Zum Hauptinhalt springen

Aliyun Regeln

Gesamtanzahl der Regeln: 317

Regeln nach Schweregrad

Hoch Schweregrad (98 Regeln)

Regel-IDNameBeschreibung
ack-cluster-node-multi-zoneACK-Cluster Multi-Zone-BereitstellungDie ACK-Cluster-Knoten sollten für hohe Verfügbarkeit über 3 oder mehr Verfügbarkeitszonen verteilt werden.
ack-cluster-public-endpoint-checkACK-Cluster öffentlicher Endpunkt-PrüfungACK-Cluster sollten keinen öffentlichen Endpunkt gesetzt haben, oder der zugehörige SLB-Listener sollte ACL aktiviert haben.
acs-cluster-node-multi-zoneACS-Cluster-Knoten Multi-Zone-BereitstellungDie ACS-Cluster-Knoten sollten für hohe Verfügbarkeit über 3 oder mehr Verfügbarkeitszonen verteilt werden.
actiontrail-enabledActionTrail aktiviertStellt sicher, dass ActionTrail aktiviert ist, um Kontenaktivitäten aufzuzeichnen.
actiontrail-trail-intact-enabledActionTrail Trail vollständig aktiviertActionTrail Trail sollte aktiviert sein und alle Ereignistypen (Lesen und Schreiben) verfolgen.
alb-acl-public-access-checkALB ACL erlaubt keinen öffentlichen ZugriffStellt sicher, dass ALB-Zugriffssteuerungslisten 0.0.0.0/0 (Erlaubnis aller IPs) nicht enthalten.
alb-all-listener-health-check-enabledALB Alle Listener Health Check aktiviertStellt sicher, dass alle ALB-Listener Health Checks aktiviert haben.
alb-delete-protection-enabledALB-Instanz Löschschutz aktiviertStellt sicher, dass ALB-Instanzen Löschschutz aktiviert haben.
alb-instance-multi-zoneALB-Instanz Multi-Zone-BereitstellungALB-Instanzen sollten für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen bereitgestellt werden. Wenn nur eine Zone ausgewählt wird, wirkt sich ein Zonenausfall auf die ALB-Instanz und die Geschäftsstabilität aus.
alb-instance-waf-enabledALB-Instanz hat WAF-SchutzStellt sicher, dass ALB-Instanzen WAF3 (Web Application Firewall) Schutz aktiviert haben.
alb-server-group-multi-serverALB-Servergruppe hat mehrere ServerStellt sicher, dass ALB-Servergruppen mindestens zwei Backend-Server für Hochverfügbarkeit enthalten.
alidns-route-53-mx-checkDNS MX-Eintrag hat gültiges SPF in zugehörigem TXT-EintragStellt sicher, dass MX-Einträge zugehörige TXT-Einträge mit gültigen SPF-Werten für die E-Mail-Validierung haben.
api-gateway-group-force-httpsAPI-Gateway-Gruppe HTTPS erzwingenStellt sicher, dass API-Gateway-Gruppen mit öffentlichen benutzerdefinierten Domains HTTPS-Force-Redirect aktiviert haben.
bastionhost-instance-expired-checkBastionHost-Instanz AblaufprüfungVorausbezahlte BastionHost-Instanzen sollten automatische Verlängerung aktiviert haben.
cdn-domain-multiple-origin-serversCDN-Domäne Mehrere UrsprungsserverCDN-Domänen sollten mit mehreren Ursprungsservern für Hochverfügbarkeit und Fehlertoleranz konfiguriert werden.
cr-instance-any-ip-access-checkCR-Instanz Kein Beliebiger IP-ZugriffStellt sicher, dass Container Registry-Instanzen keine beliebige IP (0.0.0.0/0) in ihrer Whitelist haben.
cr-repository-image-scanning-enabledCR-Instanz Bild-Scanning aktiviertStellt sicher, dass Container Registry-Instanzen Bild-Scanning für die Erkennung von Sicherheitslücken aktiviert haben.
cr-repository-type-privateCR-Repository-Typ privatStellt sicher, dass CR-Repositories auf PRIVATE gesetzt sind.
dcdn-domain-multiple-origin-serversDCDN-Domäne Mehrere UrsprungsserverDCDN-Domänen sollten mit mehreren Ursprungsservern für hohe Verfügbarkeit und Fehlertoleranz konfiguriert werden.
eci-containergroup-environment-no-specified-keysECI-Containergruppe enthält keine sensiblen UmgebungsvariablenStellt sicher, dass ECI-Containergruppen keine sensiblen Umgebungsvariablen wie Passwörter oder Zugriffsschlüssel haben.
ecs-available-disk-encryptedECS-Festplattenverschlüsselung aktiviertStellt sicher, dass alle ECS-Festplatten verschlüsselt sind.
ecs-instance-attached-security-groupECS-Instanz Sicherheitsgruppe angehängtWenn die ECS-Instanz in der angegebenen Sicherheitsgruppe enthalten ist, wird die Konfiguration als konform betrachtet.
ecs-instance-deletion-protection-enabledECS-Instanz Löschschutz aktiviertStellt sicher, dass ECS-Instanzen Löschschutz aktiviert haben.
ecs-instance-enabled-security-protectionECS-Instanz Sicherheitsschutz aktiviertStellt sicher, dass ECS-Instanzen Sicherheitsverbesserungsstrategie aktiviert haben.
ecs-instance-expired-checkECS-Vorauszahlungs-Instanz AblaufprüfungVorauszahlungs-Instanzen sollten automatische Verlängerung aktiviert haben, um Dienstunterbrechungen aufgrund von Ablauf zu vermeiden.
ecs-instance-no-public-ipECS-Instanz sollte keine öffentliche IP bindenECS-Instanzen sollten keine IPv4-öffentliche IP oder Elastic IP direkt binden, was als konform gilt.
ecs-launch-template-version-attach-security-groupECS-Startvorlagenversion fügt Sicherheitsgruppen hinzuECS-Startvorlagenversionen haben Sicherheitsgruppen für Instanzen konfiguriert, was als konform gilt.
ecs-running-instance-no-public-ipECS-Instanz Keine öffentliche IPECS-Instanzen sollten keine öffentliche IP-Adresse haben, um die direkte Internetexposition zu reduzieren.
ecs-security-group-egress-not-all-accessSicherheitsgruppe Egress nicht auf Vollzugriff gesetztDie Egress-Richtung der Sicherheitsgruppe sollte nicht so eingestellt werden, dass sie allen Zugriff erlaubt (alle Protokolle, alle Ports, alle Ziele).
ecs-security-group-not-internet-cidr-accessSicherheitsgruppe Ingress-Quell-IP enthält keine öffentliche IPSicherheitsgruppen-Ingress-Regeln mit Accept-Richtlinie sollten keine Quell-IP enthalten, die öffentliche Internet-IPs enthält.
ecs-security-group-not-open-all-portSicherheitsgruppe Ingress öffnet nicht alle PortsSicherheitsgruppen-Ingress-Regeln sollten nicht alle Ports erlauben. Wenn der Portbereich nicht auf -1/-1 gesetzt ist, wird dies als konform betrachtet.
ecs-security-group-not-open-all-protocolSicherheitsgruppe Ingress öffnet nicht alle ProtokolleSicherheitsgruppen-Ingress-Regeln sollten nicht alle Protokolle erlauben. Wenn der Protokolltyp nicht auf ALL gesetzt ist, wird dies als konform betrachtet.
ecs-security-group-risky-ports-check-with-protocolSicherheitsgruppe riskante Ports-Prüfung mit ProtokollWenn die Sicherheitsgruppen-Eingangsquelle auf 0.0.0.0/0 gesetzt ist, sollte der Portbereich keine riskanten Ports (22, 3389) für angegebene Protokolle (TCP/UDP) enthalten, um das Risiko von Brute-Force-Angriffen zu reduzieren.
ecs-security-group-white-list-port-checkSicherheitsgruppe Nicht-Whitelist-Port-Ingress-PrüfungAußer Whitelist-Ports (80) sollten andere Ports keine Ingress-Regeln haben, die Zugriff von 0.0.0.0/0 erlauben.
elasticsearch-instance-enabled-kibana-public-checkElasticsearch-Instanz Kibana aktiviert keinen öffentlichen ZugriffStellt sicher, dass Elasticsearch-Instanz Kibana nicht von öffentlichen Netzwerken aus zugänglich ist.
elasticsearch-instance-enabled-public-checkElasticsearch-Instanz aktiviert keinen öffentlichen ZugriffStellt sicher, dass Elasticsearch-Instanzen nicht von öffentlichen Netzwerken aus zugänglich sind.
elasticsearch-instance-node-not-use-specified-specElasticsearch-Instanz verwendet keine veraltete SpezifikationStellt sicher, dass Elasticsearch-Instanzen keine veralteten oder nicht unterstützten Knotenspezifikationen verwenden.
elasticsearch-instance-version-not-deprecatedElasticsearch-Instanz verwendet keine veraltete VersionStellt sicher, dass Elasticsearch-Instanzen keine veralteten oder EOL-Versionen verwenden.
elasticsearch-public-and-any-ip-access-checkElasticsearch Öffentlicher und Beliebiger IP-Zugriff PrüfungStellt sicher, dass Elasticsearch-Instanzen keinen öffentlichen Zugriff aktiviert haben oder eine offene Whitelist haben.
ess-scaling-configuration-data-disk-encryptedESS-Skalierungskonfiguration DatenfestplattenverschlüsselungESS-Skalierungskonfigurationen sollten Datenfestplattenverschlüsselung aktivieren, um ruhende Daten zu schützen.
ess-scaling-configuration-sg-public-accessESS-Skalierungskonfiguration Sicherheitsgruppe Öffentlicher ZugriffESS-Skalierungskonfigurations-Sicherheitsgruppen sollten keinen Zugriff von 0.0.0.0/0 zulassen, um unbefugten Zugriff zu verhindern.
ess-scaling-configuration-system-disk-encryptedESS-Skalierungskonfiguration System-Disk-VerschlüsselungESS-Skalierungskonfigurationen sollten System-Disk-Verschlüsselung aktivieren, um Systemdaten im Ruhezustand zu schützen.
fc-function-runtime-checkFC-FunktionslaufzeitprüfungFC-Funktionen sollten keine veralteten Laufzeiten verwenden, die Sicherheitslücken haben können.
fc-trigger-http-not-anonymousFC HTTP-Trigger AuthentifizierungsprüfungFC HTTP-Trigger sollten Authentifizierung erfordern, um unbefugten Zugriff zu verhindern.
gpdb-instance-disk-encryption-enabledGPDB-Disk-Verschlüsselung aktiviertStellt sicher, dass GPDB-Instanzen Disk-Verschlüsselung aktiviert haben.
hbase-cluster-expired-checkHBase-Cluster-AblaufprüfungVorausbezahlte HBase-Cluster sollten automatische Verlängerung aktiviert haben.
hbase-cluster-ha-checkHBase-Cluster HA aktiviertStellt sicher, dass HBase-Cluster für hohe Verfügbarkeit (HA) konfiguriert sind.
kafka-instance-disk-encryptedKafka-Instanz Festplatte verschlüsseltKafka-Instanz sollte während der Bereitstellung Festplattenverschlüsselung für den Datenschutz aktiviert haben.
kafka-instance-public-access-checkKafka Öffentlicher Zugriff deaktiviertStellt sicher, dass Kafka-Instanzen keinen öffentlichen Netzwerkzugriff haben.
maxcompute-project-encryption-enabledMaxCompute-Projekt Verschlüsselung aktiviertStellt sicher, dass MaxCompute-Projekte Verschlüsselung aktiviert haben, um gespeicherte Daten zu schützen.
maxcompute-project-ip-whitelist-enabledMaxCompute-Projekt IP-Whitelist aktiviertStellt sicher, dass MaxCompute-Projekte eine IP-Whitelist konfiguriert haben, um den Zugriff einzuschränken.
mongodb-cluster-expired-checkMongoDB-Instanz-AblaufprüfungVorausbezahlte MongoDB-Instanzen sollten automatische Verlängerung aktiviert haben.
mongodb-instance-class-not-sharedMongoDB-Instanz verwendet dedizierte KlasseStellt sicher, dass MongoDB-Instanzen dedizierte oder exklusive Instanzklassen verwenden, keine gemeinsam genutzten Instanzen.
mongodb-min-maxconnections-limitMongoDB erfüllt MindestverbindungsanforderungenStellt sicher, dass MongoDB-Instanzen mindestens die erforderliche Mindestanzahl von Verbindungen bereitstellen.
mongodb-min-maxiops-limitMongoDB erfüllt Mindest-IOPS-AnforderungenStellt sicher, dass MongoDB-Instanzen mindestens die erforderliche Mindest-IOPS bereitstellen.
mongodb-public-access-checkMongoDB-Whitelist Internet-EinschränkungStellt sicher, dass MongoDB-Sicherheits-IP-Whitelists 0.0.0.0/0 nicht enthalten.
mongodb-public-and-any-ip-access-checkMongoDB öffentlicher und beliebiger IP-Zugriff-PrüfungStellt sicher, dass MongoDB-Instanzen keine offene Whitelist (0.0.0.0/0) haben.
mse-cluster-architecture-checkMSE-Cluster hat mehrere KnotenStellt sicher, dass MSE (Microservice Engine)-Cluster mehr als 3 Knoten für hohe Verfügbarkeit haben.
mse-cluster-internet-checkMSE-Cluster hat keinen öffentlichen InternetzugriffStellt sicher, dass MSE-Cluster keinen öffentlichen Internetzugriff aktiviert haben.
mse-gateway-architecture-checkMSE-Gateway hat mehrere KnotenStellt sicher, dass MSE (Microservice Engine)-Gateways mehr als 1 Knoten für hohe Verfügbarkeit haben.
nas-access-group-public-access-checkNAS-Zugriffsgruppe IP-BeschränkungStellt sicher, dass NAS-Zugriffsregeln 0.0.0.0/0 nicht erlauben.
nat-risk-ports-checkNAT-Gateway-Risikoport-PrüfungNAT-Gateway-DNAT-Mappings sollten keine riskanten Ports dem Internet aussetzen, um Sicherheitslücken zu verhindern.
oss-bucket-anonymous-prohibitedOSS-Bucket anonyme Zugriffe verbotenStellt sicher, dass anonyme Zugriffe für den OSS-Bucket verboten sind.
oss-bucket-only-https-enabledOSS-Bucket nur HTTPS aktiviertOSS-Bucket sollte eine Richtlinie haben, die Nicht-HTTPS-Anfragen ablehnt, um die Datentransportsicherheit zu gewährleisten.
oss-bucket-policy-no-any-anonymousOSS-Bucket-Richtlinie gewährt anonymen Benutzern keine BerechtigungenOSS-Bucket-Richtlinie gewährt anonymen Benutzern keine Lese- oder Schreibberechtigungen.
oss-bucket-policy-outside-organization-checkOSS-Bucket-Richtlinie kein Zugriff außerhalb der OrganisationStellt sicher, dass OSS-Bucket-Richtlinien keinen Zugriff auf Prinzipalen außerhalb der Organisation gewähren.
oss-bucket-public-read-prohibitedOSS-Bucket öffentliches Lesen verbotenOSS-Buckets sollten keinen öffentlichen Lesezugriff zulassen, es sei denn, dies ist ausdrücklich erforderlich. Öffentlicher Lesezugriff ermöglicht es jedem, auf Objekte im Bucket zuzugreifen und sie herunterzuladen.
oss-bucket-public-write-prohibitedOSS-Bucket öffentliches Schreiben verbotenOSS-Buckets sollten keinen öffentlichen Schreibzugriff zulassen. Öffentlicher Schreibzugriff ermöglicht es jedem, Objekte im Bucket hochzuladen, zu ändern oder zu löschen, was erhebliche Sicherheitsrisiken birgt.
oss-bucket-server-side-encryption-enabledOSS-Bucket-Serverseitige-Verschlüsselung aktiviertOSS-Buckets sollten serverseitige Verschlüsselung aktiviert haben, um ruhende Daten zu schützen. Die serverseitige Verschlüsselung verwendet KMS oder AES256, um in OSS gespeicherte Daten zu verschlüsseln.
parameter-sensitive-noecho-checkSensible Parameter müssen NoEcho habenVorlagenparameter, die sensible Informationen (Passwörter, API-Schlüssel, Geheimnisse) enthalten, müssen geschützt werden, indem NoEcho auf true gesetzt oder gültige AssociationProperty-Werte verwendet werden, um zu verhindern, dass sie im Klartext angezeigt werden.
polardb-cluster-enabled-tdePolarDB-Cluster TDE aktiviertStellt sicher, dass PolarDB-Cluster Transparent Data Encryption (TDE) aktiviert haben.
polardb-cluster-expired-checkPolarDB-Cluster AblaufprüfungVorausbezahlte PolarDB-Cluster sollten automatische Verlängerung aktiviert haben.
polardb-public-access-checkPolarDB Öffentlicher ZugriffsprüfungStellt sicher, dass die PolarDB-IP-Whitelist nicht auf 0.0.0.0/0 gesetzt ist.
polardb-public-and-any-ip-access-checkPolarDB öffentlicher und beliebiger IP-Zugriff-PrüfungStellt sicher, dass PolarDB-Cluster keine öffentlichen Endpunkte haben und nicht für beliebige IP-Adressen (0.0.0.0/0) geöffnet sind.
ram-policy-no-statements-with-admin-access-checkRAM-Richtlinie kein Admin-ZugriffStellt sicher, dass benutzerdefinierte RAM-Richtlinien keinen vollständigen AdministratorAccess gewähren.
ram-user-mfa-checkRAM-Benutzer MFA aktiviertRAM-Benutzer mit Konsolenzugriff sollten Multi-Faktor-Authentifizierung (MFA) aktiviert haben.
rds-instance-enabled-disk-encryptionRDS-Instanz-Disk-Verschlüsselung aktiviertStellt sicher, dass RDS-Instanzen Disk-Verschlüsselung aktiviert haben.
rds-instance-expired-checkRDS Vorausbezahlte Instanz AblaufprüfungVorausbezahlte RDS-Instanzen sollten automatische Verlängerung aktiviert haben.
rds-public-access-checkRDS-Instanz öffentlicher Zugriff PrüfungRDS-Instanzen sollten nicht mit öffentlichen Netzwerkadressen konfiguriert werden. Öffentlicher Zugriff setzt Datenbanken potenziellen Sicherheitsbedrohungen aus dem Internet aus.
rds-public-connection-and-any-ip-access-checkRDS öffentliche Verbindung und beliebige IP-Zugriff-PrüfungStellt sicher, dass RDS-Instanzen mit öffentlichen Verbindungen keine Whitelist haben, die für alle IPs geöffnet ist.
rds-white-list-internet-ip-access-checkRDS-Whitelist Internet-EinschränkungStellt sicher, dass RDS-Sicherheits-IP-Whitelists 0.0.0.0/0 nicht enthalten.
redis-instance-expired-checkRedis Vorausbezahlte Instanz AblaufprüfungVorausbezahlte Redis-Instanzen sollten automatische Verlängerung aktiviert haben.
redis-instance-no-public-ipRedis-Instanz ohne öffentliche IPStellt sicher, dass der Redis-Instanz keine öffentliche IP zugewiesen ist.
redis-instance-open-auth-modeRedis-Authentifizierungsmodus aktiviertStellt sicher, dass Redis-Instanzen Authentifizierung erfordern und sich nicht im 'kein Passwort'-Modus befinden.
redis-public-and-any-ip-access-checkRedis öffentlicher und beliebiger IP-Zugriff-PrüfungStellt sicher, dass Redis-Instanzen keinen öffentlichen Zugriff aktiviert haben oder eine offene Whitelist haben.
root-ak-checkRoot-Benutzer AccessKey-PrüfungStellt sicher, dass das Root-Konto keine aktiven AccessKeys hat.
root-mfa-checkRoot-Benutzer MFA-PrüfungStellt sicher, dass die Multi-Faktor-Authentifizierung (MFA) für das Root-Konto aktiviert ist.
sg-public-access-checkSicherheitsgruppe Ingress gültigSicherheitsgruppen-Ingress-Regeln sollten nicht gleichzeitig alle Ports (-1/-1) von allen Quellen (0.0.0.0/0) erlauben.
sg-risky-ports-checkSicherheitsgruppe öffnet keine riskanten Ports für 0.0.0.0/0Wenn die Quelle der Sicherheitsgruppen-Eingangsregel auf 0.0.0.0/0 gesetzt ist, sollte der Portbereich keine angegebenen riskanten Ports enthalten, was als konform gilt. Wenn die Quelle nicht 0.0.0.0/0 ist, ist es konform, auch wenn riskante Ports enthalten sind.
slb-acl-public-access-checkSLB ACL öffentlicher Zugriff-PrüfungStellt sicher, dass SLB ACLs 0.0.0.0/0 nicht enthalten, um uneingeschränkten öffentlichen Zugriff zu verhindern.
slb-all-listener-health-check-enabledSLB Alle Listener Gesundheitsprüfung aktiviertStellt sicher, dass alle SLB-Listener Gesundheitsprüfungen aktiviert haben.
slb-all-listener-servers-multi-zoneSLB Multi-Zone mit Multi-Zone-Backend-ServernSLB-Instanzen sollten Multi-Zone sein, und alle von Listenern verwendeten Servergruppen sollten Ressourcen aus mehreren Zonen hinzugefügt haben.
slb-delete-protection-enabledSLB-Instanz-Löschschutz aktiviertStellt sicher, dass SLB-Instanzen den Löschschutz aktiviert haben.
slb-listener-risk-ports-checkSLB Listener Risiko-Ports-PrüfungStellt sicher, dass SLB-Listener keine Hochrisiko-Ports wie 22 oder 3389 freigeben.
transit-router-vpc-attachment-multi-zoneTransit Router VPC-Anhang Multi-Zonen-KonfigurationTransit Router VPC-Anhänge sollten mit vSwitches in mindestens zwei verschiedenen Verfügbarkeitszonen für regionsübergreifende Hochverfügbarkeit konfiguriert werden.
tsdb-instance-security-ip-checkTSDB-Instanz erlaubt keinen IP-ZugriffStellt sicher, dass TSDB-Instanzen keine Sicherheits-Whitelists haben, die alle IPs erlauben.
use-waf-instance-for-security-protectionVerwenden Sie WAF für SicherheitsschutzWeb Application Firewall (WAF) sollte verwendet werden, um Websites und Apps vor webbasierten Angriffen zu schützen.
vpc-network-acl-risky-ports-checkVPC-Netzwerk-ACL Risikoport-PrüfungStellt sicher, dass VPC-Netzwerk-ACLs keinen uneingeschränkten Zugriff auf riskante Ports (22, 3389) erlauben.

Mittel Schweregrad (179 Regeln)

Regel-IDNameBeschreibung
ack-cluster-encryption-enabledACK-Cluster Secret-Verschlüsselung aktiviertACK Pro-Cluster sollten Secret-Verschlüsselung im Ruhezustand mit KMS aktiviert haben.
ack-cluster-inspect-kubelet-version-outdate-checkACK Kubelet VersionsprüfungStellt sicher, dass die Kubelet-Version im ACK-Cluster auf dem neuesten Stand ist.
ack-cluster-log-plugin-installedACK-Cluster Log-Plugin installiertStellt sicher, dass das log-service-Addon im ACK-Cluster installiert ist.
ack-cluster-rrsa-enabledACK-Cluster RRSA aktiviertStellt sicher, dass die RAM Roles for Service Accounts (RRSA)-Funktion für den ACK-Cluster aktiviert ist.
ack-cluster-supported-versionACK-Cluster Unterstützte VersionStellt sicher, dass der ACK-Cluster eine unterstützte Version ausführt.
ack-cluster-upgrade-latest-versionACK-Cluster auf neueste Version aktualisiertStellt sicher, dass der ACK-Cluster die neueste verfügbare Version ausführt.
adb-cluster-multi-zoneADB-Cluster Multi-Zonen-BereitstellungDer ADB-Cluster sollte im Multi-Zonen-Modus bereitgestellt werden.
alb-all-listenter-has-serverALB-Listener hat Backend-ServerStellt sicher, dass alle ALB-Listener einer nicht leeren Servergruppe zugeordnet sind.
alb-instance-bind-security-group-or-enabled-aclALB-Instanz Sicherheitsgruppe binden oder ACL aktivierenALB-Instanz sollte Sicherheitsgruppen zugeordnet haben oder ACL für alle laufenden Listener konfiguriert haben.
alb-server-group-multi-zoneALB-Servergruppe Multi-Zone-VerteilungALB-Servergruppen sollten Backend-Server über mehrere Verfügbarkeitszonen verteilt haben, um Hochverfügbarkeit zu gewährleisten. Diese Regel gilt nicht für Servergruppen ohne angehängte Server oder für IP/Function Compute-Typ-Servergruppen.
alidns-domain-regex-matchAlibaba Cloud DNS-Domänennamen entsprechen NamenskonventionStellt sicher, dass Alibaba Cloud DNS-Domänennamen dem angegebenen Namenskonventions-Regex entsprechen.
api-gateway-api-auth-jwtAPI Gateway API-Authentifizierung JWTStellt sicher, dass API Gateway APIs JWT-Authentifizierung verwenden.
api-gateway-api-auth-requiredAPI Gateway API-Authentifizierung erforderlichStellt sicher, dass API Gateway APIs Authentifizierung konfiguriert haben.
api-gateway-api-internet-request-httpsAPI Gateway Internet-Anfrage HTTPS aktiviertStellt sicher, dass API Gateway APIs, die dem Internet ausgesetzt sind, das HTTPS-Protokoll verwenden.
api-gateway-api-visibility-privateAPI-Gateway-API-Sichtbarkeit privatStellt sicher, dass API-Gateway-APIs auf PRIVATE-Sichtbarkeit gesetzt sind.
api-gateway-group-bind-domainAPI-Gateway-Gruppe Domain bindenStellt sicher, dass API-Gateway-Gruppen benutzerdefinierte Domains gebunden haben.
api-gateway-group-enabled-sslAPI-Gateway-Gruppe SSL aktiviertStellt sicher, dass SSL für API-Gateway-Gruppen aktiviert ist.
api-gateway-group-https-policy-checkAPI Gateway Gruppe HTTPS-RichtlinienprüfungStellt sicher, dass API Gateway-Gruppen die HTTPS-Sicherheitsrichtlinie korrekt gesetzt haben.
api-gateway-group-log-enabledAPI Gateway Gruppe Log aktiviertStellt sicher, dass API Gateway-Gruppen Protokollierung konfiguriert haben.
apigateway-instance-multi-zoneAPI Gateway-Instanz Multi-Zonen-BereitstellungAPI Gateway-Instanzen sollten in Multi-Zonen-Konfiguration für Hochverfügbarkeit bereitgestellt werden.
bastionhost-instance-spec-checkBastionHost-Instanz Multi-Zone-SpezifikationsprüfungDie BastionHost-Instanz sollte die Enterprise-Version verwenden, die Multi-Zone-Bereitstellung unterstützt.
cen-cross-region-bandwidth-checkCEN Cross-Region BandbreitenprüfungCEN-Instanz Cross-Region-Verbindungen sollten ausreichende Bandbreitenzuweisung haben, um Leistungsanforderungen zu erfüllen.
clickhouse-dbcluster-multi-zoneClickHouse DBCluster Multi-Zone-BereitstellungClickHouse-Cluster sollten die HighAvailability (Double-Replica) Edition für Multi-Zone-Bereitstellung verwenden. Hinweis: Dies gilt nur für die Community-Edition.
cr-instance-multi-zoneCR-Instanz mit zonenredundantem OSS-BucketContainer Registry-Instanzen sollten mit zonenredundanten OSS-Buckets für Hochverfügbarkeit verknüpft werden.
ecs-disk-all-encrypted-by-kmsECS-Festplatte mit KMS-Verschlüsselung aktiviertECS-Festplatten (einschließlich Systemfestplatte und Datenträger) sind mit KMS verschlüsselt, was als konform gilt.
ecs-disk-encryptedECS-Datendisk-Verschlüsselung aktiviertECS-Datendisk hat Verschlüsselung aktiviert, wird als konform betrachtet.
ecs-disk-in-useECS-Festplatte ist in VerwendungECS-Festplatten sind an eine Instanz angehängt oder im Gebrauchszustand, was als konform gilt. Verfügbare oder nicht angehängte Festplatten können inaktive Ressourcen sein.
ecs-disk-retain-auto-snapshotAutomatische Momentaufnahme beibehalten, wenn ECS-Festplatte freigegeben wirdKonfigurieren Sie ECS-Festplatten so, dass automatische Momentaufnahmen beim Freigeben beibehalten werden, was als konform gilt. Dies hilft, Daten vor versehentlichem Löschen zu schützen.
ecs-in-use-disk-encryptedECS-Disk-Verschlüsselung in VerwendungECS-Datendisks sollten Verschlüsselung aktiviert haben, um ruhende Daten zu schützen. Verschlüsselte Disks verwenden KMS-Schlüssel zur Datenverschlüsselung und gewährleisten Datensicherheit und Compliance mit regulatorischen Anforderungen.
ecs-instance-auto-renewal-enabledECS-Abonnement-Instanz hat automatische Verlängerung aktiviertECS-Abonnement-Instanzen (vorausbezahlt) haben automatische Verlängerung aktiviert, werden als konform betrachtet. Pay-as-you-go-Instanzen sind nicht anwendbar.
ecs-instance-image-expired-checkECS-Instanz Bild-AblaufprüfungStellt sicher, dass das von der ECS-Instanz verwendete Bild nicht abgelaufen ist.
ecs-instance-image-type-checkECS-Instanz Bildtyp-PrüfungStellt sicher, dass ECS-Instanzen Bilder aus autorisierten Quellen verwenden.
ecs-instance-login-use-keypairECS-Instanz-Anmeldung mit SchlüsselpaarStellt sicher, dass ECS-Instanzen Schlüsselpaare für die Anmeldung verwenden, anstatt Passwörter.
ecs-instance-meta-data-mode-checkECS-Instanz-Metadatenzugriff verwendet sicherheitsverbesserten Modus (IMDSv2)Beim Zugriff auf ECS-Instanz-Metadaten wird der sicherheitsverbesserte Modus (IMDSv2) erzwungen, wird als konform betrachtet. Mit ACK-Clustern verbundene Instanzen sind nicht anwendbar.
ecs-instance-no-public-and-anyipECS-Instanz sollte kein öffentliches IP binden oder Zugriff von beliebigen IPs zulassenECS-Instanzen sollten keine IPv4-öffentlichen IPs oder elastischen IPs direkt binden, und zugehörige Sicherheitsgruppen sollten 0.0.0.0/0 nicht freigeben. Konform, wenn keine öffentliche IP gebunden ist.
ecs-instance-not-bind-key-pairECS-Instanz nicht an Schlüsselpaar gebundenStellt sicher, dass ECS-Instanzen Schlüsselpaare für die Authentifizierung verwenden, anstatt Passwörter.
ecs-instance-type-family-not-deprecatedECS-Instanztyp nicht veraltetStellt sicher, dass ECS-Instanzen keine veralteten oder Legacy-Instanztypen verwenden.
ecs-instances-in-vpcECS-Instanzen in VPCECS-Instanzen sollten in VPC (Virtual Private Cloud) Netzwerken und nicht in klassischen Netzwerken bereitgestellt werden. VPC bietet bessere Netzwerkisolation, Sicherheit und Flexibilität.
ecs-internetmaxbandwidth-checkECS-Internet Max-BandbreitenprüfungStellt sicher, dass die ausgehende Internet-Bandbreite von ECS die angegebenen Grenzwerte nicht überschreitet.
ecs-launch-template-network-type-checkECS-Startvorlage verwendet VPC-NetzwerktypECS-Startvorlagenversionen haben den Netzwerktyp auf VPC gesetzt, was als konform gilt. Der klassische Netzwerktyp wird für Produktionsumgebungen nicht empfohlen.
ecs-launch-template-version-data-disk-encryptedECS-Startvorlagenversion aktiviert DatenfestplattenverschlüsselungAlle in ECS-Startvorlagenversionen konfigurierten Datenfestplatten sind verschlüsselt und gelten als konform.
ecs-launch-template-version-image-type-checkStartvorlage BildtypprüfungStellt sicher, dass ECS-Startvorlagen autorisierte Bildtypen verwenden.
ecs-running-instances-in-vpcLaufende ECS-Instanzen sind in VPCLaufende ECS-Instanzen sind in Virtual Private Cloud (VPC) bereitgestellt, werden als konform betrachtet. Dies bietet Netzwerkisolation und verbesserte Sicherheit.
ecs-snapshot-policy-timepoints-checkECS-Automatische Momentaufnahme-Richtlinien-Zeitpunkte angemessen konfiguriertDie Zeitpunkte für die Momentaufnahmeerstellung in der automatischen Momentaufnahme-Richtlinie liegen innerhalb des angegebenen Zeitbereichs und gelten als konform. Das Erstellen von Momentaufnahmen reduziert vorübergehend die Block-Speicher-I/O-Leistung, wobei die Leistungsunterschiede im Allgemeinen innerhalb von 10% liegen und kurze Verlangsamungen verursachen. Es wird empfohlen, Zeitpunkte zu wählen, die Geschäftsspitzenzeiten vermeiden.
eip-delete-protection-enabledEIP-Löschschutz aktiviertStellt sicher, dass EIP-Instanzen Löschschutz aktiviert haben.
elasticsearch-instance-enabled-data-node-encryptionElasticsearch-Datenknoten-Verschlüsselung aktiviertStellt sicher, dass Datenknoten in der Elasticsearch-Instanz Disk-Verschlüsselung aktiviert haben.
elasticsearch-instance-enabled-node-config-disk-encryptionES-Knoten-Konfiguration FestplattenverschlüsselungStellt sicher, dass Elasticsearch-Elastikknoten-Konfigurationen Festplattenverschlüsselung aktiviert haben.
elasticsearch-instance-multi-zoneElasticsearch-Instanz Multi-Zonen-BereitstellungElasticsearch-Instanzen sollten über mehrere Verfügbarkeitszonen hinweg bereitgestellt werden.
emr-cluster-master-public-access-checkEMR-Cluster-Master-Knoten öffentlicher ZugriffsprüfungEMR on ECS-Cluster-Master-Knoten sollten keine öffentliche IP aktiviert haben.
ess-group-health-checkESS-Skalierungsgruppe GesundheitsprüfungESS-Skalierungsgruppen sollten ECS-Instanz-Gesundheitsprüfung aktivieren, um sicherzustellen, dass nur gesunde Instanzen im Dienst sind.
ess-scaling-configuration-attach-security-groupESS-Skalierungskonfiguration SicherheitsgruppeESS-Skalierungskonfigurationen sollten Sicherheitsgruppen an Instanzen anhängen, um ordnungsgemäße Netzwerkisolation und Zugriffskontrolle zu gewährleisten.
ess-scaling-configuration-enabled-internet-checkESS-Skalierungskonfiguration InternetzugriffsprüfungStellt sicher, dass ESS-Skalierungskonfigurationen keine öffentlichen IP-Adressen für Instanzen aktivieren, es sei denn, es ist notwendig.
ess-scaling-configuration-image-checkESS-Skalierungskonfiguration BildprüfungESS-Skalierungskonfigurationen sollten gewartete Images verwenden, um Sicherheit und Stabilität zu gewährleisten.
ess-scaling-configuration-image-type-checkESS-Skalierungskonfiguration Bildtyp-PrüfungESS-Skalierungskonfigurationen sollten Bilder aus angegebenen Quellen für bessere Sicherheit und Verwaltung verwenden.
ess-scaling-group-attach-multi-switchESS-Skalierungsgruppe Multi-VSwitchESS-Skalierungsgruppen sollten für Hochverfügbarkeit über mehrere Zonen hinweg mit mindestens zwei VSwitches verknüpft sein.
ess-scaling-group-attach-slbESS-Skalierungsgruppe SLB anhängenESS-Skalierungsgruppen sollten an Classic Load Balancer (SLB) angehängt werden, um eine ordnungsgemäße Verkehrsverteilung zu gewährleisten.
ess-scaling-group-loadbalancer-checkESS-Skalierungsgruppe Load Balancer ExistenzprüfungESS-Skalierungsgruppen sollten an vorhandene und aktive Load Balancer-Instanzen angehängt werden, um eine ordnungsgemäße Datenverteilung zu gewährleisten.
fc-function-custom-domain-and-cert-enableFC-Funktion Benutzerdefinierte Domäne ZertifikatsprüfungFC-benutzerdefinierte Domänen sollten SSL-Zertifikate für sichere Kommunikation konfiguriert haben.
fc-function-custom-domain-and-https-enableFC-Funktion Benutzerdefinierte Domain HTTPS-PrüfungFC-Benutzerdefinierte Domains sollten HTTPS für sichere Kommunikation aktiviert haben.
fc-function-custom-domain-and-tls-enableFC-Funktion Benutzerdefinierte Domain und TLS aktiviertStellt sicher, dass benutzerdefinierte Domains für Function Compute-Funktionen TLS aktiviert haben.
fc-function-internet-and-custom-domain-enableFC-Service Internetzugang mit benutzerdefinierter DomäneFC-Services mit Internetzugang sollten an benutzerdefinierte Domänen gebunden werden, um ordnungsgemäße Zugriffskontrolle zu gewährleisten.
fc-function-settings-checkFC-FunktionseinstellungsprüfungFC-Funktionseinstellungen sollten die angegebenen Anforderungen für optimale Leistung und Sicherheit erfüllen.
fc-service-bind-roleFC-Service an RAM-Rolle gebundenStellt sicher, dass der Function Compute-Service eine RAM-Rolle gebunden hat.
fc-service-internet-access-disableFC-Service Internetzugriff deaktiviertStellt sicher, dass der Function Compute-Service Internetzugriff deaktiviert hat, wenn er nur auf interne Ressourcen zugreifen sollte.
fc-service-log-enableFC-Service Protokoll aktivierenFC-Services sollten Protokollierung für Überwachung und Fehlerbehebung aktiviert haben.
fc-service-tracing-enableFC-Service Tracing aktivierenFC-Services sollten Tracing für Leistungsüberwachung und Debugging aktiviert haben.
fc-service-vpc-bindingFC-Service VPC-Bindung aktiviertStellt sicher, dass der Function Compute-Service so konfiguriert ist, dass er auf Ressourcen innerhalb eines VPC zugreift.
firewall-asset-open-protectCloud-Firewall-Asset-Schutz aktiviertStellt sicher, dass Assets durch Cloud Firewall geschützt sind.
gpdb-instance-multi-zoneGPDB-Instanz Multi-Zone-BereitstellungGPDB-Instanzen sollten mit einer Standby-Zone für Hochverfügbarkeit bereitgestellt werden.
gwlb-loadbalancer-multi-zoneGWLB-LoadBalancer Multi-Zone-BereitstellungGWLB-LoadBalancer-Instanzen sollten für hohe Verfügbarkeit über mindestens zwei Verfügbarkeitszonen hinweg bereitgestellt werden.
hbase-cluster-deletion-protectionHBase-Cluster Löschschutz aktiviertStellt sicher, dass HBase-Cluster Löschschutz aktiviert haben.
hbase-cluster-in-vpcHBase-Cluster im VPCStellt sicher, dass der HBase-Cluster innerhalb eines VPC bereitgestellt wird.
hbase-cluster-multi-zoneHBase-Cluster Multi-Zonen-BereitstellungHBase-Cluster sollten im Clustermodus mit mindestens 2 Knoten für Hochverfügbarkeit bereitgestellt werden.
internet-nat-gateway-in-specified-vpcInternet-NAT-Gateway im angegebenen VPCInternetorientierte NAT-Gateways sollten gemäß Netzwerksicherheitsanforderungen in angegebenen VPCs erstellt werden.
intranet-nat-gateway-in-specified-vpcIntranet NAT-Gateway im angegebenen VPCIntranet-NAT-Gateways sollten gemäß den Netzwerksicherheitsanforderungen in angegebenen VPCs erstellt werden.
kafka-instance-multi-zoneKafka-Instanz Multi-Zone-BereitstellungKafka-Instanzen sollten für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen hinweg bereitgestellt werden.
kms-instance-multi-zoneKMS-Instanz Multi-Zone-BereitstellungKMS-Instanzen sollten für hohe Verfügbarkeit und Disaster Recovery über mindestens zwei Verfügbarkeitszonen hinweg bereitgestellt werden.
kms-key-delete-protection-enabledKMS-Schlüssel-Löschschutz aktiviertKMS-Masterschlüssel hat Löschschutz aktiviert, gilt als konform. Schlüssel, die nicht im aktivierten Status sind, und Dienstschlüssel (die nicht gelöscht werden können) sind nicht anwendbar.
kms-key-rotation-enabledKMS-Schlüssel automatische Rotation aktiviertKMS-Benutzer-Hauptschlüssel hat automatische Rotation aktiviert, wird als konform betrachtet. Dienstschlüssel und extern importierte Schlüssel sind nicht anwendbar.
kms-secret-rotation-enabledKMS-Geheimnis automatische Rotation aktiviertKMS-Geheimnis hat automatische Rotation aktiviert, wird als konform betrachtet. Generische Geheimnisse sind nicht anwendbar.
lindorm-instance-in-vpcLindorm in VPC-PrüfungStellt sicher, dass Lindorm-Instanzen innerhalb eines VPC bereitgestellt werden.
lindorm-instance-multi-zoneLindorm-Instanz Multi-Zone-BereitstellungLindorm-Instanzen sollten für Multi-Zone-Bereitstellung mit mindestens 4 LindormTable-Knoten für Hochverfügbarkeit konfiguriert werden.
mongodb-instance-enabled-sslMongoDB-Instanz SSL aktiviertStellt sicher, dass MongoDB-Instanzen SSL-Verschlüsselung aktiviert haben.
mongodb-instance-encryption-byok-checkMongoDB-Instanz verwendet benutzerdefinierten Schlüssel für TDEStellt sicher, dass MongoDB-Instanzen benutzerdefinierte KMS-Schlüssel für Transparent Data Encryption (TDE) verwenden.
mongodb-instance-in-vpcMongoDB-Instanz verwendet VPC-NetzwerkStellt sicher, dass MongoDB-Instanzen in einem Virtual Private Cloud (VPC)-Netzwerk bereitgestellt werden.
mongodb-instance-log-auditMongoDB-Instanz Protokollprüfung aktiviertStellt sicher, dass MongoDB-Instanzen Protokollprüfung aktiviert haben.
mongodb-instance-multi-nodeMongoDB-Instanz verwendet mehrere KnotenStellt sicher, dass MongoDB-Instanzen mit mehreren Knoten für Hochverfügbarkeit bereitgestellt werden.
mongodb-instance-multi-zoneMongoDB-Instanz Multi-Zone-BereitstellungMongoDB-Instanzen sollten über mehrere Verfügbarkeitszonen hinweg für Hochverfügbarkeit bereitgestellt werden.
mongodb-instance-release-protectionMongoDB-Instanz Freigabeschutz aktiviertStellt sicher, dass MongoDB-Instanzen Freigabeschutz aktiviert haben.
mse-cluster-config-auth-enabledMSE-Cluster Config Auth aktiviertStellt sicher, dass das Konfigurationszentrum des Microservices Engine (MSE)-Clusters Authentifizierung aktiviert hat.
mse-cluster-multi-availability-area-architecture-checkMSE-Cluster HochverfügbarkeitskonfigurationMSE-Cluster sollten die Professional Edition mit mindestens 3 Instanzen (ungerade Zahl) für Hochverfügbarkeit verwenden.
mse-cluster-stable-version-checkMSE-Cluster verwendet stabile VersionStellt sicher, dass die MSE-Cluster-Engine-Version größer als die minimale stabile Version ist.
mse-gateway-multi-availability-area-architecture-checkMSE-Gateway Multi-Verfügbarkeitszonen-BereitstellungMSE-Gateways sollten durch Konfigurieren eines Backup-VSwitch über mehrere Verfügbarkeitszonen hinweg bereitgestellt werden.
nas-filesystem-mount-target-access-group-checkNAS-Mount-Ziel ZugriffsgruppenprüfungStellt sicher, dass NAS-Mount-Ziele 'DEFAULT_VPC_GROUP_NAME' nicht verwenden.
natgateway-delete-protection-enabledNAT-Gateway Löschschutz aktiviertStellt sicher, dass NAT-Gateways Löschschutz aktiviert haben.
natgateway-eip-used-checkNAT-Gateway EIP-VerwendungsprüfungSNAT und DNAT sollten nicht dasselbe EIP verwenden, um potenzielle Konflikte zu vermeiden und die Netzwerksegmentierung zu verbessern.
natgateway-snat-eip-bandwidth-checkNAT-Gateway SNAT EIP-BandbreitenkonsistenzWenn SNAT-Einträge an mehrere EIPs gebunden sind, sollten die Bandbreiten-Peak-Einstellungen konsistent sein oder sie sollten zu einem gemeinsamen Bandbreitenpaket hinzugefügt werden.
nlb-loadbalancer-multi-zoneNLB LoadBalancer Multi-Zonen-BereitstellungNLB LoadBalancer-Instanzen sollten über mindestens zwei Verfügbarkeitszonen für Hochverfügbarkeit bereitgestellt werden.
nlb-server-group-multi-zoneNLB-Server-Gruppe Multi-Zone-VerteilungNLB-Server-Gruppen sollten Backend-Server für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen verteilt haben. Diese Regel gilt nicht für Server-Gruppen ohne angehängte Server oder für IP-Typ-Server-Gruppen.
oss-bucket-authorize-specified-ipOSS-Bucket autorisiert angegebene IPStellt sicher, dass OSS-Bucket-Richtlinien den Zugriff auf angegebene IP-Bereiche einschränken.
oss-bucket-backup-enableOSS-Backup aktiviertStellt sicher, dass OSS-Buckets Backup oder Versionskontrolle aktiviert haben.
oss-bucket-logging-enabledOSS-Bucket Protokollierung aktiviertOSS-Buckets sollten Protokollierung aktiviert haben, um Zugriffe und Vorgänge zu verfolgen. Die Protokollierung hilft bei Sicherheitsaudits, Fehlerbehebung und Compliance-Anforderungen.
oss-bucket-remote-replicationOSS-Bucket Remote-Replikation aktiviertStellt sicher, dass die regionsübergreifende Replikation für den OSS-Bucket für die Notfallwiederherstellung aktiviert ist.
oss-bucket-tls-version-checkOSS-Bucket TLS-VersionsprüfungStellt sicher, dass der OSS-Bucket so konfiguriert ist, dass er eine sichere TLS-Version (TLS 1.2 oder höher) verwendet.
oss-bucket-versioning-enabledOSS-Bucket Versionsverwaltung aktiviertOSS-Bucket sollte Versionsverwaltung aktiviert haben, um vor versehentlichem Löschen oder Überschreiben zu schützen.
oss-default-encryption-kmsOSS-Bucket serverseitige KMS-Verschlüsselung aktiviertOSS-Bucket hat serverseitige KMS-Verschlüsselung aktiviert, wird als konform betrachtet.
oss-encryption-byok-checkOSS-Bucket BYOK-VerschlüsselungsprüfungOSS-Buckets sollten kundenseitig verwaltete KMS-Schlüssel (BYOK - Bring Your Own Key) für die Verschlüsselung verwenden. Dies bietet eine bessere Kontrolle über Verschlüsselungsschlüssel und erfüllt Compliance-Anforderungen.
oss-zrs-enabledOSS-Bucket zonenredundanter Speicher aktiviertOSS-Buckets sollten zonenredundanten Speicher (ZRS) für hohe Verfügbarkeit und Datenbeständigkeit verwenden.
ots-instance-multi-zoneOTS-Instanz Zonenredundanter SpeicherStellt sicher, dass Tablestore (OTS)-Instanzen zonenredundanten Speicher für Hochverfügbarkeit verwenden.
ots-instance-network-not-normalOTS eingeschränkter NetzwerktypStellt sicher, dass Table Store (OTS)-Instanzen nicht den 'Normal' (uneingeschränkten) Netzwerktyp verwenden.
pai-eas-instances-multi-zonePAI EAS-Instanz Multi-Zonen-BereitstellungStellt sicher, dass PAI EAS-Instanzen über mehrere Zonen hinweg für hohe Verfügbarkeit bereitgestellt werden.
polardb-cluster-default-time-zone-not-systemPolarDB-Cluster Standard-Zeitzone nicht SystemStellt sicher, dass die Standard-Zeitzone des PolarDB-Clusters nicht auf SYSTEM gesetzt ist.
polardb-cluster-delete-protection-enabledPolarDB-Cluster-Löschschutz aktiviertStellt sicher, dass PolarDB-Cluster den Löschschutz aktiviert haben.
polardb-cluster-enabled-sslPolarDB-Cluster SSL aktiviertStellt sicher, dass PolarDB-Cluster SSL-Verschlüsselung aktiviert haben.
polardb-cluster-multi-zonePolarDB-Cluster Multi-Zone-BereitstellungPolarDB-Cluster sollten für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen bereitgestellt werden.
polardb-dbcluster-in-vpcPolarDB-Cluster in VPCStellt sicher, dass der PolarDB-Cluster in einem VPC bereitgestellt wird.
polardb-revision-version-used-checkPolarDB Revisionsversion VerwendungsprüfungStellt sicher, dass der PolarDB-Cluster eine stabile Kernel-Revisionsversion verwendet.
polardb-x2-instance-multi-zonePolarDB-X 2.0-Instanz Multi-Zone-BereitstellungPolarDB-X 2.0-Instanzen sollten über 3 Verfügbarkeitszonen hinweg bereitgestellt werden.
privatelink-server-endpoint-multi-zonePrivateLink VPC-Endpunkt-Service Multi-Zone-BereitstellungPrivateLink VPC-Endpunkt-Services sollten Ressourcen für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen hinweg bereitgestellt haben.
privatelink-servier-endpoint-multi-zonePrivateLink Service Endpoint Multi-Zone-BereitstellungStellt sicher, dass PrivateLink-Service-Endpunkte über mehrere Zonen hinweg für Hochverfügbarkeit bereitgestellt werden.
ram-password-policy-checkRAM-Passwortrichtlinien-PrüfungStellt sicher, dass die RAM-Passwortrichtlinie die festgelegten Sicherheitsanforderungen erfüllt.
ram-policy-no-has-specified-documentRAM-Richtlinie Kein Angegebenes DokumentStellt sicher, dass benutzerdefinierte RAM-Richtlinien nicht die angegebene Berechtigungskonfiguration enthalten.
ram-role-has-specified-policyRAM-Rolle hat angegebene RichtlinieStellt sicher, dass RAM-Rollen die angegebenen Richtlinien angehängt haben.
ram-role-no-product-admin-accessRAM-Rolle Kein Produkt-Admin-ZugriffStellt sicher, dass RAM-Rollen keinen vollständigen Administratorzugriff oder Produkt-Administratorberechtigungen haben.
ram-user-activated-ak-quantity-checkRAM-Benutzer aktive AK-MengenprüfungStellt sicher, dass RAM-Benutzer nicht mehr als einen aktiven AccessKey haben.
ram-user-ak-create-date-expired-checkRAM-Benutzer AccessKey Erstellungsdatum AblaufprüfungStellt sicher, dass RAM-Benutzer AccessKeys nicht älter als die angegebene Anzahl von Tagen sind.
ram-user-ak-used-expired-checkRAM-Benutzer AccessKey letztes Verwendungsdatum-PrüfungStellt sicher, dass RAM-Benutzer AccessKeys innerhalb der angegebenen Anzahl von Tagen verwendet wurden.
ram-user-has-specified-policyRAM-Benutzer hat angegebene RichtlinieStellt sicher, dass RAM-Benutzer die erforderlichen Richtlinien angehängt haben, einschließlich derer, die von Gruppen geerbt wurden.
ram-user-login-checkRAM-Benutzer Login-AktivierungsprüfungStellt sicher, dass RAM-Benutzer, die keinen Konsolenzugriff benötigen, Login deaktiviert haben.
ram-user-no-has-specified-policyRAM-Benutzer keine angegebene RichtlinieStellt sicher, dass RAM-Benutzer keine angegebenen riskanten Richtlinien angehängt haben.
ram-user-no-product-admin-accessRAM-Benutzer kein Produkt-AdministrativzugriffStellt sicher, dass RAM-Benutzer keinen vollständigen administrativen Zugriff auf Cloud-Produkte haben, es sei denn, es ist notwendig.
ram-user-role-no-product-admin-accessRAM-Benutzerrolle Kein Produkt-Admin-ZugriffStellt sicher, dass RAM-benutzerdefinierte Rollen keine Produkt-Administratorberechtigungen haben.
ram-user-specified-permission-boundRAM-Benutzer Angegebene BerechtigungsgrenzeStellt sicher, dass RAM-Benutzer keine angegebenen Hochrisiko-Berechtigungen gebunden haben.
rds-instacne-delete-protection-enabledRDS-Instanz-Löschschutz aktiviertStellt sicher, dass RDS-Instanzen den Löschschutz aktiviert haben.
rds-instance-enabled-auditingRDS-Instanz-Überwachung aktiviertStellt sicher, dass RDS-Instanzen SQL-Überwachung aktiviert haben.
rds-instance-enabled-log-backupRDS-Instanz Log-Backup aktiviertStellt sicher, dass RDS-Instanzen Log-Backup aktiviert haben.
rds-instance-enabled-sslRDS-Instanz SSL aktiviertStellt sicher, dass RDS-Instanzen SSL-Verschlüsselung aktiviert haben.
rds-instance-enabled-tde-disk-encryptionRDS-Instanz TDE oder Festplattenverschlüsselung aktiviertRDS-Instanz sollte TDE (Transparent Data Encryption) oder Festplattenverschlüsselung aktiviert haben.
rds-instance-has-guard-instanceRDS-Instanz hat Guard-InstanzStellt sicher, dass Produktions-RDS-Instanzen eine entsprechende Guard-Instanz (Notfallwiederherstellung) haben.
rds-instances-in-vpcRDS-Instanz in VPCStellt sicher, dass die RDS-Instanz innerhalb eines VPC bereitgestellt wird.
rds-multi-az-supportRDS-Instanz Multi-AZ-BereitstellungRDS-Instanzen sollten für hohe Verfügbarkeit und automatisches Failover in Multi-AZ-Konfiguration bereitgestellt werden.
redis-architecturetype-cluster-checkRedis-Architekturtyp Cluster-PrüfungStellt sicher, dass die Redis-Instanz den Cluster-Architekturtyp verwendet.
redis-instance-backup-log-enabledRedis-Instanz Log-Backup aktiviertStellt sicher, dass Log-Backup für die Redis-Instanz aktiviert ist.
redis-instance-double-node-typeRedis-Instanz DoppelknotentypStellt sicher, dass Redis-Instanz den Doppelknotentyp für Hochverfügbarkeit verwendet.
redis-instance-enabled-byok-tdeRedis-Instanz BYOK TDE aktiviertStellt sicher, dass Redis-Instanzen Transparent Data Encryption (TDE) mit Bring Your Own Key (BYOK) aktiviert haben.
redis-instance-enabled-sslRedis-Instanz SSL aktiviertStellt sicher, dass Redis-Instanzen SSL-Verschlüsselung aktiviert haben.
redis-instance-in-vpcRedis-Instanz in VPCStellt sicher, dass die Redis-Instanz in einem VPC bereitgestellt wird.
redis-instance-multi-zoneRedis-Instanz Multi-Zone-BereitstellungRedis-Instanzen sollten für hohe Verfügbarkeit über mehrere Verfügbarkeitszonen bereitgestellt werden.
redis-instance-release-protectionRedis-Instanz Freigabeschutz aktiviertStellt sicher, dass Redis-Instanzen Freigabeschutz aktiviert haben.
redis-instance-tls-version-checkRedis-Instanz TLS-VersionsprüfungStellt sicher, dass die Redis-Instanz SSL mit einer akzeptablen TLS-Version aktiviert hat.
redis-min-capacity-limitRedis MindestkapazitätsgrenzeStellt sicher, dass die Redis-Instanz eine Speicherkapazität hat, die die Mindestanforderung erfüllt.
rocketmq-v5-instance-multi-zoneRocketMQ 5.0 Instanz Multi-Zone-BereitstellungRocketMQ 5.0-Instanzen sollten im Cluster-HA-Modus bereitgestellt werden, der Multi-Zone-Verfügbarkeit unterstützt.
security-center-version-checkSicherheitszentrum VersionsprüfungDas Sicherheitszentrum sollte eine Version sein, die ausreichende Schutzfunktionen bietet.
slb-all-listener-enabled-aclSLB Alle Listener haben ZugriffskontrolleAlle laufenden Listener von SLB-Instanzen sollten Zugriffssteuerungslisten (ACL) für die Sicherheit konfiguriert haben.
slb-all-listener-http-disabledSLB Alle Listener HTTP deaktiviertStellt sicher, dass keine SLB-Listener das unsichere HTTP-Protokoll verwenden.
slb-all-listener-http-redirect-httpsSLB HTTP-Weiterleitung zu HTTPS aktiviertStellt sicher, dass SLB-HTTP-Listener so konfiguriert sind, dass Datenverkehr zu HTTPS weitergeleitet wird.
slb-all-listenter-has-serverSLB alle Listener haben Backend-ServerAlle Listener von SLB-Instanzen sollten mindestens die angegebene Anzahl von Backend-Servern angehängt haben.
slb-all-listenter-tls-policy-checkSLB Listener TLS-Richtlinien-PrüfungStellt sicher, dass SLB HTTPS-Listener sichere TLS-Verschlüsselungsrichtlinien verwenden.
slb-default-server-group-multi-serverSLB-Standard-Servergruppe hat mehrere ServerDie Standard-Servergruppe von SLB-Instanzen sollte mindestens zwei Server haben, um einen Single Point of Failure zu vermeiden.
slb-instance-autorenewal-checkSLB-Instanz Auto-VerlängerungsprüfungVorausbezahlte SLB-Instanzen sollten Auto-Verlängerung aktiviert haben, um Dienstunterbrechungen zu vermeiden.
slb-instance-default-server-group-multi-zoneSLB Standard-Server-Gruppe Multi-ZoneDie Standard-Server-Gruppe von SLB-Instanzen sollte Ressourcen über mehrere Verfügbarkeitszonen verteilt haben.
slb-instance-log-enabledSLB-Instanz-Protokollierung aktiviertStellt sicher, dass Zugriffsprotokollierung für die SLB-Instanz aktiviert ist.
slb-instance-multi-zoneSLB-Instanz Multi-Zone-BereitstellungSLB-Instanzen sollten über mehrere Zonen hinweg bereitgestellt werden, indem sowohl Master- als auch Slave-Zonen für hohe Verfügbarkeit konfiguriert werden.
slb-instance-spec-checkSLB-Instanz-SpezifikationsprüfungSLB-Instanz-Spezifikationen sollten die erforderlichen Leistungskriterien basierend auf der angegebenen Liste erfüllen.
slb-listener-https-enabledSLB-Listener HTTPS aktiviertStellt sicher, dass SLB-Listener das HTTPS-Protokoll für sichere Kommunikation verwenden.
slb-loadbalancer-in-vpcSLB im VPC PrüfungStellt sicher, dass SLB-Instanzen innerhalb eines Virtual Private Cloud (VPC) bereitgestellt werden.
slb-master-slave-server-group-multi-zoneSLB Master-Slave-Server-Gruppe Multi-ZoneDie Master-Slave-Server-Gruppe von SLB-Instanzen sollte Ressourcen über mehrere Verfügbarkeitszonen verteilt haben.
slb-no-public-ipSLB-Instanz Keine öffentliche IPSLB-Instanzen sollten keine öffentlichen IP-Adressen haben, um die Angriffsfläche zu reduzieren.
slb-vserver-group-multi-zoneSLB VServer-Gruppe Multi-Zonen-BereitstellungStellt sicher, dass SLB-VServer-Gruppen Instanzen aus mehreren Verfügbarkeitszonen enthalten.
sls-logstore-enabled-encryptSLS-Logstore Verschlüsselung aktiviertStellt sicher, dass SLS-Logstores serverseitige Verschlüsselung aktiviert haben.
sls-logstore-encrypt-key-origin-checkSLS-Logstore Verschlüsselungsschlüssel-HerkunftsprüfungStellt sicher, dass SLS-Logstores extern importiertes Schlüsselmaterial (BYOK) für die Verschlüsselung verwenden, was eine bessere Kontrolle über Verschlüsselungsschlüssel bietet.
sls-project-multi-zoneSLS-Projekt Zonenredundanter SpeicherSLS-Projekte sollten zonenredundanten Speicher (ZRS) für Hochverfügbarkeit und Datenbeständigkeit verwenden.
vpc-flow-logs-enabledVPC-Flussprotokolle aktiviertStellt sicher, dass VPC-Flussprotokolle für die Überwachung des Netzwerkverkehrs aktiviert sind.
vpc-network-acl-not-emptyVPC-Netzwerk-ACL nicht leerStellt sicher, dass VPC-Netzwerk-ACLs mindestens eine Regel konfiguriert haben.
vpn-connection-master-slave-establishedVPN-Verbindung Dual-Tunnel eingerichtetVerwenden Sie ein Dual-Tunnel-VPN-Gateway und beide Master- und Slave-Tunnel sind mit dem Peer eingerichtet.
vpn-gateway-multi-zoneVPN-Gateway Multi-Zonen-BereitstellungVPN-Gateways sollten mit einem Disaster-Recovery-VSwitch konfiguriert werden, um Multi-Zonen-Verfügbarkeit zu unterstützen.
vswitch-available-ip-countVSwitch Verfügbare IP-AnzahlprüfungStellt sicher, dass der VSwitch eine ausreichende Anzahl verfügbarer IP-Adressen hat.
waf-instance-logging-enabledWAF-Instanz Protokollierung aktiviertStellt sicher, dass die Protokollierung für die WAF-Instanz für die Überwachung und Sicherheitsanalyse aktiviert ist.
waf3-defense-resource-logging-enabledWAF 3.0 Protokollierung aktiviertStellt sicher, dass die Protokollierung für von WAF 3.0 geschützte Ressourcen aktiviert ist.

Niedrig Schweregrad (40 Regeln)

Regel-IDNameBeschreibung
ack-cluster-spec-checkACK-Cluster-SpezifikationsprüfungStellt sicher, dass ACK-Cluster genehmigte Spezifikationen (z. B. ACK Pro) verwenden.
alb-address-type-checkALB-Adresstyp-PrüfungStellt sicher, dass ALB-Instanzen den bevorzugten Adresstyp (z. B. Intranet) verwenden.
apig-group-custom-trace-enabledAPI Gateway Gruppe Benutzerdefinierte Verfolgung aktiviertStellt sicher, dass API Gateway-Gruppen benutzerdefinierte Verfolgung aktiviert haben.
cr-repository-immutablity-enableContainer Registry Repository Bildversion ist unveränderlichContainer Registry Repository Bildversion ist unveränderlich, was als konform gilt.
eci-container-group-volumn-mountsECI-Volumen-Mount-PrüfungStellt sicher, dass ECI-Containergruppen Volumes für persistente Datenspeicherung gemountet haben.
ecs-disk-auto-snapshot-policyECS-Disk hat automatische Snapshot-Richtlinie konfiguriertECS-Disk hat automatische Snapshot-Richtlinie konfiguriert, wird als konform betrachtet. Nicht verwendete Disks, Disks, die keine automatische Snapshot-Richtlinie unterstützen, und nicht persistente Disks, die von ACK-Clustern gemountet werden, sind nicht anwendbar. Nach Aktivierung der automatischen Snapshot-Richtlinie erstellt Alibaba Cloud automatisch Snapshots für Cloud-Disks gemäß voreingestellten Zeitpunkten und Zyklen, was eine schnelle Wiederherstellung nach Virenbefall oder Ransomware-Angriffen ermöglicht.
ecs-disk-idle-checkECS-Disk-LeerlaufprüfungStellt sicher, dass ECS-Disks an eine Instanz angehängt sind und nicht im Leerlaufzustand sind.
ecs-disk-regional-auto-checkECS-Disk-Zonenredundanter ESSD-SpeicherECS-Datendisks sollten zonenredundanten ESSD-Speicher für hohe Verfügbarkeit verwenden. Systemdisks sind für diese Regel nicht anwendbar.
ecs-instance-chargetype-checkECS-Instanz-Gebührentyp-PrüfungStellt sicher, dass ECS-Instanzen den autorisierten Gebührentyp verwenden.
ecs-instance-multiple-eni-checkECS-Instanz ist nur an eine elastische Netzwerkschnittstelle gebundenECS-Instanzen sind nur an eine elastische Netzwerkschnittstelle gebunden, was als konform gilt. Dies hilft, die Netzwerkkonfiguration zu vereinfachen und die Komplexität zu reduzieren.
ecs-instance-ram-role-attachedECS-Instanz RAM-Rolle angehängtStellt sicher, dass ECS-Instanzen eine IAM-Rolle angehängt haben, um sicher auf andere Cloud-Dienste zuzugreifen.
ecs-internet-charge-type-checkECS Internet-Abrechnungstyp-PrüfungStellt sicher, dass ECS-Instanzen den bevorzugten Internet-Abrechnungstyp verwenden.
ecs-security-group-description-checkSicherheitsgruppe Beschreibung nicht leerDie Beschreibung der Sicherheitsgruppe sollte nicht leer sein. Eine Beschreibung hilft bei der Verwaltung und Prüfung.
ecs-security-group-type-not-normalUnternehmens-Sicherheitsgruppentyp verwendenDer ECS-Sicherheitsgruppentyp sollte nicht der normale Typ sein. Die Verwendung von Unternehmens-Sicherheitsgruppen gilt als konform.
ecs-snapshot-retention-daysECS automatische Snapshot-Aufbewahrungstage erfüllen AnforderungenECS automatische Snapshot-Richtlinie Aufbewahrungstage ist größer als die angegebene Anzahl von Tagen, wird als konform betrachtet. Standardwert: 7 Tage.
ecs-system-disk-size-checkECS-Systemfestplatten-GrößenprüfungStellt sicher, dass ECS-Systemfestplatten die Mindestgrößenanforderung erfüllen.
eip-attachedEIP angehängtStellt sicher, dass EIP-Instanzen einer Ressource zugeordnet sind.
eip-bandwidth-limitEIP-BandbreitenlimitStellt sicher, dass die EIP-Bandbreite einen angegebenen Maximalwert nicht überschreitet.
hbase-cluster-type-checkHBase-Cluster-Typ-PrüfungStellt sicher, dass der HBase-Cluster vom angegebenen oder empfohlenen Typ ist.
metadata-ros-composer-checkVorlagen-Metadaten ALIYUN::ROS::Composer PrüfungVorlage muss Metadata.ALIYUN::ROS::Composer konfiguriert haben. Der Wert muss ein Wörterbuch (Objekt) sein.
nas-filesystem-encrypt-type-checkNAS-Dateisystem-Verschlüsselung konfiguriertNAS-Dateisystem hat Verschlüsselung konfiguriert, gilt als konform.
oss-bucket-referer-limitOSS-Bucket Referer-Hotlink-Schutz konfiguriertOSS-Bucket hat Referer-Hotlink-Schutz mit konfigurierter Whitelist aktiviert.
polardb-cluster-maintain-time-checkPolarDB-Cluster Wartungsfenster-PrüfungStellt sicher, dass der PolarDB-Cluster ein Wartungsfenster konfiguriert hat.
ram-group-has-member-checkRAM-Gruppe hat MitgliedStellt sicher, dass RAM-Gruppen mindestens ein Mitglied haben.
ram-group-in-use-checkRAM-Gruppe In Verwendung PrüfungStellt sicher, dass RAM-Gruppen nicht im Leerlauf sind - müssen mindestens ein Mitglied und mindestens eine angehängte Richtlinie haben.
ram-policy-in-use-checkRAM-Richtlinie In Verwendung PrüfungStellt sicher, dass RAM-Richtlinien an mindestens einen RAM-Benutzer, eine Gruppe oder eine Rolle angehängt sind.
ram-user-group-membership-checkRAM-Benutzer GruppenmitgliedschaftsprüfungStellt sicher, dass RAM-Benutzer zu mindestens einer Gruppe gehören, um die Berechtigungsverwaltung zu erleichtern.
ram-user-last-login-expired-checkRAM-Benutzer letzte Anmeldung-PrüfungPrüft, ob RAM-Benutzer seit langer Zeit nicht angemeldet waren.
ram-user-no-policy-checkRAM-Benutzer hat RichtlinieStellt sicher, dass RAM-Benutzer mindestens eine Richtlinie angehängt haben.
rds-instance-maintain-time-checkRDS-Instanz Wartungsfenster-PrüfungStellt sicher, dass die RDS-Instanz ein Wartungsfenster konfiguriert hat.
rds-instance-storage-autoscale-enableRDS-Speicher-Autoscale aktiviertStellt sicher, dass RDS-Instanzen Speicher-Autoscale aktiviert haben, um Ausfallzeiten aufgrund voller Festplatten zu verhindern.
redis-instance-backup-time-checkRedis-Instanz Backup-Fenster-PrüfungStellt sicher, dass die Redis-Instanz ein Backup-Fenster konfiguriert hat.
root-has-specified-roleRoot-Konto hat angegebene RolleStellt sicher, dass das Root-Konto eine angegebene RAM-Rolle für Governance und Verwaltung hat.
slb-backendserver-weight-checkSLB-Backend-Server-GewichtsprüfungStellt sicher, dass SLB-Backend-Server vernünftige Gewichtskonfigurationen haben.
slb-instance-loadbalancerspec-checkSLB-Instanz SpezifikationsprüfungStellt sicher, dass SLB-Instanzen genehmigte Leistungsspezifikationen verwenden.
slb-loadbalancer-bandwidth-limitSLB-BandbreitenlimitStellt sicher, dass die Bandbreite der SLB-Instanz einen angegebenen Maximalwert nicht überschreitet.
slb-modify-protection-checkSLB Änderungsschutz aktiviertStellt sicher, dass SLB-Instanzen Änderungsschutz aktiviert haben.
sls-logstore-hot-ttl-checkSLS Logstore Smart Tier Storage aktiviertStellt sicher, dass SLS-Logstores intelligentes Hot/Cold-Tier-Speicher für die Kostenoptimierung aktiviert haben.
vpn-gateway-enabled-ssl-vpnVPN-Gateway SSL-VPN aktiviertStellt sicher, dass das VPN-Gateway SSL-VPN für sicheren Client-Zugriff aktiviert hat.
vpn-ipsec-connection-health-check-openVPN IPsec Health Check aktiviertStellt sicher, dass VPN-IPsec-Verbindungen Health Checks aktiviert haben, um Tunnelausfälle zu erkennen.

Dieses Dokument wird automatisch aus den Richtlinien-Metadaten generiert.