Saltar al contenido principal

Aliyun Reglas

Total de reglas: 317

Reglas por Severidad

Alta Severidad (98 Reglas)

ID de ReglaNombreDescripción
ack-cluster-node-multi-zoneDespliegue Multi-zona del Cluster ACKLos nodos del clúster ACK deben distribuirse en 3 o más zonas de disponibilidad para alta disponibilidad.
ack-cluster-public-endpoint-checkVerificación de Endpoint Público del Cluster ACKLos clústeres ACK no deben tener un endpoint público configurado, o el listener SLB asociado debe tener ACL habilitado.
acs-cluster-node-multi-zoneDespliegue Multi-Zona de Nodos de Clúster ACSLos nodos del clúster ACS deben distribuirse en 3 o más zonas de disponibilidad para alta disponibilidad.
actiontrail-enabledActionTrail HabilitadoGarantiza que ActionTrail esté habilitado para registrar actividades de la cuenta.
actiontrail-trail-intact-enabledTrilha ActionTrail Intacta HabilitadaLa trilha ActionTrail debe estar habilitada y rastrear todos los tipos de eventos (Lectura y Escritura).
alb-acl-public-access-checkLa ACL ALB No Permite Acceso PúblicoGarantiza que las listas de control de acceso ALB no contengan 0.0.0.0/0 (permitiendo todas las IPs).
alb-all-listener-health-check-enabledVerificación de Salud de Todos los Oyentes ALB HabilitadaGarantiza que todos los oyentes ALB tengan verificaciones de salud habilitadas.
alb-delete-protection-enabledProtección de Eliminación de Instancia ALB HabilitadaGarantiza que las instancias ALB tengan protección contra eliminación habilitada.
alb-instance-multi-zoneDespliegue Multi-zona de Instancia ALBLas instancias ALB deben implementarse en múltiples zonas de disponibilidad para alta disponibilidad. Si solo se selecciona una zona, una falla en la zona afectará la instancia ALB y la estabilidad del negocio.
alb-instance-waf-enabledLa Instancia ALB Tiene Protección WAFGarantiza que las instancias ALB tengan protección WAF3 (Web Application Firewall) habilitada.
alb-server-group-multi-serverEl Grupo de Servidores ALB Tiene Múltiples ServidoresGarantiza que los grupos de servidores ALB contengan al menos dos servidores backend para alta disponibilidad.
alidns-route-53-mx-checkRegistro MX de DNS Tiene SPF Válido en Registro TXT AsociadoGarantiza que los registros MX tengan registros TXT asociados con valores SPF válidos para validación de correo electrónico.
api-gateway-group-force-httpsForzar HTTPS del Grupo de API GatewayGarantiza que los grupos de API Gateway con dominios personalizados públicos tengan redirección forzada HTTPS habilitada.
bastionhost-instance-expired-checkVerificación de Expiración de Instancia BastionHostLas instancias BastionHost prepagadas deben tener renovación automática habilitada.
cdn-domain-multiple-origin-serversMúltiples Servidores de Origen de Dominio CDNLos dominios CDN deben configurarse con múltiples servidores de origen para alta disponibilidad y tolerancia a fallos.
cr-instance-any-ip-access-checkInstancia CR Sin Acceso de Cualquier IPGarantiza que las instancias de Container Registry no tengan ninguna IP (0.0.0.0/0) en su lista blanca.
cr-repository-image-scanning-enabledEscaneo de Imagen de Instancia CR HabilitadoGarantiza que las instancias de Container Registry tengan escaneo de imágenes habilitado para la detección de vulnerabilidades de seguridad.
cr-repository-type-privateTipo de Repositorio CR PrivadoGarantiza que los repositorios CR estén configurados como PRIVADOS.
dcdn-domain-multiple-origin-serversDominio DCDN Múltiples Servidores de OrigenLos dominios DCDN deben configurarse con múltiples servidores de origen para alta disponibilidad y tolerancia a fallos.
eci-containergroup-environment-no-specified-keysEl Grupo de Contenedores ECI No Contiene Variables de Entorno SensiblesGarantiza que los grupos de contenedores ECI no tengan variables de entorno sensibles como contraseñas o claves de acceso.
ecs-available-disk-encryptedCifrado de Disco ECS HabilitadoGarantiza que todos los discos ECS estén cifrados.
ecs-instance-attached-security-groupInstancia ECS con Grupo de Seguridad AdjuntoSi la instancia ECS está incluida en el grupo de seguridad especificado, la configuración se considera conforme.
ecs-instance-deletion-protection-enabledProtección de Eliminación de Instancia ECS HabilitadaAsegura que las instancias ECS tengan habilitada la protección contra eliminación.
ecs-instance-enabled-security-protectionProtección de Seguridad de Instancia ECS HabilitadaGarantiza que las instancias ECS tengan estrategia de mejora de seguridad habilitada.
ecs-instance-expired-checkVerificación de Expiración de Instancia Prepagada ECSLas instancias prepagadas deben tener renovación automática habilitada para evitar la interrupción del servicio debido a la expiración.
ecs-instance-no-public-ipLa Instancia ECS No Debe Vincular IP PúblicaLas instancias ECS no deben vincular directamente IP pública IPv4 o IP elástica, considerado conforme.
ecs-launch-template-version-attach-security-groupLa Versión de Plantilla de Inicio ECS Adjunta Grupos de SeguridadLas versiones de plantilla de inicio ECS tienen grupos de seguridad configurados para instancias, considerado conforme.
ecs-running-instance-no-public-ipInstancia ECS Sin IP PúblicaLas instancias ECS no deben tener una dirección IP pública para reducir la exposición directa a Internet.
ecs-security-group-egress-not-all-accessEgreso de Grupo de Seguridad No Establecido en Acceso TotalLa dirección de egreso del grupo de seguridad no debe establecerse para permitir todo el acceso (todos los protocolos, todos los puertos, todos los destinos).
ecs-security-group-not-internet-cidr-accessIP de Origen de Ingress de Grupo de Seguridad No Incluye IP PúblicaLas reglas de ingreso del grupo de seguridad con política de aceptación no deben tener IP de origen que contenga IPs públicas de internet.
ecs-security-group-not-open-all-portIngress de Grupo de Seguridad No Abre Todos los PuertosLas reglas de ingreso del grupo de seguridad no deben permitir todos los puertos. Cuando el rango de puertos no está establecido en -1/-1, se considera conforme.
ecs-security-group-not-open-all-protocolIngress de Grupo de Seguridad No Abre Todos los ProtocolosLas reglas de ingreso del grupo de seguridad no deben permitir todos los protocolos. Cuando el tipo de protocolo no está establecido en ALL, se considera conforme.
ecs-security-group-risky-ports-check-with-protocolVerificación de Puertos de Riesgo del Grupo de Seguridad con ProtocoloCuando la fuente de ingreso del grupo de seguridad se establece en 0.0.0.0/0, el rango de puertos no debe incluir puertos de riesgo (22, 3389) para protocolos especificados (TCP/UDP), para reducir el riesgo de ataques de fuerza bruta.
ecs-security-group-white-list-port-checkVerificación de Ingress de Puerto No en Lista Blanca de Grupo de SeguridadExcepto los puertos en lista blanca (80), otros puertos no deben tener reglas de ingreso que permitan el acceso desde 0.0.0.0/0.
elasticsearch-instance-enabled-kibana-public-checkLa Instancia de Elasticsearch Kibana No Habilita el Acceso PúblicoGarantiza que la instancia de Elasticsearch Kibana no sea accesible desde redes públicas.
elasticsearch-instance-enabled-public-checkLa Instancia Elasticsearch No Habilita Acceso PúblicoGarantiza que las instancias Elasticsearch no sean accesibles desde redes públicas.
elasticsearch-instance-node-not-use-specified-specLa Instancia Elasticsearch No Usa Especificación DeprecadaGarantiza que las instancias Elasticsearch no usen especificaciones de nodo deprecadas o no compatibles.
elasticsearch-instance-version-not-deprecatedLa Instancia de Elasticsearch No Usa Versión ObsoletaGarantiza que las instancias de Elasticsearch no estén usando versiones obsoletas o EOL.
elasticsearch-public-and-any-ip-access-checkVerificación de Acceso Público y de Cualquier IP de ElasticsearchGarantiza que las instancias Elasticsearch no tengan acceso público habilitado o una lista blanca abierta.
ess-scaling-configuration-data-disk-encryptedCifrado de Disco de Datos de Configuración de Escalado ESSLas configuraciones de escalado ESS deben habilitar el cifrado de disco de datos para proteger los datos en reposo.
ess-scaling-configuration-sg-public-accessAcceso Público del Grupo de Seguridad de Configuración de Escalado ESSLos grupos de seguridad de configuración de escalado ESS no deben permitir el acceso desde 0.0.0.0/0 para prevenir el acceso no autorizado.
ess-scaling-configuration-system-disk-encryptedCifrado de Disco del Sistema de Configuración de Escalado ESSLas configuraciones de escalado ESS deben habilitar el cifrado del disco del sistema para proteger los datos del sistema en reposo.
fc-function-runtime-checkVerificación de Runtime de Función FCLas funciones FC no deben usar runtimes deprecados que puedan tener vulnerabilidades de seguridad.
fc-trigger-http-not-anonymousVerificación de Autenticación del Disparador HTTP FCLos disparadores HTTP FC deben requerir autenticación para prevenir acceso no autorizado.
gpdb-instance-disk-encryption-enabledCifrado de Disco GPDB HabilitadoGarantiza que las instancias GPDB tengan cifrado de disco habilitado.
hbase-cluster-expired-checkVerificación de Expiración de Clúster HBaseLos clústeres HBase prepagados deben tener renovación automática habilitada.
hbase-cluster-ha-checkHA de Clúster HBase HabilitadoGarantiza que los clústeres HBase estén configurados para Alta Disponibilidad (HA).
kafka-instance-disk-encryptedDisco de Instancia Kafka CifradoLa instancia Kafka debe tener cifrado de disco habilitado durante la implementación para protección de datos.
kafka-instance-public-access-checkAcceso Público de Kafka DeshabilitadoGarantiza que las instancias Kafka no tengan acceso a la red pública.
maxcompute-project-encryption-enabledCifrado de Proyecto MaxCompute HabilitadoGarantiza que los proyectos MaxCompute tengan cifrado habilitado para proteger los datos almacenados.
maxcompute-project-ip-whitelist-enabledLista Blanca de IP del Proyecto MaxCompute HabilitadaGarantiza que los proyectos MaxCompute tengan una lista blanca de IP configurada para restringir el acceso.
mongodb-cluster-expired-checkVerificación de Expiración de Instancia MongoDBLas instancias MongoDB prepagadas deben tener renovación automática habilitada.
mongodb-instance-class-not-sharedInstancia MongoDB Usa Clase DedicadaGarantiza que las instancias MongoDB usen clases de instancia dedicadas o exclusivas, no instancias compartidas.
mongodb-min-maxconnections-limitMongoDB Cumple los Requisitos Mínimos de ConexiónGarantiza que las instancias MongoDB proporcionen al menos el número mínimo requerido de conexiones.
mongodb-min-maxiops-limitMongoDB Cumple con los Requisitos Mínimos de IOPSGarantiza que las instancias MongoDB proporcionen al menos el IOPS mínimo requerido.
mongodb-public-access-checkRestricción de Internet de Lista Blanca MongoDBGarantiza que las listas blancas de IP de seguridad MongoDB no contengan 0.0.0.0/0.
mongodb-public-and-any-ip-access-checkVerificación de Acceso Público y de Cualquier IP de MongoDBGarantiza que las instancias MongoDB no tengan una lista blanca abierta (0.0.0.0/0).
mse-cluster-architecture-checkClúster MSE Tiene Múltiples NodosGarantiza que los clústeres MSE (Motor de Microservicios) tengan más de 3 nodos para alta disponibilidad.
mse-cluster-internet-checkEl Clúster MSE No Tiene Acceso Público a InternetGarantiza que los clústeres MSE no tengan acceso público a Internet habilitado.
mse-gateway-architecture-checkLa Puerta de Enlace MSE Tiene Múltiples NodosGarantiza que las puertas de enlace MSE (Motor de Microservicios) tengan más de 1 nodo para alta disponibilidad.
nas-access-group-public-access-checkRestricción de IP del Grupo de Acceso NASGarantiza que las reglas de acceso NAS no permitan 0.0.0.0/0.
nat-risk-ports-checkVerificación de Puertos de Riesgo de Puerta de Enlace NATLos mapeos DNAT de la puerta de enlace NAT no deben exponer puertos riesgosos a internet para prevenir vulnerabilidades de seguridad.
oss-bucket-anonymous-prohibitedAcceso Anónimo de Bucket OSS ProhibidoGarantiza que el acceso anónimo esté prohibido para el bucket OSS.
oss-bucket-only-https-enabledSolo HTTPS de Bucket OSS HabilitadoEl bucket OSS debe tener una política que niegue las solicitudes que no sean HTTPS para garantizar la seguridad del transporte de datos.
oss-bucket-policy-no-any-anonymousLa política de bucket OSS no otorga permisos a usuarios anónimosLa política de bucket OSS no otorga permisos de lectura o escritura a usuarios anónimos.
oss-bucket-policy-outside-organization-checkPolítica de Bucket OSS Sin Acceso Fuera de la OrganizaciónGarantiza que las políticas de bucket OSS no otorguen acceso a principales fuera de la organización.
oss-bucket-public-read-prohibitedLectura Pública de Bucket OSS ProhibidaLos buckets OSS no deben permitir acceso de lectura público a menos que sea específicamente necesario. El acceso de lectura público permite a cualquiera acceder y descargar objetos en el bucket.
oss-bucket-public-write-prohibitedEscritura Pública de Bucket OSS ProhibidaLos buckets OSS no deben permitir acceso de escritura público. El acceso de escritura público permite a cualquiera cargar, modificar o eliminar objetos en el bucket, lo que plantea riesgos de seguridad significativos.
oss-bucket-server-side-encryption-enabledCifrado del Lado del Servidor de Bucket OSS HabilitadoLos buckets OSS deben tener cifrado del lado del servidor habilitado para proteger los datos en reposo. El cifrado del lado del servidor usa KMS o AES256 para cifrar datos almacenados en OSS.
parameter-sensitive-noecho-checkLos Parámetros Sensibles Deben Tener NoEchoLos parámetros de plantilla que contienen información sensible (contraseñas, claves API, secretos) deben protegerse estableciendo NoEcho en true o usando valores válidos de AssociationProperty para evitar que se muestren en texto plano.
polardb-cluster-enabled-tdeTDE de Cluster PolarDB HabilitadoGarantiza que los clústeres PolarDB tengan Transparent Data Encryption (TDE) habilitado.
polardb-cluster-expired-checkVerificación de Expiración de Cluster PolarDBLos clústeres PolarDB prepagos deben tener renovación automática habilitada.
polardb-public-access-checkVerificación de Acceso Público de PolarDBGarantiza que la lista blanca de IP de PolarDB no esté establecida en 0.0.0.0/0.
polardb-public-and-any-ip-access-checkVerificación de Acceso Público y de Cualquier IP de PolarDBGarantiza que los clústeres PolarDB no tengan endpoints públicos y no estén abiertos a ninguna dirección IP (0.0.0.0/0).
ram-policy-no-statements-with-admin-access-checkPolítica RAM Sin Acceso de AdministradorGarantiza que las políticas RAM personalizadas no otorguen acceso completo de administrador.
ram-user-mfa-checkMFA de Usuario RAM HabilitadoLos usuarios RAM con acceso a la consola deben tener habilitada la autenticación multifactor (MFA).
rds-instance-enabled-disk-encryptionCifrado de Disco de Instancia RDS HabilitadoGarantiza que las instancias RDS tengan cifrado de disco habilitado.
rds-instance-expired-checkVerificación de Expiración de Instancia Prepaga RDSLas instancias RDS prepagas deben tener renovación automática habilitada.
rds-public-access-checkVerificación de Acceso Público de Instancia RDSLas instancias RDS no deben configurarse con direcciones de red públicas. El acceso público expone las bases de datos a posibles amenazas de seguridad de internet.
rds-public-connection-and-any-ip-access-checkVerificación de Conexión Pública y Acceso de Cualquier IP de RDSGarantiza que las instancias RDS con conexiones públicas no tengan una lista blanca abierta a todas las IPs.
rds-white-list-internet-ip-access-checkRestricción de Internet de Lista Blanca RDSGarantiza que las listas blancas de IP de seguridad RDS no contengan 0.0.0.0/0.
redis-instance-expired-checkVerificación de Expiración de Instancia Prepaga RedisLas instancias Redis prepagas deben tener renovación automática habilitada.
redis-instance-no-public-ipInstancia Redis Sin IP PúblicaGarantiza que la instancia Redis no tenga una IP pública asignada.
redis-instance-open-auth-modeModo de Autenticación Redis HabilitadoGarantiza que las instancias Redis requieran autenticación y no estén en modo 'sin contraseña'.
redis-public-and-any-ip-access-checkVerificación de Acceso Público y de Cualquier IP de RedisGarantiza que las instancias Redis no tengan acceso público habilitado o una lista blanca abierta.
root-ak-checkVerificación de AccessKey de Usuario RootGarantiza que la cuenta root no tenga AccessKeys activos.
root-mfa-checkVerificación de MFA de Usuario RootGarantiza que la autenticación multifactor (MFA) esté habilitada para la cuenta root.
sg-public-access-checkIngress de Grupo de Seguridad VálidoLas reglas de ingreso del grupo de seguridad no deben permitir todos los puertos (-1/-1) desde todas las fuentes (0.0.0.0/0) simultáneamente.
sg-risky-ports-checkEl Grupo de Seguridad No Abre Puertos de Riesgo a 0.0.0.0/0Cuando la fuente de la regla de entrada del grupo de seguridad se establece en 0.0.0.0/0, el rango de puertos no debe incluir puertos de riesgo especificados, considerado conforme. Si la fuente no es 0.0.0.0/0, es conforme incluso si se incluyen puertos de riesgo.
slb-acl-public-access-checkVerificación de Acceso Público de ACL de SLBGarantiza que las ACL de SLB no contengan 0.0.0.0/0 para prevenir acceso público sin restricciones.
slb-all-listener-health-check-enabledVerificación de Salud de Todos los Listeners SLB HabilitadaGarantiza que todos los listeners SLB tengan verificaciones de salud habilitadas.
slb-all-listener-servers-multi-zoneSLB Multi-zona con Servidores Backend Multi-zonaLas instancias SLB deben ser multi-zona, y todos los grupos de servidores utilizados por los listeners deben tener recursos agregados desde múltiples zonas.
slb-delete-protection-enabledProtección contra Eliminación de Instancia SLB HabilitadaGarantiza que las instancias SLB tengan protección contra eliminación habilitada.
slb-listener-risk-ports-checkVerificación de Puertos de Riesgo del Listener SLBGarantiza que los listeners SLB no expongan puertos de alto riesgo como 22 o 3389.
transit-router-vpc-attachment-multi-zoneConfiguración Multi-Zona de Conexión VPC del Enrutador de TránsitoLas conexiones VPC del enrutador de tránsito deben configurarse con vSwitches en al menos dos zonas de disponibilidad diferentes para alta disponibilidad entre zonas.
tsdb-instance-security-ip-checkLa Instancia TSDB No Permite Acceso de Cualquier IPGarantiza que las instancias TSDB no tengan listas blancas de seguridad que permitan todas las IPs.
use-waf-instance-for-security-protectionUsar WAF para Protección de SeguridadEl Firewall de Aplicaciones Web (WAF) debe usarse para proteger sitios web y aplicaciones de ataques basados en web.
vpc-network-acl-risky-ports-checkVerificación de Puertos de Riesgo de ACL de Red VPCGarantiza que las ACL de red VPC no permitan acceso sin restricciones a puertos de riesgo (22, 3389).

Media Severidad (179 Reglas)

ID de ReglaNombreDescripción
ack-cluster-encryption-enabledCifrado de Secret del Cluster ACK HabilitadoLos clústeres ACK Pro deben tener cifrado de Secret en reposo habilitado usando KMS.
ack-cluster-inspect-kubelet-version-outdate-checkVerificación de Versión de Kubelet ACKGarantiza que la versión de Kubelet en el clúster ACK esté actualizada.
ack-cluster-log-plugin-installedComplemento de Registro de Clúster ACK InstaladoGarantiza que el complemento log-service esté instalado en el clúster ACK.
ack-cluster-rrsa-enabledRRSA del Cluster ACK HabilitadoGarantiza que la función RAM Roles for Service Accounts (RRSA) esté habilitada para el clúster ACK.
ack-cluster-supported-versionVersión Compatible del Clúster ACKGarantiza que el clúster ACK esté ejecutando una versión compatible.
ack-cluster-upgrade-latest-versionClúster ACK Actualizado a la Última VersiónGarantiza que el clúster ACK esté ejecutando la última versión disponible.
adb-cluster-multi-zoneImplementación Multi-Zona del Clúster ADBEl clúster ADB debe implementarse en modo multi-zona.
alb-all-listenter-has-serverEl Oyente ALB Tiene Servidor BackendGarantiza que todos los oyentes ALB estén asociados con un grupo de servidores no vacío.
alb-instance-bind-security-group-or-enabled-aclInstancia ALB Vincular Grupo de Seguridad o Habilitar ACLLa instancia ALB debe tener grupos de seguridad asociados o ACL configurado para todos los oyentes en ejecución.
alb-server-group-multi-zoneDistribución Multi-Zona del Grupo de Servidores ALBLos grupos de servidores ALB deben tener servidores backend distribuidos en múltiples zonas de disponibilidad para alta disponibilidad. Esta regla no se aplica a grupos de servidores sin servidores adjuntos, ni a grupos de servidores de tipo IP/Function Compute.
alidns-domain-regex-matchLos Nombres de Dominio DNS de Alibaba Cloud Coinciden con la Convención de NomenclaturaGarantiza que los nombres de dominio DNS de Alibaba Cloud coincidan con la expresión regular de convención de nomenclatura especificada.
api-gateway-api-auth-jwtAutenticación JWT de API de API GatewayGarantiza que las APIs de API Gateway usen autenticación JWT.
api-gateway-api-auth-requiredAutenticación de API del Gateway de API RequeridaGarantiza que las APIs del Gateway de API tengan autenticación configurada.
api-gateway-api-internet-request-httpsHTTPS de Solicitud de Internet del Gateway de API HabilitadoGarantiza que las APIs del Gateway de API expuestas a internet usen el protocolo HTTPS.
api-gateway-api-visibility-privateVisibilidad de API de API Gateway PrivadaGarantiza que las API de API Gateway estén configuradas con visibilidad PRIVADA.
api-gateway-group-bind-domainVincular Dominio del Grupo de API GatewayGarantiza que los grupos de API Gateway tengan dominios personalizados vinculados.
api-gateway-group-enabled-sslSSL de Grupo de API Gateway HabilitadoGarantiza que SSL esté habilitado para los grupos de API Gateway.
api-gateway-group-https-policy-checkVerificación de Política HTTPS del Grupo de API GatewayGarantiza que los grupos de API Gateway tengan la política de seguridad HTTPS configurada correctamente.
api-gateway-group-log-enabledRegistro de Grupo de API Gateway HabilitadoGarantiza que los grupos de API Gateway tengan registro configurado.
apigateway-instance-multi-zoneImplementación Multi-Zona de Instancia de API GatewayLas instancias de API Gateway deben implementarse en configuración multi-zona para alta disponibilidad.
bastionhost-instance-spec-checkVerificación de Especificación Multi-Zona de Instancia BastionHostLa instancia BastionHost debe usar la versión Enterprise que admite despliegue multi-zona.
cen-cross-region-bandwidth-checkVerificación de Ancho de Banda Inter-Región CENLas conexiones inter-región de instancia CEN deben tener asignación de ancho de banda suficiente para cumplir con los requisitos de rendimiento.
clickhouse-dbcluster-multi-zoneDespliegue Multi-Zona de ClickHouse DBClusterLos clústeres ClickHouse deben usar la edición HighAvailability (Double-replica) para despliegue multi-zona. Nota: Esto se aplica solo a la edición comunitaria.
cr-instance-multi-zoneInstancia CR con Bucket OSS Redundante de ZonaLas instancias de Container Registry deben estar asociadas con buckets OSS redundantes de zona para alta disponibilidad.
ecs-disk-all-encrypted-by-kmsDisco ECS con Cifrado KMS HabilitadoLos discos ECS (incluidos el disco del sistema y los discos de datos) están cifrados con KMS, considerado conforme.
ecs-disk-encryptedCriptografía de disco de datos ECS habilitadaEl disco de datos ECS tiene cifrado habilitado, se considera conforme.
ecs-disk-in-useEl Disco ECS Está en UsoLos discos ECS están adjuntos a una instancia o en estado de uso, considerado conforme. Los discos disponibles o no adjuntos pueden ser recursos inactivos.
ecs-disk-retain-auto-snapshotRetener Instantánea Automática cuando se Libera el Disco ECSConfigure los discos ECS para retener instantáneas automáticas cuando se liberen, considerado conforme. Esto ayuda a proteger los datos de eliminación accidental.
ecs-in-use-disk-encryptedCifrado de Disco en Uso de ECSLos discos de datos ECS deben tener cifrado habilitado para proteger los datos en reposo. Los discos cifrados usan claves KMS para cifrar datos, asegurando la seguridad de los datos y el cumplimiento de los requisitos regulatorios.
ecs-instance-auto-renewal-enabledInstancia de suscripción ECS tiene renovación automática habilitadaLas instancias de suscripción ECS (prepagadas) tienen renovación automática habilitada, consideradas conformes. Las instancias de pago por uso no son aplicables.
ecs-instance-image-expired-checkVerificación de Expiración de Imagen de Instancia ECSGarantiza que la imagen usada por la instancia ECS no haya expirado.
ecs-instance-image-type-checkVerificación de Tipo de Imagen de Instancia ECSGarantiza que las instancias ECS usen imágenes de fuentes autorizadas.
ecs-instance-login-use-keypairInicio de Sesión de Instancia ECS Usando Par de ClavesGarantiza que las instancias ECS usen pares de claves para iniciar sesión en lugar de contraseñas.
ecs-instance-meta-data-mode-checkEl acceso a metadatos de instancia ECS usa modo de seguridad mejorado (IMDSv2)Al acceder a metadatos de instancia ECS, se aplica el modo de seguridad mejorado (IMDSv2), considerado conforme. Las instancias asociadas con clústeres ACK no son aplicables.
ecs-instance-no-public-and-anyipLa Instancia ECS No Debe Vincular IP Público o Permitir Acceso de Cualquier IPLas instancias ECS no deben vincular directamente IPs públicos IPv4 o IPs elásticos, y los grupos de seguridad asociados no deben exponer 0.0.0.0/0. Conforme cuando no se vincula ninguna IP pública.
ecs-instance-not-bind-key-pairInstancia ECS No Vinculada a Par de ClavesGarantiza que las instancias ECS usen pares de claves para autenticación en lugar de contraseñas.
ecs-instance-type-family-not-deprecatedTipo de Instancia ECS No DeprecadoGarantiza que las instancias ECS no usen tipos de instancia deprecados o heredados.
ecs-instances-in-vpcInstancias ECS en VPCLas instancias ECS deben implementarse en redes VPC (Virtual Private Cloud) en lugar de redes clásicas. VPC proporciona mejor aislamiento de red, seguridad y flexibilidad.
ecs-internetmaxbandwidth-checkVerificación de Ancho de Banda Máximo de Internet ECSGarantiza que el ancho de banda saliente de Internet ECS no exceda los límites especificados.
ecs-launch-template-network-type-checkLa plantilla de inicio de ECS usa tipo de red VPCLas versiones de plantilla de inicio de ECS tienen el tipo de red configurado como VPC, considerado conforme. El tipo de red clásica no se recomienda para entornos de producción.
ecs-launch-template-version-data-disk-encryptedLa Versión de Plantilla de Inicio ECS Habilita el Cifrado de Disco de DatosTodos los discos de datos configurados en las versiones de plantilla de inicio ECS están cifrados, considerado conforme.
ecs-launch-template-version-image-type-checkVerificación de Tipo de Imagen de Plantilla de InicioGarantiza que las plantillas de inicio ECS usen tipos de imagen autorizados.
ecs-running-instances-in-vpcLas Instancias ECS en Ejecución Están en VPCLas instancias ECS en ejecución se implementan en Virtual Private Cloud (VPC), consideradas conformes. Esto proporciona aislamiento de red y seguridad mejorada.
ecs-snapshot-policy-timepoints-checkPuntos de Tiempo de Política de Instantánea Automática ECS Configurados RazonablementeLos puntos de tiempo de creación de instantáneas en la política de instantáneas automáticas están dentro del rango de tiempo especificado, considerado conforme. Crear instantáneas reduce temporalmente el rendimiento de E/S del almacenamiento en bloque, con diferencias de rendimiento generalmente dentro del 10%, causando ralentizaciones breves. Se recomienda seleccionar puntos de tiempo que eviten las horas pico comerciales.
eip-delete-protection-enabledProtección de Eliminación de EIP HabilitadaGarantiza que las instancias EIP tengan protección de eliminación habilitada.
elasticsearch-instance-enabled-data-node-encryptionCifrado de Nodo de Datos de Elasticsearch HabilitadoGarantiza que los nodos de datos en la instancia de Elasticsearch tengan cifrado de disco habilitado.
elasticsearch-instance-enabled-node-config-disk-encryptionCifrado de Disco de Configuración de Nodo ESGarantiza que las configuraciones de nodos elásticos de Elasticsearch tengan cifrado de disco habilitado.
elasticsearch-instance-multi-zoneImplementación Multi-Zona de Instancia ElasticsearchLas instancias Elasticsearch deben implementarse en múltiples zonas de disponibilidad.
emr-cluster-master-public-access-checkVerificación de Acceso Público del Nodo Maestro del Clúster EMRLos nodos maestros del clúster EMR en ECS no deben tener IP pública habilitada.
ess-group-health-checkVerificación de Salud del Grupo de Escalado ESSLos grupos de escalado ESS deben habilitar la verificación de salud de instancias ECS para asegurar que solo instancias saludables estén en servicio.
ess-scaling-configuration-attach-security-groupGrupo de Seguridad de Configuración de Escalado ESSLas configuraciones de escalado ESS deben adjuntar grupos de seguridad a las instancias para un aislamiento de red y control de acceso adecuados.
ess-scaling-configuration-enabled-internet-checkVerificación de Acceso a Internet de Configuración de Escalado ESSGarantiza que las configuraciones de escalado ESS no habiliten direcciones IP públicas para instancias a menos que sea necesario.
ess-scaling-configuration-image-checkVerificación de Imagen de Configuración de Escalado ESSLas configuraciones de escalado ESS deben usar imágenes mantenidas para garantizar seguridad y estabilidad.
ess-scaling-configuration-image-type-checkVerificación de Tipo de Imagen de Configuración de Escalado ESSLas configuraciones de escalado ESS deben usar imágenes de fuentes especificadas para mayor seguridad y gestión.
ess-scaling-group-attach-multi-switchGrupo de Escalado ESS Multi-VSwitchLos grupos de escalado ESS deben estar asociados con al menos dos VSwitches para alta disponibilidad en múltiples zonas.
ess-scaling-group-attach-slbGrupo de Escalado ESS Adjuntar SLBLos grupos de escalado ESS deben adjuntarse al Equilibrador de Carga Clásico (SLB) para una distribución adecuada del tráfico.
ess-scaling-group-loadbalancer-checkVerificación de Existencia de Equilibrador de Carga del Grupo de Escalado ESSLos grupos de escalado ESS deben estar adjuntos a instancias de equilibrador de carga existentes y activas para una distribución adecuada del tráfico.
fc-function-custom-domain-and-cert-enableVerificación de Certificado de Dominio Personalizado de Función FCLos dominios personalizados FC deben tener certificados SSL configurados para comunicación segura.
fc-function-custom-domain-and-https-enableVerificación HTTPS de Dominio Personalizado de Función FCLos dominios personalizados FC deben tener HTTPS habilitado para comunicación segura.
fc-function-custom-domain-and-tls-enableDominio Personalizado y TLS de Función FC HabilitadoGarantiza que los dominios personalizados para funciones de Function Compute tengan TLS habilitado.
fc-function-internet-and-custom-domain-enableAcceso a Internet del Servicio FC con Dominio PersonalizadoLos servicios FC con acceso a Internet deben estar vinculados a dominios personalizados para un control de acceso adecuado.
fc-function-settings-checkVerificación de Configuración de Función FCLas configuraciones de función FC deben cumplir con los requisitos especificados para un rendimiento y seguridad óptimos.
fc-service-bind-roleServicio FC Vinculado a Rol RAMGarantiza que el servicio Function Compute tenga un rol RAM vinculado.
fc-service-internet-access-disableAcceso a Internet del Servicio FC DeshabilitadoGarantiza que el servicio Function Compute tenga acceso a Internet deshabilitado cuando solo deba acceder a recursos internos.
fc-service-log-enableHabilitar Registro del Servicio FCLos servicios FC deben tener registro habilitado para monitoreo y solución de problemas.
fc-service-tracing-enableHabilitar Seguimiento de Servicio FCLos servicios FC deben tener seguimiento habilitado para monitoreo de rendimiento y depuración.
fc-service-vpc-bindingVinculación VPC del Servicio FC HabilitadaGarantiza que el servicio Function Compute esté configurado para acceder a recursos dentro de un VPC.
firewall-asset-open-protectProtección de Activos del Firewall en la Nube HabilitadaGarantiza que los activos estén protegidos por el Firewall en la Nube.
gpdb-instance-multi-zoneDespliegue Multi-Zona de Instancia GPDBLas instancias GPDB deben desplegarse con una zona de espera para alta disponibilidad.
gwlb-loadbalancer-multi-zoneDespliegue Multi-Zona del Balanceador de Carga GWLBLas instancias del Balanceador de Carga GWLB deben desplegarse en al menos dos zonas de disponibilidad para alta disponibilidad.
hbase-cluster-deletion-protectionProtección de Eliminación de Clúster HBase HabilitadaGarantiza que los clústeres HBase tengan protección contra eliminación habilitada.
hbase-cluster-in-vpcClúster HBase en VPCGarantiza que el clúster HBase esté desplegado dentro de un VPC.
hbase-cluster-multi-zoneImplementación Multi-Zona del Clúster HBaseLos clústeres HBase deben implementarse en modo clúster con al menos 2 nodos para alta disponibilidad.
internet-nat-gateway-in-specified-vpcPuerta de Enlace NAT de Internet en VPC EspecificadoLas puertas de enlace NAT orientadas a Internet deben crearse en VPCs especificados según los requisitos de seguridad de red.
intranet-nat-gateway-in-specified-vpcPuerta de Enlace NAT de Intranet en VPC EspecificadoLas puertas de enlace NAT orientadas a intranet deben crearse en VPC especificados según los requisitos de seguridad de red.
kafka-instance-multi-zoneDespliegue Multi-Zona de Instancia KafkaLas instancias Kafka deben desplegarse en múltiples zonas de disponibilidad para alta disponibilidad.
kms-instance-multi-zoneDespliegue Multi-Zona de Instancia KMSLas instancias KMS deben desplegarse en al menos dos zonas de disponibilidad para alta disponibilidad y recuperación ante desastres.
kms-key-delete-protection-enabledProtección de Eliminación de Clave KMS HabilitadaLa clave maestra KMS tiene protección de eliminación habilitada, se considera conforme. Las claves que no están en estado habilitado y las claves de servicio (que no se pueden eliminar) no son aplicables.
kms-key-rotation-enabledRotación automática de clave KMS habilitadaLa clave maestra de usuario KMS tiene rotación automática habilitada, considerada conforme. Las claves de servicio y las claves importadas externamente no son aplicables.
kms-secret-rotation-enabledRotación automática de secreto KMS habilitadaEl secreto KMS tiene rotación automática habilitada, considerado conforme. Los secretos genéricos no son aplicables.
lindorm-instance-in-vpcVerificación de Lindorm en VPCGarantiza que las instancias Lindorm se desplieguen dentro de una VPC.
lindorm-instance-multi-zoneDespliegue Multi-Zona de Instancia LindormLas instancias Lindorm deben configurarse para despliegue multi-zona con al menos 4 nodos LindormTable para alta disponibilidad.
mongodb-instance-enabled-sslSSL de Instancia MongoDB HabilitadoGarantiza que las instancias MongoDB tengan cifrado SSL habilitado.
mongodb-instance-encryption-byok-checkLa Instancia MongoDB Usa Clave Personalizada para TDEGarantiza que las instancias MongoDB usen claves KMS personalizadas para Cifrado Transparente de Datos (TDE).
mongodb-instance-in-vpcLa Instancia MongoDB Usa Red VPCGarantiza que las instancias MongoDB se desplieguen en una red de Nube Privada Virtual (VPC).
mongodb-instance-log-auditAuditoría de Registro de Instancia MongoDB HabilitadaGarantiza que las instancias MongoDB tengan auditoría de registro habilitada.
mongodb-instance-multi-nodeLa Instancia MongoDB Usa Múltiples NodosGarantiza que las instancias MongoDB se implementen con múltiples nodos para alta disponibilidad.
mongodb-instance-multi-zoneDespliegue Multi-Zona de Instancia MongoDBLas instancias MongoDB deben desplegarse en múltiples zonas de disponibilidad para alta disponibilidad.
mongodb-instance-release-protectionProtección de Liberación de Instancia MongoDB HabilitadaGarantiza que las instancias MongoDB tengan protección contra liberación habilitada.
mse-cluster-config-auth-enabledAutenticación de Configuración de Clúster MSE HabilitadaGarantiza que el centro de configuración del clúster del Motor de Microservicios (MSE) tenga autenticación habilitada.
mse-cluster-multi-availability-area-architecture-checkConfiguración de Alta Disponibilidad del Clúster MSELos clústeres MSE deben usar la Edición Profesional con al menos 3 instancias (número impar) para alta disponibilidad.
mse-cluster-stable-version-checkEl Clúster MSE Usa Versión EstableGarantiza que la versión del motor del clúster MSE sea mayor que la versión estable mínima.
mse-gateway-multi-availability-area-architecture-checkImplementación Multi-Zona de Disponibilidad de Puerta de Enlace MSELas puertas de enlace MSE deben implementarse en múltiples zonas de disponibilidad configurando un VSwitch de respaldo.
nas-filesystem-mount-target-access-group-checkVerificación de Grupo de Acceso de Objetivo de Montaje NASGarantiza que los objetivos de montaje NAS no usen 'DEFAULT_VPC_GROUP_NAME'.
natgateway-delete-protection-enabledProtección de Eliminación de Puerta de Enlace NAT HabilitadaGarantiza que las puertas de enlace NAT tengan protección contra eliminación habilitada.
natgateway-eip-used-checkVerificación de Uso de EIP de Puerta de Enlace NATSNAT y DNAT no deben usar el mismo EIP para evitar conflictos potenciales y mejorar la segmentación de red.
natgateway-snat-eip-bandwidth-checkConsistencia de Ancho de Banda EIP SNAT de Puerta de Enlace NATCuando las entradas SNAT están vinculadas a múltiples EIPs, la configuración del pico de ancho de banda debe ser consistente o deben agregarse a un paquete de ancho de banda compartido.
nlb-loadbalancer-multi-zoneImplementación Multi-Zona del Equilibrador de Carga NLBLas instancias del equilibrador de carga NLB deben implementarse en al menos dos zonas de disponibilidad para alta disponibilidad.
nlb-server-group-multi-zoneDistribución Multi-Zona del Grupo de Servidores NLBLos grupos de servidores NLB deben tener servidores backend distribuidos en múltiples zonas de disponibilidad para alta disponibilidad. Esta regla no se aplica a grupos de servidores sin servidores adjuntos, ni a grupos de servidores de tipo IP.
oss-bucket-authorize-specified-ipBucket OSS Autoriza IP EspecificadaGarantiza que las políticas de bucket OSS restrinjan el acceso a rangos de IP especificados.
oss-bucket-backup-enableRespaldo OSS HabilitadoGarantiza que los buckets OSS tengan respaldo o control de versiones habilitado.
oss-bucket-logging-enabledRegistro de Logs de Bucket OSS HabilitadoLos buckets OSS deben tener registro de logs habilitado para rastrear acceso y operaciones. El registro de logs ayuda en la auditoría de seguridad, solución de problemas y requisitos de conformidad.
oss-bucket-remote-replicationReplicación Remota de Bucket OSS HabilitadaGarantiza que la replicación entre regiones esté habilitada para el bucket OSS para recuperación ante desastres.
oss-bucket-tls-version-checkVerificación de Versión TLS de Bucket OSSGarantiza que el bucket OSS esté configurado para usar una versión segura de TLS (TLS 1.2 o superior).
oss-bucket-versioning-enabledVersionado de Bucket OSS HabilitadoEl bucket OSS debe tener versionado habilitado para proteger contra eliminación o sobrescritura accidental.
oss-default-encryption-kmsCifrado KMS del lado del servidor de bucket OSS habilitadoEl bucket OSS tiene cifrado KMS del lado del servidor habilitado, se considera conforme.
oss-encryption-byok-checkVerificación de Cifrado BYOK de Bucket OSSLos buckets OSS deben usar claves KMS administradas por el cliente (BYOK - Bring Your Own Key) para el cifrado. Esto proporciona un mejor control sobre las claves de cifrado y cumple con los requisitos de cumplimiento.
oss-zrs-enabledAlmacenamiento con Redundancia de Zona de Bucket OSS HabilitadoLos buckets OSS deben usar almacenamiento con redundancia de zona (ZRS) para alta disponibilidad y durabilidad de datos.
ots-instance-multi-zoneAlmacenamiento Redundante de Zona de Instancia OTSGarantiza que las instancias Tablestore (OTS) usen almacenamiento redundante de zona para alta disponibilidad.
ots-instance-network-not-normalTipo de Red Restringido OTSGarantiza que las instancias de Table Store (OTS) no usen el tipo de red 'Normal' (sin restricciones).
pai-eas-instances-multi-zoneImplementación Multi-Zona de Instancia PAI EASGarantiza que las instancias PAI EAS se implementen en múltiples zonas para alta disponibilidad.
polardb-cluster-default-time-zone-not-systemZona Horaria Predeterminada del Clúster PolarDB No es SistemaGarantiza que la zona horaria predeterminada del clúster PolarDB no esté establecida en SYSTEM.
polardb-cluster-delete-protection-enabledProtección contra Eliminación de Cluster PolarDB HabilitadaGarantiza que los clústeres PolarDB tengan protección contra eliminación habilitada.
polardb-cluster-enabled-sslSSL de Cluster PolarDB HabilitadoGarantiza que los clústeres PolarDB tengan cifrado SSL habilitado.
polardb-cluster-multi-zoneImplementación Multi-zona de Cluster PolarDBLos clústeres PolarDB deben implementarse en múltiples zonas de disponibilidad para alta disponibilidad.
polardb-dbcluster-in-vpcClúster PolarDB en VPCGarantiza que el clúster PolarDB se despliegue en una VPC.
polardb-revision-version-used-checkVerificación de Versión de Revisión PolarDB UtilizadaGarantiza que el clúster PolarDB esté usando una versión de revisión de kernel estable.
polardb-x2-instance-multi-zoneDespliegue Multi-Zona de Instancia PolarDB-X 2.0Las instancias PolarDB-X 2.0 deben desplegarse en 3 zonas de disponibilidad.
privatelink-server-endpoint-multi-zoneDespliegue Multi-Zona del Servicio de Punto de Extremo VPC PrivateLinkLos servicios de punto de extremo VPC PrivateLink deben tener recursos desplegados en múltiples zonas de disponibilidad para alta disponibilidad.
privatelink-servier-endpoint-multi-zoneDespliegue Multi-Zona de Punto Final de Servicio PrivateLinkGarantiza que los puntos finales de servicio PrivateLink estén desplegados en múltiples zonas para alta disponibilidad.
ram-password-policy-checkVerificación de Política de Contraseña RAMGarantiza que la política de contraseña RAM cumpla con los requisitos de seguridad especificados.
ram-policy-no-has-specified-documentPolítica RAM Sin Documento EspecificadoGarantiza que las políticas RAM personalizadas no contengan la configuración de permisos especificada.
ram-role-has-specified-policyEl Rol RAM Tiene Política EspecificadaGarantiza que los roles RAM tengan las políticas especificadas adjuntas.
ram-role-no-product-admin-accessEl Rol RAM No Tiene Acceso de Administrador de ProductoGarantiza que los roles RAM no tengan acceso administrativo completo o permisos de administrador de producto.
ram-user-activated-ak-quantity-checkVerificación de Cantidad de AK Activo de Usuario RAMGarantiza que los usuarios RAM no tengan más de una AccessKey activa.
ram-user-ak-create-date-expired-checkVerificación de Expiración de Fecha de Creación de AccessKey de Usuario RAMGarantiza que las AccessKeys de usuario RAM no sean más antiguas que el número especificado de días.
ram-user-ak-used-expired-checkVerificación de Fecha de Último Uso de AccessKey de Usuario RAMGarantiza que las AccessKeys de usuario RAM se hayan utilizado dentro del número especificado de días.
ram-user-has-specified-policyEl Usuario RAM Tiene Política EspecificadaGarantiza que los usuarios RAM tengan las políticas requeridas adjuntas, incluidas las heredadas de grupos.
ram-user-login-checkVerificación de Login de Usuario RAM HabilitadoGarantiza que los usuarios RAM que no necesitan acceso a la consola tengan el inicio de sesión deshabilitado.
ram-user-no-has-specified-policyUsuario RAM Sin Política EspecificadaGarantiza que los usuarios RAM no tengan políticas riesgosas especificadas adjuntas.
ram-user-no-product-admin-accessUsuario RAM Sin Acceso Administrativo de ProductoGarantiza que los usuarios RAM no tengan acceso administrativo completo a los productos en la nube a menos que sea necesario.
ram-user-role-no-product-admin-accessEl Rol de Usuario RAM No Tiene Acceso de Administrador de ProductoGarantiza que los roles definidos por el usuario RAM no tengan permisos administrativos de producto.
ram-user-specified-permission-boundLímite de Permiso Especificado del Usuario RAMGarantiza que los usuarios RAM no tengan permisos de alto riesgo especificados vinculados.
rds-instacne-delete-protection-enabledProtección contra Eliminación de Instancia RDS HabilitadaGarantiza que las instancias RDS tengan protección contra eliminación habilitada.
rds-instance-enabled-auditingAuditoría de Instancia RDS HabilitadaGarantiza que las instancias RDS tengan auditoría SQL habilitada.
rds-instance-enabled-log-backupBackup de Log de Instancia RDS HabilitadoGarantiza que las instancias RDS tengan backup de log habilitado.
rds-instance-enabled-sslSSL de Instancia RDS HabilitadoGarantiza que las instancias RDS tengan cifrado SSL habilitado.
rds-instance-enabled-tde-disk-encryptionInstancia RDS TDE o Cifrado de Disco HabilitadoLa instancia RDS debe tener TDE (Cifrado Transparente de Datos) o cifrado de disco habilitado.
rds-instance-has-guard-instanceLa Instancia RDS Tiene Instancia de GuardiaGarantiza que las instancias RDS de producción tengan una instancia de guardia (recuperación ante desastres) correspondiente.
rds-instances-in-vpcInstancia RDS en VPCGarantiza que la instancia RDS se implemente dentro de un VPC.
rds-multi-az-supportDespliegue Multi-AZ de Instancia RDSLas instancias RDS deben implementarse en configuración multi-AZ para alta disponibilidad y conmutación por error automática.
redis-architecturetype-cluster-checkVerificación de Tipo de Arquitectura de Clúster RedisGarantiza que la instancia Redis use el tipo de arquitectura de clúster.
redis-instance-backup-log-enabledBackup de Log de Instancia Redis HabilitadoGarantiza que el backup de log esté habilitado para la instancia Redis.
redis-instance-double-node-typeTipo de Nodo Doble de Instancia RedisGarantiza que la instancia Redis use tipo de nodo doble para alta disponibilidad.
redis-instance-enabled-byok-tdeTDE BYOK de Instancia Redis HabilitadoGarantiza que las instancias Redis tengan Transparent Data Encryption (TDE) habilitado usando Bring Your Own Key (BYOK).
redis-instance-enabled-sslSSL de Instancia Redis HabilitadoGarantiza que las instancias Redis tengan cifrado SSL habilitado.
redis-instance-in-vpcInstancia Redis en VPCGarantiza que la instancia Redis se despliegue en una VPC.
redis-instance-multi-zoneDespliegue Multi-zona de Instancia RedisLas instancias Redis deben implementarse en múltiples zonas de disponibilidad para alta disponibilidad.
redis-instance-release-protectionProtección contra Liberación de Instancia Redis HabilitadaGarantiza que las instancias Redis tengan protección contra liberación habilitada.
redis-instance-tls-version-checkVerificación de Versión TLS de Instancia RedisGarantiza que la instancia Redis tenga SSL habilitado con una versión TLS aceptable.
redis-min-capacity-limitLímite de Capacidad Mínima de RedisGarantiza que la instancia Redis tenga capacidad de memoria que cumpla con el requisito mínimo.
rocketmq-v5-instance-multi-zoneDespliegue Multi-Zona de Instancia RocketMQ 5.0Las instancias RocketMQ 5.0 deben desplegarse en modo Cluster HA que admite disponibilidad multi-zona.
security-center-version-checkVerificación de Versión del Centro de SeguridadEl Centro de Seguridad debe estar en una versión que proporcione funciones de protección suficientes.
slb-all-listener-enabled-aclTodos los Oyentes SLB Tienen Control de AccesoTodos los oyentes en ejecución de las instancias SLB deben tener listas de control de acceso (ACL) configuradas para seguridad.
slb-all-listener-http-disabledHTTP de Todos los Oyentes SLB DeshabilitadoGarantiza que ningún oyente SLB use el protocolo HTTP inseguro.
slb-all-listener-http-redirect-httpsRedirección HTTP a HTTPS de SLB HabilitadaGarantiza que los oyentes HTTP de SLB estén configurados para redirigir el tráfico a HTTPS.
slb-all-listenter-has-serverTodos los Oyentes SLB Tienen Servidores BackendTodos los oyentes de las instancias SLB deben tener al menos el número especificado de servidores backend adjuntos.
slb-all-listenter-tls-policy-checkVerificación de Política TLS del Listener SLBGarantiza que los listeners HTTPS de SLB usen políticas de cifrado TLS seguras.
slb-default-server-group-multi-serverEl Grupo de Servidores Predeterminado SLB Tiene Múltiples ServidoresEl grupo de servidores predeterminado de las instancias SLB debe tener al menos dos servidores para evitar un punto único de falla.
slb-instance-autorenewal-checkVerificación de Renovación Automática de Instancia SLBLas instancias SLB prepagadas deben tener renovación automática habilitada para evitar interrupciones del servicio.
slb-instance-default-server-group-multi-zoneGrupo de Servidores Predeterminado SLB Multi-ZonaEl grupo de servidores predeterminado de las instancias SLB debe tener recursos distribuidos en múltiples zonas de disponibilidad.
slb-instance-log-enabledRegistro de Instancia SLB HabilitadoGarantiza que el registro de acceso esté habilitado para la instancia SLB.
slb-instance-multi-zoneImplementación Multi-zona de Instancia SLBLas instancias SLB deben implementarse en múltiples zonas configurando zonas maestra y esclava para alta disponibilidad.
slb-instance-spec-checkVerificación de Especificación de Instancia SLBLas especificaciones de instancia SLB deben cumplir con los criterios de rendimiento requeridos según la lista especificada.
slb-listener-https-enabledHTTPS de Listener SLB HabilitadoGarantiza que los listeners SLB usen el protocolo HTTPS para comunicación segura.
slb-loadbalancer-in-vpcVerificación SLB en VPCGarantiza que las instancias SLB estén desplegadas dentro de una Virtual Private Cloud (VPC).
slb-master-slave-server-group-multi-zoneGrupo de Servidores Maestro-Esclavo SLB Multi-ZonaEl grupo de servidores maestro-esclavo de las instancias SLB debe tener recursos distribuidos en múltiples zonas de disponibilidad.
slb-no-public-ipInstancia SLB Sin IP PúblicaLas instancias SLB no deben tener direcciones IP públicas para reducir la superficie de ataque.
slb-vserver-group-multi-zoneImplementación Multi-Zona de Grupo de Servidor Virtual SLBGarantiza que los grupos de servidor virtual SLB contengan instancias de múltiples zonas de disponibilidad.
sls-logstore-enabled-encryptCifrado de Logstore SLS HabilitadoGarantiza que los Logstores SLS tengan cifrado del lado del servidor habilitado.
sls-logstore-encrypt-key-origin-checkVerificación de Origen de Clave de Cifrado de Logstore SLSGarantiza que los Logstores SLS usen material de clave importado externamente (BYOK) para el cifrado, lo que proporciona un mejor control sobre las claves de cifrado.
sls-project-multi-zoneAlmacenamiento Redundante de Zona del Proyecto SLSLos proyectos SLS deben usar almacenamiento redundante de zona (ZRS) para alta disponibilidad y durabilidad de datos.
vpc-flow-logs-enabledRegistros de Flujo VPC HabilitadosGarantiza que los registros de flujo VPC estén habilitados para monitorear el tráfico de red.
vpc-network-acl-not-emptyACL de Red VPC No VacíoGarantiza que las ACL de red VPC tengan al menos una regla configurada.
vpn-connection-master-slave-establishedConexión VPN Túnel Dual EstablecidoUse una puerta de enlace VPN de túnel dual y ambos túneles maestro y esclavo están establecidos con el par.
vpn-gateway-multi-zoneImplementación Multi-Zona de Puerta de Enlace VPNLas puertas de enlace VPN deben configurarse con un VSwitch de recuperación ante desastres para admitir disponibilidad multi-zona.
vswitch-available-ip-countVerificación de Conteo de IP Disponibles de VSwitchGarantiza que el VSwitch tenga un número suficiente de direcciones IP disponibles.
waf-instance-logging-enabledRegistro de Instancia WAF HabilitadoGarantiza que el registro esté habilitado para la instancia WAF para auditoría y análisis de seguridad.
waf3-defense-resource-logging-enabledRegistro de WAF 3.0 HabilitadoGarantiza que el registro esté habilitado para los recursos protegidos por WAF 3.0.

Baja Severidad (40 Reglas)

ID de ReglaNombreDescripción
ack-cluster-spec-checkVerificación de Especificación de Clúster ACKGarantiza que los clústeres ACK usen especificaciones aprobadas (por ejemplo, ACK Pro).
alb-address-type-checkVerificación de Tipo de Dirección ALBGarantiza que las instancias ALB usen el tipo de dirección preferido (por ejemplo, Intranet).
apig-group-custom-trace-enabledRastreo Personalizado de Grupo de API Gateway HabilitadoGarantiza que los grupos de API Gateway tengan rastreo personalizado habilitado.
cr-repository-immutablity-enableLa Versión de Imagen del Repositorio del Registro de Contenedores es InmutableLa versión de imagen del repositorio del Registro de Contenedores es inmutable, considerado conforme.
eci-container-group-volumn-mountsVerificación de Montaje de Volumen ECIGarantiza que los grupos de contenedores ECI tengan volúmenes montados para almacenamiento de datos persistente.
ecs-disk-auto-snapshot-policyDisco ECS tiene política de snapshot automático configuradaEl disco ECS tiene política de snapshot automático configurada, considerada conforme. Los discos no en uso, discos que no admiten política de snapshot automático y discos no persistentes montados por clústeres ACK no son aplicables. Después de habilitar la política de snapshot automático, Alibaba Cloud creará automáticamente snapshots para discos en la nube según puntos de tiempo y ciclos predefinidos, permitiendo recuperación rápida de intrusión de virus o ataques de ransomware.
ecs-disk-idle-checkVerificación de Disco Inactivo ECSGarantiza que los discos ECS estén adjuntos a una instancia y no en estado inactivo.
ecs-disk-regional-auto-checkAlmacenamiento ESSD con Redundancia de Zona de Disco ECSLos discos de datos ECS deben usar almacenamiento ESSD con redundancia de zona para alta disponibilidad. Los discos del sistema no son aplicables a esta regla.
ecs-instance-chargetype-checkVerificación de Tipo de Cargo de Instancia ECSGarantiza que las instancias ECS usen el tipo de cargo autorizado.
ecs-instance-multiple-eni-checkLa Instancia ECS Está Vinculada Solo a Una Interfaz de Red ElásticaLas instancias ECS están vinculadas solo a una interfaz de red elástica, considerado conforme. Esto ayuda a simplificar la configuración de red y reducir la complejidad.
ecs-instance-ram-role-attachedRol RAM de Instancia ECS AdjuntoGarantiza que las instancias ECS tengan un rol IAM adjunto para acceso seguro a otros servicios en la nube.
ecs-internet-charge-type-checkVerificación de Tipo de Cargo de Internet ECSGarantiza que las instancias ECS usen el tipo de cargo de Internet preferido.
ecs-security-group-description-checkDescripción de Grupo de Seguridad No VacíaLa descripción del grupo de seguridad no debe estar vacía. Tener una descripción ayuda con la gestión y la auditoría.
ecs-security-group-type-not-normalUsar Tipo de Grupo de Seguridad EmpresarialEl tipo de grupo de seguridad ECS no debe ser tipo normal. Usar grupo de seguridad empresarial se considera conforme.
ecs-snapshot-retention-daysDías de retención de snapshot automático ECS cumplen requisitosLos días de retención de la política de snapshot automático ECS son mayores que el número especificado de días, considerado conforme. Valor predeterminado: 7 días.
ecs-system-disk-size-checkVerificación de Tamaño de Disco del Sistema ECSGarantiza que los discos del sistema ECS cumplan con el tamaño mínimo requerido.
eip-attachedEIP AdjuntoGarantiza que las instancias EIP estén asociadas con un recurso.
eip-bandwidth-limitLímite de Ancho de Banda EIPGarantiza que el ancho de banda EIP no exceda un valor máximo especificado.
hbase-cluster-type-checkVerificación de Tipo de Clúster HBaseGarantiza que el clúster HBase sea de un tipo especificado o recomendado.
metadata-ros-composer-checkVerificación de Metadatos de Plantilla ALIYUN::ROS::ComposerLa plantilla debe tener Metadata.ALIYUN::ROS::Composer configurado. El valor debe ser un diccionario (objeto).
nas-filesystem-encrypt-type-checkCifrado de Sistema de Archivos NAS ConfiguradoEl sistema de archivos NAS tiene cifrado configurado, se considera conforme.
oss-bucket-referer-limitProtección de enlace directo de referer de bucket OSS configuradaEl bucket OSS tiene protección contra enlaces directos de referer habilitada con una lista blanca configurada.
polardb-cluster-maintain-time-checkVerificación de Ventana de Mantenimiento de Cluster PolarDBGarantiza que el clúster PolarDB tenga una ventana de mantenimiento configurada.
ram-group-has-member-checkEl Grupo RAM Tiene MiembroGarantiza que los grupos RAM tengan al menos un miembro.
ram-group-in-use-checkVerificación de Grupo RAM en UsoGarantiza que los grupos RAM no estén inactivos - deben tener al menos un miembro y al menos una política adjunta.
ram-policy-in-use-checkVerificación de Política RAM en UsoGarantiza que las políticas RAM estén adjuntas a al menos un usuario, grupo o rol RAM.
ram-user-group-membership-checkVerificación de Membresía de Grupo de Usuario RAMGarantiza que los usuarios RAM pertenezcan al menos a un grupo para facilitar la gestión de permisos.
ram-user-last-login-expired-checkVerificación de Último Inicio de Sesión de Usuario RAMVerifica si los usuarios RAM no han iniciado sesión durante mucho tiempo.
ram-user-no-policy-checkEl Usuario RAM Tiene PolíticaGarantiza que los usuarios RAM tengan al menos una política adjunta.
rds-instance-maintain-time-checkVerificación de Ventana de Mantenimiento de Instancia RDSGarantiza que la instancia RDS tenga configurada una ventana de mantenimiento.
rds-instance-storage-autoscale-enableAutoescalado de Almacenamiento RDS HabilitadoGarantiza que las instancias RDS tengan autoescalado de almacenamiento habilitado para prevenir tiempo de inactividad debido a discos llenos.
redis-instance-backup-time-checkVerificación de Ventana de Respaldo de Instancia RedisGarantiza que la instancia Redis tenga configurada una ventana de respaldo.
root-has-specified-roleLa Cuenta Raíz Tiene Rol EspecificadoGarantiza que la cuenta raíz tenga un rol RAM especificado para gobernanza y gestión.
slb-backendserver-weight-checkVerificación de Peso del Servidor Backend SLBGarantiza que los servidores backend SLB tengan configuraciones de peso razonables.
slb-instance-loadbalancerspec-checkVerificación de Especificación de Instancia SLBGarantiza que las instancias SLB usen especificaciones de rendimiento aprobadas.
slb-loadbalancer-bandwidth-limitLímite de Ancho de Banda SLBGarantiza que el ancho de banda de la instancia SLB no exceda un valor máximo especificado.
slb-modify-protection-checkProtección contra Modificación de SLB HabilitadaGarantiza que las instancias SLB tengan protección contra modificación habilitada.
sls-logstore-hot-ttl-checkAlmacenamiento de Nivel Inteligente de Logstore SLS HabilitadoGarantiza que los Logstores SLS tengan almacenamiento inteligente de nivel caliente/frío habilitado para optimización de costos.
vpn-gateway-enabled-ssl-vpnSSL-VPN de Puerta de Enlace VPN HabilitadoGarantiza que la puerta de enlace VPN tenga SSL-VPN habilitado para acceso seguro del cliente.
vpn-ipsec-connection-health-check-openVerificación de Salud IPsec VPN HabilitadaGarantiza que las conexiones VPN IPsec tengan verificaciones de salud habilitadas para detectar fallas del túnel.

Este documento se genera automáticamente a partir de los metadatos de la política.