Aller au contenu principal

Aliyun Règles

Total des règles : 317

Règles par Gravité

Élevée Gravité (98 Règles)

ID de RègleNomDescription
ack-cluster-node-multi-zoneDéploiement Multi-Zones du Cluster ACKLes nœuds du cluster ACK doivent être distribués sur 3 zones de disponibilité ou plus pour une haute disponibilité.
ack-cluster-public-endpoint-checkVérification de l'Endpoint Public du Cluster ACKLes clusters ACK ne doivent pas avoir d'endpoint public configuré, ou le listener SLB associé doit avoir l'ACL activé.
acs-cluster-node-multi-zoneDéploiement Multi-Zone des Nœuds du Cluster ACSLes nœuds du cluster ACS doivent être distribués sur 3 zones de disponibilité ou plus pour une haute disponibilité.
actiontrail-enabledActionTrail ActivéGarantit qu'ActionTrail est activé pour enregistrer les activités du compte.
actiontrail-trail-intact-enabledPiste ActionTrail Intacte ActivéeLa piste ActionTrail doit être activée et suivre tous les types d'événements (Lecture et Écriture).
alb-acl-public-access-checkL'ACL ALB N'autorise Pas l'Accès PublicGarantit que les listes de contrôle d'accès ALB ne contiennent pas 0.0.0.0/0 (autorisant toutes les IP).
alb-all-listener-health-check-enabledVérification de Santé de Tous les Écouteurs ALB ActivéeGarantit que tous les écouteurs ALB ont des vérifications de santé activées.
alb-delete-protection-enabledProtection contre la Suppression d'Instance ALB ActivéeGarantit que les instances ALB ont la protection contre la suppression activée.
alb-instance-multi-zoneDéploiement Multi-Zones de l'Instance ALBLes instances ALB doivent être déployées sur plusieurs zones de disponibilité pour une haute disponibilité. Si une seule zone est sélectionnée, une panne de zone affectera l'instance ALB et la stabilité de l'entreprise.
alb-instance-waf-enabledL'Instance ALB a une Protection WAFGarantit que les instances ALB ont la protection WAF3 (Web Application Firewall) activée.
alb-server-group-multi-serverLe Groupe de Serveurs ALB a Plusieurs ServeursGarantit que les groupes de serveurs ALB contiennent au moins deux serveurs backend pour une haute disponibilité.
alidns-route-53-mx-checkL'Enregistrement MX DNS a un SPF Valide dans l'Enregistrement TXT AssociéGarantit que les enregistrements MX ont des enregistrements TXT associés avec des valeurs SPF valides pour la validation des e-mails.
api-gateway-group-force-httpsForcer HTTPS du Groupe API GatewayGarantit que les groupes API Gateway avec des domaines personnalisés publics ont la redirection HTTPS forcée activée.
bastionhost-instance-expired-checkVérification d'Expiration d'Instance BastionHostLes instances BastionHost prépayées doivent avoir le renouvellement automatique activé.
cdn-domain-multiple-origin-serversPlusieurs Serveurs d'Origine de Domaine CDNLes domaines CDN doivent être configurés avec plusieurs serveurs d'origine pour une haute disponibilité et une tolérance aux pannes.
cr-instance-any-ip-access-checkInstance CR Sans Accès IP QuelconqueGarantit que les instances Container Registry n'ont pas d'IP quelconque (0.0.0.0/0) dans leur liste blanche.
cr-repository-image-scanning-enabledBalayage d'Image d'Instance CR ActivéGarantit que les instances Container Registry ont le balayage d'images activé pour la détection des vulnérabilités de sécurité.
cr-repository-type-privateType de Dépôt CR PrivéGarantit que les dépôts CR sont définis sur PRIVÉ.
dcdn-domain-multiple-origin-serversDomaine DCDN Serveurs d'Origine MultiplesLes domaines DCDN doivent être configurés avec plusieurs serveurs d'origine pour une haute disponibilité et une tolérance aux pannes.
eci-containergroup-environment-no-specified-keysLe Groupe de Conteneurs ECI Ne Contient Pas de Variables d'Environnement SensiblesGarantit que les groupes de conteneurs ECI n'ont pas de variables d'environnement sensibles comme les mots de passe ou les clés d'accès.
ecs-available-disk-encryptedChiffrement de Disque ECS ActivéGarantit que tous les disques ECS sont chiffrés.
ecs-instance-attached-security-groupInstance ECS avec Groupe de Sécurité AttachéSi l'instance ECS est incluse dans le groupe de sécurité spécifié, la configuration est considérée comme conforme.
ecs-instance-deletion-protection-enabledProtection contre la Suppression d'Instance ECS ActivéeGarantit que les instances ECS ont la protection contre la suppression activée.
ecs-instance-enabled-security-protectionProtection de Sécurité d'Instance ECS ActivéeGarantit que les instances ECS ont la stratégie d'amélioration de la sécurité activée.
ecs-instance-expired-checkVérification d'Expiration d'Instance Prépayée ECSLes instances prépayées doivent avoir le renouvellement automatique activé pour éviter l'interruption de service due à l'expiration.
ecs-instance-no-public-ipL'Instance ECS Ne Doit Pas Lier d'IP PubliqueLes instances ECS ne doivent pas lier directement d'IP publique IPv4 ou d'IP élastique, considéré comme conforme.
ecs-launch-template-version-attach-security-groupLa Version du Modèle de Démarrage ECS Attache les Groupes de SécuritéLes versions de modèle de démarrage ECS ont des groupes de sécurité configurés pour les instances, considéré comme conforme.
ecs-running-instance-no-public-ipInstance ECS Sans IP PubliqueLes instances ECS ne doivent pas avoir d'adresse IP publique pour réduire l'exposition directe à Internet.
ecs-security-group-egress-not-all-accessEgress du Groupe de Sécurité Non Défini sur Accès TotalLa direction d'egress du groupe de sécurité ne doit pas être définie pour autoriser tout accès (tous les protocoles, tous les ports, toutes les destinations).
ecs-security-group-not-internet-cidr-accessIP Source d'Ingress du Groupe de Sécurité N'Inclut Pas d'IP PubliqueLes règles d'ingress du groupe de sécurité avec politique d'acceptation ne doivent pas avoir d'IP source contenant des IPs Internet publiques.
ecs-security-group-not-open-all-portIngress du Groupe de Sécurité N'Ouvre Pas Tous les PortsLes règles d'ingress du groupe de sécurité ne doivent pas autoriser tous les ports. Lorsque la plage de ports n'est pas définie sur -1/-1, elle est considérée comme conforme.
ecs-security-group-not-open-all-protocolIngress du Groupe de Sécurité N'Ouvre Pas Tous les ProtocolesLes règles d'ingress du groupe de sécurité ne doivent pas autoriser tous les protocoles. Lorsque le type de protocole n'est pas défini sur ALL, il est considéré comme conforme.
ecs-security-group-risky-ports-check-with-protocolVérification des Ports à Risque du Groupe de Sécurité avec ProtocoleLorsque la source d'ingress du groupe de sécurité est définie sur 0.0.0.0/0, la plage de ports ne doit pas inclure les ports à risque (22, 3389) pour les protocoles spécifiés (TCP/UDP), afin de réduire le risque d'attaques par force brute.
ecs-security-group-white-list-port-checkVérification d'Ingress de Port Non-Liste Blanche du Groupe de SécuritéÀ l'exception des ports en liste blanche (80), les autres ports ne doivent pas avoir de règles d'ingress autorisant l'accès depuis 0.0.0.0/0.
elasticsearch-instance-enabled-kibana-public-checkL'Instance Elasticsearch Kibana N'Active Pas l'Accès PublicGarantit que l'instance Elasticsearch Kibana n'est pas accessible depuis les réseaux publics.
elasticsearch-instance-enabled-public-checkL'Instance Elasticsearch N'active Pas l'Accès PublicGarantit que les instances Elasticsearch ne sont pas accessibles depuis les réseaux publics.
elasticsearch-instance-node-not-use-specified-specL'Instance Elasticsearch N'utilise Pas de Spécification DépréciéeGarantit que les instances Elasticsearch n'utilisent pas de spécifications de nœud dépréciées ou non prises en charge.
elasticsearch-instance-version-not-deprecatedL'Instance Elasticsearch N'Utilise Pas de Version ObsolèteGarantit que les instances Elasticsearch n'utilisent pas de versions obsolètes ou EOL.
elasticsearch-public-and-any-ip-access-checkVérification d'Accès Public et IP ElasticsearchGarantit que les instances Elasticsearch n'ont pas d'accès public activé ou une liste blanche ouverte.
ess-scaling-configuration-data-disk-encryptedChiffrement de Disque de Données de Configuration de Mise à l'Échelle ESSLes configurations de mise à l'échelle ESS doivent activer le chiffrement des disques de données pour protéger les données au repos.
ess-scaling-configuration-sg-public-accessAccès Public du Groupe de Sécurité de Configuration de Mise à l'Échelle ESSLes groupes de sécurité de configuration de mise à l'échelle ESS ne doivent pas autoriser l'accès depuis 0.0.0.0/0 pour empêcher l'accès non autorisé.
ess-scaling-configuration-system-disk-encryptedChiffrement du Disque Système de la Configuration de Mise à l'Échelle ESSLes configurations de mise à l'échelle ESS doivent activer le chiffrement du disque système pour protéger les données système au repos.
fc-function-runtime-checkVérification du Runtime de Fonction FCLes fonctions FC ne doivent pas utiliser de runtimes dépréciés qui peuvent avoir des vulnérabilités de sécurité.
fc-trigger-http-not-anonymousVérification d'Authentification du Déclencheur HTTP FCLes déclencheurs HTTP FC doivent exiger une authentification pour empêcher l'accès non autorisé.
gpdb-instance-disk-encryption-enabledChiffrement de Disque GPDB ActivéGarantit que les instances GPDB ont le chiffrement de disque activé.
hbase-cluster-expired-checkVérification d'Expiration du Cluster HBaseLes clusters HBase prépayés doivent avoir le renouvellement automatique activé.
hbase-cluster-ha-checkHA du Cluster HBase ActivéGarantit que les clusters HBase sont configurés pour la Haute Disponibilité (HA).
kafka-instance-disk-encryptedDisque d'Instance Kafka ChiffréL'instance Kafka doit avoir le chiffrement de disque activé lors du déploiement pour la protection des données.
kafka-instance-public-access-checkAccès Public Kafka DésactivéGarantit que les instances Kafka n'ont pas d'accès réseau public.
maxcompute-project-encryption-enabledChiffrement de Projet MaxCompute ActivéGarantit que les projets MaxCompute ont le chiffrement activé pour protéger les données stockées.
maxcompute-project-ip-whitelist-enabledListe Blanche IP du Projet MaxCompute ActivéeGarantit que les projets MaxCompute ont une liste blanche IP configurée pour restreindre l'accès.
mongodb-cluster-expired-checkVérification d'Expiration de l'Instance MongoDBLes instances MongoDB prépayées doivent avoir le renouvellement automatique activé.
mongodb-instance-class-not-sharedL'Instance MongoDB Utilise une Classe DédiéeGarantit que les instances MongoDB utilisent des classes d'instance dédiées ou exclusives, et non des instances partagées.
mongodb-min-maxconnections-limitMongoDB Répond aux Exigences Minimales de ConnexionGarantit que les instances MongoDB fournissent au moins le nombre minimum requis de connexions.
mongodb-min-maxiops-limitMongoDB Répond aux Exigences Minimales d'IOPSGarantit que les instances MongoDB fournissent au moins l'IOPS minimum requis.
mongodb-public-access-checkRestriction Internet de Liste Blanche MongoDBGarantit que les listes blanches d'IP de sécurité MongoDB ne contiennent pas 0.0.0.0/0.
mongodb-public-and-any-ip-access-checkVérification d'Accès Public et de N'importe Quelle IP MongoDBGarantit que les instances MongoDB n'ont pas de liste blanche ouverte (0.0.0.0/0).
mse-cluster-architecture-checkLe Cluster MSE a Plusieurs NœudsGarantit que les clusters MSE (Moteur de Microservices) ont plus de 3 nœuds pour une haute disponibilité.
mse-cluster-internet-checkLe Cluster MSE N'a Pas d'Accès Internet PublicGarantit que les clusters MSE n'ont pas d'accès Internet public activé.
mse-gateway-architecture-checkLa Passerelle MSE a Plusieurs NœudsGarantit que les passerelles MSE (Moteur de Microservices) ont plus d'un nœud pour une haute disponibilité.
nas-access-group-public-access-checkRestriction IP du Groupe d'Accès NASGarantit que les règles d'accès NAS n'autorisent pas 0.0.0.0/0.
nat-risk-ports-checkVérification des Ports à Risque de la Passerelle NATLes mappages DNAT de la passerelle NAT ne doivent pas exposer des ports risqués à Internet pour prévenir les vulnérabilités de sécurité.
oss-bucket-anonymous-prohibitedAccès Anonyme au Bucket OSS InterditGarantit que l'accès anonyme est interdit pour le bucket OSS.
oss-bucket-only-https-enabledSeul HTTPS de Bucket OSS ActivéLe bucket OSS doit avoir une politique qui refuse les requêtes non-HTTPS pour assurer la sécurité du transport des données.
oss-bucket-policy-no-any-anonymousLa politique de bucket OSS n'accorde pas de permissions aux utilisateurs anonymesLa politique de bucket OSS n'accorde pas de permissions de lecture ou d'écriture aux utilisateurs anonymes.
oss-bucket-policy-outside-organization-checkPolitique de Bucket OSS Sans Accès Hors OrganisationGarantit que les politiques de bucket OSS n'accordent pas d'accès aux principaux en dehors de l'organisation.
oss-bucket-public-read-prohibitedLecture Publique de Bucket OSS InterditeLes buckets OSS ne doivent pas autoriser l'accès en lecture public sauf si cela est spécifiquement requis. L'accès en lecture public permet à quiconque d'accéder et de télécharger des objets dans le bucket.
oss-bucket-public-write-prohibitedÉcriture Publique de Bucket OSS InterditeLes buckets OSS ne doivent pas autoriser l'accès en écriture public. L'accès en écriture public permet à quiconque de télécharger, modifier ou supprimer des objets dans le bucket, ce qui pose des risques de sécurité importants.
oss-bucket-server-side-encryption-enabledChiffrement Côté Serveur de Bucket OSS ActivéLes buckets OSS doivent avoir le chiffrement côté serveur activé pour protéger les données au repos. Le chiffrement côté serveur utilise KMS ou AES256 pour chiffrer les données stockées dans OSS.
parameter-sensitive-noecho-checkLes Paramètres Sensibles Doivent Avoir NoEchoLes paramètres de modèle qui contiennent des informations sensibles (mots de passe, clés API, secrets) doivent être protégés en définissant NoEcho sur true ou en utilisant des valeurs AssociationProperty valides pour éviter qu'ils ne soient affichés en texte clair.
polardb-cluster-enabled-tdeTDE du Cluster PolarDB ActivéGarantit que les clusters PolarDB ont Transparent Data Encryption (TDE) activé.
polardb-cluster-expired-checkVérification d'Expiration du Cluster PolarDBLes clusters PolarDB prépayés doivent avoir le renouvellement automatique activé.
polardb-public-access-checkVérification d'Accès Public PolarDBGarantit que la liste blanche IP PolarDB n'est pas définie sur 0.0.0.0/0.
polardb-public-and-any-ip-access-checkVérification d'Accès Public et de N'importe Quelle IP PolarDBGarantit que les clusters PolarDB n'ont pas d'endpoints publics et ne sont pas ouverts à n'importe quelle adresse IP (0.0.0.0/0).
ram-policy-no-statements-with-admin-access-checkPolitique RAM Sans Accès AdministrateurGarantit que les politiques RAM personnalisées n'accordent pas un accès administrateur complet.
ram-user-mfa-checkMFA Utilisateur RAM ActivéLes utilisateurs RAM avec accès à la console doivent avoir l'authentification multifacteur (MFA) activée.
rds-instance-enabled-disk-encryptionChiffrement de Disque d'Instance RDS ActivéGarantit que les instances RDS ont le chiffrement de disque activé.
rds-instance-expired-checkVérification d'Expiration d'Instance Prépayée RDSLes instances RDS prépayées doivent avoir le renouvellement automatique activé.
rds-public-access-checkVérification d'Accès Public d'Instance RDSLes instances RDS ne doivent pas être configurées avec des adresses réseau publiques. L'accès public expose les bases de données à des menaces de sécurité potentielles d'Internet.
rds-public-connection-and-any-ip-access-checkVérification de Connexion Publique et d'Accès de N'importe Quelle IP RDSGarantit que les instances RDS avec connexions publiques n'ont pas de liste blanche ouverte à toutes les IPs.
rds-white-list-internet-ip-access-checkRestriction Internet de Liste Blanche RDSGarantit que les listes blanches d'IP de sécurité RDS ne contiennent pas 0.0.0.0/0.
redis-instance-expired-checkVérification d'Expiration d'Instance Prépayée RedisLes instances Redis prépayées doivent avoir le renouvellement automatique activé.
redis-instance-no-public-ipInstance Redis Sans IP PubliqueGarantit que l'instance Redis n'a pas d'IP publique assignée.
redis-instance-open-auth-modeMode d'Authentification Redis ActivéGarantit que les instances Redis nécessitent une authentification et ne sont pas en mode 'sans mot de passe'.
redis-public-and-any-ip-access-checkVérification d'Accès Public et de N'importe Quelle IP RedisGarantit que les instances Redis n'ont pas d'accès public activé ou une liste blanche ouverte.
root-ak-checkVérification de la Clé d'Accès Utilisateur RootGarantit que le compte root n'a pas de clés d'accès actives.
root-mfa-checkVérification MFA Utilisateur RootGarantit que l'authentification multifacteur (MFA) est activée pour le compte root.
sg-public-access-checkIngress du Groupe de Sécurité ValideLes règles d'ingress du groupe de sécurité ne doivent pas autoriser tous les ports (-1/-1) depuis toutes les sources (0.0.0.0/0) simultanément.
sg-risky-ports-checkLe Groupe de Sécurité N'ouvre Pas de Ports à Risque à 0.0.0.0/0Lorsque la source de la règle d'entrée du groupe de sécurité est définie sur 0.0.0.0/0, la plage de ports ne doit pas inclure de ports à risque spécifiés, considéré comme conforme. Si la source n'est pas 0.0.0.0/0, c'est conforme même si des ports à risque sont inclus.
slb-acl-public-access-checkVérification d'Accès Public ACL SLBGarantit que les ACL SLB ne contiennent pas 0.0.0.0/0 pour empêcher l'accès public sans restriction.
slb-all-listener-health-check-enabledVérification de Santé de Tous les Listeners SLB ActivéeGarantit que tous les listeners SLB ont les vérifications de santé activées.
slb-all-listener-servers-multi-zoneSLB Multi-zones avec Serveurs Backend Multi-zonesLes instances SLB doivent être multi-zones, et tous les groupes de serveurs utilisés par les listeners doivent avoir des ressources ajoutées depuis plusieurs zones.
slb-delete-protection-enabledProtection contre la Suppression d'Instance SLB ActivéeGarantit que les instances SLB ont la protection contre la suppression activée.
slb-listener-risk-ports-checkVérification des Ports à Risque du Listener SLBGarantit que les listeners SLB n'exposent pas de ports à haut risque comme 22 ou 3389.
transit-router-vpc-attachment-multi-zoneConfiguration Multi-Zone de Connexion VPC du Routeur de TransitLes connexions VPC du routeur de transit doivent être configurées avec des vSwitches dans au moins deux zones de disponibilité différentes pour une haute disponibilité inter-zones.
tsdb-instance-security-ip-checkL'Instance TSDB N'autorise Pas l'Accès IPGarantit que les instances TSDB n'ont pas de listes blanches de sécurité qui autorisent toutes les IP.
use-waf-instance-for-security-protectionUtiliser WAF pour la Protection de SécuritéLe Pare-feu d'Application Web (WAF) doit être utilisé pour protéger les sites web et les applications contre les attaques basées sur le web.
vpc-network-acl-risky-ports-checkVérification des Ports à Risque de l'ACL Réseau VPCGarantit que les ACL réseau VPC n'autorisent pas l'accès sans restriction aux ports à risque (22, 3389).

Moyenne Gravité (179 Règles)

ID de RègleNomDescription
ack-cluster-encryption-enabledChiffrement Secret du Cluster ACK ActivéLes clusters ACK Pro doivent avoir le chiffrement Secret au repos activé avec KMS.
ack-cluster-inspect-kubelet-version-outdate-checkVérification de Version Kubelet ACKGarantit que la version Kubelet dans le cluster ACK est à jour.
ack-cluster-log-plugin-installedPlugin de Journal du Cluster ACK InstalléGarantit que le module complémentaire log-service est installé dans le cluster ACK.
ack-cluster-rrsa-enabledRRSA du Cluster ACK ActivéGarantit que la fonctionnalité RAM Roles for Service Accounts (RRSA) est activée pour le cluster ACK.
ack-cluster-supported-versionVersion Prise en Charge du Cluster ACKGarantit que le cluster ACK exécute une version prise en charge.
ack-cluster-upgrade-latest-versionCluster ACK Mis à Jour vers la Dernière VersionGarantit que le cluster ACK exécute la dernière version disponible.
adb-cluster-multi-zoneDéploiement Multi-Zone du Cluster ADBLe cluster ADB doit être déployé en mode multi-zone.
alb-all-listenter-has-serverL'Écouteur ALB a un Serveur BackendGarantit que tous les écouteurs ALB sont associés à un groupe de serveurs non vide.
alb-instance-bind-security-group-or-enabled-aclInstance ALB Lier Groupe de Sécurité ou Activer ACLL'instance ALB doit avoir des groupes de sécurité associés ou ACL configuré pour tous les écouteurs en cours d'exécution.
alb-server-group-multi-zoneDistribution Multi-Zone du Groupe de Serveurs ALBLes groupes de serveurs ALB doivent avoir des serveurs backend distribués sur plusieurs zones de disponibilité pour une haute disponibilité. Cette règle ne s'applique pas aux groupes de serveurs sans serveurs attachés, ni aux groupes de serveurs de type IP/Function Compute.
alidns-domain-regex-matchLes Noms de Domaine DNS d'Alibaba Cloud Correspondent à la Convention de DénominationGarantit que les noms de domaine DNS d'Alibaba Cloud correspondent à l'expression régulière de convention de dénomination spécifiée.
api-gateway-api-auth-jwtAuthentification JWT de l'API API GatewayGarantit que les API API Gateway utilisent l'authentification JWT.
api-gateway-api-auth-requiredAuthentification API du Gateway API RequiseGarantit que les APIs du Gateway API ont l'authentification configurée.
api-gateway-api-internet-request-httpsHTTPS de Requête Internet du Gateway API ActivéGarantit que les APIs du Gateway API exposées à Internet utilisent le protocole HTTPS.
api-gateway-api-visibility-privateVisibilité API de l'API Gateway PrivéeGarantit que les API de l'API Gateway sont définies sur la visibilité PRIVÉE.
api-gateway-group-bind-domainLier le Domaine du Groupe API GatewayGarantit que les groupes API Gateway ont des domaines personnalisés liés.
api-gateway-group-enabled-sslSSL du Groupe API Gateway ActivéGarantit que SSL est activé pour les groupes API Gateway.
api-gateway-group-https-policy-checkVérification de Politique HTTPS du Groupe API GatewayGarantit que les groupes API Gateway ont la politique de sécurité HTTPS définie correctement.
api-gateway-group-log-enabledJournal du Groupe API Gateway ActivéGarantit que les groupes API Gateway ont la journalisation configurée.
apigateway-instance-multi-zoneDéploiement Multi-Zone d'Instance API GatewayLes instances API Gateway doivent être déployées en configuration multi-zone pour une haute disponibilité.
bastionhost-instance-spec-checkVérification de Spécification Multi-Zone d'Instance BastionHostL'instance BastionHost doit utiliser la version Enterprise qui prend en charge le déploiement multi-zone.
cen-cross-region-bandwidth-checkVérification de la Bande Passante Inter-Région CENLes connexions inter-région d'instance CEN doivent avoir une allocation de bande passante suffisante pour répondre aux exigences de performance.
clickhouse-dbcluster-multi-zoneDéploiement Multi-Zone ClickHouse DBClusterLes clusters ClickHouse doivent utiliser l'édition HighAvailability (Double-replica) pour le déploiement multi-zone. Note : Cela s'applique uniquement à l'édition communautaire.
cr-instance-multi-zoneInstance CR avec Bucket OSS Redondant par ZoneLes instances Container Registry doivent être associées à des buckets OSS redondants par zone pour une haute disponibilité.
ecs-disk-all-encrypted-by-kmsDisque ECS avec Chiffrement KMS ActivéLes disques ECS (y compris le disque système et les disques de données) sont chiffrés avec KMS, considéré comme conforme.
ecs-disk-encryptedChiffrement du disque de données ECS activéLe disque de données ECS a le chiffrement activé, considéré comme conforme.
ecs-disk-in-useLe Disque ECS est en UtilisationLes disques ECS sont attachés à une instance ou en état d'utilisation, considéré comme conforme. Les disques disponibles ou non attachés peuvent être des ressources inactives.
ecs-disk-retain-auto-snapshotConserver l'Instantané Automatique lors de la Libération du Disque ECSConfigurez les disques ECS pour conserver les instantanés automatiques lors de la libération, considéré comme conforme. Cela aide à protéger les données contre la suppression accidentelle.
ecs-in-use-disk-encryptedChiffrement de Disque en Utilisation ECSLes disques de données ECS doivent avoir le chiffrement activé pour protéger les données au repos. Les disques chiffrés utilisent des clés KMS pour chiffrer les données, garantissant la sécurité des données et la conformité aux exigences réglementaires.
ecs-instance-auto-renewal-enabledInstance d'abonnement ECS a le renouvellement automatique activéLes instances d'abonnement ECS (prépayées) ont le renouvellement automatique activé, considérées comme conformes. Les instances à la demande ne sont pas applicables.
ecs-instance-image-expired-checkVérification d'Expiration d'Image d'Instance ECSGarantit que l'image utilisée par l'instance ECS n'a pas expiré.
ecs-instance-image-type-checkVérification du Type d'Image d'Instance ECSGarantit que les instances ECS utilisent des images provenant de sources autorisées.
ecs-instance-login-use-keypairConnexion d'Instance ECS Utilisant une Paire de ClésGarantit que les instances ECS utilisent des paires de clés pour la connexion au lieu de mots de passe.
ecs-instance-meta-data-mode-checkL'accès aux métadonnées d'instance ECS utilise le mode de sécurité renforcé (IMDSv2)Lors de l'accès aux métadonnées d'instance ECS, le mode de sécurité renforcé (IMDSv2) est appliqué, considéré comme conforme. Les instances associées aux clusters ACK ne sont pas applicables.
ecs-instance-no-public-and-anyipL'Instance ECS Ne Doit Pas Lier d'IP Publique ou Autoriser l'Accès de N'importe Quelle IPLes instances ECS ne doivent pas lier directement des IPs publiques IPv4 ou des IPs élastiques, et les groupes de sécurité associés ne doivent pas exposer 0.0.0.0/0. Conforme lorsqu'aucune IP publique n'est liée.
ecs-instance-not-bind-key-pairInstance ECS Non Liée à une Paire de ClésGarantit que les instances ECS utilisent des paires de clés pour l'authentification au lieu de mots de passe.
ecs-instance-type-family-not-deprecatedType d'Instance ECS Non DépréciéGarantit que les instances ECS n'utilisent pas de types d'instance dépréciés ou hérités.
ecs-instances-in-vpcInstances ECS dans le VPCLes instances ECS doivent être déployées dans des réseaux VPC (Virtual Private Cloud) plutôt que dans des réseaux classiques. VPC offre une meilleure isolation réseau, sécurité et flexibilité.
ecs-internetmaxbandwidth-checkVérification de la Bande Passante Internet Maximale ECSGarantit que la bande passante Internet sortante ECS ne dépasse pas les limites spécifiées.
ecs-launch-template-network-type-checkLe modèle de lancement ECS utilise le type de réseau VPCLes versions de modèle de lancement ECS ont le type de réseau défini sur VPC, considéré comme conforme. Le type de réseau classique n'est pas recommandé pour les environnements de production.
ecs-launch-template-version-data-disk-encryptedLa Version du Modèle de Démarrage ECS Active le Chiffrement de Disque de DonnéesTous les disques de données configurés dans les versions de modèle de démarrage ECS sont chiffrés, considéré comme conforme.
ecs-launch-template-version-image-type-checkVérification du Type d'Image du Modèle de DémarrageGarantit que les modèles de démarrage ECS utilisent des types d'image autorisés.
ecs-running-instances-in-vpcLes Instances ECS en Cours d'Exécution Sont dans le VPCLes instances ECS en cours d'exécution sont déployées dans Virtual Private Cloud (VPC), considérées comme conformes. Cela offre un isolement réseau et une sécurité renforcée.
ecs-snapshot-policy-timepoints-checkPoints Temporels de Politique d'Instantané Automatique ECS Configurés RaisonnablementLes points temporels de création d'instantanés dans la politique d'instantanés automatiques sont dans la plage de temps spécifiée, considérés comme conformes. La création d'instantanés réduit temporairement les performances d'E/S du stockage en bloc, avec des différences de performance généralement inférieures à 10%, provoquant de brefs ralentissements. Il est recommandé de sélectionner des points temporels qui évitent les heures de pointe commerciales.
eip-delete-protection-enabledProtection contre la Suppression EIP ActivéeGarantit que les instances EIP ont la protection contre la suppression activée.
elasticsearch-instance-enabled-data-node-encryptionChiffrement du Nœud de Données Elasticsearch ActivéGarantit que les nœuds de données dans l'instance Elasticsearch ont le chiffrement de disque activé.
elasticsearch-instance-enabled-node-config-disk-encryptionChiffrement de Disque de Configuration de Nœud ESGarantit que les configurations de nœuds élastiques Elasticsearch ont le chiffrement de disque activé.
elasticsearch-instance-multi-zoneDéploiement Multi-Zone d'Instance ElasticsearchLes instances Elasticsearch doivent être déployées sur plusieurs zones de disponibilité.
emr-cluster-master-public-access-checkVérification de l'Accès Public du Nœud Maître du Cluster EMRLes nœuds maîtres du cluster EMR sur ECS ne doivent pas avoir d'IP publique activée.
ess-group-health-checkVérification de Santé du Groupe de Mise à l'Échelle ESSLes groupes de mise à l'échelle ESS doivent activer la vérification de santé des instances ECS pour s'assurer que seules les instances saines sont en service.
ess-scaling-configuration-attach-security-groupGroupe de Sécurité de Configuration de Mise à l'Échelle ESSLes configurations de mise à l'échelle ESS doivent attacher des groupes de sécurité aux instances pour une isolation réseau et un contrôle d'accès appropriés.
ess-scaling-configuration-enabled-internet-checkVérification de l'Accès Internet de la Configuration de Mise à l'Échelle ESSGarantit que les configurations de mise à l'échelle ESS n'activent pas d'adresses IP publiques pour les instances sauf si nécessaire.
ess-scaling-configuration-image-checkVérification d'Image de Configuration de Mise à l'Échelle ESSLes configurations de mise à l'échelle ESS doivent utiliser des images maintenues pour assurer la sécurité et la stabilité.
ess-scaling-configuration-image-type-checkVérification du Type d'Image de Configuration de Mise à l'Échelle ESSLes configurations de mise à l'échelle ESS doivent utiliser des images provenant de sources spécifiées pour une meilleure sécurité et gestion.
ess-scaling-group-attach-multi-switchGroupe de Mise à l'Échelle ESS Multi-VSwitchLes groupes de mise à l'échelle ESS doivent être associés à au moins deux VSwitches pour une haute disponibilité sur plusieurs zones.
ess-scaling-group-attach-slbGroupe de Mise à l'Échelle ESS Attacher SLBLes groupes de mise à l'échelle ESS doivent être attachés à l'Équilibreur de Charge Classique (SLB) pour une distribution appropriée du trafic.
ess-scaling-group-loadbalancer-checkVérification d'Existence de l'Équilibreur de Charge du Groupe de Mise à l'Échelle ESSLes groupes de mise à l'échelle ESS doivent être attachés à des instances d'équilibreur de charge existantes et actives pour une distribution appropriée du trafic.
fc-function-custom-domain-and-cert-enableVérification du Certificat de Domaine Personnalisé de Fonction FCLes domaines personnalisés FC doivent avoir des certificats SSL configurés pour une communication sécurisée.
fc-function-custom-domain-and-https-enableVérification HTTPS du Domaine Personnalisé de Fonction FCLes domaines personnalisés FC doivent avoir HTTPS activé pour une communication sécurisée.
fc-function-custom-domain-and-tls-enableDomaine Personnalisé et TLS de Fonction FC ActivéGarantit que les domaines personnalisés pour les fonctions Function Compute ont TLS activé.
fc-function-internet-and-custom-domain-enableAccès Internet au Service FC avec Domaine PersonnaliséLes services FC avec accès Internet doivent être liés à des domaines personnalisés pour un contrôle d'accès approprié.
fc-function-settings-checkVérification des Paramètres de Fonction FCLes paramètres de fonction FC doivent répondre aux exigences spécifiées pour des performances et une sécurité optimales.
fc-service-bind-roleService FC Lié au Rôle RAMGarantit que le service Function Compute a un rôle RAM lié.
fc-service-internet-access-disableAccès Internet du Service FC DésactivéGarantit que le service Function Compute a l'accès Internet désactivé lorsqu'il ne doit accéder qu'aux ressources internes.
fc-service-log-enableActiver le Journal du Service FCLes services FC doivent avoir la journalisation activée pour la surveillance et le dépannage.
fc-service-tracing-enableActiver le Traçage de Service FCLes services FC doivent avoir le traçage activé pour la surveillance des performances et le débogage.
fc-service-vpc-bindingLiaison VPC du Service FC ActivéeGarantit que le service Function Compute est configuré pour accéder aux ressources dans un VPC.
firewall-asset-open-protectProtection des Actifs du Pare-feu Cloud ActivéeGarantit que les actifs sont protégés par le Pare-feu Cloud.
gpdb-instance-multi-zoneDéploiement Multi-Zone d'Instance GPDBLes instances GPDB doivent être déployées avec une zone de secours pour une haute disponibilité.
gwlb-loadbalancer-multi-zoneDéploiement Multi-Zone du Répartiteur de Charge GWLBLes instances du Répartiteur de Charge GWLB doivent être déployées sur au moins deux zones de disponibilité pour une haute disponibilité.
hbase-cluster-deletion-protectionProtection contre la Suppression de Cluster HBase ActivéeGarantit que les clusters HBase ont la protection contre la suppression activée.
hbase-cluster-in-vpcCluster HBase dans VPCGarantit que le cluster HBase est déployé dans un VPC.
hbase-cluster-multi-zoneDéploiement Multi-Zone du Cluster HBaseLes clusters HBase doivent être déployés en mode cluster avec au moins 2 nœuds pour une haute disponibilité.
internet-nat-gateway-in-specified-vpcPasserelle NAT Internet dans VPC SpécifiéLes passerelles NAT orientées Internet doivent être créées dans des VPC spécifiés selon les exigences de sécurité réseau.
intranet-nat-gateway-in-specified-vpcPasserelle NAT Intranet dans VPC SpécifiéLes passerelles NAT orientées intranet doivent être créées dans des VPC spécifiés selon les exigences de sécurité réseau.
kafka-instance-multi-zoneDéploiement Multi-Zone de l'Instance KafkaLes instances Kafka doivent être déployées sur plusieurs zones de disponibilité pour une haute disponibilité.
kms-instance-multi-zoneDéploiement Multi-Zone de l'Instance KMSLes instances KMS doivent être déployées sur au moins deux zones de disponibilité pour une haute disponibilité et une reprise après sinistre.
kms-key-delete-protection-enabledProtection contre la Suppression de Clé KMS ActivéeLa clé maître KMS a la protection contre la suppression activée, considérée comme conforme. Les clés qui ne sont pas en état activé et les clés de service (qui ne peuvent pas être supprimées) ne sont pas applicables.
kms-key-rotation-enabledRotation automatique de clé KMS activéeLa clé maître utilisateur KMS a la rotation automatique activée, considérée comme conforme. Les clés de service et les clés importées externement ne sont pas applicables.
kms-secret-rotation-enabledRotation automatique de secret KMS activéeLe secret KMS a la rotation automatique activée, considéré comme conforme. Les secrets génériques ne sont pas applicables.
lindorm-instance-in-vpcVérification de Lindorm dans VPCGarantit que les instances Lindorm sont déployées dans un VPC.
lindorm-instance-multi-zoneDéploiement Multi-Zone d'Instance LindormLes instances Lindorm doivent être configurées pour un déploiement multi-zone avec au moins 4 nœuds LindormTable pour une haute disponibilité.
mongodb-instance-enabled-sslSSL d'Instance MongoDB ActivéGarantit que les instances MongoDB ont le chiffrement SSL activé.
mongodb-instance-encryption-byok-checkL'Instance MongoDB Utilise une Clé Personnalisée pour TDEGarantit que les instances MongoDB utilisent des clés KMS personnalisées pour le Chiffrement Transparent des Données (TDE).
mongodb-instance-in-vpcL'Instance MongoDB Utilise le Réseau VPCGarantit que les instances MongoDB sont déployées dans un réseau de Cloud Privé Virtuel (VPC).
mongodb-instance-log-auditAudit de Journal d'Instance MongoDB ActivéGarantit que les instances MongoDB ont l'audit de journalisation activé.
mongodb-instance-multi-nodeL'Instance MongoDB Utilise Plusieurs NœudsGarantit que les instances MongoDB sont déployées avec plusieurs nœuds pour une haute disponibilité.
mongodb-instance-multi-zoneDéploiement Multi-Zone d'Instance MongoDBLes instances MongoDB doivent être déployées sur plusieurs zones de disponibilité pour une haute disponibilité.
mongodb-instance-release-protectionProtection contre la Libération d'Instance MongoDB ActivéeGarantit que les instances MongoDB ont la protection contre la libération activée.
mse-cluster-config-auth-enabledAuthentification de Configuration de Cluster MSE ActivéeGarantit que le centre de configuration du cluster du moteur de microservices (MSE) a l'authentification activée.
mse-cluster-multi-availability-area-architecture-checkConfiguration de Haute Disponibilité du Cluster MSELes clusters MSE doivent utiliser l'Édition Professionnelle avec au moins 3 instances (nombre impair) pour une haute disponibilité.
mse-cluster-stable-version-checkLe Cluster MSE Utilise une Version StableGarantit que la version du moteur du cluster MSE est supérieure à la version stable minimale.
mse-gateway-multi-availability-area-architecture-checkDéploiement Multi-Zone de Disponibilité de la Passerelle MSELes passerelles MSE doivent être déployées sur plusieurs zones de disponibilité en configurant un VSwitch de sauvegarde.
nas-filesystem-mount-target-access-group-checkVérification du Groupe d'Accès de Cible de Montage NASGarantit que les cibles de montage NAS n'utilisent pas 'DEFAULT_VPC_GROUP_NAME'.
natgateway-delete-protection-enabledProtection contre la Suppression de la Passerelle NAT ActivéeGarantit que les passerelles NAT ont la protection contre la suppression activée.
natgateway-eip-used-checkVérification de l'Utilisation EIP de la Passerelle NATSNAT et DNAT ne doivent pas utiliser le même EIP pour éviter les conflits potentiels et améliorer la segmentation réseau.
natgateway-snat-eip-bandwidth-checkCohérence de Bande Passante EIP SNAT de Passerelle NATLorsque les entrées SNAT sont liées à plusieurs EIP, les paramètres de pic de bande passante doivent être cohérents ou ils doivent être ajoutés à un package de bande passante partagée.
nlb-loadbalancer-multi-zoneDéploiement Multi-Zone de l'Équilibreur de Charge NLBLes instances d'équilibreur de charge NLB doivent être déployées sur au moins deux zones de disponibilité pour une haute disponibilité.
nlb-server-group-multi-zoneDistribution Multi-Zone du Groupe de Serveurs NLBLes groupes de serveurs NLB doivent avoir des serveurs backend distribués sur plusieurs zones de disponibilité pour une haute disponibilité. Cette règle ne s'applique pas aux groupes de serveurs sans serveurs attachés, ni aux groupes de serveurs de type IP.
oss-bucket-authorize-specified-ipBucket OSS Autorise IP SpécifiéeGarantit que les politiques de bucket OSS restreignent l'accès aux plages d'IP spécifiées.
oss-bucket-backup-enableSauvegarde OSS ActivéeGarantit que les buckets OSS ont la sauvegarde ou le contrôle de version activé.
oss-bucket-logging-enabledJournalisation de Bucket OSS ActivéeLes buckets OSS doivent avoir la journalisation activée pour suivre les accès et les opérations. La journalisation aide à l'audit de sécurité, au dépannage et aux exigences de conformité.
oss-bucket-remote-replicationRéplication Distante de Bucket OSS ActivéeGarantit que la réplication inter-régions est activée pour le bucket OSS pour la reprise après sinistre.
oss-bucket-tls-version-checkVérification de la Version TLS de Bucket OSSGarantit que le bucket OSS est configuré pour utiliser une version sécurisée de TLS (TLS 1.2 ou supérieure).
oss-bucket-versioning-enabledVersioning de Bucket OSS ActivéLe bucket OSS doit avoir le versioning activé pour protéger contre la suppression ou l'écrasement accidentel.
oss-default-encryption-kmsChiffrement KMS côté serveur de bucket OSS activéLe bucket OSS a le chiffrement KMS côté serveur activé, considéré comme conforme.
oss-encryption-byok-checkVérification du Chiffrement BYOK de Bucket OSSLes buckets OSS doivent utiliser des clés KMS gérées par le client (BYOK - Bring Your Own Key) pour le chiffrement. Cela offre un meilleur contrôle sur les clés de chiffrement et répond aux exigences de conformité.
oss-zrs-enabledStockage Redondant par Zone de Bucket OSS ActivéLes buckets OSS doivent utiliser le stockage redondant par zone (ZRS) pour une haute disponibilité et une durabilité des données.
ots-instance-multi-zoneStockage Redondant par Zone d'Instance OTSGarantit que les instances Tablestore (OTS) utilisent un stockage redondant par zone pour une haute disponibilité.
ots-instance-network-not-normalType de Réseau Restreint OTSGarantit que les instances Table Store (OTS) n'utilisent pas le type de réseau 'Normal' (sans restriction).
pai-eas-instances-multi-zoneDéploiement Multi-Zone d'Instance PAI EASGarantit que les instances PAI EAS sont déployées sur plusieurs zones pour une haute disponibilité.
polardb-cluster-default-time-zone-not-systemFuseau Horaire par Défaut du Cluster PolarDB N'est Pas SystèmeGarantit que le fuseau horaire par défaut du cluster PolarDB n'est pas défini sur SYSTEM.
polardb-cluster-delete-protection-enabledProtection contre la Suppression du Cluster PolarDB ActivéeGarantit que les clusters PolarDB ont la protection contre la suppression activée.
polardb-cluster-enabled-sslSSL du Cluster PolarDB ActivéGarantit que les clusters PolarDB ont le chiffrement SSL activé.
polardb-cluster-multi-zoneDéploiement Multi-zones du Cluster PolarDBLes clusters PolarDB doivent être déployés sur plusieurs zones de disponibilité pour une haute disponibilité.
polardb-dbcluster-in-vpcCluster PolarDB dans VPCGarantit que le cluster PolarDB est déployé dans un VPC.
polardb-revision-version-used-checkVérification de la Version de Révision PolarDB UtiliséeGarantit que le cluster PolarDB utilise une version de révision de noyau stable.
polardb-x2-instance-multi-zoneDéploiement Multi-Zone de l'Instance PolarDB-X 2.0Les instances PolarDB-X 2.0 doivent être déployées sur 3 zones de disponibilité.
privatelink-server-endpoint-multi-zoneDéploiement Multi-Zone du Service de Point de Terminaison VPC PrivateLinkLes services de point de terminaison VPC PrivateLink doivent avoir des ressources déployées sur plusieurs zones de disponibilité pour une haute disponibilité.
privatelink-servier-endpoint-multi-zoneDéploiement Multi-Zone du Point de Terminaison de Service PrivateLinkGarantit que les points de terminaison de service PrivateLink sont déployés sur plusieurs zones pour une haute disponibilité.
ram-password-policy-checkVérification de la Politique de Mot de Passe RAMGarantit que la politique de mot de passe RAM répond aux exigences de sécurité spécifiées.
ram-policy-no-has-specified-documentPolitique RAM Sans Document SpécifiéGarantit que les politiques RAM personnalisées ne contiennent pas la configuration de permissions spécifiée.
ram-role-has-specified-policyLe Rôle RAM a une Politique SpécifiéeGarantit que les rôles RAM ont les politiques spécifiées attachées.
ram-role-no-product-admin-accessLe Rôle RAM N'a Pas d'Accès Administrateur ProduitGarantit que les rôles RAM n'ont pas d'accès administratif complet ou de permissions d'administrateur de produit.
ram-user-activated-ak-quantity-checkVérification de la Quantité d'AK Actif d'Utilisateur RAMGarantit que les utilisateurs RAM n'ont pas plus d'une AccessKey active.
ram-user-ak-create-date-expired-checkVérification d'Expiration de la Date de Création d'AccessKey d'Utilisateur RAMGarantit que les AccessKeys d'utilisateur RAM ne sont pas plus anciennes que le nombre de jours spécifié.
ram-user-ak-used-expired-checkVérification de la Date de Dernière Utilisation d'AccessKey d'Utilisateur RAMGarantit que les AccessKeys d'utilisateur RAM ont été utilisées dans le nombre de jours spécifié.
ram-user-has-specified-policyL'Utilisateur RAM a une Politique SpécifiéeGarantit que les utilisateurs RAM ont les politiques requises attachées, y compris celles héritées des groupes.
ram-user-login-checkVérification de l'Activation de la Connexion Utilisateur RAMGarantit que les utilisateurs RAM qui n'ont pas besoin d'accès à la console ont la connexion désactivée.
ram-user-no-has-specified-policyUtilisateur RAM Sans Politique SpécifiéeGarantit que les utilisateurs RAM n'ont pas de politiques risquées spécifiées attachées.
ram-user-no-product-admin-accessUtilisateur RAM Sans Accès Administratif au ProduitGarantit que les utilisateurs RAM n'ont pas d'accès administratif complet aux produits cloud sauf si nécessaire.
ram-user-role-no-product-admin-accessLe Rôle d'Utilisateur RAM N'a Pas d'Accès Administrateur ProduitGarantit que les rôles définis par l'utilisateur RAM n'ont pas de permissions administratives de produit.
ram-user-specified-permission-boundLimite de Permission Spécifiée de l'Utilisateur RAMGarantit que les utilisateurs RAM n'ont pas de permissions à haut risque spécifiées liées.
rds-instacne-delete-protection-enabledProtection contre la Suppression d'Instance RDS ActivéeGarantit que les instances RDS ont la protection contre la suppression activée.
rds-instance-enabled-auditingAudit d'Instance RDS ActivéGarantit que les instances RDS ont l'audit SQL activé.
rds-instance-enabled-log-backupSauvegarde de Journal d'Instance RDS ActivéeGarantit que les instances RDS ont la sauvegarde de journal activée.
rds-instance-enabled-sslSSL d'Instance RDS ActivéGarantit que les instances RDS ont le chiffrement SSL activé.
rds-instance-enabled-tde-disk-encryptionInstance RDS TDE ou Chiffrement de Disque ActivéL'instance RDS doit avoir TDE (Chiffrement Transparent des Données) ou le chiffrement de disque activé.
rds-instance-has-guard-instanceL'Instance RDS a une Instance de GardeGarantit que les instances RDS de production ont une instance de garde (récupération après sinistre) correspondante.
rds-instances-in-vpcInstance RDS dans VPCGarantit que l'instance RDS est déployée dans un VPC.
rds-multi-az-supportDéploiement Multi-AZ d'Instance RDSLes instances RDS doivent être déployées en configuration multi-AZ pour une haute disponibilité et un basculement automatique.
redis-architecturetype-cluster-checkVérification du Type d'Architecture de Cluster RedisGarantit que l'instance Redis utilise le type d'architecture de cluster.
redis-instance-backup-log-enabledSauvegarde de Journal d'Instance Redis ActivéeGarantit que la sauvegarde de journal est activée pour l'instance Redis.
redis-instance-double-node-typeType de Nœud Double d'Instance RedisGarantit que l'instance Redis utilise le type de nœud double pour une haute disponibilité.
redis-instance-enabled-byok-tdeTDE BYOK d'Instance Redis ActivéGarantit que les instances Redis ont Transparent Data Encryption (TDE) activé en utilisant Bring Your Own Key (BYOK).
redis-instance-enabled-sslSSL d'Instance Redis ActivéGarantit que les instances Redis ont le chiffrement SSL activé.
redis-instance-in-vpcInstance Redis dans VPCGarantit que l'instance Redis est déployée dans un VPC.
redis-instance-multi-zoneDéploiement Multi-Zones d'Instance RedisLes instances Redis doivent être déployées sur plusieurs zones de disponibilité pour une haute disponibilité.
redis-instance-release-protectionProtection contre la Libération d'Instance Redis ActivéeGarantit que les instances Redis ont la protection contre la libération activée.
redis-instance-tls-version-checkVérification de Version TLS d'Instance RedisGarantit que l'instance Redis a SSL activé avec une version TLS acceptable.
redis-min-capacity-limitLimite de Capacité Minimale RedisGarantit que l'instance Redis a une capacité mémoire répondant à l'exigence minimale.
rocketmq-v5-instance-multi-zoneDéploiement Multi-Zone d'Instance RocketMQ 5.0Les instances RocketMQ 5.0 doivent être déployées en mode Cluster HA qui prend en charge la disponibilité multi-zone.
security-center-version-checkVérification de Version du Centre de SécuritéLe Centre de Sécurité doit être à une version qui fournit des fonctionnalités de protection suffisantes.
slb-all-listener-enabled-aclTous les Écouteurs SLB ont un Contrôle d'AccèsTous les écouteurs en cours d'exécution des instances SLB doivent avoir des listes de contrôle d'accès (ACL) configurées pour la sécurité.
slb-all-listener-http-disabledHTTP de Tous les Écouteurs SLB DésactivéGarantit qu'aucun écouteur SLB n'utilise le protocole HTTP non sécurisé.
slb-all-listener-http-redirect-httpsRedirection HTTP vers HTTPS SLB ActivéeGarantit que les écouteurs HTTP SLB sont configurés pour rediriger le trafic vers HTTPS.
slb-all-listenter-has-serverTous les Auditeurs SLB ont des Serveurs BackendTous les auditeurs des instances SLB doivent avoir au moins le nombre spécifié de serveurs backend attachés.
slb-all-listenter-tls-policy-checkVérification de la Politique TLS du Listener SLBGarantit que les listeners HTTPS SLB utilisent des politiques de chiffrement TLS sécurisées.
slb-default-server-group-multi-serverLe Groupe de Serveurs par Défaut SLB a Plusieurs ServeursLe groupe de serveurs par défaut des instances SLB doit avoir au moins deux serveurs pour éviter un point de défaillance unique.
slb-instance-autorenewal-checkVérification de Renouvellement Automatique d'Instance SLBLes instances SLB prépayées doivent avoir le renouvellement automatique activé pour éviter les interruptions de service.
slb-instance-default-server-group-multi-zoneGroupe de Serveurs par Défaut SLB Multi-ZoneLe groupe de serveurs par défaut des instances SLB doit avoir des ressources distribuées sur plusieurs zones de disponibilité.
slb-instance-log-enabledJournalisation d'Instance SLB ActivéeGarantit que la journalisation d'accès est activée pour l'instance SLB.
slb-instance-multi-zoneDéploiement Multi-zones de l'Instance SLBLes instances SLB doivent être déployées sur plusieurs zones en configurant à la fois les zones maître et esclave pour une haute disponibilité.
slb-instance-spec-checkVérification de Spécification d'Instance SLBLes spécifications d'instance SLB doivent répondre aux critères de performance requis basés sur la liste spécifiée.
slb-listener-https-enabledHTTPS du Listener SLB ActivéGarantit que les listeners SLB utilisent le protocole HTTPS pour une communication sécurisée.
slb-loadbalancer-in-vpcVérification SLB dans VPCGarantit que les instances SLB sont déployées dans un Virtual Private Cloud (VPC).
slb-master-slave-server-group-multi-zoneGroupe de Serveurs Maître-Esclave SLB Multi-ZoneLe groupe de serveurs maître-esclave des instances SLB doit avoir des ressources distribuées sur plusieurs zones de disponibilité.
slb-no-public-ipInstance SLB Sans IP PubliqueLes instances SLB ne doivent pas avoir d'adresses IP publiques pour réduire la surface d'attaque.
slb-vserver-group-multi-zoneDéploiement Multi-Zone du Groupe de Serveurs Virtuels SLBGarantit que les groupes de serveurs virtuels SLB contiennent des instances de plusieurs zones de disponibilité.
sls-logstore-enabled-encryptChiffrement du Logstore SLS ActivéGarantit que les Logstores SLS ont le chiffrement côté serveur activé.
sls-logstore-encrypt-key-origin-checkVérification de l'Origine de la Clé de Chiffrement du Logstore SLSGarantit que les Logstores SLS utilisent du matériel de clé importé externe (BYOK) pour le chiffrement, ce qui offre un meilleur contrôle sur les clés de chiffrement.
sls-project-multi-zoneStockage Redondant par Zone du Projet SLSLes projets SLS doivent utiliser un stockage redondant par zone (ZRS) pour une haute disponibilité et une durabilité des données.
vpc-flow-logs-enabledJournaux de Flux VPC ActivésGarantit que les journaux de flux VPC sont activés pour surveiller le trafic réseau.
vpc-network-acl-not-emptyACL de Réseau VPC Non VideGarantit que les ACL de réseau VPC ont au moins une règle configurée.
vpn-connection-master-slave-establishedConnexion VPN Tunnel Double ÉtabliUtilisez une passerelle VPN à tunnel double et les tunnels maître et esclave sont établis avec le pair.
vpn-gateway-multi-zoneDéploiement Multi-Zone de la Passerelle VPNLes passerelles VPN doivent être configurées avec un VSwitch de récupération d'urgence pour prendre en charge la disponibilité multi-zone.
vswitch-available-ip-countVérification du Nombre d'IP Disponibles VSwitchGarantit que le VSwitch a un nombre suffisant d'adresses IP disponibles.
waf-instance-logging-enabledJournalisation d'Instance WAF ActivéeGarantit que la journalisation est activée pour l'instance WAF pour l'audit et l'analyse de sécurité.
waf3-defense-resource-logging-enabledJournalisation WAF 3.0 ActivéeGarantit que la journalisation est activée pour les ressources protégées par WAF 3.0.

Faible Gravité (40 Règles)

ID de RègleNomDescription
ack-cluster-spec-checkVérification de Spécification de Cluster ACKGarantit que les clusters ACK utilisent des spécifications approuvées (par exemple, ACK Pro).
alb-address-type-checkVérification du Type d'Adresse ALBGarantit que les instances ALB utilisent le type d'adresse préféré (par exemple, Intranet).
apig-group-custom-trace-enabledTraçage Personnalisé du Groupe API Gateway ActivéGarantit que les groupes API Gateway ont le traçage personnalisé activé.
cr-repository-immutablity-enableLa Version d'Image du Dépôt du Registre de Conteneurs est ImmutableLa version d'image du dépôt du Registre de Conteneurs est immuable, considéré comme conforme.
eci-container-group-volumn-mountsVérification du Montage de Volume ECIGarantit que les groupes de conteneurs ECI ont des volumes montés pour le stockage de données persistant.
ecs-disk-auto-snapshot-policyDisque ECS a une politique de snapshot automatique configuréeLe disque ECS a une politique de snapshot automatique configurée, considérée comme conforme. Les disques non utilisés, les disques qui ne prennent pas en charge la politique de snapshot automatique et les disques non persistants montés par les clusters ACK ne sont pas applicables. Après avoir activé la politique de snapshot automatique, Alibaba Cloud créera automatiquement des snapshots pour les disques cloud selon les points de temps et cycles prédéfinis, permettant une récupération rapide après une intrusion de virus ou des attaques de ransomware.
ecs-disk-idle-checkVérification de Disque Inactif ECSGarantit que les disques ECS sont attachés à une instance et ne sont pas dans un état inactif.
ecs-disk-regional-auto-checkStockage ESSD Redondant par Zone de Disque ECSLes disques de données ECS doivent utiliser le stockage ESSD redondant par zone pour une haute disponibilité. Les disques système ne sont pas applicables à cette règle.
ecs-instance-chargetype-checkVérification du Type de Facturation de l'Instance ECSGarantit que les instances ECS utilisent le type de facturation autorisé.
ecs-instance-multiple-eni-checkL'Instance ECS est Liée à Une Seule Interface Réseau ÉlastiqueLes instances ECS sont liées à une seule interface réseau élastique, considéré comme conforme. Cela aide à simplifier la configuration réseau et à réduire la complexité.
ecs-instance-ram-role-attachedRôle RAM d'Instance ECS AttachéGarantit que les instances ECS ont un rôle IAM attaché pour un accès sécurisé aux autres services cloud.
ecs-internet-charge-type-checkVérification du Type de Facturation Internet ECSGarantit que les instances ECS utilisent le type de facturation Internet préféré.
ecs-security-group-description-checkDescription du Groupe de Sécurité Non VideLa description du groupe de sécurité ne doit pas être vide. Avoir une description aide à la gestion et à l'audit.
ecs-security-group-type-not-normalUtiliser le Type de Groupe de Sécurité EntrepriseLe type de groupe de sécurité ECS ne doit pas être de type normal. L'utilisation d'un groupe de sécurité entreprise est considérée comme conforme.
ecs-snapshot-retention-daysJours de rétention de snapshot automatique ECS répondent aux exigencesLes jours de rétention de la politique de snapshot automatique ECS sont supérieurs au nombre de jours spécifié, considéré comme conforme. Valeur par défaut: 7 jours.
ecs-system-disk-size-checkVérification de la Taille du Disque Système ECSGarantit que les disques système ECS répondent à la taille minimale requise.
eip-attachedEIP AttachéGarantit que les instances EIP sont associées à une ressource.
eip-bandwidth-limitLimite de Bande Passante EIPGarantit que la bande passante EIP ne dépasse pas une valeur maximale spécifiée.
hbase-cluster-type-checkVérification du Type de Cluster HBaseGarantit que le cluster HBase est d'un type spécifié ou recommandé.
metadata-ros-composer-checkVérification des Métadonnées de Modèle ALIYUN::ROS::ComposerLe modèle doit avoir Metadata.ALIYUN::ROS::Composer configuré. La valeur doit être un dictionnaire (objet).
nas-filesystem-encrypt-type-checkChiffrement du Système de Fichiers NAS ConfiguréLe système de fichiers NAS a le chiffrement configuré, considéré comme conforme.
oss-bucket-referer-limitProtection contre les liens directs de referer de bucket OSS configuréeLe bucket OSS a la protection contre les liens directs de referer activée avec une liste blanche configurée.
polardb-cluster-maintain-time-checkVérification de la Fenêtre de Maintenance du Cluster PolarDBGarantit que le cluster PolarDB a une fenêtre de maintenance configurée.
ram-group-has-member-checkLe Groupe RAM a un MembreGarantit que les groupes RAM ont au moins un membre.
ram-group-in-use-checkVérification du Groupe RAM en UtilisationGarantit que les groupes RAM ne sont pas inactifs - doivent avoir au moins un membre et au moins une politique attachée.
ram-policy-in-use-checkVérification de Politique RAM en UtilisationGarantit que les politiques RAM sont attachées à au moins un utilisateur, groupe ou rôle RAM.
ram-user-group-membership-checkVérification d'Appartenance au Groupe d'Utilisateur RAMGarantit que les utilisateurs RAM appartiennent à au moins un groupe pour faciliter la gestion des permissions.
ram-user-last-login-expired-checkVérification de la Dernière Connexion d'Utilisateur RAMVérifie si les utilisateurs RAM ne se sont pas connectés depuis longtemps.
ram-user-no-policy-checkL'Utilisateur RAM a une PolitiqueGarantit que les utilisateurs RAM ont au moins une politique attachée.
rds-instance-maintain-time-checkVérification de la Fenêtre de Maintenance de l'Instance RDSGarantit que l'instance RDS a une fenêtre de maintenance configurée.
rds-instance-storage-autoscale-enableMise à l'Échelle Automatique du Stockage RDS ActivéeGarantit que les instances RDS ont la mise à l'échelle automatique du stockage activée pour éviter les temps d'arrêt dus aux disques pleins.
redis-instance-backup-time-checkVérification de la Fenêtre de Sauvegarde de l'Instance RedisGarantit que l'instance Redis a une fenêtre de sauvegarde configurée.
root-has-specified-roleLe Compte Racine a un Rôle SpécifiéGarantit que le compte racine a un rôle RAM spécifié pour la gouvernance et la gestion.
slb-backendserver-weight-checkVérification du Poids du Serveur Backend SLBGarantit que les serveurs backend SLB ont des configurations de poids raisonnables.
slb-instance-loadbalancerspec-checkVérification de Spécification d'Instance SLBGarantit que les instances SLB utilisent des spécifications de performance approuvées.
slb-loadbalancer-bandwidth-limitLimite de Bande Passante SLBGarantit que la bande passante de l'instance SLB ne dépasse pas une valeur maximale spécifiée.
slb-modify-protection-checkProtection contre la Modification SLB ActivéeGarantit que les instances SLB ont la protection contre la modification activée.
sls-logstore-hot-ttl-checkStockage à Niveaux Intelligents de Logstore SLS ActivéGarantit que les Logstores SLS ont le stockage intelligent à niveaux chaud/froid activé pour l'optimisation des coûts.
vpn-gateway-enabled-ssl-vpnSSL-VPN de Passerelle VPN ActivéGarantit que la passerelle VPN a SSL-VPN activé pour un accès client sécurisé.
vpn-ipsec-connection-health-check-openVérification de Santé IPsec VPN ActivéeGarantit que les connexions VPN IPsec ont des vérifications de santé activées pour détecter les défaillances du tunnel.

Ce document est généré automatiquement à partir des métadonnées de la politique.