| ack-cluster-encryption-enabled | ACK 集群配置 Secret 的落盘加密 | ACK 集群配置 Secret 的落盘加密,视为合规。非专业托管版集群视为不适用。 |
| ack-cluster-inspect-kubelet-version-outdate-check | ACK 巡检:Kubelet 版本过时检测 | 确保 ACK 集群中的 Kubelet 版本是最新的。 |
| ack-cluster-log-plugin-installed | ACK 集群安装日志插件 | 确保 ACK 集群中安装了 log-service 组件。 |
| ack-cluster-rrsa-enabled | ACK 集群开启 RRSA | 确保 ACK 集群开启了 RAM 角色注入(RRSA)功能。 |
| ack-cluster-supported-version | ACK 集群版本支持检测 | 确保 ACK 集群运行的是受支持的版本。 |
| ack-cluster-upgrade-latest-version | ACK 集群已升级至最新版本 | 确保 ACK 集群运行的是最新的可用版本。 |
| adb-cluster-multi-zone | ADB 集群部署模式为多可用区 | ADB 集群为多可用区部署模式,视为合规。 |
| alb-all-listenter-has-server | ALB 监听绑定后端服务器 | 确保所有 ALB 监听均关联了非空的服务器组。 |
| alb-instance-bind-security-group-or-enabled-acl | ALB 实例关联安全组或者为所有监听设置访问控制 | ALB 实例关联了安全组或者为所有运行中的监听都设置了访问控制,视为合规。不存在运行中监听的实例不适用本规则,视为不适用。 |
| alb-server-group-multi-zone | ALB 负载均衡服务器组添加多个可用区资源 | ALB 负载均衡的服务器组挂载资源分布在多个可用区,视为合规。ALB 服务器组无挂载任何资源时不适用本规则,视为不适用。IP 或者函数计算类型的服务器组视为不适用。 |
| alidns-domain-regex-match | 阿里云解析域名符合命名规范 | 域名符合参数指定的命名规范正则,视为合规。 |
| api-gateway-api-auth-jwt | API 网关中 API 安全认证设置为 JWT 方式 | 确保 API 网关中的 API 安全认证为 JWT 方式。 |
| api-gateway-api-auth-required | API 网关中配置 API 安全认证 | 确保 API 网关中配置 API 安全认证为阿里云 APP 或使用指定的插件类型。 |
| api-gateway-api-internet-request-https | API 网关公网请求开启 HTTPS | 确保暴露给公网的 API 网关 API 使用 HTTPS 协议。 |
| api-gateway-api-visibility-private | API 网关中的 API 设置为私有 | 确保 API 网关中的 API 设置为私有。 |
| api-gateway-group-bind-domain | API 网关中 API 分组绑定自定义域名 | 确保 API 网关中的 API 分组绑定了自定义域名。 |
| api-gateway-group-enabled-ssl | API 网关分组开启 SSL | 确保 API 网关分组开启了 SSL。 |
| api-gateway-group-https-policy-check | API 网关中 API 分组的 HTTPS 安全策略满足要求 | 确保 API 网关中的 API 分组设置的 HTTPS 安全策略在指定的参数列表中。 |
| api-gateway-group-log-enabled | 为 API 分组设置调用日志存储 | 确保 API 网关中 API 分组设置了调用日志存储。 |
| apigateway-instance-multi-zone | 使用多可用区的 API 网关实例 | 使用多可用区的 API 网关实例,视为合规。 |
| bastionhost-instance-spec-check | 使用多可用区部署的堡垒机版本 | 使用多可用区部署的企业双擎或者国密版堡垒机,保障稳定性,视为合规。 |
| cen-cross-region-bandwidth-check | CEN 实例中的跨地域连接带宽分配满足指定要求 | 云企业网实例下所有跨地域连接分配的带宽大于参数指定值,视为合规。 |
| clickhouse-dbcluster-multi-zone | 使用多可用区的 ClickHouse 集群实例 | 使用多可用区的 ClickHouse 集群实例,视为合规,注意只包含社区版本。 |
| cr-instance-multi-zone | 关联同城冗余的 oss 桶的容器镜像实例 | 关联同城冗余的 oss 桶的容器镜像实例,视为合规。 |
| ecs-disk-all-encrypted-by-kms | ECS 磁盘开启 KMS 加密 | ECS 磁盘(包括系统盘和数据盘)开启 KMS 加密,视为合规。 |
| ecs-disk-encrypted | ECS 数据磁盘开启加密 | ECS 数据磁盘已开启加密,视为合规。 |
| ecs-disk-in-use | ECS 磁盘正在使用中 | ECS 磁盘已挂载到实例或处于使用中状态,视为合规。闲置或未挂载的磁盘可能造成资源浪费。 |
| ecs-disk-retain-auto-snapshot | ECS 数据磁盘释放时保留自动快照 | 设置 ECS 磁盘释放时保留自动快照,视为合规。这有助于防止数据意外删除。 |
| ecs-in-use-disk-encrypted | 使用中的 ECS 数据磁盘开启加密 | 使用中的 ECS 数据磁盘应开启加密以保护静态数据。加密磁盘使用 KMS 密钥对数据进行加密,确保数据安全并符合合规要求。 |
| ecs-instance-auto-renewal-enabled | ECS 包年包月实例开启自动续费 | ECS 包年包月的实例开启自动续费,视为合规。按量付费的实例不适用本规则。 |
| ecs-instance-image-expired-check | ECS 实例镜像过期检测 | 确保 ECS 实例使用的镜像未过期。 |
| ecs-instance-image-type-check | ECS 实例镜像来源核查 | 确保 ECS 实例使用来自授权来源的镜像。 |
| ecs-instance-login-use-keypair | ECS 实例登录使用密钥对 | 确保 ECS 实例使用密钥对进行登录,而不是密码。 |
| ecs-instance-meta-data-mode-check | 访问 ECS 实例元数据时强制使用加固模式 | 访问 ECS 实例元数据时强制使用加固模式,视为合规。ACK 集群关联的实例视为不适用。 |
| ecs-instance-no-public-and-anyip | ECS 实例禁止绑定公网地址和开放任意 ip | ECS 实例没有直接绑定 IPv4 公网 IP 或弹性公网 IP,或关联的安全组未开放 0.0.0.0/0,视为合规。 |
| ecs-instance-not-bind-key-pair | ECS 实例未绑定密钥对检测 | 确保 ECS 实例使用密钥对进行身份验证,而不是密码。 |
| ecs-instance-type-family-not-deprecated | ECS 弃用规格族预警 | 确保 ECS 实例未使用已弃用或陈旧的规格类型。 |
| ecs-instances-in-vpc | 使用专有网络类型的 ECS 实例 | ECS 实例应部署在专有网络(VPC)而非经典网络中。VPC 提供更好的网络隔离、安全性和灵活性。 |
| ecs-internetmaxbandwidth-check | ECS 公网出口带宽检查 | 确保 ECS 公网出口带宽不超过指定限制。 |
| ecs-launch-template-network-type-check | ECS 启动模版配置不应设置公网访问 | ECS 启动模版版本中网络类型为 VPC 类型,视为合规。 |
| ecs-launch-template-version-data-disk-encrypted | ECS 启动模版版本中设置数据磁盘加密 | ECS 启动模版版本中数据磁盘配置均设置为加密,视为合规。 |
| ecs-launch-template-version-image-type-check | 启动模板镜像来源核查 | 确保 ECS 启动模板使用授权的镜像类型。 |
| ecs-running-instances-in-vpc | 运行中的 ECS 实例在专有网络 | 阿里云推荐购买的 ECS 放在 VPC 里面。如果 ECS 有归属 VPC 则视为合规。 |
| ecs-snapshot-policy-timepoints-check | 为自动快照策略设置合理的创建时间点 | 自动快照策略中设置的快照创建时间点在参数指定的时间点范围内,视为合规。创建快照会暂时降低块存储 I/O 性能,一般性能差异在 10%以内,出现短暂瞬间变慢。建议您选择避开业务高峰的时间点。 |
| eip-delete-protection-enabled | 弹性公网 IP 开启删除保护 | 确保弹性公网 IP 开启了删除保护。 |
| elasticsearch-instance-enabled-data-node-encryption | Elasticsearch 数据节点开启加密 | 确保 Elasticsearch 实例中的数据节点已开启磁盘加密。 |
| elasticsearch-instance-enabled-node-config-disk-encryption | ES 弹性节点磁盘加密核查 | 确保 Elasticsearch 弹性节点配置开启了磁盘加密。 |
| elasticsearch-instance-multi-zone | Elasticsearch 实例多可用区部署 | Elasticsearch 实例应部署在多个可用区。 |
| emr-cluster-master-public-access-check | EMR 集群 Master 节点公网开启检测 | EMR on ECS 集群 Master 节点公网不开启,视为合规。 |
| ess-group-health-check | 弹性伸缩组开启 ECS 实例健康检查 | 弹性伸缩组开启对 ECS 实例的健康检查,视为合规。 |
| ess-scaling-configuration-attach-security-group | 弹性伸缩配置中为实例设置关联安全组 | 弹性伸缩配置中设置了实例要加入的安全组,视为合规。 |
| ess-scaling-configuration-enabled-internet-check | ESS 伸缩配置公网访问检测 | 确保 ESS 伸缩配置未为实例开启公网 IP 地址,除非必要。 |
| ess-scaling-configuration-image-check | 弹性伸缩配置镜像检测 | 弹性伸缩配置中镜像为保有中资源,视为合规。 |
| ess-scaling-configuration-image-type-check | 弹性伸缩配置中使用指定来源的镜像 | 弹性伸缩配置中镜像来源为指定类型的来源,视为合规。参数默认值为共享类型。 |
| ess-scaling-group-attach-multi-switch | 弹性伸缩组关联至少两个交换机 | 弹性伸缩组关联至少两个交换机,视为合规。 |
| ess-scaling-group-attach-slb | 弹性伸缩组设置关联负载均衡 | 弹性伸缩组关联传统型负载均衡,视为合规。 |
| ess-scaling-group-loadbalancer-check | 弹性伸缩组关联负载均衡存在性检测 | 弹性伸缩组关联传统型负载均衡或者应用负载均衡仍然为保有中资源,视为合规。 |
| fc-function-custom-domain-and-cert-enable | 函数计算函数绑定到自定义域名且上传证书 | 函数计算函数绑定的自定义域名已上传 SSL 证书,视为合规。 |
| fc-function-custom-domain-and-https-enable | 函数计算函数绑定到自定义域名且开启 https | 函数计算函数绑定的自定义域名已开启 HTTPS,视为合规。 |
| fc-function-custom-domain-and-tls-enable | FC 函数自定义域名及 TLS 开启 | 确保函数计算函数的自定义域名已开启 TLS。 |
| fc-function-internet-and-custom-domain-enable | 函数计算服务允许访问公网且绑定到自定义域名 | 函数计算服务在允许公网访问时绑定了自定义域名,视为合规。 |
| fc-function-settings-check | 函数计算中函数设置满足参数指定要求 | 函数计算 2.0 中的函数设置满足参数指定的要求,视为合规。 |
| fc-service-bind-role | FC 服务绑定角色 | 确保函数计算服务绑定了 RAM 角色。 |
| fc-service-internet-access-disable | FC 服务禁用公网访问 | 确保函数计算服务在仅需访问内网资源时已禁用公网访问。 |
| fc-service-log-enable | 函数计算服务启用日志功能 | 函数计算服务启用日志功能,视为合规。 |
| fc-service-tracing-enable | 函数计算服务启用链路追踪 | 函数计算服务启用链路追踪功能,视为合规。 |
| fc-service-vpc-binding | FC 服务绑定 VPC | 确保函数计算服务已配置为访问 VPC 内的资源。 |
| firewall-asset-open-protect | 云防火墙资产开启保护 | 确保资产已受云防火墙保护。 |
| gpdb-instance-multi-zone | 使用多可用区的云原生数据仓库 AnalyticDB 实例 | 使用多可用区的云原生数据仓库 AnalyticDB 实例,视为合规。 |
| gwlb-loadbalancer-multi-zone | 使用多可用区的网关型负载均衡实例 | 使用多可用区的网关型负载均衡实例,视为合规。 |
| hbase-cluster-deletion-protection | HBase 集群开启删除保护 | 确保 HBase 集群开启了删除保护。 |
| hbase-cluster-in-vpc | HBase 集群在 VPC 内 | 确保 HBase 集群部署在 VPC 内。 |
| hbase-cluster-multi-zone | 使用多可用区的 HBase 集群 | 使用多可用区的 HBase 集群,视为合规。 |
| internet-nat-gateway-in-specified-vpc | 公网 NAT 网关创建在指定专有网络内 | 公网 NAT 网关所属专有网络在参数指定的专有网络列表中,视为合规。 |
| intranet-nat-gateway-in-specified-vpc | 私网 NAT 网关创建在指定专有网络内 | VPC NAT 网关所属专有网络在参数指定的专有网络列表中,视为合规。 |
| kafka-instance-multi-zone | 使用多可用区的消息队列 Kafka 版实例 | 使用多可用区的消息队列 Kafka 版实例,视为合规。 |
| kms-instance-multi-zone | 使用多可用区的 KMS 实例 | 使用多可用区的 KMS 实例,视为合规。 |
| kms-key-delete-protection-enabled | KMS 主密钥开启删除保护 | KMS 主密钥开启删除保护,视为合规。如果密钥状态非启用中,视为不适用,如果密钥为服务密钥,由于本身不可删除,视为不适用。 |
| kms-key-rotation-enabled | 密钥管理服务设置主密钥自动轮转 | 对密钥管理服务中的用户主密钥设置自动轮转,视为合规。如果是服务密钥,视为不适用。如果来源是用户自带密钥,视为不适用。 |
| kms-secret-rotation-enabled | 密钥管理服务设置凭据自动轮转 | 密钥管理服务中的凭据设置自动轮转,视为合规。如果密钥类型为普通密钥,视为不适用。 |
| lindorm-instance-in-vpc | Lindorm 实例强制 VPC 部署 | 确保 Lindorm 实例部署在 VPC 内。 |
| lindorm-instance-multi-zone | 使用多可用区的云原生多模数据库 Lindorm 实例 | 使用多可用区的云原生多模数据库 Lindorm 实例,视为合规。 |
| mongodb-instance-enabled-ssl | MongoDB 实例开启 SSL 加密 | 确保 MongoDB 实例开启了 SSL 加密。 |
| mongodb-instance-encryption-byok-check | 使用自定义密钥为 MongoDB 设置透明数据加密 TDE | 确保 MongoDB 实例使用自定义 KMS 密钥进行透明数据加密(TDE)。 |
| mongodb-instance-in-vpc | 使用专有网络类型的 MongoDB 实例 | 确保 MongoDB 实例部署在专有网络(VPC)中。 |
| mongodb-instance-log-audit | MongoDB 实例开启操作日志审计 | 确保 MongoDB 实例开启了操作日志审计。 |
| mongodb-instance-multi-node | 使用多节点的 MongoDB 实例 | 确保 MongoDB 实例部署了多个节点以实现高可用性。 |
| mongodb-instance-multi-zone | MongoDB 实例多可用区部署 | MongoDB 实例应部署在多个可用区。 |
| mongodb-instance-release-protection | MongoDB 实例开启释放保护 | 确保 MongoDB 实例开启了释放保护。 |
| mse-cluster-config-auth-enabled | MSE 集群配置中心开启鉴权 | 确保微服务引擎(MSE)集群配置中心已开启鉴权。 |
| mse-cluster-multi-availability-area-architecture-check | 使用高可用版本的 MSE 注册配置中心 | 使用高可用版本的 MSE 注册配置中心,视为合规。 |
| mse-cluster-stable-version-check | MSE 注册配置中心引擎版本检测 | 确保 MSE 集群引擎版本大于最小稳定版本。 |
| mse-gateway-multi-availability-area-architecture-check | MSE 云原生网关部署在多可用区 | MSE 云原生网关部署在多可用区,视为合规。 |
| nas-filesystem-mount-target-access-group-check | NAS 挂载点禁用默认权限组 | 确保 NAS 挂载点未使用'DEFAULT_VPC_GROUP_NAME'。 |
| natgateway-delete-protection-enabled | NAT 网关启用释放保护 | 确保 NAT 网关开启了释放保护。 |
| natgateway-eip-used-check | NAT 网关中 SNAT 和 DNAT 未使用同一个 EIP | NAT 网关的 SNAT 和 DNAT 未同时使用同一个 EIP,视为合规。 |
| natgateway-snat-eip-bandwidth-check | NAT 网关 SNAT 条目绑定多个 EIP 时带宽峰值设置一致 | NAT 网关中 SNAT 条目绑定的多个 EIP,加入共享带宽包或者所绑定的 EIP 带宽峰值设置一致,视为合规。 |
| nlb-loadbalancer-multi-zone | 使用多可用区的网络负载均衡实例 | 使用多可用区的网络负载均衡实例,视为合规。 |
| nlb-server-group-multi-zone | NLB 负载均衡服务器组添加多个可用区资源 | 网络负载均衡的服务器组中资源分布在多个可用区,视为合规。服务器组中无资源或者资源类型为 IP 时,视为不适用。 |
| oss-bucket-authorize-specified-ip | OSS 存储桶策略授权特定 IP | 确保 OSS 存储桶策略限制了特定 IP 范围的访问。 |
| oss-bucket-backup-enable | OSS 开启备份 | 确保 OSS 存储桶开启了备份或版本控制。 |
| oss-bucket-logging-enabled | OSS 存储空间开启日志转存 | OSS 存储空间应开启日志转存以跟踪访问和操作。日志记录有助于安全审计、故障排查和合规要求。 |
| oss-bucket-remote-replication | OSS 存储桶开启跨区域复制 | 确保 OSS 存储桶开启了跨区域复制,以进行容灾。 |
| oss-bucket-tls-version-check | OSS 存储桶 TLS 版本检测 | 确保 OSS 存储桶配置为使用安全的 TLS 版本(TLS 1.2 或更高版本)。 |
| oss-bucket-versioning-enabled | OSS 存储桶开启版本控制 | OSS 存储桶开启版本控制,视为合规。 |
| oss-default-encryption-kms | OSS 存储空间开启服务端 KMS 加密 | OSS 存储空间开启服务端 KMS 加密,视为合规。 |
| oss-encryption-byok-check | OSS 存储空间使用自定义 KMS 密钥加密 | OSS 存储空间应使用客户管理的 KMS 密钥(BYOK - 自带密钥)进行加密。这提供了对加密密钥的更好控制并满足合规要求。 |
| oss-zrs-enabled | OSS 桶启用同城冗余存储 | OSS 桶应使用同城冗余存储(ZRS)以实现高可用性和数据持久性。 |
| ots-instance-multi-zone | 使用同城冗余的 OTS 实例 | 确保 Tablestore(OTS)实例使用同城冗余存储以实现高可用性。 |
| ots-instance-network-not-normal | OTS 实例限制网络类型 | 确保表格存储(OTS)实例未使用 'Normal'(无限制)网络类型。 |
| pai-eas-instances-multi-zone | PAI EAS 实例多可用区部署 | 确保 PAI EAS 实例部署在多个可用区以实现高可用性。 |
| polardb-cluster-default-time-zone-not-system | PolarDB 集群默认时区参数值非 SYSTEM | 确保 PolarDB 集群的默认时区参数值不等于 SYSTEM。 |
| polardb-cluster-delete-protection-enabled | PolarDB 集群开启删除保护 | 确保 PolarDB 集群开启了删除保护。 |
| polardb-cluster-enabled-ssl | PolarDB 集群开启 SSL 加密 | 确保 PolarDB 集群开启了 SSL 加密。 |
| polardb-cluster-multi-zone | PolarDB 集群多可用区部署 | PolarDB 集群应部署在多个可用区。 |
| polardb-dbcluster-in-vpc | 推荐使用专有网络类型的 PolarDB 实例 | 确保 PolarDB 实例部署在专有网络中。 |
| polardb-revision-version-used-check | 使用稳定内核版本的 PolarDB 集群 | 确保 PolarDB 集群使用稳定内核版本。 |
| polardb-x2-instance-multi-zone | PolarDB-X 2.0 实例多可用区部署 | PolarDB-X 2.0 实例应部署在 3 个可用区。 |
| privatelink-server-endpoint-multi-zone | PrivateLink 服务终端节点部署在多可用区 | PrivateLink 服务终端节点应将资源部署在多个可用区以实现高可用性。 |
| privatelink-servier-endpoint-multi-zone | PrivateLink 服务终端节点多可用区部署 | 确保 PrivateLink 服务终端节点部署在多个可用区以实现高可用性。 |
| ram-password-policy-check | RAM 密码策略检测 | 确保 RAM 密码策略符合指定的安全要求。 |
| ram-policy-no-has-specified-document | 自定义 RAM 策略不包含指定权限配置 | 确保自定义 RAM 策略未包含参数指定的授权内容。 |
| ram-role-has-specified-policy | RAM 角色绑定指定策略检测 | 确保 RAM 角色绑定了符合参数条件的权限策略。 |
| ram-role-no-product-admin-access | RAM 角色无超级管理员或某个云产品管理员权限 | 确保 RAM 角色未拥有管理员权限或者某个云产品的管理员权限。 |
| ram-user-activated-ak-quantity-check | RAM 用户激活 AccessKey 数量核查 | 确保 RAM 用户激活的 AccessKey 数量不超过 1 个。 |
| ram-user-ak-create-date-expired-check | RAM 用户 AccessKey 创建时间到期检测 | 确保 RAM 用户 AccessKey 的创建时间未超过指定的天数。 |
| ram-user-ak-used-expired-check | RAM 用户 AccessKey 最后使用时间检测 | 确保 RAM 用户 AccessKey 在指定天数内有使用记录。 |
| ram-user-has-specified-policy | RAM 用户及所属用户组绑定指定条件的权限策略 | 确保 RAM 用户绑定了符合参数条件的权限策略,包括继承自用户组的权限。 |
| ram-user-login-check | RAM 用户登录启用检测 | 确保不需要控制台访问权限的 RAM 用户已禁用登录功能。 |
| ram-user-no-has-specified-policy | RAM 用户及所属用户组未绑定指定条件的权限策略 | 确保 RAM 用户未绑定符合参数条件的高危权限策略。 |
| ram-user-no-product-admin-access | RAM 用户没有产品管理权限 | 确保 RAM 用户未被授予对云产品的完全管理权限,除非必要。 |
| ram-user-role-no-product-admin-access | ram 用户定义的角色不包括产品管理权限 | 确保 RAM 用户创建的角色未拥有管理员权限或者某个云产品的管理员权限。 |
| ram-user-specified-permission-bound | RAM 用户未绑定指定的高危权限 | 确保 RAM 用户绑定的权限策略配置中,不包含规则入参指定的高危权限配置。 |
| rds-instacne-delete-protection-enabled | RDS 实例开启删除保护 | 确保 RDS 实例开启了删除保护。 |
| rds-instance-enabled-auditing | RDS 实例开启 SQL 审计 | 确保 RDS 实例开启了 SQL 审计。 |
| rds-instance-enabled-log-backup | RDS 实例开启日志备份 | 确保 RDS 实例开启了日志备份。 |
| rds-instance-enabled-ssl | RDS 实例开启 SSL 加密 | 确保 RDS 实例开启了 SSL 加密。 |
| rds-instance-enabled-tde-disk-encryption | RDS 实例开启 TDE 或者数据盘加密 | RDS 实例开启 TDE 或者数据盘加密,视为合规。 |
| rds-instance-has-guard-instance | RDS 关键实例配置灾备实例 | 确保生产环境 RDS 实例配置了相应的灾备实例。 |
| rds-instances-in-vpc | RDS 实例在 VPC 内 | 确保 RDS 实例部署在 VPC 内。 |
| rds-multi-az-support | RDS 实例多可用区部署 | RDS 实例应部署在多可用区配置中,以实现高可用性和自动故障转移。 |
| redis-architecturetype-cluster-check | 使用集群版的 Redis 实例 | 确保 Redis 实例的架构类型为集群版。 |
| redis-instance-backup-log-enabled | Redis 实例开启日志备份 | 确保 Redis 实例开启了日志备份。 |
| redis-instance-double-node-type | Redis 实例节点类型为双副本 | 确保 Redis 实例使用双副本节点类型以确保高可用性。 |
| redis-instance-enabled-byok-tde | Redis 实例开启 BYOK TDE 加密 | 确保 Redis 实例已使用自带密钥(BYOK)开启了透明数据加密(TDE)。 |
| redis-instance-enabled-ssl | Redis 实例开启 SSL 加密 | 确保 Redis 实例开启了 SSL 加密。 |
| redis-instance-in-vpc | 使用专有网络类型的 Redis 实例 | 确保 Redis 实例部署在专有网络中。 |
| redis-instance-multi-zone | Redis 实例多可用区部署 | Redis 实例应部署在多个可用区。 |
| redis-instance-release-protection | Redis 实例开启释放保护 | 确保 Redis 实例开启了释放保护。 |
| redis-instance-tls-version-check | Redis 实例开启 SSL 并使用指定的 TLS 版本 | 确保 Redis 实例开启 SSL 且使用的 TLS 版本在可接受范围内。 |
| redis-min-capacity-limit | Redis 实例满足指定内存容量要求 | 确保 Redis 实例内存总量大于等于指定的参数值。 |
| rocketmq-v5-instance-multi-zone | 使用多可用区的消息队列 RocketMQ 5.0 版实例 | 使用多可用区的消息队列 RocketMQ 5.0 版实例,视为合规。 |
| security-center-version-check | 云安全中心版本检测 | 云安全中心版本满足要求,视为合规。 |
| slb-all-listener-enabled-acl | SLB 实例所有运行中的监听都设置访问控制 | SLB 实例所有运行中的监听都设置了访问控制,视为合规。 |
| slb-all-listener-http-disabled | SLB 禁用 HTTP 监听 | 确保没有 SLB 监听使用不安全的 HTTP 协议。 |
| slb-all-listener-http-redirect-https | SLB 监听强制跳转 HTTPS | 确保 SLB HTTP 监听已配置为将流量重定向至 HTTPS。 |
| slb-all-listenter-has-server | SLB 负载均衡的所有监听都至少添加了指定数量的后端服务器 | SLB 负载均衡的所有监听都至少添加参数指定数量的后端服务器,视为合规。默认至少添加一台服务器视为合规。 |
| slb-all-listenter-tls-policy-check | SLB 监听使用安全 TLS 策略 | 确保 SLB HTTPS 监听使用安全的 TLS 加密策略。 |
| slb-default-server-group-multi-server | SLB 实例默认服务器组包含至少两台服务器 | SLB 实例的默认服务器组至少添加两台服务器,视为合规。 |
| slb-instance-autorenewal-check | SLB 实例包年包月开启自动续费 | 包年包月的 SLB 实例开启了自动续费,视为合规。 |
| slb-instance-default-server-group-multi-zone | SLB 负载均衡默认服务器组添加多个可用区资源 | SLB 负载均衡的默认服务器组挂载资源分布在多个可用区,视为合规。默认服务器组无挂载任何资源时不适用本规则,视为不适用。 |
| slb-instance-log-enabled | SLB 实例开启访问日志 | 确保 SLB 实例开启了访问日志。 |
| slb-instance-multi-zone | SLB 实例多可用区部署 | SLB 实例应通过配置主可用区和备可用区来部署在多个可用区,以实现高可用性。 |
| slb-instance-spec-check | SLB 实例规格满足要求 | SLB 实例规格在指定的规格列表中,视为合规。 |
| slb-listener-https-enabled | SLB 监听开启 HTTPS | 确保 SLB 监听使用 HTTPS 协议以保障通信安全。 |
| slb-loadbalancer-in-vpc | 强制 SLB 部署在 VPC 环境中 | 确保 SLB 实例部署在专有网络(VPC)中。 |
| slb-master-slave-server-group-multi-zone | SLB 负载均衡主备服务器组添加多个可用区资源 | SLB 负载均衡的主备服务器组挂载资源分布在多个可用区,视为合规。主备服务器组无挂载任何资源时不适用本规则,视为不适用。 |
| slb-no-public-ip | SLB 实例未开启公网访问 | SLB 实例网络类型为内网,视为合规。 |
| slb-vserver-group-multi-zone | SLB 虚拟服务器组多可用区部署 | 确保 SLB 虚拟服务器组包含来自多个可用区的实例。 |
| sls-logstore-enabled-encrypt | SLS 日志库开启数据加密 | 确保 SLS 日志库开启了服务端加密。 |
| sls-logstore-encrypt-key-origin-check | 日志服务日志库加密使用的主密钥材料来源为用户自行导入 | 确保 SLS 日志库使用外部导入的密钥材料(BYOK)进行加密,以更好地控制加密密钥。 |
| sls-project-multi-zone | SLS 项目使用同城冗余存储 | SLS 项目应使用同城冗余存储(ZRS)以实现高可用性和数据持久性。 |
| vpc-flow-logs-enabled | VPC 开启流日志 | 确保 VPC 开启了流日志,以便监控网络流量。 |
| vpc-network-acl-not-empty | 专有网络 ACL 不为空条目 | 确保 VPC 网络 ACL 至少配置了一条规则。 |
| vpn-connection-master-slave-established | 双隧道 VPN 网关主备隧道都已建立连接 | 使用双隧道的 VPN 网关同时主备隧道都已和对端建立连接。 |
| vpn-gateway-multi-zone | 使用多可用区的 VPN 网关 | 为 VPN 网关设置两个交换机,保障产品跨可用区的高可用性,视为合规。 |
| vswitch-available-ip-count | VSwitch 可用 IP 数量检测 | 确保 VSwitch 具有足够数量的可用 IP 地址。 |
| waf-instance-logging-enabled | WAF 实例开启日志 | 确保 WAF 实例开启了日志,以便进行审计和安全分析。 |
| waf3-defense-resource-logging-enabled | WAF 3.0 防护资源开启日志审计 | 确保 WAF 3.0 防护的资源已开启日志审计。 |