Saltar al contenido principal

Aliyun Reglas

Total de reglas: 317

Reglas por Severidad

Alta Severidad (100 Reglas)

ID de ReglaNombreTipos de IaCDescripción
ack-cluster-node-multi-zoneDespliegue Multi-zona del Cluster ACKROS, TerraformLos nodos del clúster ACK deben distribuirse en 3 o más zonas de disponibilidad para alta disponibilidad.
ack-cluster-public-endpoint-checkVerificación de Endpoint Público del Cluster ACKROS, TerraformLos clústeres ACK no deben tener un endpoint público configurado, o el listener SLB asociado debe tener ACL habilitado.
acs-cluster-node-multi-zoneDespliegue Multi-Zona de Nodos de Clúster ACSROS, TerraformLos nodos del clúster ACS deben distribuirse en 3 o más zonas de disponibilidad para alta disponibilidad.
actiontrail-enabledActionTrail HabilitadoROS, TerraformGarantiza que ActionTrail esté habilitado para registrar actividades de la cuenta.
actiontrail-trail-intact-enabledTrilha ActionTrail Intacta HabilitadaROS, TerraformLa trilha ActionTrail debe estar habilitada y rastrear todos los tipos de eventos (Lectura y Escritura).
alb-acl-public-access-checkLa ACL ALB No Permite Acceso PúblicoROS, TerraformGarantiza que las listas de control de acceso ALB no contengan 0.0.0.0/0 (permitiendo todas las IPs).
alb-all-listener-health-check-enabledVerificación de Salud de Todos los Oyentes ALB HabilitadaROS, TerraformGarantiza que todos los oyentes ALB tengan verificaciones de salud habilitadas.
alb-delete-protection-enabledProtección de Eliminación de Instancia ALB HabilitadaROS, TerraformGarantiza que las instancias ALB tengan protección contra eliminación habilitada.
alb-instance-multi-zoneDespliegue Multi-zona de Instancia ALBROS, TerraformLas instancias ALB deben implementarse en múltiples zonas de disponibilidad para alta disponibilidad. Si solo se selecciona una zona, una falla en la zona afectará la instancia ALB y la estabilidad del negocio.
alb-instance-waf-enabledLa Instancia ALB Tiene Protección WAFROS, TerraformGarantiza que las instancias ALB tengan protección WAF3 (Web Application Firewall) habilitada.
alb-server-group-multi-serverEl Grupo de Servidores ALB Tiene Múltiples ServidoresROS, TerraformGarantiza que los grupos de servidores ALB contengan al menos dos servidores backend para alta disponibilidad.
alidns-route-53-mx-checkRegistro MX de DNS Tiene SPF Válido en Registro TXT AsociadoROS, TerraformGarantiza que los registros MX tengan registros TXT asociados con valores SPF válidos para validación de correo electrónico.
api-gateway-group-force-httpsForzar HTTPS del Grupo de API GatewayROS, TerraformGarantiza que los grupos de API Gateway con dominios personalizados públicos tengan redirección forzada HTTPS habilitada.
bastionhost-instance-expired-checkVerificación de Expiración de Instancia BastionHostROS, TerraformLas instancias BastionHost prepagadas deben tener renovación automática habilitada.
cdn-domain-multiple-origin-serversMúltiples Servidores de Origen de Dominio CDNROS, TerraformLos dominios CDN deben configurarse con múltiples servidores de origen para alta disponibilidad y tolerancia a fallos.
cr-instance-any-ip-access-checkInstancia CR Sin Acceso de Cualquier IPROS, TerraformGarantiza que las instancias de Container Registry no tengan ninguna IP (0.0.0.0/0) en su lista blanca.
cr-repository-image-scanning-enabledEscaneo de Imagen de Instancia CR HabilitadoROS, TerraformGarantiza que las instancias de Container Registry tengan escaneo de imágenes habilitado para la detección de vulnerabilidades de seguridad.
cr-repository-type-privateTipo de Repositorio CR PrivadoROS, TerraformGarantiza que los repositorios CR estén configurados como PRIVADOS.
dcdn-domain-multiple-origin-serversDominio DCDN Múltiples Servidores de OrigenROS, TerraformLos dominios DCDN deben configurarse con múltiples servidores de origen para alta disponibilidad y tolerancia a fallos.
eci-containergroup-environment-no-specified-keysEl Grupo de Contenedores ECI No Contiene Variables de Entorno SensiblesROS, TerraformGarantiza que los grupos de contenedores ECI no tengan variables de entorno sensibles como contraseñas o claves de acceso.
ecs-available-disk-encryptedCifrado de Disco ECS HabilitadoROS, TerraformGarantiza que todos los discos ECS estén cifrados.
ecs-instance-attached-security-groupInstancia ECS con Grupo de Seguridad AdjuntoROS, TerraformSi la instancia ECS está incluida en el grupo de seguridad especificado, la configuración se considera conforme.
ecs-instance-deletion-protection-enabledProtección de Eliminación de Instancia ECS HabilitadaROS, TerraformAsegura que las instancias ECS tengan habilitada la protección contra eliminación.
ecs-instance-enabled-security-protectionProtección de Seguridad de Instancia ECS HabilitadaROS, TerraformGarantiza que las instancias ECS tengan estrategia de mejora de seguridad habilitada.
ecs-instance-expired-checkVerificación de Expiración de Instancia Prepagada ECSROS, TerraformLas instancias prepagadas deben tener renovación automática habilitada para evitar la interrupción del servicio debido a la expiración.
ecs-instance-no-public-ipLa Instancia ECS No Debe Vincular IP PúblicaROS, TerraformLas instancias ECS no deben vincular directamente IP pública IPv4 o IP elástica, considerado conforme.
ecs-launch-template-version-attach-security-groupLa Versión de Plantilla de Inicio ECS Adjunta Grupos de SeguridadROS, TerraformLas versiones de plantilla de inicio ECS tienen grupos de seguridad configurados para instancias, considerado conforme.
ecs-running-instance-no-public-ipInstancia ECS Sin IP PúblicaROS, TerraformLas instancias ECS no deben tener una dirección IP pública para reducir la exposición directa a Internet.
ecs-security-group-egress-not-all-accessEgreso de Grupo de Seguridad No Establecido en Acceso TotalROS, TerraformLa dirección de egreso del grupo de seguridad no debe establecerse para permitir todo el acceso (todos los protocolos, todos los puertos, todos los destinos).
ecs-security-group-not-internet-cidr-accessIP de Origen de Ingress de Grupo de Seguridad No Incluye IP PúblicaROS, TerraformLas reglas de ingreso del grupo de seguridad con política de aceptación no deben tener IP de origen que contenga IPs públicas de internet.
ecs-security-group-not-open-all-portIngress de Grupo de Seguridad No Abre Todos los PuertosROS, TerraformLas reglas de ingreso del grupo de seguridad no deben permitir todos los puertos. Cuando el rango de puertos no está establecido en -1/-1, se considera conforme.
ecs-security-group-not-open-all-protocolIngress de Grupo de Seguridad No Abre Todos los ProtocolosROS, TerraformLas reglas de ingreso del grupo de seguridad no deben permitir todos los protocolos. Cuando el tipo de protocolo no está establecido en ALL, se considera conforme.
ecs-security-group-risky-ports-check-with-protocolVerificación de Puertos de Riesgo del Grupo de Seguridad con ProtocoloROS, TerraformCuando la fuente de ingreso del grupo de seguridad se establece en 0.0.0.0/0, el rango de puertos no debe incluir puertos de riesgo (22, 3389) para protocolos especificados (TCP/UDP), para reducir el riesgo de ataques de fuerza bruta.
ecs-security-group-white-list-port-checkVerificación de Ingress de Puerto No en Lista Blanca de Grupo de SeguridadROS, TerraformExcepto los puertos en lista blanca (80), otros puertos no deben tener reglas de ingreso que permitan el acceso desde 0.0.0.0/0.
elasticsearch-instance-enabled-kibana-public-checkLa Instancia de Elasticsearch Kibana No Habilita el Acceso PúblicoROS, TerraformGarantiza que la instancia de Elasticsearch Kibana no sea accesible desde redes públicas.
elasticsearch-instance-enabled-public-checkLa Instancia Elasticsearch No Habilita Acceso PúblicoROS, TerraformGarantiza que las instancias Elasticsearch no sean accesibles desde redes públicas.
elasticsearch-instance-node-not-use-specified-specLa Instancia Elasticsearch No Usa Especificación DeprecadaROS, TerraformGarantiza que las instancias Elasticsearch no usen especificaciones de nodo deprecadas o no compatibles.
elasticsearch-instance-version-not-deprecatedLa Instancia de Elasticsearch No Usa Versión ObsoletaROS, TerraformGarantiza que las instancias de Elasticsearch no estén usando versiones obsoletas o EOL.
elasticsearch-public-and-any-ip-access-checkVerificación de Acceso Público y de Cualquier IP de ElasticsearchROS, TerraformGarantiza que las instancias Elasticsearch no tengan acceso público habilitado o una lista blanca abierta.
ess-scaling-configuration-data-disk-encryptedCifrado de Disco de Datos de Configuración de Escalado ESSROS, TerraformLas configuraciones de escalado ESS deben habilitar el cifrado de disco de datos para proteger los datos en reposo.
ess-scaling-configuration-sg-public-accessAcceso Público del Grupo de Seguridad de Configuración de Escalado ESSROS, TerraformLos grupos de seguridad de configuración de escalado ESS no deben permitir el acceso desde 0.0.0.0/0 para prevenir el acceso no autorizado.
ess-scaling-configuration-system-disk-encryptedCifrado de Disco del Sistema de Configuración de Escalado ESSROS, TerraformLas configuraciones de escalado ESS deben habilitar el cifrado del disco del sistema para proteger los datos del sistema en reposo.
fc-function-runtime-checkVerificación de Runtime de Función FCROS, TerraformLas funciones FC no deben usar runtimes deprecados que puedan tener vulnerabilidades de seguridad.
fc-trigger-http-not-anonymousVerificación de Autenticación del Disparador HTTP FCROS, TerraformLos disparadores HTTP FC deben requerir autenticación para prevenir acceso no autorizado.
gpdb-instance-disk-encryption-enabledCifrado de Disco GPDB HabilitadoROS, TerraformGarantiza que las instancias GPDB tengan cifrado de disco habilitado.
hbase-cluster-expired-checkVerificacion de Expiracion de Instancia Prepaga HBaseROS, TerraformLas instancias HBase prepagas deben tener renovacion automatica habilitada.
hbase-cluster-ha-checkVerificacion de Alta Disponibilidad del Cluster HBaseROS, TerraformEl cluster HBase debe tener al menos 2 instancias centrales para alta disponibilidad.
kafka-instance-disk-encryptedDisco de Instancia Kafka CifradoROS, TerraformLa instancia Kafka debe tener cifrado de disco habilitado durante la implementación para protección de datos.
kafka-instance-public-access-checkVerificación de Acceso Público de Instancia KafkaROS, TerraformLas instancias Kafka no deben implementarse con acceso público (deploy_type 5). Use implementación solo VPC (deploy_type 4) para restringir el acceso a redes internas.
maxcompute-project-encryption-enabledCifrado de Proyecto MaxCompute HabilitadoROS, TerraformGarantiza que los proyectos MaxCompute tengan cifrado habilitado para proteger los datos almacenados.
maxcompute-project-ip-whitelist-enabledLista Blanca de IP del Proyecto MaxCompute HabilitadaROS, TerraformGarantiza que los proyectos MaxCompute tengan una lista blanca de IP configurada para restringir el acceso.
mongodb-cluster-expired-checkVerificación de Expiración de Instancia MongoDBROS, TerraformLas instancias MongoDB prepagadas deben tener renovación automática habilitada.
mongodb-instance-class-not-sharedInstancia MongoDB Usa Clase DedicadaROS, TerraformGarantiza que las instancias MongoDB usen clases de instancia dedicadas o exclusivas, no instancias compartidas.
mongodb-min-maxconnections-limitMongoDB Cumple los Requisitos Mínimos de ConexiónROS, TerraformGarantiza que las instancias MongoDB proporcionen al menos el número mínimo requerido de conexiones.
mongodb-min-maxiops-limitMongoDB Cumple con los Requisitos Mínimos de IOPSROS, TerraformGarantiza que las instancias MongoDB proporcionen al menos el IOPS mínimo requerido.
mongodb-public-access-checkRestricción de Internet de Lista Blanca MongoDBROS, TerraformGarantiza que las listas blancas de IP de seguridad MongoDB no contengan 0.0.0.0/0.
mongodb-public-and-any-ip-access-checkVerificación de Acceso Público y de Cualquier IP de MongoDBROS, TerraformGarantiza que las instancias MongoDB no tengan una lista blanca abierta (0.0.0.0/0).
mse-cluster-architecture-checkClúster MSE Tiene Múltiples NodosROS, TerraformGarantiza que los clústeres MSE (Motor de Microservicios) tengan más de 3 nodos para alta disponibilidad.
mse-cluster-internet-checkEl Clúster MSE No Tiene Acceso Público a InternetROS, TerraformGarantiza que los clústeres MSE no tengan acceso público a Internet habilitado.
mse-gateway-architecture-checkLa Puerta de Enlace MSE Tiene Múltiples NodosROS, TerraformGarantiza que las puertas de enlace MSE (Motor de Microservicios) tengan más de 1 nodo para alta disponibilidad.
nas-access-group-public-access-checkRestricción de IP del Grupo de Acceso NASROS, TerraformGarantiza que las reglas de acceso NAS no permitan 0.0.0.0/0.
nat-risk-ports-checkVerificación de Puertos de Riesgo DNAT de Puerta de Enlace NATROS, TerraformGarantiza que las entradas DNAT de la puerta de enlace NAT no expongan puertos de alto riesgo.
oss-bucket-anonymous-prohibitedAcceso Anónimo de Bucket OSS ProhibidoROS, TerraformGarantiza que el acceso anónimo esté prohibido para el bucket OSS.
oss-bucket-only-https-enabledSolo HTTPS de Bucket OSS HabilitadoROS, TerraformEl bucket OSS debe tener una política que niegue las solicitudes que no sean HTTPS para garantizar la seguridad del transporte de datos.
oss-bucket-policy-no-any-anonymousLa política de bucket OSS no otorga permisos a usuarios anónimosROS, TerraformLa política de bucket OSS no otorga permisos de lectura o escritura a usuarios anónimos.
oss-bucket-policy-outside-organization-checkPolítica de Bucket OSS Sin Acceso Fuera de la OrganizaciónROS, TerraformGarantiza que las políticas de bucket OSS no otorguen acceso a principales fuera de la organización.
oss-bucket-public-read-prohibitedLectura Pública de Bucket OSS ProhibidaROS, TerraformLos buckets OSS no deben permitir acceso de lectura público a menos que sea específicamente necesario. El acceso de lectura público permite a cualquiera acceder y descargar objetos en el bucket.
oss-bucket-public-write-prohibitedEscritura Pública de Bucket OSS ProhibidaROS, TerraformLos buckets OSS no deben permitir acceso de escritura público. El acceso de escritura público permite a cualquiera cargar, modificar o eliminar objetos en el bucket, lo que plantea riesgos de seguridad significativos.
oss-bucket-server-side-encryption-enabledCifrado del Lado del Servidor de Bucket OSS HabilitadoROS, TerraformLos buckets OSS deben tener cifrado del lado del servidor habilitado para proteger los datos en reposo. El cifrado del lado del servidor usa KMS o AES256 para cifrar datos almacenados en OSS.
parameter-sensitive-noecho-checkLos Parámetros Sensibles Deben Tener NoEchoROSLos parámetros de plantilla que contienen información sensible (contraseñas, claves API, secretos) deben protegerse estableciendo NoEcho en true o usando valores válidos de AssociationProperty para evitar que se muestren en texto plano.
polardb-cluster-enabled-tdeTDE de Cluster PolarDB HabilitadoROS, TerraformGarantiza que los clústeres PolarDB tengan Transparent Data Encryption (TDE) habilitado.
polardb-cluster-expired-checkVerificación de Expiración de Cluster PolarDBROS, TerraformLos clústeres PolarDB prepagos deben tener renovación automática habilitada.
polardb-public-access-checkVerificación de Acceso Público de PolarDBROS, TerraformGarantiza que security_ips de PolarDB no esté establecida en 0.0.0.0/0.
polardb-public-and-any-ip-access-checkVerificación de Acceso Público y de Cualquier IP de PolarDBROS, TerraformGarantiza que los clústeres PolarDB no tengan endpoints públicos y no estén abiertos a ninguna dirección IP (0.0.0.0/0).
ram-policy-no-statements-with-admin-access-checkPolítica RAM Sin Acceso de AdministradorROS, TerraformGarantiza que las políticas RAM personalizadas no otorguen acceso completo de administrador.
ram-user-mfa-checkMFA de Usuario RAM HabilitadoROS, TerraformLos usuarios RAM con acceso a la consola deben tener habilitada la autenticación multifactor (MFA).
ram-user-role-no-product-admin-accessEl Rol de Usuario RAM No Tiene Acceso de Administrador de ProductoROS, TerraformGarantiza que las adjunciones de políticas de rol RAM no otorguen permisos administrativos de producto.
ram-user-specified-permission-boundLímite de Permiso Especificado del Usuario RAMROS, TerraformGarantiza que los usuarios RAM no tengan permisos de alto riesgo especificados vinculados.
rds-instance-enabled-disk-encryptionCifrado de Disco de Instancia RDS HabilitadoROS, TerraformGarantiza que las instancias RDS tengan cifrado de disco habilitado.
rds-instance-expired-checkVerificación de Expiración de Instancia Prepaga RDSROS, TerraformLas instancias RDS prepagas deben tener renovación automática habilitada.
rds-public-access-checkVerificación de Acceso Público de Instancia RDSROS, TerraformLas instancias RDS no deben configurarse con direcciones de red públicas. El acceso público expone las bases de datos a posibles amenazas de seguridad de internet.
rds-public-connection-and-any-ip-access-checkVerificación de Conexión Pública y Acceso de Cualquier IP de RDSROS, TerraformGarantiza que las instancias RDS no tengan una lista blanca de IP de seguridad completamente sin restricciones.
rds-white-list-internet-ip-access-checkRestricción de Internet de Lista Blanca RDSROS, TerraformGarantiza que las listas blancas de IP de seguridad RDS no contengan 0.0.0.0/0 o 0.0.0.0.
redis-instance-expired-checkVerificación de Expiración de Instancia Prepaga RedisROS, TerraformLas instancias Redis prepagas deben tener renovación automática habilitada.
redis-instance-no-public-ipInstancia Redis Sin IP PúblicaROS, TerraformGarantiza que la instancia Redis no tenga una IP pública asignada.
redis-instance-open-auth-modeModo de Autenticación Redis HabilitadoROS, TerraformGarantiza que las instancias Redis requieran autenticación y no estén en modo 'sin contraseña'.
redis-public-and-any-ip-access-checkVerificación de Acceso Público y de Cualquier IP de RedisROS, TerraformGarantiza que las instancias Redis no tengan acceso público habilitado o una lista blanca abierta.
root-ak-checkVerificación de AccessKey de Usuario RootROSGarantiza que la cuenta root no tenga AccessKeys activos.
root-mfa-checkVerificación de MFA de Usuario RootROSGarantiza que la autenticación multifactor (MFA) esté habilitada para la cuenta root.
sg-public-access-checkIngress de Grupo de Seguridad VálidoROS, TerraformLas reglas de ingreso del grupo de seguridad no deben permitir todos los puertos (-1/-1) desde todas las fuentes (0.0.0.0/0) simultáneamente.
sg-risky-ports-checkEl Grupo de Seguridad No Abre Puertos de Riesgo a 0.0.0.0/0ROS, TerraformCuando la fuente de la regla de entrada del grupo de seguridad se establece en 0.0.0.0/0, el rango de puertos no debe incluir puertos de riesgo especificados, considerado conforme. Si la fuente no es 0.0.0.0/0, es conforme incluso si se incluyen puertos de riesgo.
slb-acl-public-access-checkVerificación de Acceso Público de ACL de SLBROS, TerraformGarantiza que las ACL de SLB no contengan 0.0.0.0/0 para prevenir acceso público sin restricciones.
slb-all-listener-health-check-enabledVerificación de Salud de Todos los Listeners SLB HabilitadaROS, TerraformGarantiza que todos los listeners SLB tengan verificaciones de salud habilitadas.
slb-all-listener-servers-multi-zoneSLB Multi-zona con Servidores Backend Multi-zonaROS, TerraformLas instancias SLB deben ser multi-zona, con master_zone_id y slave_zone_id configurados en diferentes zonas.
slb-delete-protection-enabledProtección contra Eliminación de Instancia SLB HabilitadaROS, TerraformGarantiza que las instancias SLB tengan protección contra eliminación habilitada.
slb-listener-risk-ports-checkVerificación de Puertos de Riesgo del Listener SLBROS, TerraformGarantiza que los listeners SLB no expongan puertos de alto riesgo como 22 o 3389.
transit-router-vpc-attachment-multi-zoneConfiguración Multi-Zona de Conexión VPC del Enrutador de TránsitoROS, TerraformLas conexiones VPC del enrutador de tránsito deben configurarse con vSwitches en al menos dos zonas de disponibilidad diferentes para alta disponibilidad entre zonas.
tsdb-instance-security-ip-checkLa Instancia TSDB No Permite Acceso de Cualquier IPROS, TerraformGarantiza que las instancias TSDB no tengan listas blancas de seguridad que permitan todas las IPs.
use-waf-instance-for-security-protectionUsar WAF para Protección de SeguridadROS, TerraformEl Firewall de Aplicaciones Web (WAF) debe usarse para proteger sitios web y aplicaciones de ataques basados en web.
vpc-network-acl-risky-ports-checkVerificación de Puertos de Riesgo de ACL de Red VPCROS, TerraformGarantiza que las ACL de red VPC no permitan acceso sin restricciones a puertos de riesgo (22, 3389).

Media Severidad (176 Reglas)

ID de ReglaNombreTipos de IaCDescripción
ack-cluster-encryption-enabledCifrado de Secret del Cluster ACK HabilitadoROS, TerraformLos clústeres ACK Pro deben tener cifrado de Secret en reposo habilitado usando KMS.
ack-cluster-inspect-kubelet-version-outdate-checkVerificación de Versión de Kubelet ACKROS, TerraformGarantiza que la versión de Kubelet en el clúster ACK esté actualizada.
ack-cluster-log-plugin-installedComplemento de Registro de Clúster ACK InstaladoROS, TerraformGarantiza que el complemento log-service esté instalado en el clúster ACK.
ack-cluster-rrsa-enabledRRSA del Cluster ACK HabilitadoROS, TerraformGarantiza que la función RAM Roles for Service Accounts (RRSA) esté habilitada para el clúster ACK.
ack-cluster-supported-versionVersión Compatible del Clúster ACKROS, TerraformGarantiza que el clúster ACK esté ejecutando una versión compatible.
ack-cluster-upgrade-latest-versionClúster ACK Actualizado a la Última VersiónROS, TerraformGarantiza que el clúster ACK esté ejecutando la última versión disponible.
adb-cluster-multi-zoneImplementación Multi-Zona del Clúster ADBROS, TerraformEl clúster ADB debe implementarse en modo multi-zona.
alb-all-listenter-has-serverEl Oyente ALB Tiene Servidor BackendROS, TerraformGarantiza que todos los oyentes ALB estén asociados con un grupo de servidores no vacío.
alb-instance-bind-security-group-or-enabled-aclInstancia ALB Vincular Grupo de Seguridad o Habilitar ACLROS, TerraformLa instancia ALB debe tener grupos de seguridad asociados o ACL configurado para todos los oyentes en ejecución.
alb-server-group-multi-zoneDistribución Multi-Zona del Grupo de Servidores ALBROS, TerraformLos grupos de servidores ALB deben tener servidores backend distribuidos en múltiples zonas de disponibilidad para alta disponibilidad. Esta regla no se aplica a grupos de servidores sin servidores adjuntos, ni a grupos de servidores de tipo IP/Function Compute.
alidns-domain-regex-matchLos Nombres de Dominio DNS de Alibaba Cloud Coinciden con la Convención de NomenclaturaROS, TerraformGarantiza que los nombres de dominio DNS de Alibaba Cloud coincidan con la expresión regular de convención de nomenclatura especificada.
api-gateway-api-auth-jwtAutenticación JWT de API de API GatewayROS, TerraformGarantiza que las APIs de API Gateway usen autenticación JWT.
api-gateway-api-auth-requiredAutenticación de API del Gateway de API RequeridaROS, TerraformGarantiza que las APIs del Gateway de API tengan autenticación configurada.
api-gateway-api-internet-request-httpsHTTPS de Solicitud de Internet del Gateway de API HabilitadoROS, TerraformGarantiza que las APIs del Gateway de API expuestas a internet usen el protocolo HTTPS.
api-gateway-api-visibility-privateVisibilidad de API de API Gateway PrivadaROS, TerraformGarantiza que las API de API Gateway estén configuradas con visibilidad PRIVADA.
api-gateway-group-bind-domainVincular Dominio del Grupo de API GatewayROS, TerraformGarantiza que los grupos de API Gateway tengan dominios personalizados vinculados.
api-gateway-group-enabled-sslSSL de Grupo de API Gateway HabilitadoROS, TerraformGarantiza que SSL esté habilitado para los grupos de API Gateway.
api-gateway-group-https-policy-checkVerificación de Política HTTPS del Grupo de API GatewayROS, TerraformGarantiza que los grupos de API Gateway tengan la política de seguridad HTTPS configurada correctamente.
api-gateway-group-log-enabledRegistro de Grupo de API Gateway HabilitadoROS, TerraformGarantiza que los grupos de API Gateway tengan registro configurado.
apigateway-instance-multi-zoneImplementación Multi-Zona de Instancia de API GatewayROS, TerraformLas instancias de API Gateway deben implementarse en configuración multi-zona para alta disponibilidad.
bastionhost-instance-spec-checkVerificación de Especificación Multi-Zona de Instancia BastionHostROS, TerraformLa instancia BastionHost debe usar la versión Enterprise que admite despliegue multi-zona.
cen-cross-region-bandwidth-checkVerificación de Ancho de Banda Inter-Región CENROS, TerraformLas conexiones inter-región de instancia CEN deben tener asignación de ancho de banda suficiente para cumplir con los requisitos de rendimiento.
clickhouse-dbcluster-multi-zoneDespliegue Multi-Zona de ClickHouse DBClusterROS, TerraformLos clústeres ClickHouse deben usar la edición HighAvailability (Double-replica) para despliegue multi-zona. Nota: Esto se aplica solo a la edición comunitaria.
cr-instance-multi-zoneInstancia CR con Bucket OSS Redundante de ZonaROS, TerraformLas instancias de Container Registry deben estar asociadas con buckets OSS redundantes de zona para alta disponibilidad.
ecs-disk-all-encrypted-by-kmsDisco ECS con Cifrado KMS HabilitadoROS, TerraformLos discos ECS (incluidos el disco del sistema y los discos de datos) están cifrados con KMS, considerado conforme.
ecs-disk-encryptedCriptografía de disco de datos ECS habilitadaROS, TerraformEl disco de datos ECS tiene cifrado habilitado, se considera conforme.
ecs-disk-in-useEl Disco ECS Está en UsoROS, TerraformLos discos ECS están adjuntos a una instancia o en estado de uso, considerado conforme. Los discos disponibles o no adjuntos pueden ser recursos inactivos.
ecs-disk-retain-auto-snapshotRetener Instantánea Automática cuando se Libera el Disco ECSROS, TerraformConfigure los discos ECS para retener instantáneas automáticas cuando se liberen, considerado conforme. Esto ayuda a proteger los datos de eliminación accidental.
ecs-in-use-disk-encryptedCifrado de Disco en Uso de ECSROS, TerraformLos discos de datos ECS deben tener cifrado habilitado para proteger los datos en reposo. Los discos cifrados usan claves KMS para cifrar datos, asegurando la seguridad de los datos y el cumplimiento de los requisitos regulatorios.
ecs-instance-auto-renewal-enabledInstancia de suscripción ECS tiene renovación automática habilitadaROS, TerraformLas instancias de suscripción ECS (prepagadas) tienen renovación automática habilitada, consideradas conformes. Las instancias de pago por uso no son aplicables.
ecs-instance-image-expired-checkVerificación de Expiración de Imagen de Instancia ECSROS, TerraformGarantiza que la imagen usada por la instancia ECS no haya expirado.
ecs-instance-image-type-checkVerificación de Tipo de Imagen de Instancia ECSROS, TerraformGarantiza que las instancias ECS usen imágenes de fuentes autorizadas.
ecs-instance-login-use-keypairInicio de Sesión de Instancia ECS Usando Par de ClavesROS, TerraformGarantiza que las instancias ECS usen pares de claves para iniciar sesión en lugar de contraseñas.
ecs-instance-meta-data-mode-checkEl acceso a metadatos de instancia ECS usa modo de seguridad mejorado (IMDSv2)ROS, TerraformAl acceder a metadatos de instancia ECS, se aplica el modo de seguridad mejorado (IMDSv2), considerado conforme. Las instancias asociadas con clústeres ACK no son aplicables.
ecs-instance-no-public-and-anyipLa Instancia ECS No Debe Vincular IP Público o Permitir Acceso de Cualquier IPROS, TerraformLas instancias ECS no deben vincular directamente IPs públicos IPv4 o IPs elásticos, y los grupos de seguridad asociados no deben exponer 0.0.0.0/0. Conforme cuando no se vincula ninguna IP pública.
ecs-instance-not-bind-key-pairInstancia ECS No Vinculada a Par de ClavesROS, TerraformGarantiza que las instancias ECS usen pares de claves para autenticación en lugar de contraseñas.
ecs-instance-type-family-not-deprecatedTipo de Instancia ECS No DeprecadoROS, TerraformGarantiza que las instancias ECS no usen tipos de instancia deprecados o heredados.
ecs-instances-in-vpcInstancias ECS en VPCROS, TerraformLas instancias ECS deben implementarse en redes VPC (Virtual Private Cloud) en lugar de redes clásicas. VPC proporciona mejor aislamiento de red, seguridad y flexibilidad.
ecs-internetmaxbandwidth-checkVerificación de Ancho de Banda Máximo de Internet ECSROS, TerraformGarantiza que el ancho de banda saliente de Internet ECS no exceda los límites especificados.
ecs-launch-template-network-type-checkLa plantilla de inicio de ECS usa tipo de red VPCROS, TerraformLas versiones de plantilla de inicio de ECS tienen el tipo de red configurado como VPC, considerado conforme. El tipo de red clásica no se recomienda para entornos de producción.
ecs-launch-template-version-data-disk-encryptedLa Versión de Plantilla de Inicio ECS Habilita el Cifrado de Disco de DatosROS, TerraformTodos los discos de datos configurados en las versiones de plantilla de inicio ECS están cifrados, considerado conforme.
ecs-launch-template-version-image-type-checkVerificación de Tipo de Imagen de Plantilla de InicioROS, TerraformGarantiza que las plantillas de inicio ECS usen tipos de imagen autorizados.
ecs-running-instances-in-vpcLas Instancias ECS en Ejecución Están en VPCROS, TerraformLas instancias ECS en ejecución se implementan en Virtual Private Cloud (VPC), consideradas conformes. Esto proporciona aislamiento de red y seguridad mejorada.
ecs-snapshot-policy-timepoints-checkPuntos de Tiempo de Política de Instantánea Automática ECS Configurados RazonablementeROS, TerraformLos puntos de tiempo de creación de instantáneas en la política de instantáneas automáticas están dentro del rango de tiempo especificado, considerado conforme. Crear instantáneas reduce temporalmente el rendimiento de E/S del almacenamiento en bloque, con diferencias de rendimiento generalmente dentro del 10%, causando ralentizaciones breves. Se recomienda seleccionar puntos de tiempo que eviten las horas pico comerciales.
eip-delete-protection-enabledProtección de Eliminación de EIP HabilitadaROS, TerraformGarantiza que las instancias EIP tengan protección de eliminación habilitada.
elasticsearch-instance-enabled-data-node-encryptionCifrado de Nodo de Datos de Elasticsearch HabilitadoROS, TerraformGarantiza que los nodos de datos en la instancia de Elasticsearch tengan cifrado de disco habilitado.
elasticsearch-instance-enabled-node-config-disk-encryptionCifrado de Disco de Configuración de Nodo ESROS, TerraformGarantiza que las configuraciones de nodos elásticos de Elasticsearch tengan cifrado de disco habilitado.
elasticsearch-instance-multi-zoneImplementación Multi-Zona de Instancia ElasticsearchROS, TerraformLas instancias Elasticsearch deben implementarse en múltiples zonas de disponibilidad.
emr-cluster-master-public-access-checkVerificación de Acceso Público del Nodo Maestro del Clúster EMRROS, TerraformLos nodos maestros del clúster EMR en ECS no deben tener IP pública habilitada.
ess-group-health-checkVerificación de Salud del Grupo de Escalado ESSROS, TerraformLos grupos de escalado ESS deben habilitar la verificación de salud de instancias ECS para asegurar que solo instancias saludables estén en servicio.
ess-scaling-configuration-attach-security-groupGrupo de Seguridad de Configuración de Escalado ESSROS, TerraformLas configuraciones de escalado ESS deben adjuntar grupos de seguridad a las instancias para un aislamiento de red y control de acceso adecuados.
ess-scaling-configuration-enabled-internet-checkVerificación de Acceso a Internet de Configuración de Escalado ESSROS, TerraformGarantiza que las configuraciones de escalado ESS no habiliten direcciones IP públicas para instancias a menos que sea necesario.
ess-scaling-configuration-image-checkVerificación de Imagen de Configuración de Escalado ESSROS, TerraformLas configuraciones de escalado ESS deben usar imágenes mantenidas para garantizar seguridad y estabilidad.
ess-scaling-configuration-image-type-checkVerificación de Tipo de Imagen de Configuración de Escalado ESSROS, TerraformLas configuraciones de escalado ESS deben usar imágenes de fuentes especificadas para mayor seguridad y gestión.
ess-scaling-group-attach-multi-switchGrupo de Escalado ESS Multi-VSwitchROS, TerraformLos grupos de escalado ESS deben estar asociados con al menos dos VSwitches para alta disponibilidad en múltiples zonas.
ess-scaling-group-attach-slbGrupo de Escalado ESS Adjuntar SLBROS, TerraformLos grupos de escalado ESS deben adjuntarse al Equilibrador de Carga Clásico (SLB) para una distribución adecuada del tráfico.
ess-scaling-group-loadbalancer-checkVerificación de Existencia de Equilibrador de Carga del Grupo de Escalado ESSROS, TerraformLos grupos de escalado ESS deben estar adjuntos a instancias de equilibrador de carga existentes y activas para una distribución adecuada del tráfico.
fc-function-custom-domain-and-cert-enableVerificación de Certificado de Dominio Personalizado de Función FCROS, TerraformLos dominios personalizados FC deben tener certificados SSL configurados para comunicación segura.
fc-function-custom-domain-and-https-enableVerificación HTTPS de Dominio Personalizado de Función FCROS, TerraformLos dominios personalizados FC deben tener HTTPS habilitado para comunicación segura.
fc-function-custom-domain-and-tls-enableDominio Personalizado y TLS de Función FC HabilitadoROS, TerraformGarantiza que los dominios personalizados para funciones de Function Compute tengan TLS habilitado.
fc-function-internet-and-custom-domain-enableAcceso a Internet del Servicio FC con Dominio PersonalizadoROS, TerraformLos servicios FC con acceso a Internet deben estar vinculados a dominios personalizados para un control de acceso adecuado.
fc-function-settings-checkVerificación de Configuración de Función FCROS, TerraformLas configuraciones de función FC deben cumplir con los requisitos especificados para un rendimiento y seguridad óptimos.
fc-service-bind-roleServicio FC Vinculado a Rol RAMROS, TerraformGarantiza que el servicio Function Compute tenga un rol RAM vinculado.
fc-service-internet-access-disableAcceso a Internet del Servicio FC DeshabilitadoROS, TerraformGarantiza que el servicio Function Compute tenga acceso a Internet deshabilitado cuando solo deba acceder a recursos internos.
fc-service-log-enableHabilitar Registro del Servicio FCROS, TerraformLos servicios FC deben tener registro habilitado para monitoreo y solución de problemas.
fc-service-tracing-enableHabilitar Seguimiento de Servicio FCROS, TerraformLos servicios FC deben tener seguimiento habilitado para monitoreo de rendimiento y depuración.
fc-service-vpc-bindingVinculación VPC del Servicio FC HabilitadaROS, TerraformGarantiza que el servicio Function Compute esté configurado para acceder a recursos dentro de un VPC.
firewall-asset-open-protectProtección de Activos del Firewall en la Nube HabilitadaROS, TerraformGarantiza que los activos estén protegidos por el Firewall en la Nube.
gpdb-instance-multi-zoneDespliegue Multi-Zona de Instancia GPDBROS, TerraformLas instancias GPDB deben desplegarse con una zona de espera para alta disponibilidad.
gwlb-loadbalancer-multi-zoneDespliegue Multi-Zona del Balanceador de Carga GWLBROS, TerraformLas instancias del Balanceador de Carga GWLB deben desplegarse en al menos dos zonas de disponibilidad para alta disponibilidad.
hbase-cluster-deletion-protectionProteccion de Eliminacion de Cluster HBase HabilitadaROS, TerraformGarantiza que las instancias HBase tengan proteccion contra eliminacion habilitada.
hbase-cluster-in-vpcCluster HBase Implementado en VPCROS, TerraformGarantiza que las instancias HBase esten implementadas dentro de una VPC.
hbase-cluster-multi-zoneImplementación Multi-Zona del Clúster HBaseROS, TerraformLos clústeres HBase deben implementarse en modo clúster con al menos 2 nodos para alta disponibilidad.
internet-nat-gateway-in-specified-vpcPuerta de Enlace NAT de Internet en VPC EspecificadoROS, TerraformLas puertas de enlace NAT orientadas a Internet deben crearse en VPCs especificados según los requisitos de seguridad de red.
intranet-nat-gateway-in-specified-vpcPuerta de Enlace NAT de Intranet en VPC EspecificadoROS, TerraformLas puertas de enlace NAT orientadas a intranet deben crearse en VPC especificados según los requisitos de seguridad de red.
kafka-instance-multi-zoneDespliegue Multi-Zona de Instancia KafkaROS, TerraformLas instancias Kafka deben desplegarse en múltiples zonas de disponibilidad para alta disponibilidad.
kms-instance-multi-zoneDespliegue Multi-Zona de Instancia KMSROS, TerraformLas instancias KMS deben desplegarse en al menos dos zonas de disponibilidad para alta disponibilidad y recuperación ante desastres.
kms-key-delete-protection-enabledProtección de Eliminación de Clave KMS HabilitadaROS, TerraformLa clave maestra KMS tiene protección de eliminación habilitada, se considera conforme. Las claves que no están en estado habilitado y las claves de servicio (que no se pueden eliminar) no son aplicables.
kms-key-rotation-enabledRotación automática de clave KMS habilitadaROS, TerraformLa clave maestra de usuario KMS tiene rotación automática habilitada, considerada conforme. Las claves de servicio y las claves importadas externamente no son aplicables.
kms-secret-rotation-enabledRotación automática de secreto KMS habilitadaROS, TerraformEl secreto KMS tiene rotación automática habilitada, considerado conforme. Los secretos genéricos no son aplicables.
lindorm-instance-in-vpcVerificación de Lindorm en VPCROS, TerraformGarantiza que las instancias Lindorm se desplieguen dentro de una VPC.
lindorm-instance-multi-zoneDespliegue Multi-zona de Instancia LindormROS, TerraformLa instancia Lindorm debe tener al menos 4 nodos de motor de tabla para implementación multi-zona.
mongodb-instance-enabled-sslSSL de Instancia MongoDB HabilitadoROS, TerraformGarantiza que las instancias MongoDB tengan cifrado SSL habilitado.
mongodb-instance-encryption-byok-checkLa Instancia MongoDB Usa Clave Personalizada para TDEROS, TerraformGarantiza que las instancias MongoDB usen claves KMS personalizadas para Cifrado Transparente de Datos (TDE).
mongodb-instance-in-vpcLa Instancia MongoDB Usa Red VPCROS, TerraformGarantiza que las instancias MongoDB se desplieguen en una red de Nube Privada Virtual (VPC).
mongodb-instance-log-auditAuditoría de Registro de Instancia MongoDB HabilitadaROS, TerraformGarantiza que las instancias MongoDB tengan auditoría de registro habilitada.
mongodb-instance-multi-nodeLa Instancia MongoDB Usa Múltiples NodosROS, TerraformGarantiza que las instancias MongoDB se implementen con múltiples nodos para alta disponibilidad.
mongodb-instance-multi-zoneDespliegue Multi-Zona de Instancia MongoDBROS, TerraformLas instancias MongoDB deben desplegarse en múltiples zonas de disponibilidad para alta disponibilidad.
mongodb-instance-release-protectionProtección de Liberación de Instancia MongoDB HabilitadaROS, TerraformGarantiza que las instancias MongoDB tengan protección contra liberación habilitada.
mse-cluster-config-auth-enabledAutenticación de Configuración de Clúster MSE HabilitadaROS, TerraformGarantiza que el centro de configuración del clúster del Motor de Microservicios (MSE) tenga autenticación habilitada.
mse-cluster-multi-availability-area-architecture-checkConfiguración de Alta Disponibilidad del Clúster MSEROS, TerraformLos clústeres MSE deben usar la Edición Profesional con al menos 3 instancias (número impar) para alta disponibilidad.
mse-cluster-stable-version-checkEl Clúster MSE Usa Versión EstableROS, TerraformGarantiza que la versión del motor del clúster MSE sea mayor que la versión estable mínima.
mse-gateway-multi-availability-area-architecture-checkImplementación Multi-Zona de Disponibilidad de Puerta de Enlace MSEROS, TerraformLas puertas de enlace MSE deben implementarse en múltiples zonas de disponibilidad configurando un VSwitch de respaldo.
nas-filesystem-mount-target-access-group-checkVerificación de Grupo de Acceso de Objetivo de Montaje NASROS, TerraformGarantiza que los objetivos de montaje NAS no usen 'DEFAULT_VPC_GROUP_NAME'.
natgateway-delete-protection-enabledProtección de Eliminación de Puerta de Enlace NAT HabilitadaROS, TerraformGarantiza que las instancias de puerta de enlace NAT tengan protección contra eliminación habilitada.
natgateway-eip-used-checkVerificación de Uso de EIP de Puerta de Enlace NATROS, TerraformSNAT y DNAT no deben usar el mismo EIP para evitar conflictos potenciales y mejorar la segmentación de red.
natgateway-snat-eip-bandwidth-checkConsistencia de Ancho de Banda EIP SNAT de Puerta de Enlace NATROS, TerraformLa especificación de la puerta de enlace NAT no debe ser Small para garantizar capacidad de ancho de banda EIP SNAT adecuada.
nlb-loadbalancer-multi-zoneImplementación Multi-Zona del Equilibrador de Carga NLBROS, TerraformLas instancias del equilibrador de carga NLB deben implementarse en al menos dos zonas de disponibilidad para alta disponibilidad.
nlb-server-group-multi-zoneDistribución Multi-Zona del Grupo de Servidores NLBROS, TerraformLos grupos de servidores NLB deben tener servidores backend distribuidos en múltiples zonas de disponibilidad para alta disponibilidad. Esta regla no se aplica a grupos de servidores sin servidores adjuntos, ni a grupos de servidores de tipo IP.
oss-bucket-authorize-specified-ipBucket OSS Autoriza IP EspecificadaROS, TerraformGarantiza que las políticas de bucket OSS restrinjan el acceso a rangos de IP especificados.
oss-bucket-backup-enableRespaldo OSS HabilitadoROS, TerraformGarantiza que los buckets OSS tengan respaldo o control de versiones habilitado.
oss-bucket-logging-enabledRegistro de Logs de Bucket OSS HabilitadoROS, TerraformLos buckets OSS deben tener registro de logs habilitado para rastrear acceso y operaciones. El registro de logs ayuda en la auditoría de seguridad, solución de problemas y requisitos de conformidad.
oss-bucket-remote-replicationReplicación Remota de Bucket OSS HabilitadaROS, TerraformGarantiza que la replicación entre regiones esté habilitada para el bucket OSS para recuperación ante desastres.
oss-bucket-tls-version-checkVerificación de Versión TLS de Bucket OSSROS, TerraformGarantiza que el bucket OSS esté configurado para usar una versión segura de TLS (TLS 1.2 o superior).
oss-bucket-versioning-enabledVersionado de Bucket OSS HabilitadoROS, TerraformEl bucket OSS debe tener versionado habilitado para proteger contra eliminación o sobrescritura accidental.
oss-default-encryption-kmsCifrado KMS del lado del servidor de bucket OSS habilitadoROS, TerraformEl bucket OSS tiene cifrado KMS del lado del servidor habilitado, se considera conforme.
oss-encryption-byok-checkVerificación de Cifrado BYOK de Bucket OSSROS, TerraformLos buckets OSS deben usar claves KMS administradas por el cliente (BYOK - Bring Your Own Key) para el cifrado. Esto proporciona un mejor control sobre las claves de cifrado y cumple con los requisitos de cumplimiento.
oss-zrs-enabledAlmacenamiento con Redundancia de Zona de Bucket OSS HabilitadoROS, TerraformLos buckets OSS deben usar almacenamiento con redundancia de zona (ZRS) para alta disponibilidad y durabilidad de datos.
ots-instance-multi-zoneAlmacenamiento Redundante por Zona de Instancia OTSROS, TerraformLas instancias OTS deben usar el modo de acceso redundante por zona (ConsoleOrVpc) para alta disponibilidad.
ots-instance-network-not-normalTipo de Red Restringido OTSROS, TerraformLas instancias OTS no deben usar acceso de red sin restricciones (Any). Use Vpc o ConsoleOrVpc en su lugar.
pai-eas-instances-multi-zoneImplementación Multi-Zona de Instancia PAI EASROS, TerraformGarantiza que las instancias PAI EAS se implementen en múltiples zonas para alta disponibilidad.
polardb-cluster-delete-protection-enabledProtección contra Eliminación de Cluster PolarDB HabilitadaROS, TerraformGarantiza que los clústeres PolarDB tengan protección contra eliminación habilitada.
polardb-cluster-enabled-sslSSL de Cluster PolarDB HabilitadoROS, TerraformGarantiza que los clústeres PolarDB tengan cifrado SSL habilitado.
polardb-cluster-multi-zoneImplementación Multi-zona de Cluster PolarDBROS, TerraformLos clústeres PolarDB deben implementarse en múltiples zonas de disponibilidad para alta disponibilidad.
polardb-dbcluster-in-vpcClúster PolarDB en VPCROS, TerraformGarantiza que el clúster PolarDB se despliegue en una VPC configurando vswitch_id.
polardb-revision-version-used-checkVerificación de Versión de Revisión PolarDB UtilizadaROS, TerraformGarantiza que el clúster PolarDB esté usando una versión de revisión de kernel estable.
polardb-x2-instance-multi-zoneDespliegue Multi-Zona de Instancia PolarDB-X 2.0ROS, TerraformLas instancias PolarDB-X 2.0 deben desplegarse en 3 zonas de disponibilidad.
privatelink-server-endpoint-multi-zoneDespliegue Multi-Zona del Servicio de Punto de Extremo VPC PrivateLinkROS, TerraformLos servicios de punto de extremo VPC PrivateLink deben tener recursos desplegados en múltiples zonas de disponibilidad para alta disponibilidad.
privatelink-servier-endpoint-multi-zoneDespliegue Multi-Zona de Punto Final de Servicio PrivateLinkROS, TerraformGarantiza que los puntos finales de servicio PrivateLink estén desplegados en múltiples zonas para alta disponibilidad.
ram-password-policy-checkVerificación de Política de Contraseña RAMROS, TerraformGarantiza que la política de contraseña RAM cumpla con los requisitos de seguridad especificados.
ram-policy-no-has-specified-documentPolítica RAM Sin Documento EspecificadoROS, TerraformGarantiza que las políticas RAM personalizadas no contengan la configuración de permisos especificada.
ram-role-has-specified-policyEl Rol RAM Tiene Política EspecificadaROS, TerraformGarantiza que los roles RAM tengan las políticas especificadas adjuntas.
ram-role-no-product-admin-accessEl Rol RAM No Tiene Acceso de Administrador de ProductoROS, TerraformGarantiza que los roles RAM no tengan acceso administrativo completo o permisos de administrador de producto.
ram-user-activated-ak-quantity-checkVerificación de Cantidad de AK Activo de Usuario RAMROS, TerraformGarantiza que los usuarios RAM no tengan más de una AccessKey activa.
ram-user-ak-create-date-expired-checkVerificación de Expiración de Fecha de Creación de AccessKey de Usuario RAMROS, TerraformGarantiza que las AccessKeys de usuario RAM estén correctamente gestionadas con almacenamiento seguro.
ram-user-ak-used-expired-checkVerificación de Fecha de Último Uso de AccessKey de Usuario RAMROS, TerraformGarantiza que las AccessKeys de usuario RAM estén en estado Activo.
ram-user-has-specified-policyEl Usuario RAM Tiene Política EspecificadaROS, TerraformGarantiza que los usuarios RAM tengan las políticas requeridas adjuntas, incluidas las heredadas de grupos.
ram-user-login-checkVerificación de Login de Usuario RAM HabilitadoROS, TerraformGarantiza que los usuarios RAM que no necesitan acceso a la consola tengan el inicio de sesión deshabilitado.
ram-user-no-has-specified-policyUsuario RAM Sin Política EspecificadaROS, TerraformGarantiza que los usuarios RAM no tengan políticas riesgosas especificadas adjuntas.
ram-user-no-product-admin-accessUsuario RAM Sin Acceso Administrativo de ProductoROS, TerraformGarantiza que los usuarios RAM no tengan acceso administrativo completo a los productos en la nube a menos que sea necesario.
rds-instacne-delete-protection-enabledProtección contra Eliminación de Instancia RDS HabilitadaROS, TerraformGarantiza que las instancias RDS tengan protección contra eliminación habilitada.
rds-instance-enabled-auditingAuditoría de Instancia RDS HabilitadaROS, TerraformGarantiza que las instancias RDS tengan auditoría SQL habilitada.
rds-instance-enabled-log-backupBackup de Log de Instancia RDS HabilitadoROS, TerraformGarantiza que las instancias RDS tengan backup de log habilitado.
rds-instance-enabled-sslSSL de Instancia RDS HabilitadoROS, TerraformGarantiza que las instancias RDS tengan cifrado SSL habilitado.
rds-instance-enabled-tde-disk-encryptionInstancia RDS TDE o Cifrado de Disco HabilitadoROS, TerraformLa instancia RDS debe tener TDE (Cifrado Transparente de Datos) o cifrado de disco habilitado.
rds-instance-has-guard-instanceLa Instancia RDS Tiene Instancia de GuardiaROS, TerraformGarantiza que las instancias RDS de producción tengan una instancia de guardia (recuperación ante desastres) correspondiente.
rds-instances-in-vpcInstancia RDS en VPCROS, TerraformGarantiza que la instancia RDS se implemente dentro de un VPC.
rds-multi-az-supportDespliegue Multi-AZ de Instancia RDSROS, TerraformLas instancias RDS deben implementarse en configuración multi-AZ para alta disponibilidad y conmutación por error automática.
redis-architecturetype-cluster-checkVerificación de Tipo de Arquitectura de Clúster RedisROS, TerraformGarantiza que la instancia Redis use el tipo de arquitectura de clúster.
redis-instance-backup-log-enabledBackup de Log de Instancia Redis HabilitadoROS, TerraformGarantiza que el backup esté configurado para la instancia Redis.
redis-instance-double-node-typeTipo de Nodo Doble de Instancia RedisROS, TerraformGarantiza que la instancia Redis use tipo de nodo doble para alta disponibilidad.
redis-instance-enabled-byok-tdeTDE BYOK de Instancia Redis HabilitadoROS, TerraformGarantiza que las instancias Redis tengan Transparent Data Encryption (TDE) habilitado usando Bring Your Own Key (BYOK).
redis-instance-enabled-sslSSL de Instancia Redis HabilitadoROS, TerraformGarantiza que las instancias Redis tengan cifrado SSL habilitado.
redis-instance-in-vpcInstancia Redis en VPCROS, TerraformGarantiza que la instancia Redis se despliegue en una VPC.
redis-instance-multi-zoneDespliegue Multi-zona de Instancia RedisROS, TerraformLas instancias Redis deben implementarse en múltiples zonas de disponibilidad para alta disponibilidad.
redis-instance-release-protectionProtección contra Liberación de Instancia Redis HabilitadaROS, TerraformGarantiza que las instancias Redis tengan protección contra liberación habilitada.
redis-instance-tls-version-checkVerificación de Versión TLS de Instancia RedisROS, TerraformGarantiza que la instancia Redis tenga SSL habilitado con una versión TLS aceptable.
redis-min-capacity-limitLímite de Capacidad Mínima de RedisROS, TerraformGarantiza que la instancia Redis tenga capacidad de memoria que cumpla con el requisito mínimo.
rocketmq-v5-instance-multi-zoneDespliegue Multi-Zona de Instancia RocketMQ 5.0ROS, TerraformLas instancias RocketMQ 5.0 deben desplegarse en modo Cluster HA que admite disponibilidad multi-zona.
security-center-version-checkVerificación de Versión del Centro de SeguridadROSEl Centro de Seguridad debe estar en una versión que proporcione funciones de protección suficientes.
slb-all-listener-enabled-aclTodos los Oyentes SLB Tienen Control de AccesoROS, TerraformTodos los oyentes en ejecución de las instancias SLB deben tener listas de control de acceso (ACL) configuradas para seguridad.
slb-all-listener-http-disabledHTTP de Todos los Oyentes SLB DeshabilitadoROS, TerraformGarantiza que ningún oyente SLB use el protocolo HTTP inseguro.
slb-all-listener-http-redirect-httpsRedirección HTTP a HTTPS de SLB HabilitadaROS, TerraformGarantiza que los oyentes HTTP de SLB estén configurados para redirigir el tráfico a HTTPS.
slb-all-listenter-has-serverTodos los Oyentes SLB Tienen Servidores BackendROS, TerraformTodos los oyentes de las instancias SLB deben tener al menos el número especificado de servidores backend adjuntos.
slb-all-listenter-tls-policy-checkVerificación de Política TLS del Listener SLBROS, TerraformGarantiza que los listeners HTTPS de SLB usen políticas de cifrado TLS seguras.
slb-default-server-group-multi-serverEl Grupo de Servidores Predeterminado SLB Tiene Múltiples ServidoresROS, TerraformEl grupo de servidores predeterminado de las instancias SLB debe tener al menos dos servidores para evitar un punto único de falla.
slb-instance-autorenewal-checkVerificación de Renovación Automática de Instancia SLBROS, TerraformLas instancias SLB prepagadas deben tener renovación automática habilitada para evitar interrupciones del servicio.
slb-instance-default-server-group-multi-zoneGrupo de Servidores Predeterminado SLB Multi-ZonaROS, TerraformEl grupo de servidores predeterminado de las instancias SLB debe tener recursos distribuidos en múltiples zonas de disponibilidad.
slb-instance-log-enabledRegistro de Instancia SLB HabilitadoROS, TerraformGarantiza que el registro de acceso esté habilitado para la instancia SLB.
slb-instance-multi-zoneImplementación Multi-zona de Instancia SLBROS, TerraformLas instancias SLB deben implementarse en múltiples zonas configurando zonas maestra y esclava para alta disponibilidad.
slb-instance-spec-checkVerificación de Especificación de Instancia SLBROS, TerraformLas especificaciones de instancia SLB deben cumplir con los criterios de rendimiento requeridos según la lista especificada.
slb-listener-https-enabledHTTPS de Listener SLB HabilitadoROS, TerraformGarantiza que los listeners SLB usen el protocolo HTTPS para comunicación segura.
slb-loadbalancer-in-vpcVerificación SLB en VPCROS, TerraformGarantiza que las instancias SLB estén desplegadas dentro de una Virtual Private Cloud (VPC).
slb-master-slave-server-group-multi-zoneGrupo de Servidores Maestro-Esclavo SLB Multi-ZonaROS, TerraformEl grupo de servidores maestro-esclavo de las instancias SLB debe tener recursos distribuidos en múltiples zonas de disponibilidad.
slb-no-public-ipInstancia SLB Sin IP PúblicaROS, TerraformLas instancias SLB no deben tener direcciones IP públicas para reducir la superficie de ataque.
slb-vserver-group-multi-zoneImplementación Multi-Zona de Grupo de Servidor Virtual SLBROS, TerraformGarantiza que los grupos de servidor virtual SLB contengan instancias de múltiples zonas de disponibilidad.
sls-logstore-enabled-encryptCifrado de Logstore SLS HabilitadoROS, TerraformGarantiza que los Logstores SLS tengan cifrado del lado del servidor habilitado.
sls-logstore-encrypt-key-origin-checkVerificación de Origen de Clave de Cifrado de Logstore SLSROS, TerraformGarantiza que los Logstores SLS usen material de clave importado externamente (BYOK) para el cifrado, lo que proporciona un mejor control sobre las claves de cifrado.
sls-project-multi-zoneAlmacenamiento Redundante de Zona del Proyecto SLSROS, TerraformLos proyectos SLS deben usar almacenamiento redundante de zona (ZRS) para alta disponibilidad y durabilidad de datos.
vpc-flow-logs-enabledRegistros de Flujo VPC HabilitadosROS, TerraformGarantiza que los registros de flujo VPC estén habilitados para monitorear el tráfico de red.
vpc-network-acl-not-emptyACL de Red VPC No VacíoROS, TerraformGarantiza que las ACL de red VPC tengan al menos una regla configurada.
vpn-connection-master-slave-establishedConexión VPN Túnel Dual EstablecidoROS, TerraformUse una puerta de enlace VPN de túnel dual y ambos túneles maestro y esclavo están establecidos con el par.
vpn-gateway-multi-zoneImplementación Multi-Zona de Puerta de Enlace VPNROS, TerraformLas puertas de enlace VPN deben configurarse con un VSwitch de recuperación ante desastres para admitir disponibilidad multi-zona.
vswitch-available-ip-countVerificación de Conteo de IP Disponibles de VSwitchROS, TerraformGarantiza que el VSwitch tenga un número suficiente de direcciones IP disponibles.
waf-instance-logging-enabledRegistro de Instancia WAF HabilitadoROS, TerraformGarantiza que el registro esté habilitado para la instancia WAF para auditoría y análisis de seguridad.
waf3-defense-resource-logging-enabledRegistro de WAF 3.0 HabilitadoROS, TerraformGarantiza que el registro esté habilitado para los recursos protegidos por WAF 3.0.

Baja Severidad (41 Reglas)

ID de ReglaNombreTipos de IaCDescripción
ack-cluster-spec-checkVerificación de Especificación de Clúster ACKROS, TerraformGarantiza que los clústeres ACK usen especificaciones aprobadas (por ejemplo, ACK Pro).
alb-address-type-checkVerificación de Tipo de Dirección ALBROS, TerraformGarantiza que las instancias ALB usen el tipo de dirección preferido (por ejemplo, Intranet).
apig-group-custom-trace-enabledRastreo Personalizado de Grupo de API Gateway HabilitadoROS, TerraformGarantiza que los grupos de API Gateway tengan rastreo personalizado habilitado.
cr-repository-immutablity-enableLa Versión de Imagen del Repositorio del Registro de Contenedores es InmutableROS, TerraformLa versión de imagen del repositorio del Registro de Contenedores es inmutable, considerado conforme.
eci-container-group-volumn-mountsVerificación de Montaje de Volumen ECIROS, TerraformGarantiza que los grupos de contenedores ECI tengan volúmenes montados para almacenamiento de datos persistente.
ecs-disk-auto-snapshot-policyDisco ECS tiene política de snapshot automático configuradaROS, TerraformEl disco ECS tiene política de snapshot automático configurada, considerada conforme. Los discos no en uso, discos que no admiten política de snapshot automático y discos no persistentes montados por clústeres ACK no son aplicables. Después de habilitar la política de snapshot automático, Alibaba Cloud creará automáticamente snapshots para discos en la nube según puntos de tiempo y ciclos predefinidos, permitiendo recuperación rápida de intrusión de virus o ataques de ransomware.
ecs-disk-idle-checkVerificación de Disco Inactivo ECSROS, TerraformGarantiza que los discos ECS estén adjuntos a una instancia y no en estado inactivo.
ecs-disk-regional-auto-checkAlmacenamiento ESSD con Redundancia de Zona de Disco ECSROS, TerraformLos discos de datos ECS deben usar almacenamiento ESSD con redundancia de zona para alta disponibilidad. Los discos del sistema no son aplicables a esta regla.
ecs-instance-chargetype-checkVerificación de Tipo de Cargo de Instancia ECSROS, TerraformGarantiza que las instancias ECS usen el tipo de cargo autorizado.
ecs-instance-multiple-eni-checkLa Instancia ECS Está Vinculada Solo a Una Interfaz de Red ElásticaROS, TerraformLas instancias ECS están vinculadas solo a una interfaz de red elástica, considerado conforme. Esto ayuda a simplificar la configuración de red y reducir la complejidad.
ecs-instance-ram-role-attachedRol RAM de Instancia ECS AdjuntoROS, TerraformGarantiza que las instancias ECS tengan un rol IAM adjunto para acceso seguro a otros servicios en la nube.
ecs-internet-charge-type-checkVerificación de Tipo de Cargo de Internet ECSROS, TerraformGarantiza que las instancias ECS usen el tipo de cargo de Internet preferido.
ecs-security-group-description-checkDescripción de Grupo de Seguridad No VacíaROS, TerraformLa descripción del grupo de seguridad no debe estar vacía. Tener una descripción ayuda con la gestión y la auditoría.
ecs-security-group-type-not-normalUsar Tipo de Grupo de Seguridad EmpresarialROS, TerraformEl tipo de grupo de seguridad ECS no debe ser tipo normal. Usar grupo de seguridad empresarial se considera conforme.
ecs-snapshot-retention-daysDías de retención de snapshot automático ECS cumplen requisitosROS, TerraformLos días de retención de la política de snapshot automático ECS son mayores que el número especificado de días, considerado conforme. Valor predeterminado: 7 días.
ecs-system-disk-size-checkVerificación de Tamaño de Disco del Sistema ECSROS, TerraformGarantiza que los discos del sistema ECS cumplan con el tamaño mínimo requerido.
eip-attachedEIP AdjuntoROS, TerraformGarantiza que las instancias EIP estén asociadas con un recurso.
eip-bandwidth-limitLímite de Ancho de Banda EIPROS, TerraformGarantiza que el ancho de banda EIP no exceda un valor máximo especificado.
hbase-cluster-type-checkVerificacion de Tipo de Motor del Cluster HBaseROS, TerraformEl cluster HBase no debe usar un tipo de motor obsoleto.
metadata-ros-composer-checkVerificación de Metadatos de Plantilla ALIYUN::ROS::ComposerROSLa plantilla debe tener Metadata.ALIYUN::ROS::Composer configurado. El valor debe ser un diccionario (objeto).
nas-filesystem-encrypt-type-checkCifrado del sistema de archivos NAS configuradoROS, TerraformGarantiza que los sistemas de archivos NAS tengan el cifrado habilitado (encrypt_type establecido en 1 o 2).
oss-bucket-referer-limitProtección de enlace directo de referer de bucket OSS configuradaROS, TerraformEl bucket OSS tiene protección contra enlaces directos de referer habilitada con una lista blanca configurada.
polardb-cluster-default-time-zone-not-systemZona Horaria Predeterminada del Clúster PolarDB No es SistemaROS, TerraformGarantiza que el clúster PolarDB tenga parámetros configurados con configuraciones de zona horaria explícitas.
polardb-cluster-maintain-time-checkVerificación de Ventana de Mantenimiento de Cluster PolarDBROS, TerraformGarantiza que el clúster PolarDB tenga una ventana de mantenimiento configurada.
ram-group-has-member-checkEl Grupo RAM Tiene MiembroROS, TerraformGarantiza que los grupos RAM tengan al menos un miembro.
ram-group-in-use-checkVerificación de Grupo RAM en UsoROS, TerraformGarantiza que los grupos RAM no estén inactivos - deben tener al menos un miembro y al menos una política adjunta.
ram-policy-in-use-checkVerificación de Política RAM en UsoROS, TerraformGarantiza que las políticas RAM estén adjuntas a al menos un usuario, grupo o rol RAM.
ram-user-group-membership-checkVerificación de Membresía de Grupo de Usuario RAMROS, TerraformGarantiza que los usuarios RAM pertenezcan al menos a un grupo para facilitar la gestión de permisos.
ram-user-last-login-expired-checkVerificación de Último Inicio de Sesión de Usuario RAMROS, TerraformVerifica si los usuarios RAM no han iniciado sesión durante mucho tiempo.
ram-user-no-policy-checkEl Usuario RAM Tiene PolíticaROS, TerraformGarantiza que los usuarios RAM tengan al menos una política adjunta.
rds-instance-maintain-time-checkVerificación de Ventana de Mantenimiento de Instancia RDSROS, TerraformGarantiza que la instancia RDS tenga configurada una ventana de mantenimiento.
rds-instance-storage-autoscale-enableAutoescalado de Almacenamiento RDS HabilitadoROS, TerraformGarantiza que las instancias RDS tengan autoescalado de almacenamiento habilitado para prevenir tiempo de inactividad debido a discos llenos.
redis-instance-backup-time-checkVerificación de Ventana de Respaldo de Instancia RedisROS, TerraformGarantiza que la instancia Redis tenga configurada una ventana de respaldo.
root-has-specified-roleLa Cuenta Raíz Tiene Rol EspecificadoROSGarantiza que la cuenta raíz tenga un rol RAM especificado para gobernanza y gestión.
slb-backendserver-weight-checkVerificación de Peso del Servidor Backend SLBROS, TerraformGarantiza que los servidores backend SLB tengan configuraciones de peso razonables.
slb-instance-loadbalancerspec-checkVerificación de Especificación de Instancia SLBROS, TerraformGarantiza que las instancias SLB usen especificaciones de rendimiento aprobadas.
slb-loadbalancer-bandwidth-limitLímite de Ancho de Banda SLBROS, TerraformGarantiza que el ancho de banda de la instancia SLB no exceda un valor máximo especificado.
slb-modify-protection-checkProtección contra Modificación de SLB HabilitadaROS, TerraformGarantiza que las instancias SLB tengan protección contra modificación habilitada.
sls-logstore-hot-ttl-checkAlmacenamiento de Nivel Inteligente de Logstore SLS HabilitadoROS, TerraformGarantiza que los Logstores SLS tengan almacenamiento inteligente de nivel caliente/frío habilitado para optimización de costos.
vpn-gateway-enabled-ssl-vpnSSL-VPN de Puerta de Enlace VPN HabilitadoROS, TerraformGarantiza que la puerta de enlace VPN tenga SSL-VPN habilitado para acceso seguro del cliente.
vpn-ipsec-connection-health-check-openVerificación de Salud IPsec VPN HabilitadaROS, TerraformGarantiza que las conexiones VPN IPsec tengan verificaciones de salud habilitadas para detectar fallas del túnel.

Este documento se genera automáticamente a partir de los metadatos de la política.