Aller au contenu principal

Aliyun Règles

Total des règles : 317

Règles par Gravité

Élevée Gravité (100 Règles)

ID de RègleNomTypes d'IaCDescription
ack-cluster-node-multi-zoneDéploiement Multi-Zones du Cluster ACKROS, TerraformLes nœuds du cluster ACK doivent être distribués sur 3 zones de disponibilité ou plus pour une haute disponibilité.
ack-cluster-public-endpoint-checkVérification de l'Endpoint Public du Cluster ACKROS, TerraformLes clusters ACK ne doivent pas avoir d'endpoint public configuré, ou le listener SLB associé doit avoir l'ACL activé.
acs-cluster-node-multi-zoneDéploiement Multi-Zone des Nœuds du Cluster ACSROS, TerraformLes nœuds du cluster ACS doivent être distribués sur 3 zones de disponibilité ou plus pour une haute disponibilité.
actiontrail-enabledActionTrail ActivéROS, TerraformGarantit qu'ActionTrail est activé pour enregistrer les activités du compte.
actiontrail-trail-intact-enabledPiste ActionTrail Intacte ActivéeROS, TerraformLa piste ActionTrail doit être activée et suivre tous les types d'événements (Lecture et Écriture).
alb-acl-public-access-checkL'ACL ALB N'autorise Pas l'Accès PublicROS, TerraformGarantit que les listes de contrôle d'accès ALB ne contiennent pas 0.0.0.0/0 (autorisant toutes les IP).
alb-all-listener-health-check-enabledVérification de Santé de Tous les Écouteurs ALB ActivéeROS, TerraformGarantit que tous les écouteurs ALB ont des vérifications de santé activées.
alb-delete-protection-enabledProtection contre la Suppression d'Instance ALB ActivéeROS, TerraformGarantit que les instances ALB ont la protection contre la suppression activée.
alb-instance-multi-zoneDéploiement Multi-Zones de l'Instance ALBROS, TerraformLes instances ALB doivent être déployées sur plusieurs zones de disponibilité pour une haute disponibilité. Si une seule zone est sélectionnée, une panne de zone affectera l'instance ALB et la stabilité de l'entreprise.
alb-instance-waf-enabledL'Instance ALB a une Protection WAFROS, TerraformGarantit que les instances ALB ont la protection WAF3 (Web Application Firewall) activée.
alb-server-group-multi-serverLe Groupe de Serveurs ALB a Plusieurs ServeursROS, TerraformGarantit que les groupes de serveurs ALB contiennent au moins deux serveurs backend pour une haute disponibilité.
alidns-route-53-mx-checkL'Enregistrement MX DNS a un SPF Valide dans l'Enregistrement TXT AssociéROS, TerraformGarantit que les enregistrements MX ont des enregistrements TXT associés avec des valeurs SPF valides pour la validation des e-mails.
api-gateway-group-force-httpsForcer HTTPS du Groupe API GatewayROS, TerraformGarantit que les groupes API Gateway avec des domaines personnalisés publics ont la redirection HTTPS forcée activée.
bastionhost-instance-expired-checkVérification d'Expiration d'Instance BastionHostROS, TerraformLes instances BastionHost prépayées doivent avoir le renouvellement automatique activé.
cdn-domain-multiple-origin-serversPlusieurs Serveurs d'Origine de Domaine CDNROS, TerraformLes domaines CDN doivent être configurés avec plusieurs serveurs d'origine pour une haute disponibilité et une tolérance aux pannes.
cr-instance-any-ip-access-checkInstance CR Sans Accès IP QuelconqueROS, TerraformGarantit que les instances Container Registry n'ont pas d'IP quelconque (0.0.0.0/0) dans leur liste blanche.
cr-repository-image-scanning-enabledBalayage d'Image d'Instance CR ActivéROS, TerraformGarantit que les instances Container Registry ont le balayage d'images activé pour la détection des vulnérabilités de sécurité.
cr-repository-type-privateType de Dépôt CR PrivéROS, TerraformGarantit que les dépôts CR sont définis sur PRIVÉ.
dcdn-domain-multiple-origin-serversDomaine DCDN Serveurs d'Origine MultiplesROS, TerraformLes domaines DCDN doivent être configurés avec plusieurs serveurs d'origine pour une haute disponibilité et une tolérance aux pannes.
eci-containergroup-environment-no-specified-keysLe Groupe de Conteneurs ECI Ne Contient Pas de Variables d'Environnement SensiblesROS, TerraformGarantit que les groupes de conteneurs ECI n'ont pas de variables d'environnement sensibles comme les mots de passe ou les clés d'accès.
ecs-available-disk-encryptedChiffrement de Disque ECS ActivéROS, TerraformGarantit que tous les disques ECS sont chiffrés.
ecs-instance-attached-security-groupInstance ECS avec Groupe de Sécurité AttachéROS, TerraformSi l'instance ECS est incluse dans le groupe de sécurité spécifié, la configuration est considérée comme conforme.
ecs-instance-deletion-protection-enabledProtection contre la Suppression d'Instance ECS ActivéeROS, TerraformGarantit que les instances ECS ont la protection contre la suppression activée.
ecs-instance-enabled-security-protectionProtection de Sécurité d'Instance ECS ActivéeROS, TerraformGarantit que les instances ECS ont la stratégie d'amélioration de la sécurité activée.
ecs-instance-expired-checkVérification d'Expiration d'Instance Prépayée ECSROS, TerraformLes instances prépayées doivent avoir le renouvellement automatique activé pour éviter l'interruption de service due à l'expiration.
ecs-instance-no-public-ipL'Instance ECS Ne Doit Pas Lier d'IP PubliqueROS, TerraformLes instances ECS ne doivent pas lier directement d'IP publique IPv4 ou d'IP élastique, considéré comme conforme.
ecs-launch-template-version-attach-security-groupLa Version du Modèle de Démarrage ECS Attache les Groupes de SécuritéROS, TerraformLes versions de modèle de démarrage ECS ont des groupes de sécurité configurés pour les instances, considéré comme conforme.
ecs-running-instance-no-public-ipInstance ECS Sans IP PubliqueROS, TerraformLes instances ECS ne doivent pas avoir d'adresse IP publique pour réduire l'exposition directe à Internet.
ecs-security-group-egress-not-all-accessEgress du Groupe de Sécurité Non Défini sur Accès TotalROS, TerraformLa direction d'egress du groupe de sécurité ne doit pas être définie pour autoriser tout accès (tous les protocoles, tous les ports, toutes les destinations).
ecs-security-group-not-internet-cidr-accessIP Source d'Ingress du Groupe de Sécurité N'Inclut Pas d'IP PubliqueROS, TerraformLes règles d'ingress du groupe de sécurité avec politique d'acceptation ne doivent pas avoir d'IP source contenant des IPs Internet publiques.
ecs-security-group-not-open-all-portIngress du Groupe de Sécurité N'Ouvre Pas Tous les PortsROS, TerraformLes règles d'ingress du groupe de sécurité ne doivent pas autoriser tous les ports. Lorsque la plage de ports n'est pas définie sur -1/-1, elle est considérée comme conforme.
ecs-security-group-not-open-all-protocolIngress du Groupe de Sécurité N'Ouvre Pas Tous les ProtocolesROS, TerraformLes règles d'ingress du groupe de sécurité ne doivent pas autoriser tous les protocoles. Lorsque le type de protocole n'est pas défini sur ALL, il est considéré comme conforme.
ecs-security-group-risky-ports-check-with-protocolVérification des Ports à Risque du Groupe de Sécurité avec ProtocoleROS, TerraformLorsque la source d'ingress du groupe de sécurité est définie sur 0.0.0.0/0, la plage de ports ne doit pas inclure les ports à risque (22, 3389) pour les protocoles spécifiés (TCP/UDP), afin de réduire le risque d'attaques par force brute.
ecs-security-group-white-list-port-checkVérification d'Ingress de Port Non-Liste Blanche du Groupe de SécuritéROS, TerraformÀ l'exception des ports en liste blanche (80), les autres ports ne doivent pas avoir de règles d'ingress autorisant l'accès depuis 0.0.0.0/0.
elasticsearch-instance-enabled-kibana-public-checkL'Instance Elasticsearch Kibana N'Active Pas l'Accès PublicROS, TerraformGarantit que l'instance Elasticsearch Kibana n'est pas accessible depuis les réseaux publics.
elasticsearch-instance-enabled-public-checkL'Instance Elasticsearch N'active Pas l'Accès PublicROS, TerraformGarantit que les instances Elasticsearch ne sont pas accessibles depuis les réseaux publics.
elasticsearch-instance-node-not-use-specified-specL'Instance Elasticsearch N'utilise Pas de Spécification DépréciéeROS, TerraformGarantit que les instances Elasticsearch n'utilisent pas de spécifications de nœud dépréciées ou non prises en charge.
elasticsearch-instance-version-not-deprecatedL'Instance Elasticsearch N'Utilise Pas de Version ObsolèteROS, TerraformGarantit que les instances Elasticsearch n'utilisent pas de versions obsolètes ou EOL.
elasticsearch-public-and-any-ip-access-checkVérification d'Accès Public et IP ElasticsearchROS, TerraformGarantit que les instances Elasticsearch n'ont pas d'accès public activé ou une liste blanche ouverte.
ess-scaling-configuration-data-disk-encryptedChiffrement de Disque de Données de Configuration de Mise à l'Échelle ESSROS, TerraformLes configurations de mise à l'échelle ESS doivent activer le chiffrement des disques de données pour protéger les données au repos.
ess-scaling-configuration-sg-public-accessAccès Public du Groupe de Sécurité de Configuration de Mise à l'Échelle ESSROS, TerraformLes groupes de sécurité de configuration de mise à l'échelle ESS ne doivent pas autoriser l'accès depuis 0.0.0.0/0 pour empêcher l'accès non autorisé.
ess-scaling-configuration-system-disk-encryptedChiffrement du Disque Système de la Configuration de Mise à l'Échelle ESSROS, TerraformLes configurations de mise à l'échelle ESS doivent activer le chiffrement du disque système pour protéger les données système au repos.
fc-function-runtime-checkVérification du Runtime de Fonction FCROS, TerraformLes fonctions FC ne doivent pas utiliser de runtimes dépréciés qui peuvent avoir des vulnérabilités de sécurité.
fc-trigger-http-not-anonymousVérification d'Authentification du Déclencheur HTTP FCROS, TerraformLes déclencheurs HTTP FC doivent exiger une authentification pour empêcher l'accès non autorisé.
gpdb-instance-disk-encryption-enabledChiffrement de Disque GPDB ActivéROS, TerraformGarantit que les instances GPDB ont le chiffrement de disque activé.
hbase-cluster-expired-checkVerification d'Expiration d'Instance Prepayee HBaseROS, TerraformLes instances HBase prepayees doivent avoir le renouvellement automatique active.
hbase-cluster-ha-checkVerification de Haute Disponibilite du Cluster HBaseROS, TerraformLe cluster HBase doit avoir au moins 2 instances coeur pour la haute disponibilite.
kafka-instance-disk-encryptedDisque d'Instance Kafka ChiffréROS, TerraformL'instance Kafka doit avoir le chiffrement de disque activé lors du déploiement pour la protection des données.
kafka-instance-public-access-checkVérification de l'Accès Public de l'Instance KafkaROS, TerraformLes instances Kafka ne doivent pas être déployées avec accès public (deploy_type 5). Utilisez le déploiement VPC uniquement (deploy_type 4) pour restreindre l'accès aux réseaux internes.
maxcompute-project-encryption-enabledChiffrement de Projet MaxCompute ActivéROS, TerraformGarantit que les projets MaxCompute ont le chiffrement activé pour protéger les données stockées.
maxcompute-project-ip-whitelist-enabledListe Blanche IP du Projet MaxCompute ActivéeROS, TerraformGarantit que les projets MaxCompute ont une liste blanche IP configurée pour restreindre l'accès.
mongodb-cluster-expired-checkVérification d'Expiration de l'Instance MongoDBROS, TerraformLes instances MongoDB prépayées doivent avoir le renouvellement automatique activé.
mongodb-instance-class-not-sharedL'Instance MongoDB Utilise une Classe DédiéeROS, TerraformGarantit que les instances MongoDB utilisent des classes d'instance dédiées ou exclusives, et non des instances partagées.
mongodb-min-maxconnections-limitMongoDB Répond aux Exigences Minimales de ConnexionROS, TerraformGarantit que les instances MongoDB fournissent au moins le nombre minimum requis de connexions.
mongodb-min-maxiops-limitMongoDB Répond aux Exigences Minimales d'IOPSROS, TerraformGarantit que les instances MongoDB fournissent au moins l'IOPS minimum requis.
mongodb-public-access-checkRestriction Internet de Liste Blanche MongoDBROS, TerraformGarantit que les listes blanches d'IP de sécurité MongoDB ne contiennent pas 0.0.0.0/0.
mongodb-public-and-any-ip-access-checkVérification d'Accès Public et de N'importe Quelle IP MongoDBROS, TerraformGarantit que les instances MongoDB n'ont pas de liste blanche ouverte (0.0.0.0/0).
mse-cluster-architecture-checkLe Cluster MSE a Plusieurs NœudsROS, TerraformGarantit que les clusters MSE (Moteur de Microservices) ont plus de 3 nœuds pour une haute disponibilité.
mse-cluster-internet-checkLe Cluster MSE N'a Pas d'Accès Internet PublicROS, TerraformGarantit que les clusters MSE n'ont pas d'accès Internet public activé.
mse-gateway-architecture-checkLa Passerelle MSE a Plusieurs NœudsROS, TerraformGarantit que les passerelles MSE (Moteur de Microservices) ont plus d'un nœud pour une haute disponibilité.
nas-access-group-public-access-checkRestriction IP du Groupe d'Accès NASROS, TerraformGarantit que les règles d'accès NAS n'autorisent pas 0.0.0.0/0.
nat-risk-ports-checkVérification des Ports à Risque DNAT de Passerelle NATROS, TerraformGarantit que les entrées DNAT de la passerelle NAT n'exposent pas de ports à haut risque.
oss-bucket-anonymous-prohibitedAccès Anonyme au Bucket OSS InterditROS, TerraformGarantit que l'accès anonyme est interdit pour le bucket OSS.
oss-bucket-only-https-enabledSeul HTTPS de Bucket OSS ActivéROS, TerraformLe bucket OSS doit avoir une politique qui refuse les requêtes non-HTTPS pour assurer la sécurité du transport des données.
oss-bucket-policy-no-any-anonymousLa politique de bucket OSS n'accorde pas de permissions aux utilisateurs anonymesROS, TerraformLa politique de bucket OSS n'accorde pas de permissions de lecture ou d'écriture aux utilisateurs anonymes.
oss-bucket-policy-outside-organization-checkPolitique de Bucket OSS Sans Accès Hors OrganisationROS, TerraformGarantit que les politiques de bucket OSS n'accordent pas d'accès aux principaux en dehors de l'organisation.
oss-bucket-public-read-prohibitedLecture Publique de Bucket OSS InterditeROS, TerraformLes buckets OSS ne doivent pas autoriser l'accès en lecture public sauf si cela est spécifiquement requis. L'accès en lecture public permet à quiconque d'accéder et de télécharger des objets dans le bucket.
oss-bucket-public-write-prohibitedÉcriture Publique de Bucket OSS InterditeROS, TerraformLes buckets OSS ne doivent pas autoriser l'accès en écriture public. L'accès en écriture public permet à quiconque de télécharger, modifier ou supprimer des objets dans le bucket, ce qui pose des risques de sécurité importants.
oss-bucket-server-side-encryption-enabledChiffrement Côté Serveur de Bucket OSS ActivéROS, TerraformLes buckets OSS doivent avoir le chiffrement côté serveur activé pour protéger les données au repos. Le chiffrement côté serveur utilise KMS ou AES256 pour chiffrer les données stockées dans OSS.
parameter-sensitive-noecho-checkLes Paramètres Sensibles Doivent Avoir NoEchoROSLes paramètres de modèle qui contiennent des informations sensibles (mots de passe, clés API, secrets) doivent être protégés en définissant NoEcho sur true ou en utilisant des valeurs AssociationProperty valides pour éviter qu'ils ne soient affichés en texte clair.
polardb-cluster-enabled-tdeTDE du Cluster PolarDB ActivéROS, TerraformGarantit que les clusters PolarDB ont Transparent Data Encryption (TDE) activé.
polardb-cluster-expired-checkVérification d'Expiration du Cluster PolarDBROS, TerraformLes clusters PolarDB prépayés doivent avoir le renouvellement automatique activé.
polardb-public-access-checkVérification d'Accès Public PolarDBROS, TerraformGarantit que security_ips PolarDB n'est pas définie sur 0.0.0.0/0.
polardb-public-and-any-ip-access-checkVérification d'Accès Public et de N'importe Quelle IP PolarDBROS, TerraformGarantit que les clusters PolarDB n'ont pas d'endpoints publics et ne sont pas ouverts à n'importe quelle adresse IP (0.0.0.0/0).
ram-policy-no-statements-with-admin-access-checkPolitique RAM Sans Accès AdministrateurROS, TerraformGarantit que les politiques RAM personnalisées n'accordent pas un accès administrateur complet.
ram-user-mfa-checkMFA Utilisateur RAM ActivéROS, TerraformLes utilisateurs RAM avec accès à la console doivent avoir l'authentification multifacteur (MFA) activée.
ram-user-role-no-product-admin-accessLe Rôle d'Utilisateur RAM N'a Pas d'Accès Administrateur ProduitROS, TerraformGarantit que les attachements de politiques de rôle RAM n'accordent pas de permissions administratives de produit.
ram-user-specified-permission-boundLimite de Permission Spécifiée de l'Utilisateur RAMROS, TerraformGarantit que les utilisateurs RAM n'ont pas de permissions à haut risque spécifiées liées.
rds-instance-enabled-disk-encryptionChiffrement de Disque d'Instance RDS ActivéROS, TerraformGarantit que les instances RDS ont le chiffrement de disque activé.
rds-instance-expired-checkVérification d'Expiration d'Instance Prépayée RDSROS, TerraformLes instances RDS prépayées doivent avoir le renouvellement automatique activé.
rds-public-access-checkVérification d'Accès Public d'Instance RDSROS, TerraformLes instances RDS ne doivent pas être configurées avec des adresses réseau publiques. L'accès public expose les bases de données à des menaces de sécurité potentielles d'Internet.
rds-public-connection-and-any-ip-access-checkVérification de Connexion Publique et d'Accès de N'importe Quelle IP RDSROS, TerraformGarantit que les instances RDS n'ont pas une liste blanche d'IP de sécurité complètement non restreinte.
rds-white-list-internet-ip-access-checkRestriction Internet de Liste Blanche RDSROS, TerraformGarantit que les listes blanches d'IP de sécurité RDS ne contiennent pas 0.0.0.0/0 ou 0.0.0.0.
redis-instance-expired-checkVérification d'Expiration d'Instance Prépayée RedisROS, TerraformLes instances Redis prépayées doivent avoir le renouvellement automatique activé.
redis-instance-no-public-ipInstance Redis Sans IP PubliqueROS, TerraformGarantit que l'instance Redis n'a pas d'IP publique assignée.
redis-instance-open-auth-modeMode d'Authentification Redis ActivéROS, TerraformGarantit que les instances Redis nécessitent une authentification et ne sont pas en mode 'sans mot de passe'.
redis-public-and-any-ip-access-checkVérification d'Accès Public et de N'importe Quelle IP RedisROS, TerraformGarantit que les instances Redis n'ont pas d'accès public activé ou une liste blanche ouverte.
root-ak-checkVérification de la Clé d'Accès Utilisateur RootROSGarantit que le compte root n'a pas de clés d'accès actives.
root-mfa-checkVérification MFA Utilisateur RootROSGarantit que l'authentification multifacteur (MFA) est activée pour le compte root.
sg-public-access-checkIngress du Groupe de Sécurité ValideROS, TerraformLes règles d'ingress du groupe de sécurité ne doivent pas autoriser tous les ports (-1/-1) depuis toutes les sources (0.0.0.0/0) simultanément.
sg-risky-ports-checkLe Groupe de Sécurité N'ouvre Pas de Ports à Risque à 0.0.0.0/0ROS, TerraformLorsque la source de la règle d'entrée du groupe de sécurité est définie sur 0.0.0.0/0, la plage de ports ne doit pas inclure de ports à risque spécifiés, considéré comme conforme. Si la source n'est pas 0.0.0.0/0, c'est conforme même si des ports à risque sont inclus.
slb-acl-public-access-checkVérification d'Accès Public ACL SLBROS, TerraformGarantit que les ACL SLB ne contiennent pas 0.0.0.0/0 pour empêcher l'accès public sans restriction.
slb-all-listener-health-check-enabledVérification de Santé de Tous les Listeners SLB ActivéeROS, TerraformGarantit que tous les listeners SLB ont les vérifications de santé activées.
slb-all-listener-servers-multi-zoneSLB Multi-zones avec Serveurs Backend Multi-zonesROS, TerraformLes instances SLB doivent être multi-zones, avec master_zone_id et slave_zone_id configurés dans des zones différentes.
slb-delete-protection-enabledProtection contre la Suppression d'Instance SLB ActivéeROS, TerraformGarantit que les instances SLB ont la protection contre la suppression activée.
slb-listener-risk-ports-checkVérification des Ports à Risque du Listener SLBROS, TerraformGarantit que les listeners SLB n'exposent pas de ports à haut risque comme 22 ou 3389.
transit-router-vpc-attachment-multi-zoneConfiguration Multi-Zone de Connexion VPC du Routeur de TransitROS, TerraformLes connexions VPC du routeur de transit doivent être configurées avec des vSwitches dans au moins deux zones de disponibilité différentes pour une haute disponibilité inter-zones.
tsdb-instance-security-ip-checkL'Instance TSDB N'autorise Pas l'Accès IPROS, TerraformGarantit que les instances TSDB n'ont pas de listes blanches de sécurité qui autorisent toutes les IP.
use-waf-instance-for-security-protectionUtiliser WAF pour la Protection de SécuritéROS, TerraformLe Pare-feu d'Application Web (WAF) doit être utilisé pour protéger les sites web et les applications contre les attaques basées sur le web.
vpc-network-acl-risky-ports-checkVérification des Ports à Risque de l'ACL Réseau VPCROS, TerraformGarantit que les ACL réseau VPC n'autorisent pas l'accès sans restriction aux ports à risque (22, 3389).

Moyenne Gravité (176 Règles)

ID de RègleNomTypes d'IaCDescription
ack-cluster-encryption-enabledChiffrement Secret du Cluster ACK ActivéROS, TerraformLes clusters ACK Pro doivent avoir le chiffrement Secret au repos activé avec KMS.
ack-cluster-inspect-kubelet-version-outdate-checkVérification de Version Kubelet ACKROS, TerraformGarantit que la version Kubelet dans le cluster ACK est à jour.
ack-cluster-log-plugin-installedPlugin de Journal du Cluster ACK InstalléROS, TerraformGarantit que le module complémentaire log-service est installé dans le cluster ACK.
ack-cluster-rrsa-enabledRRSA du Cluster ACK ActivéROS, TerraformGarantit que la fonctionnalité RAM Roles for Service Accounts (RRSA) est activée pour le cluster ACK.
ack-cluster-supported-versionVersion Prise en Charge du Cluster ACKROS, TerraformGarantit que le cluster ACK exécute une version prise en charge.
ack-cluster-upgrade-latest-versionCluster ACK Mis à Jour vers la Dernière VersionROS, TerraformGarantit que le cluster ACK exécute la dernière version disponible.
adb-cluster-multi-zoneDéploiement Multi-Zone du Cluster ADBROS, TerraformLe cluster ADB doit être déployé en mode multi-zone.
alb-all-listenter-has-serverL'Écouteur ALB a un Serveur BackendROS, TerraformGarantit que tous les écouteurs ALB sont associés à un groupe de serveurs non vide.
alb-instance-bind-security-group-or-enabled-aclInstance ALB Lier Groupe de Sécurité ou Activer ACLROS, TerraformL'instance ALB doit avoir des groupes de sécurité associés ou ACL configuré pour tous les écouteurs en cours d'exécution.
alb-server-group-multi-zoneDistribution Multi-Zone du Groupe de Serveurs ALBROS, TerraformLes groupes de serveurs ALB doivent avoir des serveurs backend distribués sur plusieurs zones de disponibilité pour une haute disponibilité. Cette règle ne s'applique pas aux groupes de serveurs sans serveurs attachés, ni aux groupes de serveurs de type IP/Function Compute.
alidns-domain-regex-matchLes Noms de Domaine DNS d'Alibaba Cloud Correspondent à la Convention de DénominationROS, TerraformGarantit que les noms de domaine DNS d'Alibaba Cloud correspondent à l'expression régulière de convention de dénomination spécifiée.
api-gateway-api-auth-jwtAuthentification JWT de l'API API GatewayROS, TerraformGarantit que les API API Gateway utilisent l'authentification JWT.
api-gateway-api-auth-requiredAuthentification API du Gateway API RequiseROS, TerraformGarantit que les APIs du Gateway API ont l'authentification configurée.
api-gateway-api-internet-request-httpsHTTPS de Requête Internet du Gateway API ActivéROS, TerraformGarantit que les APIs du Gateway API exposées à Internet utilisent le protocole HTTPS.
api-gateway-api-visibility-privateVisibilité API de l'API Gateway PrivéeROS, TerraformGarantit que les API de l'API Gateway sont définies sur la visibilité PRIVÉE.
api-gateway-group-bind-domainLier le Domaine du Groupe API GatewayROS, TerraformGarantit que les groupes API Gateway ont des domaines personnalisés liés.
api-gateway-group-enabled-sslSSL du Groupe API Gateway ActivéROS, TerraformGarantit que SSL est activé pour les groupes API Gateway.
api-gateway-group-https-policy-checkVérification de Politique HTTPS du Groupe API GatewayROS, TerraformGarantit que les groupes API Gateway ont la politique de sécurité HTTPS définie correctement.
api-gateway-group-log-enabledJournal du Groupe API Gateway ActivéROS, TerraformGarantit que les groupes API Gateway ont la journalisation configurée.
apigateway-instance-multi-zoneDéploiement Multi-Zone d'Instance API GatewayROS, TerraformLes instances API Gateway doivent être déployées en configuration multi-zone pour une haute disponibilité.
bastionhost-instance-spec-checkVérification de Spécification Multi-Zone d'Instance BastionHostROS, TerraformL'instance BastionHost doit utiliser la version Enterprise qui prend en charge le déploiement multi-zone.
cen-cross-region-bandwidth-checkVérification de la Bande Passante Inter-Région CENROS, TerraformLes connexions inter-région d'instance CEN doivent avoir une allocation de bande passante suffisante pour répondre aux exigences de performance.
clickhouse-dbcluster-multi-zoneDéploiement Multi-Zone ClickHouse DBClusterROS, TerraformLes clusters ClickHouse doivent utiliser l'édition HighAvailability (Double-replica) pour le déploiement multi-zone. Note : Cela s'applique uniquement à l'édition communautaire.
cr-instance-multi-zoneInstance CR avec Bucket OSS Redondant par ZoneROS, TerraformLes instances Container Registry doivent être associées à des buckets OSS redondants par zone pour une haute disponibilité.
ecs-disk-all-encrypted-by-kmsDisque ECS avec Chiffrement KMS ActivéROS, TerraformLes disques ECS (y compris le disque système et les disques de données) sont chiffrés avec KMS, considéré comme conforme.
ecs-disk-encryptedChiffrement du disque de données ECS activéROS, TerraformLe disque de données ECS a le chiffrement activé, considéré comme conforme.
ecs-disk-in-useLe Disque ECS est en UtilisationROS, TerraformLes disques ECS sont attachés à une instance ou en état d'utilisation, considéré comme conforme. Les disques disponibles ou non attachés peuvent être des ressources inactives.
ecs-disk-retain-auto-snapshotConserver l'Instantané Automatique lors de la Libération du Disque ECSROS, TerraformConfigurez les disques ECS pour conserver les instantanés automatiques lors de la libération, considéré comme conforme. Cela aide à protéger les données contre la suppression accidentelle.
ecs-in-use-disk-encryptedChiffrement de Disque en Utilisation ECSROS, TerraformLes disques de données ECS doivent avoir le chiffrement activé pour protéger les données au repos. Les disques chiffrés utilisent des clés KMS pour chiffrer les données, garantissant la sécurité des données et la conformité aux exigences réglementaires.
ecs-instance-auto-renewal-enabledInstance d'abonnement ECS a le renouvellement automatique activéROS, TerraformLes instances d'abonnement ECS (prépayées) ont le renouvellement automatique activé, considérées comme conformes. Les instances à la demande ne sont pas applicables.
ecs-instance-image-expired-checkVérification d'Expiration d'Image d'Instance ECSROS, TerraformGarantit que l'image utilisée par l'instance ECS n'a pas expiré.
ecs-instance-image-type-checkVérification du Type d'Image d'Instance ECSROS, TerraformGarantit que les instances ECS utilisent des images provenant de sources autorisées.
ecs-instance-login-use-keypairConnexion d'Instance ECS Utilisant une Paire de ClésROS, TerraformGarantit que les instances ECS utilisent des paires de clés pour la connexion au lieu de mots de passe.
ecs-instance-meta-data-mode-checkL'accès aux métadonnées d'instance ECS utilise le mode de sécurité renforcé (IMDSv2)ROS, TerraformLors de l'accès aux métadonnées d'instance ECS, le mode de sécurité renforcé (IMDSv2) est appliqué, considéré comme conforme. Les instances associées aux clusters ACK ne sont pas applicables.
ecs-instance-no-public-and-anyipL'Instance ECS Ne Doit Pas Lier d'IP Publique ou Autoriser l'Accès de N'importe Quelle IPROS, TerraformLes instances ECS ne doivent pas lier directement des IPs publiques IPv4 ou des IPs élastiques, et les groupes de sécurité associés ne doivent pas exposer 0.0.0.0/0. Conforme lorsqu'aucune IP publique n'est liée.
ecs-instance-not-bind-key-pairInstance ECS Non Liée à une Paire de ClésROS, TerraformGarantit que les instances ECS utilisent des paires de clés pour l'authentification au lieu de mots de passe.
ecs-instance-type-family-not-deprecatedType d'Instance ECS Non DépréciéROS, TerraformGarantit que les instances ECS n'utilisent pas de types d'instance dépréciés ou hérités.
ecs-instances-in-vpcInstances ECS dans le VPCROS, TerraformLes instances ECS doivent être déployées dans des réseaux VPC (Virtual Private Cloud) plutôt que dans des réseaux classiques. VPC offre une meilleure isolation réseau, sécurité et flexibilité.
ecs-internetmaxbandwidth-checkVérification de la Bande Passante Internet Maximale ECSROS, TerraformGarantit que la bande passante Internet sortante ECS ne dépasse pas les limites spécifiées.
ecs-launch-template-network-type-checkLe modèle de lancement ECS utilise le type de réseau VPCROS, TerraformLes versions de modèle de lancement ECS ont le type de réseau défini sur VPC, considéré comme conforme. Le type de réseau classique n'est pas recommandé pour les environnements de production.
ecs-launch-template-version-data-disk-encryptedLa Version du Modèle de Démarrage ECS Active le Chiffrement de Disque de DonnéesROS, TerraformTous les disques de données configurés dans les versions de modèle de démarrage ECS sont chiffrés, considéré comme conforme.
ecs-launch-template-version-image-type-checkVérification du Type d'Image du Modèle de DémarrageROS, TerraformGarantit que les modèles de démarrage ECS utilisent des types d'image autorisés.
ecs-running-instances-in-vpcLes Instances ECS en Cours d'Exécution Sont dans le VPCROS, TerraformLes instances ECS en cours d'exécution sont déployées dans Virtual Private Cloud (VPC), considérées comme conformes. Cela offre un isolement réseau et une sécurité renforcée.
ecs-snapshot-policy-timepoints-checkPoints Temporels de Politique d'Instantané Automatique ECS Configurés RaisonnablementROS, TerraformLes points temporels de création d'instantanés dans la politique d'instantanés automatiques sont dans la plage de temps spécifiée, considérés comme conformes. La création d'instantanés réduit temporairement les performances d'E/S du stockage en bloc, avec des différences de performance généralement inférieures à 10%, provoquant de brefs ralentissements. Il est recommandé de sélectionner des points temporels qui évitent les heures de pointe commerciales.
eip-delete-protection-enabledProtection contre la Suppression EIP ActivéeROS, TerraformGarantit que les instances EIP ont la protection contre la suppression activée.
elasticsearch-instance-enabled-data-node-encryptionChiffrement du Nœud de Données Elasticsearch ActivéROS, TerraformGarantit que les nœuds de données dans l'instance Elasticsearch ont le chiffrement de disque activé.
elasticsearch-instance-enabled-node-config-disk-encryptionChiffrement de Disque de Configuration de Nœud ESROS, TerraformGarantit que les configurations de nœuds élastiques Elasticsearch ont le chiffrement de disque activé.
elasticsearch-instance-multi-zoneDéploiement Multi-Zone d'Instance ElasticsearchROS, TerraformLes instances Elasticsearch doivent être déployées sur plusieurs zones de disponibilité.
emr-cluster-master-public-access-checkVérification de l'Accès Public du Nœud Maître du Cluster EMRROS, TerraformLes nœuds maîtres du cluster EMR sur ECS ne doivent pas avoir d'IP publique activée.
ess-group-health-checkVérification de Santé du Groupe de Mise à l'Échelle ESSROS, TerraformLes groupes de mise à l'échelle ESS doivent activer la vérification de santé des instances ECS pour s'assurer que seules les instances saines sont en service.
ess-scaling-configuration-attach-security-groupGroupe de Sécurité de Configuration de Mise à l'Échelle ESSROS, TerraformLes configurations de mise à l'échelle ESS doivent attacher des groupes de sécurité aux instances pour une isolation réseau et un contrôle d'accès appropriés.
ess-scaling-configuration-enabled-internet-checkVérification de l'Accès Internet de la Configuration de Mise à l'Échelle ESSROS, TerraformGarantit que les configurations de mise à l'échelle ESS n'activent pas d'adresses IP publiques pour les instances sauf si nécessaire.
ess-scaling-configuration-image-checkVérification d'Image de Configuration de Mise à l'Échelle ESSROS, TerraformLes configurations de mise à l'échelle ESS doivent utiliser des images maintenues pour assurer la sécurité et la stabilité.
ess-scaling-configuration-image-type-checkVérification du Type d'Image de Configuration de Mise à l'Échelle ESSROS, TerraformLes configurations de mise à l'échelle ESS doivent utiliser des images provenant de sources spécifiées pour une meilleure sécurité et gestion.
ess-scaling-group-attach-multi-switchGroupe de Mise à l'Échelle ESS Multi-VSwitchROS, TerraformLes groupes de mise à l'échelle ESS doivent être associés à au moins deux VSwitches pour une haute disponibilité sur plusieurs zones.
ess-scaling-group-attach-slbGroupe de Mise à l'Échelle ESS Attacher SLBROS, TerraformLes groupes de mise à l'échelle ESS doivent être attachés à l'Équilibreur de Charge Classique (SLB) pour une distribution appropriée du trafic.
ess-scaling-group-loadbalancer-checkVérification d'Existence de l'Équilibreur de Charge du Groupe de Mise à l'Échelle ESSROS, TerraformLes groupes de mise à l'échelle ESS doivent être attachés à des instances d'équilibreur de charge existantes et actives pour une distribution appropriée du trafic.
fc-function-custom-domain-and-cert-enableVérification du Certificat de Domaine Personnalisé de Fonction FCROS, TerraformLes domaines personnalisés FC doivent avoir des certificats SSL configurés pour une communication sécurisée.
fc-function-custom-domain-and-https-enableVérification HTTPS du Domaine Personnalisé de Fonction FCROS, TerraformLes domaines personnalisés FC doivent avoir HTTPS activé pour une communication sécurisée.
fc-function-custom-domain-and-tls-enableDomaine Personnalisé et TLS de Fonction FC ActivéROS, TerraformGarantit que les domaines personnalisés pour les fonctions Function Compute ont TLS activé.
fc-function-internet-and-custom-domain-enableAccès Internet au Service FC avec Domaine PersonnaliséROS, TerraformLes services FC avec accès Internet doivent être liés à des domaines personnalisés pour un contrôle d'accès approprié.
fc-function-settings-checkVérification des Paramètres de Fonction FCROS, TerraformLes paramètres de fonction FC doivent répondre aux exigences spécifiées pour des performances et une sécurité optimales.
fc-service-bind-roleService FC Lié au Rôle RAMROS, TerraformGarantit que le service Function Compute a un rôle RAM lié.
fc-service-internet-access-disableAccès Internet du Service FC DésactivéROS, TerraformGarantit que le service Function Compute a l'accès Internet désactivé lorsqu'il ne doit accéder qu'aux ressources internes.
fc-service-log-enableActiver le Journal du Service FCROS, TerraformLes services FC doivent avoir la journalisation activée pour la surveillance et le dépannage.
fc-service-tracing-enableActiver le Traçage de Service FCROS, TerraformLes services FC doivent avoir le traçage activé pour la surveillance des performances et le débogage.
fc-service-vpc-bindingLiaison VPC du Service FC ActivéeROS, TerraformGarantit que le service Function Compute est configuré pour accéder aux ressources dans un VPC.
firewall-asset-open-protectProtection des Actifs du Pare-feu Cloud ActivéeROS, TerraformGarantit que les actifs sont protégés par le Pare-feu Cloud.
gpdb-instance-multi-zoneDéploiement Multi-Zone d'Instance GPDBROS, TerraformLes instances GPDB doivent être déployées avec une zone de secours pour une haute disponibilité.
gwlb-loadbalancer-multi-zoneDéploiement Multi-Zone du Répartiteur de Charge GWLBROS, TerraformLes instances du Répartiteur de Charge GWLB doivent être déployées sur au moins deux zones de disponibilité pour une haute disponibilité.
hbase-cluster-deletion-protectionProtection contre la Suppression du Cluster HBase ActiveeROS, TerraformGarantit que les instances HBase ont la protection contre la suppression activee.
hbase-cluster-in-vpcCluster HBase Deploye dans un VPCROS, TerraformGarantit que les instances HBase sont deployees dans un VPC.
hbase-cluster-multi-zoneDéploiement Multi-Zone du Cluster HBaseROS, TerraformLes clusters HBase doivent être déployés en mode cluster avec au moins 2 nœuds pour une haute disponibilité.
internet-nat-gateway-in-specified-vpcPasserelle NAT Internet dans VPC SpécifiéROS, TerraformLes passerelles NAT orientées Internet doivent être créées dans des VPC spécifiés selon les exigences de sécurité réseau.
intranet-nat-gateway-in-specified-vpcPasserelle NAT Intranet dans VPC SpécifiéROS, TerraformLes passerelles NAT orientées intranet doivent être créées dans des VPC spécifiés selon les exigences de sécurité réseau.
kafka-instance-multi-zoneDéploiement Multi-Zone de l'Instance KafkaROS, TerraformLes instances Kafka doivent être déployées sur plusieurs zones de disponibilité pour une haute disponibilité.
kms-instance-multi-zoneDéploiement Multi-Zone de l'Instance KMSROS, TerraformLes instances KMS doivent être déployées sur au moins deux zones de disponibilité pour une haute disponibilité et une reprise après sinistre.
kms-key-delete-protection-enabledProtection contre la Suppression de Clé KMS ActivéeROS, TerraformLa clé maître KMS a la protection contre la suppression activée, considérée comme conforme. Les clés qui ne sont pas en état activé et les clés de service (qui ne peuvent pas être supprimées) ne sont pas applicables.
kms-key-rotation-enabledRotation automatique de clé KMS activéeROS, TerraformLa clé maître utilisateur KMS a la rotation automatique activée, considérée comme conforme. Les clés de service et les clés importées externement ne sont pas applicables.
kms-secret-rotation-enabledRotation automatique de secret KMS activéeROS, TerraformLe secret KMS a la rotation automatique activée, considéré comme conforme. Les secrets génériques ne sont pas applicables.
lindorm-instance-in-vpcVérification de Lindorm dans VPCROS, TerraformGarantit que les instances Lindorm sont déployées dans un VPC.
lindorm-instance-multi-zoneDéploiement Multi-Zones d'Instance LindormROS, TerraformL'instance Lindorm doit avoir au moins 4 noeuds de moteur de table pour le déploiement multi-zone.
mongodb-instance-enabled-sslSSL d'Instance MongoDB ActivéROS, TerraformGarantit que les instances MongoDB ont le chiffrement SSL activé.
mongodb-instance-encryption-byok-checkL'Instance MongoDB Utilise une Clé Personnalisée pour TDEROS, TerraformGarantit que les instances MongoDB utilisent des clés KMS personnalisées pour le Chiffrement Transparent des Données (TDE).
mongodb-instance-in-vpcL'Instance MongoDB Utilise le Réseau VPCROS, TerraformGarantit que les instances MongoDB sont déployées dans un réseau de Cloud Privé Virtuel (VPC).
mongodb-instance-log-auditAudit de Journal d'Instance MongoDB ActivéROS, TerraformGarantit que les instances MongoDB ont l'audit de journalisation activé.
mongodb-instance-multi-nodeL'Instance MongoDB Utilise Plusieurs NœudsROS, TerraformGarantit que les instances MongoDB sont déployées avec plusieurs nœuds pour une haute disponibilité.
mongodb-instance-multi-zoneDéploiement Multi-Zone d'Instance MongoDBROS, TerraformLes instances MongoDB doivent être déployées sur plusieurs zones de disponibilité pour une haute disponibilité.
mongodb-instance-release-protectionProtection contre la Libération d'Instance MongoDB ActivéeROS, TerraformGarantit que les instances MongoDB ont la protection contre la libération activée.
mse-cluster-config-auth-enabledAuthentification de Configuration de Cluster MSE ActivéeROS, TerraformGarantit que le centre de configuration du cluster du moteur de microservices (MSE) a l'authentification activée.
mse-cluster-multi-availability-area-architecture-checkConfiguration de Haute Disponibilité du Cluster MSEROS, TerraformLes clusters MSE doivent utiliser l'Édition Professionnelle avec au moins 3 instances (nombre impair) pour une haute disponibilité.
mse-cluster-stable-version-checkLe Cluster MSE Utilise une Version StableROS, TerraformGarantit que la version du moteur du cluster MSE est supérieure à la version stable minimale.
mse-gateway-multi-availability-area-architecture-checkDéploiement Multi-Zone de Disponibilité de la Passerelle MSEROS, TerraformLes passerelles MSE doivent être déployées sur plusieurs zones de disponibilité en configurant un VSwitch de sauvegarde.
nas-filesystem-mount-target-access-group-checkVérification du Groupe d'Accès de Cible de Montage NASROS, TerraformGarantit que les cibles de montage NAS n'utilisent pas 'DEFAULT_VPC_GROUP_NAME'.
natgateway-delete-protection-enabledProtection contre la Suppression de Passerelle NAT ActivéeROS, TerraformGarantit que les instances de passerelle NAT ont la protection contre la suppression activée.
natgateway-eip-used-checkVérification de l'Utilisation EIP de la Passerelle NATROS, TerraformSNAT et DNAT ne doivent pas utiliser le même EIP pour éviter les conflits potentiels et améliorer la segmentation réseau.
natgateway-snat-eip-bandwidth-checkCohérence de Bande Passante EIP SNAT de Passerelle NATROS, TerraformLa spécification de la passerelle NAT ne doit pas être Small pour garantir une capacité de bande passante EIP SNAT adéquate.
nlb-loadbalancer-multi-zoneDéploiement Multi-Zone de l'Équilibreur de Charge NLBROS, TerraformLes instances d'équilibreur de charge NLB doivent être déployées sur au moins deux zones de disponibilité pour une haute disponibilité.
nlb-server-group-multi-zoneDistribution Multi-Zone du Groupe de Serveurs NLBROS, TerraformLes groupes de serveurs NLB doivent avoir des serveurs backend distribués sur plusieurs zones de disponibilité pour une haute disponibilité. Cette règle ne s'applique pas aux groupes de serveurs sans serveurs attachés, ni aux groupes de serveurs de type IP.
oss-bucket-authorize-specified-ipBucket OSS Autorise IP SpécifiéeROS, TerraformGarantit que les politiques de bucket OSS restreignent l'accès aux plages d'IP spécifiées.
oss-bucket-backup-enableSauvegarde OSS ActivéeROS, TerraformGarantit que les buckets OSS ont la sauvegarde ou le contrôle de version activé.
oss-bucket-logging-enabledJournalisation de Bucket OSS ActivéeROS, TerraformLes buckets OSS doivent avoir la journalisation activée pour suivre les accès et les opérations. La journalisation aide à l'audit de sécurité, au dépannage et aux exigences de conformité.
oss-bucket-remote-replicationRéplication Distante de Bucket OSS ActivéeROS, TerraformGarantit que la réplication inter-régions est activée pour le bucket OSS pour la reprise après sinistre.
oss-bucket-tls-version-checkVérification de la Version TLS de Bucket OSSROS, TerraformGarantit que le bucket OSS est configuré pour utiliser une version sécurisée de TLS (TLS 1.2 ou supérieure).
oss-bucket-versioning-enabledVersioning de Bucket OSS ActivéROS, TerraformLe bucket OSS doit avoir le versioning activé pour protéger contre la suppression ou l'écrasement accidentel.
oss-default-encryption-kmsChiffrement KMS côté serveur de bucket OSS activéROS, TerraformLe bucket OSS a le chiffrement KMS côté serveur activé, considéré comme conforme.
oss-encryption-byok-checkVérification du Chiffrement BYOK de Bucket OSSROS, TerraformLes buckets OSS doivent utiliser des clés KMS gérées par le client (BYOK - Bring Your Own Key) pour le chiffrement. Cela offre un meilleur contrôle sur les clés de chiffrement et répond aux exigences de conformité.
oss-zrs-enabledStockage Redondant par Zone de Bucket OSS ActivéROS, TerraformLes buckets OSS doivent utiliser le stockage redondant par zone (ZRS) pour une haute disponibilité et une durabilité des données.
ots-instance-multi-zoneStockage Redondant par Zone d'Instance OTSROS, TerraformLes instances OTS doivent utiliser le mode d'accès redondant par zone (ConsoleOrVpc) pour la haute disponibilité.
ots-instance-network-not-normalType de Réseau Restreint OTSROS, TerraformLes instances OTS ne doivent pas utiliser un accès réseau sans restriction (Any). Utilisez Vpc ou ConsoleOrVpc à la place.
pai-eas-instances-multi-zoneDéploiement Multi-Zone d'Instance PAI EASROS, TerraformGarantit que les instances PAI EAS sont déployées sur plusieurs zones pour une haute disponibilité.
polardb-cluster-delete-protection-enabledProtection contre la Suppression du Cluster PolarDB ActivéeROS, TerraformGarantit que les clusters PolarDB ont la protection contre la suppression activée.
polardb-cluster-enabled-sslSSL du Cluster PolarDB ActivéROS, TerraformGarantit que les clusters PolarDB ont le chiffrement SSL activé.
polardb-cluster-multi-zoneDéploiement Multi-zones du Cluster PolarDBROS, TerraformLes clusters PolarDB doivent être déployés sur plusieurs zones de disponibilité pour une haute disponibilité.
polardb-dbcluster-in-vpcCluster PolarDB dans VPCROS, TerraformGarantit que le cluster PolarDB est déployé dans un VPC en définissant vswitch_id.
polardb-revision-version-used-checkVérification de la Version de Révision PolarDB UtiliséeROS, TerraformGarantit que le cluster PolarDB utilise une version de révision de noyau stable.
polardb-x2-instance-multi-zoneDéploiement Multi-Zone de l'Instance PolarDB-X 2.0ROS, TerraformLes instances PolarDB-X 2.0 doivent être déployées sur 3 zones de disponibilité.
privatelink-server-endpoint-multi-zoneDéploiement Multi-Zone du Service de Point de Terminaison VPC PrivateLinkROS, TerraformLes services de point de terminaison VPC PrivateLink doivent avoir des ressources déployées sur plusieurs zones de disponibilité pour une haute disponibilité.
privatelink-servier-endpoint-multi-zoneDéploiement Multi-Zone du Point de Terminaison de Service PrivateLinkROS, TerraformGarantit que les points de terminaison de service PrivateLink sont déployés sur plusieurs zones pour une haute disponibilité.
ram-password-policy-checkVérification de la Politique de Mot de Passe RAMROS, TerraformGarantit que la politique de mot de passe RAM répond aux exigences de sécurité spécifiées.
ram-policy-no-has-specified-documentPolitique RAM Sans Document SpécifiéROS, TerraformGarantit que les politiques RAM personnalisées ne contiennent pas la configuration de permissions spécifiée.
ram-role-has-specified-policyLe Rôle RAM a une Politique SpécifiéeROS, TerraformGarantit que les rôles RAM ont les politiques spécifiées attachées.
ram-role-no-product-admin-accessLe Rôle RAM N'a Pas d'Accès Administrateur ProduitROS, TerraformGarantit que les rôles RAM n'ont pas d'accès administratif complet ou de permissions d'administrateur de produit.
ram-user-activated-ak-quantity-checkVérification de la Quantité d'AK Actif d'Utilisateur RAMROS, TerraformGarantit que les utilisateurs RAM n'ont pas plus d'une AccessKey active.
ram-user-ak-create-date-expired-checkVérification d'Expiration de la Date de Création d'AccessKey d'Utilisateur RAMROS, TerraformGarantit que les AccessKeys d'utilisateur RAM sont correctement gérées avec un stockage sécurisé.
ram-user-ak-used-expired-checkVérification de la Date de Dernière Utilisation d'AccessKey d'Utilisateur RAMROS, TerraformGarantit que les AccessKeys d'utilisateur RAM sont en état Actif.
ram-user-has-specified-policyL'Utilisateur RAM a une Politique SpécifiéeROS, TerraformGarantit que les utilisateurs RAM ont les politiques requises attachées, y compris celles héritées des groupes.
ram-user-login-checkVérification de l'Activation de la Connexion Utilisateur RAMROS, TerraformGarantit que les utilisateurs RAM qui n'ont pas besoin d'accès à la console ont la connexion désactivée.
ram-user-no-has-specified-policyUtilisateur RAM Sans Politique SpécifiéeROS, TerraformGarantit que les utilisateurs RAM n'ont pas de politiques risquées spécifiées attachées.
ram-user-no-product-admin-accessUtilisateur RAM Sans Accès Administratif au ProduitROS, TerraformGarantit que les utilisateurs RAM n'ont pas d'accès administratif complet aux produits cloud sauf si nécessaire.
rds-instacne-delete-protection-enabledProtection contre la Suppression d'Instance RDS ActivéeROS, TerraformGarantit que les instances RDS ont la protection contre la suppression activée.
rds-instance-enabled-auditingAudit d'Instance RDS ActivéROS, TerraformGarantit que les instances RDS ont l'audit SQL activé.
rds-instance-enabled-log-backupSauvegarde de Journal d'Instance RDS ActivéeROS, TerraformGarantit que les instances RDS ont la sauvegarde de journal activée.
rds-instance-enabled-sslSSL d'Instance RDS ActivéROS, TerraformGarantit que les instances RDS ont le chiffrement SSL activé.
rds-instance-enabled-tde-disk-encryptionInstance RDS TDE ou Chiffrement de Disque ActivéROS, TerraformL'instance RDS doit avoir TDE (Chiffrement Transparent des Données) ou le chiffrement de disque activé.
rds-instance-has-guard-instanceL'Instance RDS a une Instance de GardeROS, TerraformGarantit que les instances RDS de production ont une instance de garde (récupération après sinistre) correspondante.
rds-instances-in-vpcInstance RDS dans VPCROS, TerraformGarantit que l'instance RDS est déployée dans un VPC.
rds-multi-az-supportDéploiement Multi-AZ d'Instance RDSROS, TerraformLes instances RDS doivent être déployées en configuration multi-AZ pour une haute disponibilité et un basculement automatique.
redis-architecturetype-cluster-checkVérification du Type d'Architecture de Cluster RedisROS, TerraformGarantit que l'instance Redis utilise le type d'architecture de cluster.
redis-instance-backup-log-enabledSauvegarde de Journal d'Instance Redis ActivéeROS, TerraformGarantit que la sauvegarde est configurée pour l'instance Redis.
redis-instance-double-node-typeType de Nœud Double d'Instance RedisROS, TerraformGarantit que l'instance Redis utilise le type de nœud double pour une haute disponibilité.
redis-instance-enabled-byok-tdeTDE BYOK d'Instance Redis ActivéROS, TerraformGarantit que les instances Redis ont Transparent Data Encryption (TDE) activé en utilisant Bring Your Own Key (BYOK).
redis-instance-enabled-sslSSL d'Instance Redis ActivéROS, TerraformGarantit que les instances Redis ont le chiffrement SSL activé.
redis-instance-in-vpcInstance Redis dans VPCROS, TerraformGarantit que l'instance Redis est déployée dans un VPC.
redis-instance-multi-zoneDéploiement Multi-Zones d'Instance RedisROS, TerraformLes instances Redis doivent être déployées sur plusieurs zones de disponibilité pour une haute disponibilité.
redis-instance-release-protectionProtection contre la Libération d'Instance Redis ActivéeROS, TerraformGarantit que les instances Redis ont la protection contre la libération activée.
redis-instance-tls-version-checkVérification de Version TLS d'Instance RedisROS, TerraformGarantit que l'instance Redis a SSL activé avec une version TLS acceptable.
redis-min-capacity-limitLimite de Capacité Minimale RedisROS, TerraformGarantit que l'instance Redis a une capacité mémoire répondant à l'exigence minimale.
rocketmq-v5-instance-multi-zoneDéploiement Multi-Zone d'Instance RocketMQ 5.0ROS, TerraformLes instances RocketMQ 5.0 doivent être déployées en mode Cluster HA qui prend en charge la disponibilité multi-zone.
security-center-version-checkVérification de Version du Centre de SécuritéROSLe Centre de Sécurité doit être à une version qui fournit des fonctionnalités de protection suffisantes.
slb-all-listener-enabled-aclTous les Écouteurs SLB ont un Contrôle d'AccèsROS, TerraformTous les écouteurs en cours d'exécution des instances SLB doivent avoir des listes de contrôle d'accès (ACL) configurées pour la sécurité.
slb-all-listener-http-disabledHTTP de Tous les Écouteurs SLB DésactivéROS, TerraformGarantit qu'aucun écouteur SLB n'utilise le protocole HTTP non sécurisé.
slb-all-listener-http-redirect-httpsRedirection HTTP vers HTTPS SLB ActivéeROS, TerraformGarantit que les écouteurs HTTP SLB sont configurés pour rediriger le trafic vers HTTPS.
slb-all-listenter-has-serverTous les Auditeurs SLB ont des Serveurs BackendROS, TerraformTous les auditeurs des instances SLB doivent avoir au moins le nombre spécifié de serveurs backend attachés.
slb-all-listenter-tls-policy-checkVérification de la Politique TLS du Listener SLBROS, TerraformGarantit que les listeners HTTPS SLB utilisent des politiques de chiffrement TLS sécurisées.
slb-default-server-group-multi-serverLe Groupe de Serveurs par Défaut SLB a Plusieurs ServeursROS, TerraformLe groupe de serveurs par défaut des instances SLB doit avoir au moins deux serveurs pour éviter un point de défaillance unique.
slb-instance-autorenewal-checkVérification de Renouvellement Automatique d'Instance SLBROS, TerraformLes instances SLB prépayées doivent avoir le renouvellement automatique activé pour éviter les interruptions de service.
slb-instance-default-server-group-multi-zoneGroupe de Serveurs par Défaut SLB Multi-ZoneROS, TerraformLe groupe de serveurs par défaut des instances SLB doit avoir des ressources distribuées sur plusieurs zones de disponibilité.
slb-instance-log-enabledJournalisation d'Instance SLB ActivéeROS, TerraformGarantit que la journalisation d'accès est activée pour l'instance SLB.
slb-instance-multi-zoneDéploiement Multi-zones de l'Instance SLBROS, TerraformLes instances SLB doivent être déployées sur plusieurs zones en configurant à la fois les zones maître et esclave pour une haute disponibilité.
slb-instance-spec-checkVérification de Spécification d'Instance SLBROS, TerraformLes spécifications d'instance SLB doivent répondre aux critères de performance requis basés sur la liste spécifiée.
slb-listener-https-enabledHTTPS du Listener SLB ActivéROS, TerraformGarantit que les listeners SLB utilisent le protocole HTTPS pour une communication sécurisée.
slb-loadbalancer-in-vpcVérification SLB dans VPCROS, TerraformGarantit que les instances SLB sont déployées dans un Virtual Private Cloud (VPC).
slb-master-slave-server-group-multi-zoneGroupe de Serveurs Maître-Esclave SLB Multi-ZoneROS, TerraformLe groupe de serveurs maître-esclave des instances SLB doit avoir des ressources distribuées sur plusieurs zones de disponibilité.
slb-no-public-ipInstance SLB Sans IP PubliqueROS, TerraformLes instances SLB ne doivent pas avoir d'adresses IP publiques pour réduire la surface d'attaque.
slb-vserver-group-multi-zoneDéploiement Multi-Zone du Groupe de Serveurs Virtuels SLBROS, TerraformGarantit que les groupes de serveurs virtuels SLB contiennent des instances de plusieurs zones de disponibilité.
sls-logstore-enabled-encryptChiffrement du Logstore SLS ActivéROS, TerraformGarantit que les Logstores SLS ont le chiffrement côté serveur activé.
sls-logstore-encrypt-key-origin-checkVérification de l'Origine de la Clé de Chiffrement du Logstore SLSROS, TerraformGarantit que les Logstores SLS utilisent du matériel de clé importé externe (BYOK) pour le chiffrement, ce qui offre un meilleur contrôle sur les clés de chiffrement.
sls-project-multi-zoneStockage Redondant par Zone du Projet SLSROS, TerraformLes projets SLS doivent utiliser un stockage redondant par zone (ZRS) pour une haute disponibilité et une durabilité des données.
vpc-flow-logs-enabledJournaux de Flux VPC ActivésROS, TerraformGarantit que les journaux de flux VPC sont activés pour surveiller le trafic réseau.
vpc-network-acl-not-emptyACL de Réseau VPC Non VideROS, TerraformGarantit que les ACL de réseau VPC ont au moins une règle configurée.
vpn-connection-master-slave-establishedConnexion VPN Tunnel Double ÉtabliROS, TerraformUtilisez une passerelle VPN à tunnel double et les tunnels maître et esclave sont établis avec le pair.
vpn-gateway-multi-zoneDéploiement Multi-Zone de la Passerelle VPNROS, TerraformLes passerelles VPN doivent être configurées avec un VSwitch de récupération d'urgence pour prendre en charge la disponibilité multi-zone.
vswitch-available-ip-countVérification du Nombre d'IP Disponibles VSwitchROS, TerraformGarantit que le VSwitch a un nombre suffisant d'adresses IP disponibles.
waf-instance-logging-enabledJournalisation d'Instance WAF ActivéeROS, TerraformGarantit que la journalisation est activée pour l'instance WAF pour l'audit et l'analyse de sécurité.
waf3-defense-resource-logging-enabledJournalisation WAF 3.0 ActivéeROS, TerraformGarantit que la journalisation est activée pour les ressources protégées par WAF 3.0.

Faible Gravité (41 Règles)

ID de RègleNomTypes d'IaCDescription
ack-cluster-spec-checkVérification de Spécification de Cluster ACKROS, TerraformGarantit que les clusters ACK utilisent des spécifications approuvées (par exemple, ACK Pro).
alb-address-type-checkVérification du Type d'Adresse ALBROS, TerraformGarantit que les instances ALB utilisent le type d'adresse préféré (par exemple, Intranet).
apig-group-custom-trace-enabledTraçage Personnalisé du Groupe API Gateway ActivéROS, TerraformGarantit que les groupes API Gateway ont le traçage personnalisé activé.
cr-repository-immutablity-enableLa Version d'Image du Dépôt du Registre de Conteneurs est ImmutableROS, TerraformLa version d'image du dépôt du Registre de Conteneurs est immuable, considéré comme conforme.
eci-container-group-volumn-mountsVérification du Montage de Volume ECIROS, TerraformGarantit que les groupes de conteneurs ECI ont des volumes montés pour le stockage de données persistant.
ecs-disk-auto-snapshot-policyDisque ECS a une politique de snapshot automatique configuréeROS, TerraformLe disque ECS a une politique de snapshot automatique configurée, considérée comme conforme. Les disques non utilisés, les disques qui ne prennent pas en charge la politique de snapshot automatique et les disques non persistants montés par les clusters ACK ne sont pas applicables. Après avoir activé la politique de snapshot automatique, Alibaba Cloud créera automatiquement des snapshots pour les disques cloud selon les points de temps et cycles prédéfinis, permettant une récupération rapide après une intrusion de virus ou des attaques de ransomware.
ecs-disk-idle-checkVérification de Disque Inactif ECSROS, TerraformGarantit que les disques ECS sont attachés à une instance et ne sont pas dans un état inactif.
ecs-disk-regional-auto-checkStockage ESSD Redondant par Zone de Disque ECSROS, TerraformLes disques de données ECS doivent utiliser le stockage ESSD redondant par zone pour une haute disponibilité. Les disques système ne sont pas applicables à cette règle.
ecs-instance-chargetype-checkVérification du Type de Facturation de l'Instance ECSROS, TerraformGarantit que les instances ECS utilisent le type de facturation autorisé.
ecs-instance-multiple-eni-checkL'Instance ECS est Liée à Une Seule Interface Réseau ÉlastiqueROS, TerraformLes instances ECS sont liées à une seule interface réseau élastique, considéré comme conforme. Cela aide à simplifier la configuration réseau et à réduire la complexité.
ecs-instance-ram-role-attachedRôle RAM d'Instance ECS AttachéROS, TerraformGarantit que les instances ECS ont un rôle IAM attaché pour un accès sécurisé aux autres services cloud.
ecs-internet-charge-type-checkVérification du Type de Facturation Internet ECSROS, TerraformGarantit que les instances ECS utilisent le type de facturation Internet préféré.
ecs-security-group-description-checkDescription du Groupe de Sécurité Non VideROS, TerraformLa description du groupe de sécurité ne doit pas être vide. Avoir une description aide à la gestion et à l'audit.
ecs-security-group-type-not-normalUtiliser le Type de Groupe de Sécurité EntrepriseROS, TerraformLe type de groupe de sécurité ECS ne doit pas être de type normal. L'utilisation d'un groupe de sécurité entreprise est considérée comme conforme.
ecs-snapshot-retention-daysJours de rétention de snapshot automatique ECS répondent aux exigencesROS, TerraformLes jours de rétention de la politique de snapshot automatique ECS sont supérieurs au nombre de jours spécifié, considéré comme conforme. Valeur par défaut: 7 jours.
ecs-system-disk-size-checkVérification de la Taille du Disque Système ECSROS, TerraformGarantit que les disques système ECS répondent à la taille minimale requise.
eip-attachedEIP AttachéROS, TerraformGarantit que les instances EIP sont associées à une ressource.
eip-bandwidth-limitLimite de Bande Passante EIPROS, TerraformGarantit que la bande passante EIP ne dépasse pas une valeur maximale spécifiée.
hbase-cluster-type-checkVerification du Type de Moteur du Cluster HBaseROS, TerraformLe cluster HBase ne doit pas utiliser un type de moteur obsolete.
metadata-ros-composer-checkVérification des Métadonnées de Modèle ALIYUN::ROS::ComposerROSLe modèle doit avoir Metadata.ALIYUN::ROS::Composer configuré. La valeur doit être un dictionnaire (objet).
nas-filesystem-encrypt-type-checkChiffrement du système de fichiers NAS configuréROS, TerraformGarantit que les systèmes de fichiers NAS ont le chiffrement activé (encrypt_type défini sur 1 ou 2).
oss-bucket-referer-limitProtection contre les liens directs de referer de bucket OSS configuréeROS, TerraformLe bucket OSS a la protection contre les liens directs de referer activée avec une liste blanche configurée.
polardb-cluster-default-time-zone-not-systemFuseau Horaire par Défaut du Cluster PolarDB N'est Pas SystèmeROS, TerraformGarantit que le cluster PolarDB a des paramètres configurés avec des réglages de fuseau horaire explicites.
polardb-cluster-maintain-time-checkVérification de la Fenêtre de Maintenance du Cluster PolarDBROS, TerraformGarantit que le cluster PolarDB a une fenêtre de maintenance configurée.
ram-group-has-member-checkLe Groupe RAM a un MembreROS, TerraformGarantit que les groupes RAM ont au moins un membre.
ram-group-in-use-checkVérification du Groupe RAM en UtilisationROS, TerraformGarantit que les groupes RAM ne sont pas inactifs - doivent avoir au moins un membre et au moins une politique attachée.
ram-policy-in-use-checkVérification de Politique RAM en UtilisationROS, TerraformGarantit que les politiques RAM sont attachées à au moins un utilisateur, groupe ou rôle RAM.
ram-user-group-membership-checkVérification d'Appartenance au Groupe d'Utilisateur RAMROS, TerraformGarantit que les utilisateurs RAM appartiennent à au moins un groupe pour faciliter la gestion des permissions.
ram-user-last-login-expired-checkVérification de la Dernière Connexion d'Utilisateur RAMROS, TerraformVérifie si les utilisateurs RAM ne se sont pas connectés depuis longtemps.
ram-user-no-policy-checkL'Utilisateur RAM a une PolitiqueROS, TerraformGarantit que les utilisateurs RAM ont au moins une politique attachée.
rds-instance-maintain-time-checkVérification de la Fenêtre de Maintenance de l'Instance RDSROS, TerraformGarantit que l'instance RDS a une fenêtre de maintenance configurée.
rds-instance-storage-autoscale-enableMise à l'Échelle Automatique du Stockage RDS ActivéeROS, TerraformGarantit que les instances RDS ont la mise à l'échelle automatique du stockage activée pour éviter les temps d'arrêt dus aux disques pleins.
redis-instance-backup-time-checkVérification de la Fenêtre de Sauvegarde de l'Instance RedisROS, TerraformGarantit que l'instance Redis a une fenêtre de sauvegarde configurée.
root-has-specified-roleLe Compte Racine a un Rôle SpécifiéROSGarantit que le compte racine a un rôle RAM spécifié pour la gouvernance et la gestion.
slb-backendserver-weight-checkVérification du Poids du Serveur Backend SLBROS, TerraformGarantit que les serveurs backend SLB ont des configurations de poids raisonnables.
slb-instance-loadbalancerspec-checkVérification de Spécification d'Instance SLBROS, TerraformGarantit que les instances SLB utilisent des spécifications de performance approuvées.
slb-loadbalancer-bandwidth-limitLimite de Bande Passante SLBROS, TerraformGarantit que la bande passante de l'instance SLB ne dépasse pas une valeur maximale spécifiée.
slb-modify-protection-checkProtection contre la Modification SLB ActivéeROS, TerraformGarantit que les instances SLB ont la protection contre la modification activée.
sls-logstore-hot-ttl-checkStockage à Niveaux Intelligents de Logstore SLS ActivéROS, TerraformGarantit que les Logstores SLS ont le stockage intelligent à niveaux chaud/froid activé pour l'optimisation des coûts.
vpn-gateway-enabled-ssl-vpnSSL-VPN de Passerelle VPN ActivéROS, TerraformGarantit que la passerelle VPN a SSL-VPN activé pour un accès client sécurisé.
vpn-ipsec-connection-health-check-openVérification de Santé IPsec VPN ActivéeROS, TerraformGarantit que les connexions VPN IPsec ont des vérifications de santé activées pour détecter les défaillances du tunnel.

Ce document est généré automatiquement à partir des métadonnées de la politique.