-server-side-encryption-enabledOSS-Bucket-Serverseitige-Verschlüsselung aktiviertROS, TerraformOSS-Buckets sollten serverseitige Verschlüsselung aktiviert haben, um ruhende Daten zu schützen. Die serverseitige Verschlüsselung verwendet KMS oder AES256, um in OSS gespeicherte Daten zu verschlüsseln.
parameter-sensitive-noecho-checkSensible Parameter müssen NoEcho habenROSVorlagenparameter, die sensible Informationen (Passwörter, API-Schlüssel, Geheimnisse) enthalten, müssen geschützt werden, indem NoEcho auf true gesetzt oder gültige AssociationProperty-Werte verwendet werden, um zu verhindern, dass sie im Klartext angezeigt werden.
polardb-cluster-enabled-tdePolarDB-Cluster TDE aktiviertROS, TerraformStellt sicher, dass PolarDB-Cluster Transparent Data Encryption (TDE) aktiviert haben.
polardb-cluster-expired-checkPolarDB-Cluster AblaufprüfungROS, TerraformVorausbezahlte PolarDB-Cluster sollten automatische Verlängerung aktiviert haben.
polardb-public-access-checkPolarDB Öffentlicher ZugriffsprüfungROS, TerraformStellt sicher, dass PolarDB security_ips nicht auf 0.0.0.0/0 gesetzt ist.
polardb-public-and-any-ip-access-checkPolarDB öffentlicher und beliebiger IP-Zugriff-PrüfungROS, TerraformStellt sicher, dass PolarDB-Cluster security_ips nicht für beliebige IP-Adressen (0.0.0.0/0 oder 0.0.0.0) geöffnet sind.
ram-policy-no-statements-with-admin-access-checkRAM-Richtlinie kein Admin-ZugriffROS, TerraformStellt sicher, dass benutzerdefinierte RAM-Richtlinien keinen vollständigen AdministratorAccess gewähren.
ram-user-mfa-checkRAM-Benutzer MFA aktiviertROS, TerraformRAM-Benutzer mit Konsolenzugriff sollten Multi-Faktor-Authentifizierung (MFA) aktiviert haben.
ram-user-specified-permission-boundRAM-Benutzer Angegebene BerechtigungsgrenzeROS, TerraformStellt sicher, dass RAM-Benutzer keine angegebenen Hochrisiko-Berechtigungen gebunden haben.
rds-instance-enabled-disk-encryptionRDS-Instanz-Disk-Verschlüsselung aktiviertROS, TerraformStellt sicher, dass RDS-Instanzen Disk-Verschlüsselung aktiviert haben.
rds-instance-expired-checkRDS Vorausbezahlte Instanz AblaufprüfungROS, TerraformVorausbezahlte RDS-Instanzen sollten automatische Verlängerung aktiviert haben.
rds-instance-secondary-zone-requiredSekundäre Zone für RDS-Instanz erforderlichROSRDS-Hochverfügbarkeitsbereitstellungen sollten die sekundäre Instanz in einer anderen Zone platzieren.
rds-public-access-checkRDS-Instanz öffentlicher Zugriff PrüfungROS, TerraformRDS-Instanzen sollten nicht mit öffentlichen Netzwerkadressen konfiguriert werden. Öffentlicher Zugriff setzt Datenbanken potenziellen Sicherheitsbedrohungen aus dem Internet aus.
rds-public-connection-and-any-ip-access-checkRDS öffentliche Verbindung und beliebige IP-Zugriff-PrüfungROS, TerraformStellt sicher, dass RDS-Instanzen keine völlig uneingeschränkte Sicherheits-IP-Whitelist haben.
rds-white-list-internet-ip-access-checkRDS-Whitelist Internet-EinschränkungROS, TerraformStellt sicher, dass RDS-Sicherheits-IP-Whitelists 0.0.0.0/0 oder 0.0.0.0 nicht enthalten.
redis-instance-expired-checkRedis Vorausbezahlte Instanz AblaufprüfungROS, TerraformVorausbezahlte Redis-Instanzen sollten automatische Verlängerung aktiviert haben.
redis-instance-no-public-ipRedis-Instanz ohne öffentliche IPROS, TerraformStellt sicher, dass der Redis-Instanz keine öffentliche IP zugewiesen ist.
redis-instance-open-auth-modeRedis-Authentifizierungsmodus aktiviertROS, TerraformStellt sicher, dass Redis-Instanzen Authentifizierung erfordern und sich nicht im 'kein Passwort'-Modus befinden.
redis-public-and-any-ip-access-checkRedis öffentlicher und beliebiger IP-Zugriff-PrüfungROS, TerraformStellt sicher, dass Redis-Instanzen keine offene Whitelist haben, die Zugriff von jeder IP erlaubt.
root-ak-checkRoot-Benutzer AccessKey-PrüfungROSStellt sicher, dass das Root-Konto keine aktiven AccessKeys hat.
root-mfa-checkRoot-Benutzer MFA-PrüfungROSStellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für das Root-Konto aktiviert ist.
security-api-gateway-api-auth-requiredAPI Gateway API muss Authentifizierung konfigurierenROSPrüft, ob API Gateway API muss Authentifizierung konfigurieren.
security-ecs-disk-encryptedECS-Datenträger muss Verschlüsselung aktivierenROSPrüft, ob ECS-Datenträger muss Verschlüsselung aktivieren.
security-ecs-instance-no-public-ipECS-Instanz darf keine öffentliche IP zuweisenROSPrüft, ob ECS-Instanz darf keine öffentliche IP zuweisen.
security-ecs-instance-security-group-requiredECS-Instanz muss eine Sicherheitsgruppe konfigurierenROSPrüft, ob ECS-Instanz muss eine Sicherheitsgruppe konfigurieren.
security-ecs-instance-vpc-requiredECS-Instanz muss eine VPC konfigurierenROSPrüft, ob ECS-Instanz muss eine VPC konfigurieren.
security-group-vpc-requiredFür ALIYUN::ECS::SecurityGroup muss VpcId konfiguriert seinROSPrüft, ob VpcId für ALIYUN::ECS::SecurityGroup konfiguriert ist
security-oss-bucket-encryption-configuredOSS-Bucket muss Verschlüsselung konfigurierenROSPrüft, ob OSS-Bucket muss Verschlüsselung konfigurieren.
security-oss-bucket-private-aclOSS-Bucket-ACL muss privat seinROSPrüft, ob OSS-Bucket-ACL muss privat sein.
security-ram-user-mfa-requiredRAM-Benutzer muss MFA erfordernROSPrüft, ob RAM-Benutzer muss MFA erfordern.
security-rds-instance-ssl-requiredRDS-Instanz muss SSL konfigurierenROSPrüft, ob RDS-Instanz muss SSL konfigurieren.
security-rds-instance-tde-enabledRDS-Instanz muss TDE aktivierenROSPrüft, ob RDS-Instanz muss TDE aktivieren.
security-rds-instance-vpc-requiredRDS-Instanz muss eine VPC konfigurierenROSPrüft, ob RDS-Instanz muss eine VPC konfigurieren.
security-redis-instance-vpc-requiredRedis-Instanz muss eine VPC konfigurierenROSPrüft, ob Redis-Instanz muss eine VPC konfigurieren.
sg-public-access-checkSicherheitsgruppe Ingress gültigROS, TerraformSicherheitsgruppen-Ingress-Regeln sollten nicht gleichzeitig alle Ports (-1/-1) von allen Quellen (0.0.0.0/0) erlauben.
sg-risky-ports-checkSicherheitsgruppe öffnet keine riskanten Ports für 0.0.0.0/0ROS, TerraformWenn die Quelle der Sicherheitsgruppen-Eingangsregel auf 0.0.0.0/0 gesetzt ist, sollte der Portbereich keine angegebenen riskanten Ports enthalten, was als konform gilt. Wenn die Quelle nicht 0.0.0.0/0 ist, ist es konform, auch wenn riskante Ports enthalten sind.
slb-acl-public-access-checkSLB ACL öffentlicher Zugriff-PrüfungROS, TerraformStellt sicher, dass SLB ACLs 0.0.0.0/0 nicht enthalten, um uneingeschränkten öffentlichen Zugriff zu verhindern.
slb-all-listener-health-check-enabledSLB Alle Listener Gesundheitsprüfung aktiviertROS, TerraformStellt sicher, dass alle SLB-Listener Gesundheitsprüfungen aktiviert haben.
slb-all-listener-servers-multi-zoneSLB Multi-Zone mit Multi-Zone-Backend-ServernROS, TerraformSLB-Instanzen sollten Multi-Zone sein, und alle von Listenern verwendeten Servergruppen sollten Ressourcen aus mehreren Zonen hinzugefügt haben.
slb-delete-protection-enabledSLB-Instanz-Löschschutz aktiviertROS, TerraformStellt sicher, dass SLB-Instanzen den Löschschutz aktiviert haben.
slb-listener-risk-ports-checkSLB Listener Risiko-Ports-PrüfungROS, TerraformStellt sicher, dass SLB-Listener keine Hochrisiko-Ports wie 22 oder 3389 freigeben.
transit-router-vpc-attachment-multi-zoneTransit Router VPC-Anhang Multi-Zonen-KonfigurationROS, TerraformTransit Router VPC-Anhänge sollten mit vSwitches in mindestens zwei verschiedenen Verfügbarkeitszonen für regionsübergreifende Hochverfügbarkeit konfiguriert werden.
tsdb-instance-security-ip-checkTSDB-Instanz erlaubt keinen IP-ZugriffROS, TerraformStellt sicher, dass TSDB-Instanzen keine Sicherheits-Whitelists haben, die alle IPs erlauben.
use-waf-instance-for-security-protectionVerwenden Sie WAF für SicherheitsschutzROS, TerraformWeb Application Firewall (WAF) sollte verwendet werden, um Websites und Apps vor webbasierten Angriffen zu schützen.
vpc-cidr-requiredFür ALIYUN::ECS::VPC muss CidrBlock konfiguriert seinROSPrüft, ob CidrBlock für ALIYUN::ECS::VPC konfiguriert ist
vpc-network-acl-risky-ports-checkVPC-Netzwerk-ACL Risikoport-PrüfungROS, TerraformStellt sicher, dass VPC-Netzwerk-ACLs keinen uneingeschränkten Zugriff auf riskante Ports (22, 3389) erlauben.
vpn-gateway-vpc-requiredFür ALIYUN::VPC::VpnGateway muss VpcId konfiguriert seinROSPrüft, ob VpcId für ALIYUN::VPC::VpnGateway konfiguriert ist
vswitch-cidr-requiredFür ALIYUN::ECS::VSwitch muss CidrBlock konfiguriert seinROSPrüft, ob CidrBlock für ALIYUN::ECS::VSwitch konfiguriert ist

Mittel Schweregrad (232 Regeln)

Regel-IDNameIaC-TypenBeschreibung
ack-cluster-encryption-enabledACK-Cluster Secret-Verschlüsselung aktiviertROS, TerraformACK Pro-Cluster sollten Secret-Verschlüsselung im Ruhezustand mit KMS aktiviert haben.
ack-cluster-inspect-kubelet-version-outdate-checkACK Kubelet VersionsprüfungROS, TerraformStellt sicher, dass die Kubelet-Version im ACK-Cluster auf dem neuesten Stand ist.
ack-cluster-log-plugin-installedACK-Cluster Log-Plugin installiertROS, TerraformStellt sicher, dass das log-service-Addon im ACK-Cluster installiert ist.
ack-cluster-node-pool-scaling-limits-requiredFür ALIYUN::ESS::ScalingGroup muss MinSize konfiguriert seinROSPrüft, ob MinSize für ALIYUN::ESS::ScalingGroup konfiguriert ist
ack-cluster-rrsa-enabledACK-Cluster RRSA aktiviertROS, TerraformStellt sicher, dass die RAM Roles for Service Accounts (RRSA)-Funktion für den ACK-Cluster aktiviert ist.
ack-cluster-supported-versionACK-Cluster Unterstützte VersionROS, TerraformStellt sicher, dass der ACK-Cluster eine unterstützte Version ausführt.
ack-cluster-upgrade-latest-versionACK-Cluster auf neueste Version aktualisiertROS, TerraformStellt sicher, dass der ACK-Cluster die neueste verfügbare Version ausführt.
actiontrail-trail-name-requiredFür ALIYUN::ACTIONTRAIL::Trail muss TrailName konfiguriert seinROSPrüft, ob TrailName für ALIYUN::ACTIONTRAIL::Trail konfiguriert ist
adb-cluster-multi-zoneADB-Cluster Multi-Zonen-BereitstellungROS, TerraformDer ADB-Cluster sollte im Multi-Zonen-Modus bereitgestellt werden.
alb-address-type-intranetFür ALIYUN::ALB::LoadBalancer muss AddressType konfiguriert seinROSPrüft, ob AddressType für ALIYUN::ALB::LoadBalancer konfiguriert ist
alb-all-listenter-has-serverALB-Listener hat Backend-ServerROS, TerraformStellt sicher, dass alle ALB-Listener einer nicht leeren Servergruppe zugeordnet sind.
alb-instance-bind-security-group-or-enabled-aclALB-Instanz Sicherheitsgruppe binden oder ACL aktivierenROS, TerraformALB-Instanz sollte Sicherheitsgruppen zugeordnet haben oder ACL für alle laufenden Listener konfiguriert haben.
alb-loadbalancer-name-requiredFür ALIYUN::ALB::LoadBalancer muss LoadBalancerName konfiguriert seinROSPrüft, ob LoadBalancerName für ALIYUN::ALB::LoadBalancer konfiguriert ist
alb-server-group-multi-zoneALB-Servergruppe Multi-Zone-VerteilungROS, TerraformALB-Servergruppen sollten Backend-Server über mehrere Verfügbarkeitszonen verteilt haben, um Hochverfügbarkeit zu gewährleisten. Diese Regel gilt nicht für Servergruppen ohne angehängte Server oder für IP/Function Compute-Typ-Servergruppen.
alidns-domain-regex-matchAlibaba Cloud DNS-Domänennamen entsprechen NamenskonventionROS, TerraformStellt sicher, dass Alibaba Cloud DNS-Domänennamen dem angegebenen Namenskonventions-Regex entsprechen.
api-gateway-api-auth-jwtAPI Gateway API-Authentifizierung JWTROS, TerraformStellt sicher, dass API Gateway APIs JWT-Authentifizierung verwenden.
api-gateway-api-auth-requiredAPI Gateway API-Authentifizierung erforderlichROS, TerraformStellt sicher, dass API Gateway APIs Authentifizierung konfiguriert haben.
api-gateway-api-internet-request-httpsAPI Gateway Internet-Anfrage HTTPS aktiviertROS, TerraformStellt sicher, dass API Gateway APIs, die dem Internet ausgesetzt sind, das HTTPS-Protokoll verwenden.
api-gateway-api-visibility-privateAPI-Gateway-API-Sichtbarkeit privatROS, TerraformStellt sicher, dass API-Gateway-APIs auf PRIVATE-Sichtbarkeit gesetzt sind.
api-gateway-group-bind-domainAPI-Gateway-Gruppe Domain bindenROS, TerraformStellt sicher, dass API-Gateway-Gruppen benutzerdefinierte Domains gebunden haben.
api-gateway-group-enabled-sslAPI-Gateway-Gruppe SSL aktiviertROS, TerraformStellt sicher, dass SSL für API-Gateway-Gruppen aktiviert ist.
api-gateway-group-https-policy-checkAPI Gateway Gruppe HTTPS-RichtlinienprüfungROS, TerraformStellt sicher, dass API Gateway-Gruppen die HTTPS-Sicherheitsrichtlinie korrekt gesetzt haben.
api-gateway-group-log-enabledAPI Gateway Gruppe Log aktiviertROS, TerraformStellt sicher, dass API Gateway-Gruppen Protokollierung konfiguriert haben.
apigateway-instance-multi-zoneAPI Gateway-Instanz Multi-Zonen-BereitstellungROS, TerraformAPI Gateway-Instanzen sollten in Multi-Zonen-Konfiguration für Hochverfügbarkeit bereitgestellt werden.
bastionhost-instance-spec-checkBastionHost-Instanz Multi-Zone-SpezifikationsprüfungROS, TerraformDie BastionHost-Instanz sollte die Enterprise-Version verwenden, die Multi-Zone-Bereitstellung unterstützt.
cen-cross-region-bandwidth-checkCEN Cross-Region BandbreitenprüfungROS, TerraformCEN-Instanz Cross-Region-Verbindungen sollten ausreichende Bandbreitenzuweisung haben, um Leistungsanforderungen zu erfüllen.
cen-instance-name-requiredFür ALIYUN::CEN::CenInstance muss Name konfiguriert seinROSPrüft, ob Name für ALIYUN::CEN::CenInstance konfiguriert ist
clickhouse-dbcluster-multi-zoneClickHouse DBCluster Multi-Zone-BereitstellungROS, TerraformClickHouse-Cluster sollten die HighAvailability (Double-Replica) Edition für Multi-Zone-Bereitstellung verwenden. Hinweis: Dies gilt nur für die Community-Edition.
cms-alarm-name-requiredFür ALIYUN::CMS::Alarm muss Name konfiguriert seinROSPrüft, ob Name für ALIYUN::CMS::Alarm konfiguriert ist
cr-instance-multi-zoneCR-Instanz mit zonenredundantem OSS-BucketROS, TerraformContainer Registry-Instanzen sollten mit zonenredundanten OSS-Buckets für Hochverfügbarkeit verknüpft werden.
ecs-disk-all-encrypted-by-kmsECS-Festplatte mit KMS-Verschlüsselung aktiviertROS, TerraformECS-Festplatten (einschließlich Systemfestplatte und Datenträger) sind mit KMS verschlüsselt, was als konform gilt.
ecs-disk-category-requiredFür ALIYUN::ECS::Disk muss DiskCategory konfiguriert seinROSPrüft, ob DiskCategory für ALIYUN::ECS::Disk konfiguriert ist
ecs-disk-encryptedECS-Datendisk-Verschlüsselung aktiviertROS, TerraformECS-Datendisk hat Verschlüsselung aktiviert, wird als konform betrachtet.
ecs-disk-in-useECS-Festplatte ist in VerwendungROS, TerraformECS-Festplatten sind an eine Instanz angehängt oder im Gebrauchszustand, was als konform gilt. Verfügbare oder nicht angehängte Festplatten können inaktive Ressourcen sein.
ecs-disk-retain-auto-snapshotAutomatische Momentaufnahme beibehalten, wenn ECS-Festplatte freigegeben wirdROS, TerraformKonfigurieren Sie ECS-Festplatten so, dass automatische Momentaufnahmen beim Freigeben beibehalten werden, was als konform gilt. Dies hilft, Daten vor versehentlichem Löschen zu schützen.
ecs-disk-size-requiredFür ALIYUN::ECS::Disk muss Size konfiguriert seinROSPrüft, ob Size für ALIYUN::ECS::Disk konfiguriert ist
ecs-in-use-disk-encryptedECS-Disk-Verschlüsselung in VerwendungROS, TerraformECS-Datendisks sollten Verschlüsselung aktiviert haben, um ruhende Daten zu schützen. Verschlüsselte Disks verwenden KMS-Schlüssel zur Datenverschlüsselung und gewährleisten Datensicherheit und Compliance mit regulatorischen Anforderungen.
ecs-instance-auto-renewal-enabledECS-Abonnement-Instanz hat automatische Verlängerung aktiviertROS, TerraformECS-Abonnement-Instanzen (vorausbezahlt) haben automatische Verlängerung aktiviert, werden als konform betrachtet. Pay-as-you-go-Instanzen sind nicht anwendbar.
ecs-instance-bandwidth-configuredFür ALIYUN::ECS::Instance muss InternetMaxBandwidthOut konfiguriert seinROSPrüft, ob InternetMaxBandwidthOut für ALIYUN::ECS::Instance konfiguriert ist
ecs-instance-charge-type-requiredFür ALIYUN::ECS::Instance muss InstanceChargeType konfiguriert seinROSPrüft, ob InstanceChargeType für ALIYUN::ECS::Instance konfiguriert ist
ecs-instance-group-max-amount-requiredMaximalanzahl für ECS-Instanzgruppe erforderlichROSECS-Instanzgruppen sollten MaxAmount deklarieren, damit die beabsichtigte Replikatobergrenze explizit ist.
ecs-instance-group-min-amount-requiredMindestanzahl für ECS-Instanzgruppe erforderlichROSECS-Instanzgruppen sollten MinAmount deklarieren, damit die Basis-Replikatanzahl explizit ist.
ecs-instance-image-expired-checkECS-Instanz Bild-AblaufprüfungROS, TerraformStellt sicher, dass das von der ECS-Instanz verwendete Bild nicht abgelaufen ist.
ecs-instance-image-type-checkECS-Instanz Bildtyp-PrüfungROS, TerraformStellt sicher, dass ECS-Instanzen Bilder aus autorisierten Quellen verwenden.
ecs-instance-login-use-keypairECS-Instanz-Anmeldung mit SchlüsselpaarROS, TerraformStellt sicher, dass ECS-Instanzen Schlüsselpaare für die Anmeldung verwenden, anstatt Passwörter.
ecs-instance-meta-data-mode-checkECS-Instanz-Metadatenzugriff verwendet sicherheitsverbesserten Modus (IMDSv2)ROS, TerraformBeim Zugriff auf ECS-Instanz-Metadaten wird der sicherheitsverbesserte Modus (IMDSv2) erzwungen, wird als konform betrachtet. Mit ACK-Clustern verbundene Instanzen sind nicht anwendbar.
ecs-instance-name-requiredFür ECS-Instanzen muss ein Name konfiguriert seinROSPrüft, ob für ECS-Instanzen ein Name konfiguriert ist
ecs-instance-no-public-and-anyipECS-Instanz sollte kein öffentliches IP binden oder Zugriff von beliebigen IPs zulassenROS, TerraformECS-Instanzen sollten keine IPv4-öffentlichen IPs oder elastischen IPs direkt binden, und zugehörige Sicherheitsgruppen sollten 0.0.0.0/0 nicht freigeben. Konform, wenn keine öffentliche IP gebunden ist.
ecs-instance-not-bind-key-pairECS-Instanz nicht an Schlüsselpaar gebundenROS, TerraformStellt sicher, dass ECS-Instanzen Schlüsselpaare für die Authentifizierung verwenden, anstatt Passwörter.
ecs-instance-operational-deletion-protectionFür ALIYUN::ECS::Instance muss DeletionProtection konfiguriert seinROSPrüft, ob DeletionProtection für ALIYUN::ECS::Instance konfiguriert ist
ecs-instance-tags-requiredFür ALIYUN::ECS::Instance muss Tags konfiguriert seinROSPrüft, ob Tags für ALIYUN::ECS::Instance konfiguriert ist
ecs-instance-type-family-not-deprecatedECS-Instanztyp nicht veraltetROS, TerraformStellt sicher, dass ECS-Instanzen keine veralteten oder Legacy-Instanztypen verwenden.
ecs-instance-type-requiredFür ALIYUN::ECS::Instance muss InstanceType konfiguriert seinROSPrüft, ob InstanceType für ALIYUN::ECS::Instance konfiguriert ist
ecs-instances-in-vpcECS-Instanzen in VPCROS, TerraformECS-Instanzen sollten in VPC (Virtual Private Cloud) Netzwerken und nicht in klassischen Netzwerken bereitgestellt werden. VPC bietet bessere Netzwerkisolation, Sicherheit und Flexibilität.
ecs-internetmaxbandwidth-checkECS-Internet Max-BandbreitenprüfungROS, TerraformStellt sicher, dass die ausgehende Internet-Bandbreite von ECS die angegebenen Grenzwerte nicht überschreitet.
ecs-launch-template-network-type-checkECS-Startvorlage verwendet VPC-NetzwerktypROS, TerraformECS-Startvorlagenversionen haben den Netzwerktyp auf VPC gesetzt, was als konform gilt. Der klassische Netzwerktyp wird für Produktionsumgebungen nicht empfohlen.
ecs-launch-template-version-data-disk-encryptedECS-Startvorlagenversion aktiviert DatenfestplattenverschlüsselungROS, TerraformAlle in ECS-Startvorlagenversionen konfigurierten Datenfestplatten sind verschlüsselt und gelten als konform.
ecs-launch-template-version-image-type-checkStartvorlage BildtypprüfungROS, TerraformStellt sicher, dass ECS-Startvorlagen autorisierte Bildtypen verwenden.
ecs-running-instances-in-vpcLaufende ECS-Instanzen sind in VPCROS, TerraformLaufende ECS-Instanzen sind in Virtual Private Cloud (VPC) bereitgestellt, werden als konform betrachtet. Dies bietet Netzwerkisolation und verbesserte Sicherheit.
ecs-security-group-description-requiredFür ALIYUN::ECS::SecurityGroup muss Description konfiguriert seinROSPrüft, ob Description für ALIYUN::ECS::SecurityGroup konfiguriert ist
ecs-snapshot-policy-timepoints-checkECS-Automatische Momentaufnahme-Richtlinien-Zeitpunkte angemessen konfiguriertROS, TerraformDie Zeitpunkte für die Momentaufnahmeerstellung in der automatischen Momentaufnahme-Richtlinie liegen innerhalb des angegebenen Zeitbereichs und gelten als konform. Das Erstellen von Momentaufnahmen reduziert vorübergehend die Block-Speicher-I/O-Leistung, wobei die Leistungsunterschiede im Allgemeinen innerhalb von 10% liegen und kurze Verlangsamungen verursachen. Es wird empfohlen, Zeitpunkte zu wählen, die Geschäftsspitzenzeiten vermeiden.
eip-bandwidth-requiredFür ALIYUN::VPC::EIP muss Bandwidth konfiguriert seinROSPrüft, ob Bandwidth für ALIYUN::VPC::EIP konfiguriert ist
eip-delete-protection-enabledEIP-Löschschutz aktiviertROS, TerraformStellt sicher, dass EIP-Instanzen Löschschutz aktiviert haben.
eip-explicit-bandwidth-requiredFür ALIYUN::VPC::EIP muss Bandwidth konfiguriert seinROSPrüft, ob Bandwidth für ALIYUN::VPC::EIP konfiguriert ist
elasticsearch-instance-enabled-data-node-encryptionElasticsearch-Datenknoten-Verschlüsselung aktiviertROS, TerraformStellt sicher, dass Datenknoten in der Elasticsearch-Instanz Disk-Verschlüsselung aktiviert haben.
elasticsearch-instance-enabled-node-config-disk-encryptionES-Knoten-Konfiguration FestplattenverschlüsselungROS, TerraformStellt sicher, dass Elasticsearch-Elastikknoten-Konfigurationen Festplattenverschlüsselung aktiviert haben.
elasticsearch-instance-multi-zoneElasticsearch-Instanz Multi-Zonen-BereitstellungROS, TerraformElasticsearch-Instanzen sollten über mehrere Verfügbarkeitszonen hinweg bereitgestellt werden.
emr-cluster-master-public-access-checkEMR-Cluster-Master-Knoten öffentlicher ZugriffsprüfungROS, TerraformEMR on ECS-Cluster-Master-Knoten sollten keine öffentliche IP aktiviert haben.
ess-group-health-checkESS-Skalierungsgruppe GesundheitsprüfungROS, TerraformESS-Skalierungsgruppen sollten ECS-Instanz-Gesundheitsprüfung aktivieren, um sicherzustellen, dass nur gesunde Instanzen im Dienst sind.
ess-scaling-configuration-attach-security-groupESS-Skalierungskonfiguration SicherheitsgruppeROS, TerraformESS-Skalierungskonfigurationen sollten Sicherheitsgruppen an Instanzen anhängen, um ordnungsgemäße Netzwerkisolation und Zugriffskontrolle zu gewährleisten.
ess-scaling-configuration-enabled-internet-checkESS-Skalierungskonfiguration InternetzugriffsprüfungROS, TerraformStellt sicher, dass ESS-Skalierungskonfigurationen keine öffentlichen IP-Adressen für Instanzen aktivieren, es sei denn, es ist notwendig.
ess-scaling-configuration-image-checkESS-Skalierungskonfiguration BildprüfungROS, TerraformESS-Skalierungskonfigurationen sollten gewartete Images verwenden, um Sicherheit und Stabilität zu gewährleisten.
ess-scaling-configuration-image-type-checkESS-Skalierungskonfiguration Bildtyp-PrüfungROS, TerraformESS-Skalierungskonfigurationen sollten Bilder aus angegebenen Quellen für bessere Sicherheit und Verwaltung verwenden.
ess-scaling-configuration-instance-type-candidates-requiredFür ALIYUN::ESS::ScalingConfiguration muss InstanceType konfiguriert seinROSPrüft, ob InstanceType für ALIYUN::ESS::ScalingConfiguration konfiguriert ist
ess-scaling-group-attach-multi-switchESS-Skalierungsgruppe Multi-VSwitchROS, TerraformESS-Skalierungsgruppen sollten für Hochverfügbarkeit über mehrere Zonen hinweg mit mindestens zwei VSwitches verknüpft sein.
ess-scaling-group-attach-slbESS-Skalierungsgruppe SLB anhängenROS, TerraformESS-Skalierungsgruppen sollten an Classic Load Balancer (SLB) angehängt werden, um eine ordnungsgemäße Verkehrsverteilung zu gewährleisten.
ess-scaling-group-capacity-bounds-requiredFür ALIYUN::ESS::ScalingGroup muss MaxSize konfiguriert seinROSPrüft, ob MaxSize für ALIYUN::ESS::ScalingGroup konfiguriert ist
ess-scaling-group-cooldown-configuredFür ALIYUN::ESS::ScalingGroup muss DefaultCooldown konfiguriert seinROSPrüft, ob DefaultCooldown für ALIYUN::ESS::ScalingGroup konfiguriert ist
ess-scaling-group-loadbalancer-checkESS-Skalierungsgruppe Load Balancer ExistenzprüfungROS, TerraformESS-Skalierungsgruppen sollten an vorhandene und aktive Load Balancer-Instanzen angehängt werden, um eine ordnungsgemäße Datenverteilung zu gewährleisten.
ess-scaling-rule-action-configuredFür ALIYUN::ESS::ScalingRule muss AdjustmentType konfiguriert seinROSPrüft, ob AdjustmentType für ALIYUN::ESS::ScalingRule konfiguriert ist
fc-function-custom-domain-and-cert-enableFC-Funktion Benutzerdefinierte Domäne ZertifikatsprüfungROS, TerraformFC-benutzerdefinierte Domänen sollten SSL-Zertifikate für sichere Kommunikation konfiguriert haben.
fc-function-custom-domain-and-https-enableFC-Funktion Benutzerdefinierte Domain HTTPS-PrüfungROS, TerraformFC-Benutzerdefinierte Domains sollten HTTPS für sichere Kommunikation aktiviert haben.
fc-function-custom-domain-and-tls-enableFC-Funktion Benutzerdefinierte Domain und TLS aktiviertROS, TerraformStellt sicher, dass benutzerdefinierte Domains für Function Compute-Funktionen TLS aktiviert haben.
fc-function-instance-concurrency-configuredFür ALIYUN::FC::Function muss InstanceConcurrency konfiguriert seinROSPrüft, ob InstanceConcurrency für ALIYUN::FC::Function konfiguriert ist
fc-function-internet-and-custom-domain-enableFC-Service Internetzugang mit benutzerdefinierter DomäneROS, TerraformFC-Services mit Internetzugang sollten an benutzerdefinierte Domänen gebunden werden, um ordnungsgemäße Zugriffskontrolle zu gewährleisten.
fc-function-settings-checkFC-FunktionseinstellungsprüfungROS, TerraformFC-Funktionseinstellungen sollten die angegebenen Anforderungen für optimale Leistung und Sicherheit erfüllen.
fc-function-timeout-configuredFür ALIYUN::FC::Function muss Timeout konfiguriert seinROSPrüft, ob Timeout für ALIYUN::FC::Function konfiguriert ist
fc-service-bind-roleFC-Service an RAM-Rolle gebundenROS, TerraformStellt sicher, dass der Function Compute-Service eine RAM-Rolle gebunden hat.
fc-service-internet-access-disableFC-Service Internetzugriff deaktiviertROS, TerraformStellt sicher, dass der Function Compute-Service Internetzugriff deaktiviert hat, wenn er nur auf interne Ressourcen zugreifen sollte.
fc-service-log-enableFC-Service Protokoll aktivierenROS, TerraformFC-Services sollten Protokollierung für Überwachung und Fehlerbehebung aktiviert haben.
fc-service-tracing-enableFC-Service Tracing aktivierenROS, TerraformFC-Services sollten Tracing für Leistungsüberwachung und Debugging aktiviert haben.
fc-service-vpc-bindingFC-Service VPC-Bindung aktiviertROS, TerraformStellt sicher, dass der Function Compute-Service so konfiguriert ist, dass er auf Ressourcen innerhalb eines VPC zugreift.
firewall-asset-open-protectCloud-Firewall-Asset-Schutz aktiviertROS, TerraformStellt sicher, dass Assets durch Cloud Firewall geschützt sind.
gpdb-instance-multi-zoneGPDB-Instanz Multi-Zone-BereitstellungROS, TerraformGPDB-Instanzen sollten mit einer Standby-Zone für Hochverfügbarkeit bereitgestellt werden.
gwlb-loadbalancer-multi-zoneGWLB-LoadBalancer Multi-Zone-BereitstellungROS, TerraformGWLB-LoadBalancer-Instanzen sollten für hohe Verfügbarkeit über mindestens zwei Verfügbarkeitszonen hinweg bereitgestellt werden.
hbase-cluster-deletion-protectionHBase-Cluster Löschschutz aktiviertROS, TerraformStellt sicher, dass HBase-Instanzen Loschschutz aktiviert haben.
hbase-cluster-in-vpcHBase-Cluster im VPCROS, TerraformStellt sicher, dass der HBase-Cluster innerhalb eines VPC bereitgestellt wird.
hbase-cluster-multi-zoneHBase-Cluster Multi-Zonen-BereitstellungROS, TerraformHBase-Cluster sollten im Clustermodus mit mindestens 2 Knoten für Hochverfügbarkeit bereitgestellt werden.
internet-nat-gateway-in-specified-vpcInternet-NAT-Gateway im angegebenen VPCROS, TerraformInternetorientierte NAT-Gateways sollten gemäß Netzwerksicherheitsanforderungen in angegebenen VPCs erstellt werden.
intranet-nat-gateway-in-specified-vpcIntranet NAT-Gateway im angegebenen VPCROS, TerraformIntranet-NAT-Gateways sollten gemäß den Netzwerksicherheitsanforderungen in angegebenen VPCs erstellt werden.
kafka-instance-multi-zoneKafka-Instanz Multi-Zone-BereitstellungROS, TerraformKafka-Instanzen sollten für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen hinweg bereitgestellt werden.
kms-instance-multi-zoneKMS-Instanz Multi-Zone-BereitstellungROS, TerraformKMS-Instanzen sollten für hohe Verfügbarkeit und Disaster Recovery über mindestens zwei Verfügbarkeitszonen hinweg bereitgestellt werden.
kms-key-delete-protection-enabledKMS-Schlüssel-Löschschutz aktiviertROS, TerraformKMS-Masterschlüssel hat Löschschutz aktiviert, gilt als konform. Schlüssel, die nicht im aktivierten Status sind, und Dienstschlüssel (die nicht gelöscht werden können) sind nicht anwendbar.
kms-key-description-requiredFür ALIYUN::KMS::Key muss Description konfiguriert seinROSPrüft, ob Description für ALIYUN::KMS::Key konfiguriert ist
kms-key-rotation-enabledKMS-Schlüssel automatische Rotation aktiviertROS, TerraformKMS-Benutzer-Hauptschlüssel hat automatische Rotation aktiviert, wird als konform betrachtet. Dienstschlüssel und extern importierte Schlüssel sind nicht anwendbar.
kms-secret-rotation-enabledKMS-Geheimnis automatische Rotation aktiviertROS, TerraformKMS-Geheimnis hat automatische Rotation aktiviert, wird als konform betrachtet. Generische Geheimnisse sind nicht anwendbar.
lindorm-instance-in-vpcLindorm-Instanz in VPCROS, TerraformStellt sicher, dass die Lindorm-Instanz in einem VPC bereitgestellt wird.
lindorm-instance-multi-zoneLindorm-Instanz Multi-Zone-BereitstellungROS, TerraformLindorm-Instanzen sollten für Multi-Zone-Bereitstellung mit mindestens 4 LindormTable-Knoten für Hochverfügbarkeit konfiguriert werden.
logstore-ttl-requiredFür ALIYUN::SLS::Logstore muss TTL konfiguriert seinROSPrüft, ob TTL für ALIYUN::SLS::Logstore konfiguriert ist
mongodb-instance-enabled-sslMongoDB-Instanz SSL aktiviertROS, TerraformStellt sicher, dass MongoDB-Instanzen SSL-Verschlüsselung aktiviert haben.
mongodb-instance-encryption-byok-checkMongoDB-Instanz verwendet benutzerdefinierten Schlüssel für TDEROS, TerraformStellt sicher, dass MongoDB-Instanzen benutzerdefinierte KMS-Schlüssel für Transparent Data Encryption (TDE) verwenden.
mongodb-instance-in-vpcMongoDB-Instanz verwendet VPC-NetzwerkROS, TerraformStellt sicher, dass MongoDB-Instanzen in einem Virtual Private Cloud (VPC)-Netzwerk bereitgestellt werden.
mongodb-instance-log-auditMongoDB-Instanz Protokollprüfung aktiviertROS, TerraformStellt sicher, dass MongoDB-Instanzen Protokollprüfung aktiviert haben.
mongodb-instance-multi-nodeMongoDB-Instanz verwendet mehrere KnotenROS, TerraformStellt sicher, dass MongoDB-Instanzen mit mehreren Knoten für Hochverfügbarkeit bereitgestellt werden.
mongodb-instance-multi-zoneMongoDB-Instanz Multi-Zone-BereitstellungROS, TerraformMongoDB-Instanzen sollten über mehrere Verfügbarkeitszonen hinweg für Hochverfügbarkeit bereitgestellt werden.
mongodb-instance-release-protectionMongoDB-Instanz Freigabeschutz aktiviertROS, TerraformStellt sicher, dass MongoDB-Instanzen Freigabeschutz aktiviert haben.
mse-cluster-config-auth-enabledMSE-Cluster Config Auth aktiviertROS, TerraformStellt sicher, dass das Konfigurationszentrum des Microservices Engine (MSE)-Clusters Authentifizierung aktiviert hat.
mse-cluster-high-availability-configuredFür ALIYUN::MSE::Cluster muss Replicas konfiguriert seinROSPrüft, ob Replicas für ALIYUN::MSE::Cluster konfiguriert ist
mse-cluster-multi-availability-area-architecture-checkMSE-Cluster HochverfügbarkeitskonfigurationROS, TerraformMSE-Cluster sollten die Professional Edition mit mindestens 3 Instanzen (ungerade Zahl) für Hochverfügbarkeit verwenden.
mse-cluster-stable-version-checkMSE-Cluster verwendet stabile VersionROS, TerraformStellt sicher, dass die MSE-Cluster-Engine-Version größer als die minimale stabile Version ist.
mse-gateway-multi-availability-area-architecture-checkMSE-Gateway Multi-Verfügbarkeitszonen-BereitstellungROS, TerraformMSE-Gateways sollten durch Konfigurieren eines Backup-VSwitch über mehrere Verfügbarkeitszonen hinweg bereitgestellt werden.
nas-filesystem-mount-target-access-group-checkNAS-Mountziel-Zugriffsgruppen-PrüfungROS, TerraformStellt sicher, dass NAS-Mountziele nicht die Standard-VPC-Zugriffsgruppe (DEFAULT_VPC_GROUP_NAME) verwenden.
nat-gateway-spec-requiredFür ALIYUN::VPC::NatGateway muss NatGatewaySpec konfiguriert seinROSPrüft, ob NatGatewaySpec für ALIYUN::VPC::NatGateway konfiguriert ist
natgateway-delete-protection-enabledNAT-Gateway Löschschutz aktiviertROS, TerraformStellt sicher, dass NAT-Gateways Löschschutz aktiviert haben.
natgateway-eip-used-checkNAT-Gateway EIP-VerwendungsprüfungROS, TerraformSNAT und DNAT sollten nicht dasselbe EIP verwenden, um potenzielle Konflikte zu vermeiden und die Netzwerksegmentierung zu verbessern.
natgateway-snat-eip-bandwidth-checkNAT-Gateway SNAT EIP-BandbreitenkonsistenzROS, TerraformWenn SNAT-Einträge an mehrere EIPs gebunden sind, sollten die Bandbreiten-Peak-Einstellungen konsistent sein oder sie sollten zu einem gemeinsamen Bandbreitenpaket hinzugefügt werden.
nlb-address-type-intranetFür ALIYUN::NLB::LoadBalancer muss AddressType konfiguriert seinROSPrüft, ob AddressType für ALIYUN::NLB::LoadBalancer konfiguriert ist
nlb-loadbalancer-multi-zoneNLB LoadBalancer Multi-Zonen-BereitstellungROS, TerraformNLB LoadBalancer-Instanzen sollten über mindestens zwei Verfügbarkeitszonen für Hochverfügbarkeit bereitgestellt werden.
nlb-server-group-multi-zoneNLB-Server-Gruppe Multi-Zone-VerteilungROS, TerraformNLB-Server-Gruppen sollten Backend-Server für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen verteilt haben. Diese Regel gilt nicht für Server-Gruppen ohne angehängte Server oder für IP-Typ-Server-Gruppen.
oss-bucket-authorize-specified-ipOSS-Bucket autorisiert angegebene IPROS, TerraformStellt sicher, dass OSS-Bucket-Richtlinien den Zugriff auf angegebene IP-Bereiche einschränken.
oss-bucket-backup-enableOSS-Backup aktiviertROS, TerraformStellt sicher, dass OSS-Buckets Backup oder Versionskontrolle aktiviert haben.
oss-bucket-logging-enabledOSS-Bucket Protokollierung aktiviertROS, TerraformOSS-Buckets sollten Protokollierung aktiviert haben, um Zugriffe und Vorgänge zu verfolgen. Die Protokollierung hilft bei Sicherheitsaudits, Fehlerbehebung und Compliance-Anforderungen.
oss-bucket-operational-access-loggingFür ALIYUN::OSS::Bucket muss LoggingConfiguration konfiguriert seinROSPrüft, ob LoggingConfiguration für ALIYUN::OSS::Bucket konfiguriert ist
oss-bucket-remote-replicationOSS-Bucket Remote-Replikation aktiviertROS, TerraformStellt sicher, dass die regionsübergreifende Replikation für den OSS-Bucket für die Notfallwiederherstellung aktiviert ist.
oss-bucket-tags-requiredFür ALIYUN::OSS::Bucket muss Tags konfiguriert seinROSPrüft, ob Tags für ALIYUN::OSS::Bucket konfiguriert ist
oss-bucket-tls-version-checkOSS-Bucket TLS-VersionsprüfungROS, TerraformStellt sicher, dass der OSS-Bucket so konfiguriert ist, dass er eine sichere TLS-Version (TLS 1.2 oder höher) verwendet.
oss-bucket-versioning-enabledOSS-Bucket Versionsverwaltung aktiviertROS, TerraformOSS-Bucket sollte Versionsverwaltung aktiviert haben, um vor versehentlichem Löschen oder Überschreiben zu schützen.
oss-default-encryption-kmsOSS-Bucket serverseitige KMS-Verschlüsselung aktiviertROS, TerraformOSS-Bucket hat serverseitige KMS-Verschlüsselung aktiviert, wird als konform betrachtet.
oss-encryption-byok-checkOSS-Bucket BYOK-VerschlüsselungsprüfungROS, TerraformOSS-Buckets sollten kundenseitig verwaltete KMS-Schlüssel (BYOK - Bring Your Own Key) für die Verschlüsselung verwenden. Dies bietet eine bessere Kontrolle über Verschlüsselungsschlüssel und erfüllt Compliance-Anforderungen.
oss-storage-class-requiredFür ALIYUN::OSS::Bucket muss StorageClass konfiguriert seinROSPrüft, ob StorageClass für ALIYUN::OSS::Bucket konfiguriert ist
oss-zrs-enabledOSS-Bucket zonenredundanter Speicher aktiviertROS, TerraformOSS-Buckets sollten zonenredundanten Speicher (ZRS) für hohe Verfügbarkeit und Datenbeständigkeit verwenden.
ots-instance-multi-zoneOTS-Instanz zonenredundanter SpeicherROS, TerraformOTS-Instanzen sollten den zonenredundanten Zugriffsmodus (ConsoleOrVpc) für hohe Verfügbarkeit verwenden.
ots-instance-network-not-normalOTS eingeschränkter NetzwerktypROS, TerraformOTS-Instanzen sollten keinen uneingeschränkten Netzwerkzugriff (Any) verwenden. Verwenden Sie stattdessen Vpc oder ConsoleOrVpc.
pai-eas-instances-multi-zonePAI EAS-Instanz Multi-Zonen-BereitstellungROS, TerraformStellt sicher, dass PAI EAS-Instanzen über mehrere Zonen hinweg für hohe Verfügbarkeit bereitgestellt werden.
polardb-cluster-delete-protection-enabledPolarDB-Cluster-Löschschutz aktiviertROS, TerraformStellt sicher, dass PolarDB-Cluster den Löschschutz aktiviert haben.
polardb-cluster-enabled-sslPolarDB-Cluster SSL aktiviertROS, TerraformStellt sicher, dass PolarDB-Cluster SSL-Verschlüsselung aktiviert haben.
polardb-cluster-multi-zonePolarDB-Cluster Multi-Zone-BereitstellungROS, TerraformPolarDB-Cluster sollten für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen bereitgestellt werden.
polardb-cluster-tags-requiredFür ALIYUN::POLARDB::DBCluster muss Tags konfiguriert seinROSPrüft, ob Tags für ALIYUN::POLARDB::DBCluster konfiguriert ist
polardb-dbcluster-in-vpcPolarDB-Cluster in VPCROS, TerraformStellt sicher, dass der PolarDB-Cluster in einem VPC bereitgestellt wird.
polardb-revision-version-used-checkPolarDB Revisionsversion VerwendungsprüfungROS, TerraformStellt sicher, dass der PolarDB-Cluster eine stabile Kernel-Revisionsversion verwendet.
polardb-x2-instance-multi-zonePolarDB-X 2.0-Instanz Multi-Zone-BereitstellungROS, TerraformPolarDB-X 2.0-Instanzen sollten über 3 Verfügbarkeitszonen hinweg bereitgestellt werden.
privatelink-server-endpoint-multi-zonePrivateLink VPC-Endpunkt-Service Multi-Zone-BereitstellungROS, TerraformPrivateLink VPC-Endpunkt-Services sollten Ressourcen für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen hinweg bereitgestellt haben.
privatelink-servier-endpoint-multi-zonePrivateLink Service Endpoint Multi-Zone-BereitstellungROS, TerraformStellt sicher, dass PrivateLink-Service-Endpunkte über mehrere Zonen hinweg für Hochverfügbarkeit bereitgestellt werden.
ram-password-policy-checkRAM-Passwortrichtlinien-PrüfungROS, TerraformStellt sicher, dass die RAM-Passwortrichtlinie die festgelegten Sicherheitsanforderungen erfüllt.
ram-policy-no-has-specified-documentRAM-Richtlinie Kein Angegebenes DokumentROS, TerraformStellt sicher, dass benutzerdefinierte RAM-Richtlinien nicht die angegebene Berechtigungskonfiguration enthalten.
ram-role-has-specified-policyRAM-Rolle hat angegebene RichtlinieROS, TerraformStellt sicher, dass RAM-Rollen die angegebenen Richtlinien angehängt haben.
ram-role-no-product-admin-accessRAM-Rolle Kein Produkt-Admin-ZugriffROS, TerraformStellt sicher, dass RAM-Rollen keinen vollständigen Administratorzugriff oder Produkt-Administratorberechtigungen haben.
ram-user-activated-ak-quantity-checkRAM-Benutzer aktive AK-MengenprüfungROS, TerraformStellt sicher, dass RAM-Benutzer nicht mehr als einen aktiven AccessKey haben.
ram-user-ak-create-date-expired-checkRAM-Benutzer AccessKey Erstellungsdatum AblaufprüfungROS, TerraformStellt sicher, dass RAM-Benutzer AccessKeys nicht älter als die angegebene Anzahl von Tagen sind.
ram-user-ak-used-expired-checkRAM-Benutzer AccessKey letztes Verwendungsdatum-PrüfungROS, TerraformStellt sicher, dass RAM-Benutzer AccessKeys innerhalb der angegebenen Anzahl von Tagen verwendet wurden.
ram-user-has-specified-policyRAM-Benutzer hat angegebene RichtlinieROS, TerraformStellt sicher, dass RAM-Benutzer die erforderlichen Richtlinien angehängt haben, einschließlich derer, die von Gruppen geerbt wurden.
ram-user-login-checkRAM-Benutzer Login-AktivierungsprüfungROS, TerraformStellt sicher, dass RAM-Benutzer, die keinen Konsolenzugriff benötigen, Login deaktiviert haben.
ram-user-no-has-specified-policyRAM-Benutzer keine angegebene RichtlinieROS, TerraformStellt sicher, dass RAM-Benutzer keine angegebenen riskanten Richtlinien angehängt haben.
ram-user-no-product-admin-accessRAM-Benutzer kein Produkt-AdministrativzugriffROS, TerraformStellt sicher, dass RAM-Benutzer keinen vollständigen administrativen Zugriff auf Cloud-Produkte haben, es sei denn, es ist notwendig.
ram-user-role-no-product-admin-accessRAM-Benutzerrolle Kein Produkt-Admin-ZugriffROS, TerraformStellt sicher, dass RAM-benutzerdefinierte Rollen keine Produkt-Administratorberechtigungen haben.
rds-backup-policy-requiredFür ALIYUN::RDS::Backup muss BackupTime konfiguriert seinROSPrüft, ob BackupTime für ALIYUN::RDS::Backup konfiguriert ist
rds-instacne-delete-protection-enabledRDS-Instanz-Löschschutz aktiviertROS, TerraformStellt sicher, dass RDS-Instanzen den Löschschutz aktiviert haben.
rds-instance-deletion-protection-enabledFür ALIYUN::RDS::DBInstance muss DeletionProtection konfiguriert seinROSPrüft, ob DeletionProtection für ALIYUN::RDS::DBInstance konfiguriert ist
rds-instance-enabled-auditingRDS-Instanz-Überwachung aktiviertROS, TerraformStellt sicher, dass RDS-Instanzen SQL-Überwachung aktiviert haben.
rds-instance-enabled-log-backupRDS-Instanz Log-Backup aktiviertROS, TerraformStellt sicher, dass RDS-Instanzen Log-Backup aktiviert haben.
rds-instance-enabled-sslRDS-Instanz SSL aktiviertROS, TerraformStellt sicher, dass RDS-Instanzen SSL-Verschlüsselung aktiviert haben.
rds-instance-enabled-tde-disk-encryptionRDS-Instanz TDE oder Festplattenverschlüsselung aktiviertROS, TerraformRDS-Instanz sollte TDE (Transparent Data Encryption) oder Festplattenverschlüsselung aktiviert haben.
rds-instance-has-guard-instanceRDS-Instanz hat Guard-InstanzROS, TerraformStellt sicher, dass Produktions-RDS-Instanzen eine entsprechende Guard-Instanz (Notfallwiederherstellung) haben.
rds-instance-tags-requiredFür ALIYUN::RDS::DBInstance muss Tags konfiguriert seinROSPrüft, ob Tags für ALIYUN::RDS::DBInstance konfiguriert ist
rds-instance-zone-requiredPrimäre Zone für RDS-Instanz erforderlichROSRDS-Instanzen sollten die primäre Zone für Platzierung und Failover-Planung explizit konfigurieren.
rds-instances-in-vpcRDS-Instanz in VPCROS, TerraformStellt sicher, dass die RDS-Instanz innerhalb eines VPC bereitgestellt wird.
rds-multi-az-supportRDS-Instanz Multi-AZ-BereitstellungROS, TerraformRDS-Instanzen sollten für hohe Verfügbarkeit und automatisches Failover in Multi-AZ-Konfiguration bereitgestellt werden.
rds-pay-type-requiredFür ALIYUN::RDS::DBInstance muss PayType konfiguriert seinROSPrüft, ob PayType für ALIYUN::RDS::DBInstance konfiguriert ist
rds-storage-type-requiredFür ALIYUN::RDS::DBInstance muss DBInstanceStorageType konfiguriert seinROSPrüft, ob DBInstanceStorageType für ALIYUN::RDS::DBInstance konfiguriert ist
redis-architecturetype-cluster-checkRedis-Architekturtyp Cluster-PrüfungROS, TerraformStellt sicher, dass die Redis-Instanz den Cluster-Architekturtyp verwendet.
redis-backup-policy-requiredFür ALIYUN::REDIS::Instance muss BackupPolicy konfiguriert seinROSPrüft, ob BackupPolicy für ALIYUN::REDIS::Instance konfiguriert ist
redis-instance-backup-log-enabledRedis-Instanz Log-Backup aktiviertROS, TerraformStellt sicher, dass Backup für die Redis-Instanz konfiguriert ist.
redis-instance-class-requiredFür ALIYUN::REDIS::Instance muss InstanceClass konfiguriert seinROSPrüft, ob InstanceClass für ALIYUN::REDIS::Instance konfiguriert ist
redis-instance-double-node-typeRedis-Instanz DoppelknotentypROS, TerraformStellt sicher, dass Redis-Instanz den Doppelknotentyp für Hochverfügbarkeit verwendet.
redis-instance-enabled-byok-tdeRedis-Instanz BYOK TDE aktiviertROS, TerraformStellt sicher, dass Redis-Instanzen Transparent Data Encryption (TDE) mit Bring Your Own Key (BYOK) aktiviert haben.
redis-instance-enabled-sslRedis-Instanz SSL aktiviertROS, TerraformStellt sicher, dass Redis-Instanzen SSL-Verschlüsselung aktiviert haben.
redis-instance-in-vpcRedis-Instanz in VPCROS, TerraformStellt sicher, dass die Redis-Instanz in einem VPC bereitgestellt wird.
redis-instance-multi-zoneRedis-Instanz Multi-Zone-BereitstellungROS, TerraformRedis-Instanzen sollten für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen bereitgestellt werden.
redis-instance-name-requiredFür ALIYUN::REDIS::Instance muss InstanceName konfiguriert seinROSPrüft, ob InstanceName für ALIYUN::REDIS::Instance konfiguriert ist
redis-instance-release-protectionRedis-Instanz Freigabeschutz aktiviertROS, TerraformStellt sicher, dass Redis-Instanzen Freigabeschutz aktiviert haben.
redis-instance-tls-version-checkRedis-Instanz TLS-VersionsprüfungROS, TerraformStellt sicher, dass die Redis-Instanz SSL mit einer akzeptablen TLS-Version aktiviert hat.
redis-min-capacity-limitRedis MindestkapazitätsgrenzeROS, TerraformStellt sicher, dass die Redis-Instanz eine Speicherkapazität hat, die die Mindestanforderung erfüllt.
rocketmq-v5-instance-multi-zoneRocketMQ 5.0 Instanz Multi-Zone-BereitstellungROS, TerraformRocketMQ 5.0-Instanzen sollten im Cluster-HA-Modus bereitgestellt werden, der Multi-Zone-Verfügbarkeit unterstützt.
security-center-version-checkSicherheitszentrum VersionsprüfungROSDas Sicherheitszentrum sollte eine Version sein, die ausreichende Schutzfunktionen bietet.
security-group-enterprise-typeFür ALIYUN::ECS::SecurityGroup muss SecurityGroupType konfiguriert seinROSPrüft, ob SecurityGroupType für ALIYUN::ECS::SecurityGroup konfiguriert ist
security-oss-bucket-logging-configuredOSS-Bucket muss Protokollierung konfigurierenROSPrüft, ob OSS-Bucket muss Protokollierung konfigurieren.
slb-address-type-intranetFür ALIYUN::SLB::LoadBalancer muss AddressType konfiguriert seinROSPrüft, ob AddressType für ALIYUN::SLB::LoadBalancer konfiguriert ist
slb-all-listener-enabled-aclSLB Alle Listener haben ZugriffskontrolleROS, TerraformAlle laufenden Listener von SLB-Instanzen sollten Zugriffssteuerungslisten (ACL) für die Sicherheit konfiguriert haben.
slb-all-listener-http-disabledSLB Alle Listener HTTP deaktiviertROS, TerraformStellt sicher, dass keine SLB-Listener das unsichere HTTP-Protokoll verwenden.
slb-all-listener-http-redirect-httpsSLB HTTP-Weiterleitung zu HTTPS aktiviertROS, TerraformStellt sicher, dass SLB-HTTP-Listener so konfiguriert sind, dass Datenverkehr zu HTTPS weitergeleitet wird.
slb-all-listenter-has-serverSLB alle Listener haben Backend-ServerROS, TerraformWenn SLB-Lastausgleicher vorhanden sind, sollte mindestens eine Backend-Server-Ressource konfiguriert sein.
slb-all-listenter-tls-policy-checkSLB Listener TLS-Richtlinien-PrüfungROS, TerraformStellt sicher, dass SLB HTTPS-Listener sichere TLS-Verschlüsselungsrichtlinien verwenden.
slb-default-server-group-multi-serverSLB-Standard-Servergruppe hat mehrere ServerROS, TerraformDie Standard-Servergruppe von SLB-Instanzen sollte mindestens zwei Server haben, um einen Single Point of Failure zu vermeiden.
slb-instance-autorenewal-checkSLB-Instanz Auto-VerlängerungsprüfungROS, TerraformVorausbezahlte SLB-Instanzen sollten Auto-Verlängerung aktiviert haben, um Dienstunterbrechungen zu vermeiden.
slb-instance-default-server-group-multi-zoneSLB Standard-Server-Gruppe Multi-ZoneROS, TerraformDie Standard-Server-Gruppe von SLB-Instanzen sollte Ressourcen über mehrere Verfügbarkeitszonen verteilt haben.
slb-instance-log-enabledSLB-Instanz-Protokollierung aktiviertROS, TerraformStellt sicher, dass Zugriffsprotokollierung für die SLB-Instanz aktiviert ist.
slb-instance-master-zone-requiredMaster-Zone für SLB-Instanz erforderlichROSSLB-Instanzen sollten als Teil der primären und sekundären Zonenbereitstellung eine Master-Zone konfigurieren.
slb-instance-multi-zoneSLB-Instanz Multi-Zone-BereitstellungROS, TerraformSLB-Instanzen sollten über mehrere Zonen hinweg bereitgestellt werden, indem sowohl Master- als auch Slave-Zonen für hohe Verfügbarkeit konfiguriert werden.
slb-instance-spec-checkSLB-Instanz-SpezifikationsprüfungROS, TerraformSLB-Instanz-Spezifikationen sollten die erforderlichen Leistungskriterien basierend auf der angegebenen Liste erfüllen.
slb-internet-charge-type-requiredFür ALIYUN::SLB::LoadBalancer muss InternetChargeType konfiguriert seinROSPrüft, ob InternetChargeType für ALIYUN::SLB::LoadBalancer konfiguriert ist
slb-listener-https-enabledSLB-Listener HTTPS aktiviertROS, TerraformStellt sicher, dass SLB-Listener das HTTPS-Protokoll für sichere Kommunikation verwenden.
slb-loadbalancer-in-vpcSLB im VPC PrüfungROS, TerraformStellt sicher, dass SLB-Instanzen innerhalb eines Virtual Private Cloud (VPC) bereitgestellt werden.
slb-loadbalancer-name-requiredFür ALIYUN::SLB::LoadBalancer muss LoadBalancerName konfiguriert seinROSPrüft, ob LoadBalancerName für ALIYUN::SLB::LoadBalancer konfiguriert ist
slb-master-slave-server-group-multi-zoneSLB Master-Slave-Server-Gruppe Multi-ZoneROS, TerraformDie Master-Slave-Server-Gruppe von SLB-Instanzen sollte Ressourcen über mehrere Verfügbarkeitszonen verteilt haben.
slb-no-public-ipSLB-Instanz Keine öffentliche IPROS, TerraformSLB-Instanzen sollten keine öffentlichen IP-Adressen haben, um die Angriffsfläche zu reduzieren.
slb-vserver-group-multi-zoneSLB VServer-Gruppe Multi-Zonen-BereitstellungROS, TerraformStellt sicher, dass SLB-VServer-Gruppen Instanzen aus mehreren Verfügbarkeitszonen enthalten.
sls-logstore-enabled-encryptSLS-Logstore Verschlüsselung aktiviertROS, TerraformStellt sicher, dass SLS-Logstores serverseitige Verschlüsselung aktiviert haben.
sls-logstore-encrypt-key-origin-checkSLS-Logstore Verschlüsselungsschlüssel-HerkunftsprüfungROS, TerraformStellt sicher, dass SLS-Logstores extern importiertes Schlüsselmaterial (BYOK) für die Verschlüsselung verwenden, was eine bessere Kontrolle über Verschlüsselungsschlüssel bietet.
sls-logstore-shard-count-configuredFür ALIYUN::SLS::Logstore muss ShardCount konfiguriert seinROSPrüft, ob ShardCount für ALIYUN::SLS::Logstore konfiguriert ist
sls-logstore-ttl-configuredFür ALIYUN::SLS::Logstore muss TTL konfiguriert seinROSPrüft, ob TTL für ALIYUN::SLS::Logstore konfiguriert ist
sls-project-description-requiredFür ALIYUN::SLS::Project muss Description konfiguriert seinROSPrüft, ob Description für ALIYUN::SLS::Project konfiguriert ist
sls-project-multi-zoneSLS-Projekt Zonenredundanter SpeicherROS, TerraformSLS-Projekte sollten zonenredundanten Speicher (ZRS) für Hochverfügbarkeit und Datenbeständigkeit verwenden.
vpc-flow-logs-enabledVPC-Flussprotokolle aktiviertROS, TerraformStellt sicher, dass VPC-Flussprotokolle für die Überwachung des Netzwerkverkehrs aktiviert sind.
vpc-name-requiredFür ALIYUN::ECS::VPC muss VpcName konfiguriert seinROSPrüft, ob VpcName für ALIYUN::ECS::VPC konfiguriert ist
vpc-network-acl-not-emptyVPC-Netzwerk-ACL nicht leerROS, TerraformStellt sicher, dass VPC-Netzwerk-ACLs mindestens eine Regel konfiguriert haben.
vpn-connection-master-slave-establishedVPN-Verbindung Dual-Tunnel eingerichtetROS, TerraformVerwenden Sie ein Dual-Tunnel-VPN-Gateway und beide Master- und Slave-Tunnel sind mit dem Peer eingerichtet.
vpn-gateway-multi-zoneVPN-Gateway Multi-Zonen-BereitstellungROS, TerraformVPN-Gateways sollten mit einem Disaster-Recovery-VSwitch konfiguriert werden, um Multi-Zonen-Verfügbarkeit zu unterstützen.
vswitch-available-ip-countVSwitch Verfügbare IP-AnzahlprüfungROS, TerraformStellt sicher, dass der VSwitch eine ausreichende Anzahl verfügbarer IP-Adressen hat.
vswitch-name-requiredFür ALIYUN::ECS::VSwitch muss VSwitchName konfiguriert seinROSPrüft, ob VSwitchName für ALIYUN::ECS::VSwitch konfiguriert ist
vswitch-zone-requiredFür ALIYUN::ECS::VSwitch muss ZoneId konfiguriert seinROSPrüft, ob ZoneId für ALIYUN::ECS::VSwitch konfiguriert ist
waf-instance-logging-enabledWAF-Instanz Protokollierung aktiviertROS, TerraformStellt sicher, dass die Protokollierung für die WAF-Instanz für die Überwachung und Sicherheitsanalyse aktiviert ist.
waf3-defense-resource-logging-enabledWAF 3.0 Protokollierung aktiviertROS, TerraformStellt sicher, dass die Protokollierung für von WAF 3.0 geschützte Ressourcen aktiviert ist.

Niedrig Schweregrad (41 Regeln)

Regel-IDNameIaC-TypenBeschreibung
ack-cluster-spec-checkACK-Cluster-SpezifikationsprüfungROS, TerraformStellt sicher, dass ACK-Cluster genehmigte Spezifikationen (z. B. ACK Pro) verwenden.
alb-address-type-checkALB-Adresstyp-PrüfungROS, TerraformStellt sicher, dass ALB-Instanzen den bevorzugten Adresstyp (z. B. Intranet) verwenden.
apig-group-custom-trace-enabledAPI Gateway Gruppe Benutzerdefinierte Verfolgung aktiviertROS, TerraformStellt sicher, dass API Gateway-Gruppen benutzerdefinierte Verfolgung aktiviert haben.
cr-repository-immutablity-enableContainer Registry Repository Bildversion ist unveränderlichROS, TerraformContainer Registry Repository Bildversion ist unveränderlich, was als konform gilt.
eci-container-group-volumn-mountsECI-Volumen-Mount-PrüfungROS, TerraformStellt sicher, dass ECI-Containergruppen Volumes für persistente Datenspeicherung gemountet haben.
ecs-disk-auto-snapshot-policyECS-Disk hat automatische Snapshot-Richtlinie konfiguriertROS, TerraformECS-Disk hat automatische Snapshot-Richtlinie konfiguriert, wird als konform betrachtet. Nicht verwendete Disks, Disks, die keine automatische Snapshot-Richtlinie unterstützen, und nicht persistente Disks, die von ACK-Clustern gemountet werden, sind nicht anwendbar. Nach Aktivierung der automatischen Snapshot-Richtlinie erstellt Alibaba Cloud automatisch Snapshots für Cloud-Disks gemäß voreingestellten Zeitpunkten und Zyklen, was eine schnelle Wiederherstellung nach Virenbefall oder Ransomware-Angriffen ermöglicht.
ecs-disk-idle-checkECS-Disk-LeerlaufprüfungROS, TerraformStellt sicher, dass ECS-Disks an eine Instanz angehängt sind und nicht im Leerlaufzustand sind.
ecs-disk-regional-auto-checkECS-Disk-Zonenredundanter ESSD-SpeicherROS, TerraformECS-Datendisks sollten zonenredundanten ESSD-Speicher für hohe Verfügbarkeit verwenden. Systemdisks sind für diese Regel nicht anwendbar.
ecs-instance-chargetype-checkECS-Instanz-Gebührentyp-PrüfungROS, TerraformStellt sicher, dass ECS-Instanzen den autorisierten Gebührentyp verwenden.
ecs-instance-multiple-eni-checkECS-Instanz ist nur an eine elastische Netzwerkschnittstelle gebundenROS, TerraformECS-Instanzen sind nur an eine elastische Netzwerkschnittstelle gebunden, was als konform gilt. Dies hilft, die Netzwerkkonfiguration zu vereinfachen und die Komplexität zu reduzieren.
ecs-instance-ram-role-attachedECS-Instanz RAM-Rolle angehängtROS, TerraformStellt sicher, dass ECS-Instanzen eine IAM-Rolle angehängt haben, um sicher auf andere Cloud-Dienste zuzugreifen.
ecs-internet-charge-type-checkECS Internet-Abrechnungstyp-PrüfungROS, TerraformStellt sicher, dass ECS-Instanzen den bevorzugten Internet-Abrechnungstyp verwenden.
ecs-security-group-description-checkSicherheitsgruppe Beschreibung nicht leerROS, TerraformDie Beschreibung der Sicherheitsgruppe sollte nicht leer sein. Eine Beschreibung hilft bei der Verwaltung und Prüfung.
ecs-security-group-type-not-normalUnternehmens-Sicherheitsgruppentyp verwendenROS, TerraformDer ECS-Sicherheitsgruppentyp sollte nicht der normale Typ sein. Die Verwendung von Unternehmens-Sicherheitsgruppen gilt als konform.
ecs-snapshot-retention-daysECS automatische Snapshot-Aufbewahrungstage erfüllen AnforderungenROS, TerraformECS automatische Snapshot-Richtlinie Aufbewahrungstage ist größer als die angegebene Anzahl von Tagen, wird als konform betrachtet. Standardwert: 7 Tage.
ecs-system-disk-size-checkECS-Systemfestplatten-GrößenprüfungROS, TerraformStellt sicher, dass ECS-Systemfestplatten die Mindestgrößenanforderung erfüllen.
eip-attachedEIP angehängtROS, TerraformStellt sicher, dass EIP-Instanzen einer Ressource zugeordnet sind.
eip-bandwidth-limitEIP-BandbreitenlimitROS, TerraformStellt sicher, dass die EIP-Bandbreite einen angegebenen Maximalwert nicht überschreitet.
hbase-cluster-type-checkHBase-Cluster Engine-Typ PrufungROS, TerraformHBase-Cluster sollte keinen veralteten Engine-Typ verwenden.
metadata-ros-composer-checkVorlagen-Metadaten ALIYUN::ROS::Composer PrüfungROSVorlage muss Metadata.ALIYUN::ROS::Composer konfiguriert haben. Der Wert muss ein Wörterbuch (Objekt) sein.
nas-filesystem-encrypt-type-checkNAS-Dateisystem-Verschlüsselung konfiguriertROS, TerraformStellt sicher, dass NAS-Dateisysteme die Verschlüsselung aktiviert haben (encrypt_type auf 1 oder 2 gesetzt).
oss-bucket-referer-limitOSS-Bucket Referer-Hotlink-Schutz konfiguriertROS, TerraformOSS-Bucket hat Referer-Hotlink-Schutz mit konfigurierter Whitelist aktiviert.
polardb-cluster-default-time-zone-not-systemPolarDB-Cluster Standard-Zeitzone nicht SystemROS, TerraformStellt sicher, dass der PolarDB-Cluster Parameter mit expliziten Zeitzoneneinstellungen konfiguriert hat.
polardb-cluster-maintain-time-checkPolarDB-Cluster Wartungsfenster-PrüfungROS, TerraformStellt sicher, dass der PolarDB-Cluster ein Wartungsfenster konfiguriert hat.
ram-group-has-member-checkRAM-Gruppe hat MitgliedROS, TerraformStellt sicher, dass RAM-Gruppen mindestens ein Mitglied haben.
ram-group-in-use-checkRAM-Gruppe In Verwendung PrüfungROS, TerraformStellt sicher, dass RAM-Gruppen nicht im Leerlauf sind - müssen mindestens ein Mitglied und mindestens eine angehängte Richtlinie haben.
ram-policy-in-use-checkRAM-Richtlinie In Verwendung PrüfungROS, TerraformStellt sicher, dass RAM-Richtlinien an mindestens einen RAM-Benutzer, eine Gruppe oder eine Rolle angehängt sind.
ram-user-group-membership-checkRAM-Benutzer GruppenmitgliedschaftsprüfungROS, TerraformStellt sicher, dass RAM-Benutzer zu mindestens einer Gruppe gehören, um die Berechtigungsverwaltung zu erleichtern.
ram-user-last-login-expired-checkRAM-Benutzer letzte Anmeldung-PrüfungROS, TerraformPrüft, ob RAM-Benutzer seit langer Zeit nicht angemeldet waren.
ram-user-no-policy-checkRAM-Benutzer hat RichtlinieROS, TerraformStellt sicher, dass RAM-Benutzer mindestens eine Richtlinie angehängt haben.
rds-instance-maintain-time-checkRDS-Instanz Wartungsfenster-PrüfungROS, TerraformStellt sicher, dass die RDS-Instanz ein Wartungsfenster konfiguriert hat.
rds-instance-storage-autoscale-enableRDS-Speicher-Autoscale aktiviertROS, TerraformStellt sicher, dass RDS-Instanzen Speicher-Autoscale aktiviert haben, um Ausfallzeiten aufgrund voller Festplatten zu verhindern.
redis-instance-backup-time-checkRedis-Instanz Backup-Fenster-PrüfungROS, TerraformStellt sicher, dass die Redis-Instanz ein Backup-Fenster konfiguriert hat.
root-has-specified-roleRoot-Konto hat angegebene RolleROSStellt sicher, dass das Root-Konto eine angegebene RAM-Rolle für Governance und Verwaltung hat.
slb-backendserver-weight-checkSLB-Backend-Server-GewichtsprüfungROS, TerraformStellt sicher, dass SLB-Backend-Server mindestens einen Server mit Gewicht größer als 0 haben.
slb-instance-loadbalancerspec-checkSLB-Instanz SpezifikationsprüfungROS, TerraformStellt sicher, dass SLB-Instanzen genehmigte Leistungsspezifikationen verwenden.
slb-loadbalancer-bandwidth-limitSLB-BandbreitenlimitROS, TerraformStellt sicher, dass die Bandbreite der SLB-Instanz einen angegebenen Maximalwert nicht überschreitet.
slb-modify-protection-checkSLB Änderungsschutz aktiviertROS, TerraformStellt sicher, dass SLB-Instanzen Änderungsschutz aktiviert haben.
sls-logstore-hot-ttl-checkSLS Logstore Smart Tier Storage aktiviertROS, TerraformStellt sicher, dass SLS-Logstores intelligentes Hot/Cold-Tier-Speicher für die Kostenoptimierung aktiviert haben.
vpn-gateway-enabled-ssl-vpnVPN-Gateway SSL-VPN aktiviertROS, TerraformStellt sicher, dass das VPN-Gateway SSL-VPN für sicheren Client-Zugriff aktiviert hat.
vpn-ipsec-connection-health-check-openVPN IPsec Health Check aktiviertROS, TerraformStellt sicher, dass VPN-IPsec-Verbindungen Health Checks aktiviert haben, um Tunnelausfälle zu erkennen.

Dieses Dokument wird automatisch aus den Richtlinien-Metadaten generiert.