跳到主要内容

Aliyun 规则

规则总数: 317

按严重程度分类

高 严重程度 (100 规则)

规则 ID名称IaC 类型描述
ack-cluster-node-multi-zone使用区域级多可用区 ACK 集群ROS, Terraform使用区域级 ACK 集群,节点分布在 3 个及以上可用区,视为合规。
ack-cluster-public-endpoint-checkACK 集群未设置公网连接端点ROS, TerraformACK 集群未设置公网连接端点,或关联的 SLB 的监听开启 acl 访问控制,视为合规。
acs-cluster-node-multi-zone使用区域级多可用区 ACS 集群ROS, Terraform使用区域级 ACS 集群,节点分布在 3 个及以上可用区,视为合规。
actiontrail-enabled确保操作审计已开启ROS, Terraform确保开启了操作审计(ActionTrail)以记录账号活动。
actiontrail-trail-intact-enabled开启操作审计全量日志跟踪ROS, Terraform操作审计中存在开启状态的跟踪,且跟踪全部地域和全部事件类型。
alb-acl-public-access-checkALB 访问控制列表不允许配置所有地址段ROS, Terraform确保 ALB 访问控制列表不包含 0.0.0.0/0(允许所有 IP)。
alb-all-listener-health-check-enabledALB 所有监听开启健康检查ROS, Terraform确保所有 ALB 监听均开启了健康检查。
alb-delete-protection-enabledALB 实例开启释放保护ROS, Terraform确保 ALB 实例开启了释放保护。
alb-instance-multi-zone使用多可用区的 ALB 实例ROS, TerraformALB 实例为多可用区实例,视为合规。如果只选择了一个可用区,当这个可用区出现故障时,会影响 ALB 实例,进而影响业务稳定性。
alb-instance-waf-enabledALB 实例开启 WEB 应用防火墙防护ROS, Terraform确保 ALB 实例已启用 WAF3(Web 应用防火墙)防护。
alb-server-group-multi-serverALB 服务器组包含至少两台服务器ROS, Terraform确保 ALB 服务器组包含至少两台后端服务器以实现高可用性。
alidns-route-53-mx-checkDNS 域名 MX 记录关联的 TXT 记录包含有效的 SPF 值ROS, Terraform对于每个 MX 记录,检查关联的 TXT 记录是否包含有效的 SPF 值,只要 MX 记录有至少一个具有有效 SPF 值的关联 TXT 记录,则视为合规。
api-gateway-group-force-httpsAPI 分组绑定独立域名并开启 Https 强制跳转ROS, Terraform检测网关分组下的所有公网独立域名是否都开启 HTTPS 强制跳转。
bastionhost-instance-expired-check堡垒机实例到期检查ROS, Terraform预付费堡垒机实例应开启自动续费,避免业务中断。
cdn-domain-multiple-origin-serversCDN 域名配置多个源站ROS, TerraformCDN 域名配置多个源站,视为合规。
cr-instance-any-ip-access-check容器镜像服务实例白名单检测ROS, Terraform确保容器镜像服务实例的白名单中不包含任意 IP(0.0.0.0/0)。
cr-repository-image-scanning-enabled为容器镜像实例开启安全扫描ROS, Terraform确保容器镜像实例开启了镜像安全扫描功能以检测安全漏洞。
cr-repository-type-private容器镜像服务镜像仓库类型为私有ROS, Terraform确保容器镜像仓库类型设置为私有。
dcdn-domain-multiple-origin-serversDCDN 域名配置多个源站ROS, TerraformDCDN 域名配置多个源站,视为合规。
eci-containergroup-environment-no-specified-keysECI 容器组不包含敏感环境变量ROS, TerraformECI 容器组不包含敏感环境变量(如密码、AccessKey 等),视为合规。
ecs-available-disk-encrypted可用的磁盘均已加密ROS, Terraform确保所有 ECS 磁盘都已加密。
ecs-instance-attached-security-groupECS 实例绑定安全组ROS, Terraform如果 ECS 实例已关联指定的安全组,则视为合规。
ecs-instance-deletion-protection-enabledECS 实例开启释放保护ROS, Terraform确保 ECS 实例开启了释放保护。
ecs-instance-enabled-security-protection运行中的 ECS 实例开启云安全中心防护ROS, Terraform确保 ECS 实例开启了安全增强策略(云安全中心防护)。
ecs-instance-expired-checkECS 预付费实例到期检查ROS, Terraform预付费实例应开启自动续费,避免出现因费用问题停机。
ecs-instance-no-public-ipECS 实例禁止绑定公网地址ROS, TerraformECS 实例没有直接绑定 IPv4 公网 IP 或弹性公网 IP,视为合规。
ecs-launch-template-version-attach-security-groupECS 启动模版版本中设置加入的安全组ROS, TerraformECS 启动模版版本中设置了实例要加入的安全组,视为合规。
ecs-running-instance-no-public-ipECS 实例不分配公网 IPROS, TerraformECS 实例不应分配公网 IP,以减少直接暴露在互联网上的风险。
ecs-security-group-egress-not-all-access安全组出方向未设置为全通ROS, Terraform安全组出网方向未设置为全通,视为合规。
ecs-security-group-not-internet-cidr-access安全组入网设置允许的来源 IP 不包含公网 IPROS, Terraform安全组入网方向授权策略为允许的来源 IP 地址段不包含公网 IP,视为合规。
ecs-security-group-not-open-all-port安全组入网设置中不能有对所有端口开放的访问规则ROS, Terraform安全组入方向授权策略为允许,当端口范围未设置为-1/-1 时,视为合规。如果端口范围设置为-1/-1,但被优先级更高的授权策略拒绝,视为合规。
ecs-security-group-not-open-all-protocol安全组入网设置不能有对所有协议开放的访问规则ROS, Terraform安全组入方向授权策略为允许,当协议类型未设置为 ALL 时,视为合规。如果协议类型设置为 ALL,但被优先级更高的授权策略拒绝,视为合规。
ecs-security-group-risky-ports-check-with-protocol安全组指定协议不允许对全部网段开启风险端口ROS, Terraform当安全组入网网段设置为 0.0.0.0/0 时,指定协议的端口范围不包含指定风险端口,降低服务器登录密码被暴力破解风险,视为合规。默认检测风险端口为 22、3389。
ecs-security-group-white-list-port-check安全组非白名单端口入网设置有效ROS, Terraform除指定的白名单端口(80)外,其余端口不能有授权策略设置为允许而且来源为 0.0.0.0/0 的入方向规则,视为合规。
elasticsearch-instance-enabled-kibana-public-checkElasticsearch 实例 Kibana 未开启公网访问ROS, TerraformElasticsearch 实例 Kibana 未开启公网访问,视为合规。
elasticsearch-instance-enabled-public-checkElasticsearch 实例未开启公网访问ROS, TerraformElasticsearch 实例未开启公网访问,视为合规。
elasticsearch-instance-node-not-use-specified-spec未使用不推荐的 Elasticsearch 实例ROS, Terraform未使用参数指定的 Elasticsearch 规格实例,视为合规。
elasticsearch-instance-version-not-deprecated未使用不推荐的 Elasticsearch 实例版本ROS, TerraformElasticsearch 实例所使用的版本未在参数指定的不推荐版本范围内,视为合规。
elasticsearch-public-and-any-ip-access-checkElasticsearch 实例未开启公网或不允许任意 IP 访问ROS, Terraform确保 Elasticsearch 实例未开启公网访问,或者白名单未设置为对所有 IP 开放。
ess-scaling-configuration-data-disk-encrypted弹性伸缩配置中设置数据磁盘加密ROS, Terraform弹性伸缩配置中数据磁盘配置均设置为加密,视为合规。
ess-scaling-configuration-sg-public-accessESS 伸缩组配置的安全组不应设置为 0.0.0.0/0ROS, TerraformESS 伸缩组配置中的安全组不包含 0.0.0.0/0,则视为合规。
ess-scaling-configuration-system-disk-encrypted弹性伸缩配置中设置系统磁盘加密ROS, Terraform弹性伸缩配置中系统磁盘配置设置为加密,视为合规。
fc-function-runtime-checkFC 未使用废弃的运行时ROS, TerraformFC 使用的运行时未废弃,则视为合规。截止 2025-04-20,本规则检测废弃版本清单为:nodejs12,nodejs10,nodejs8,dotnetcore2.1,python2.7,nodejs6,nodejs4.4。
fc-trigger-http-not-anonymous函数 HTTP 触发器设置为需要身份验证ROS, Terraform函数 HTTP 触发器配置为需要身份验证,视为合规。
gpdb-instance-disk-encryption-enabledGPDB 开启磁盘加密ROS, Terraform确保 GPDB 实例开启了磁盘加密。
hbase-cluster-expired-checkHBase 预付费实例到期检查ROS, Terraform预付费 HBase 实例应开启自动续费,避免业务中断。
hbase-cluster-ha-checkHBase 集群高可用检查ROS, TerraformHBase 集群应至少有 2 个核心节点以确保高可用。
kafka-instance-disk-encryptedKafka 实例部署时启用了云盘加密ROS, TerraformKafka 实例部署时启用了云盘加密,视为合规。Serverless 或非服务中的实例视为不适用。
kafka-instance-public-access-checkKafka 实例公网访问检查ROS, TerraformKafka 实例不应使用公网部署方式(deploy_type 为 5)。应使用 VPC 部署方式(deploy_type 为 4)以限制仅内网访问。
maxcompute-project-encryption-enabledMaxCompute 项目开启加密ROS, Terraform确保 MaxCompute 项目启用了加密以保护存储的数据。
maxcompute-project-ip-whitelist-enabledMaxCompute 项目开启 IP 白名单ROS, Terraform确保 MaxCompute 项目配置了 IP 白名单以限制访问。
mongodb-cluster-expired-checkMongoDB 实例到期检查ROS, Terraform预付费 MongoDB 实例应开启自动续费,避免业务中断。
mongodb-instance-class-not-sharedMongoDB 使用独享型或专属型规格实例ROS, Terraform确保 MongoDB 实例使用独享型或专属型规格实例,而非共享型实例。
mongodb-min-maxconnections-limitMongoDB 实例最小连接数规格检查ROS, TerraformMongoDB 实例规格应满足最小连接数要求(不使用最小规格)。
mongodb-min-maxiops-limitMongoDB 实例最小 IOPS 存储检查ROS, TerraformMongoDB 实例存储应至少为 20 GB 以满足 IOPS 要求。
mongodb-public-access-checkMongoDB 白名单禁用公网开放ROS, Terraform确保 MongoDB 安全 IP 白名单中不包含 0.0.0.0/0。
mongodb-public-and-any-ip-access-checkMongoDB 实例不开启公网或安全白名单不设置为允许任意来源访问ROS, Terraform确保 MongoDB 实例未设置开放白名单(0.0.0.0/0)。
mse-cluster-architecture-checkMSE 注册配置中心多节点检测ROS, TerraformMSE 集群的 instance_count 应大于 3 以实现高可用。
mse-cluster-internet-checkMSE 集群公网检测ROS, Terraform确保 MSE 集群未开放公网访问。
mse-gateway-architecture-checkMSE 云原生网关多节点检测ROS, TerraformMSE 网关的 replica 应大于 1 以实现高可用。
nas-access-group-public-access-checkNAS 权限组禁用公网授权ROS, Terraform确保 NAS 权限规则不允许 0.0.0.0/0。
nat-risk-ports-checkNAT 网关 DNAT 条目禁用高风险端口ROS, Terraform确保 NAT 网关 DNAT 条目未暴露高风险端口。
oss-bucket-anonymous-prohibitedOSS 存储桶禁用匿名访问ROS, Terraform确保 OSS 存储桶禁用了匿名访问。
oss-bucket-only-https-enabledOSS 存储桶开启仅允许 HTTPS 访问ROS, Terraform确保 OSS 存储桶策略强制仅允许 HTTPS 访问。
oss-bucket-policy-no-any-anonymousOSS 存储空间不能为匿名账号授予任何权限ROS, Terraform确保 OSS 存储桶策略不向匿名用户授予任何权限。
oss-bucket-policy-outside-organization-checkOSS 存储桶策略未给组织外授权ROS, Terraform确保 OSS 存储桶策略不向组织外的主体授权。
oss-bucket-public-read-prohibitedOSS 存储空间 ACL 不开启公共读ROS, Terraform确保 OSS 存储桶 ACL 不允许公共读取访问。
oss-bucket-public-write-prohibitedOSS 存储空间 ACL 不开启公共读写ROS, TerraformOSS 存储空间不应允许公共写入访问。公共写入访问允许任何人上传、修改或删除存储空间中的对象,这会带来重大安全风险。
oss-bucket-server-side-encryption-enabledOSS 存储空间开启服务端加密ROS, Terraform确保 OSS 存储桶开启了服务端加密。
parameter-sensitive-noecho-check敏感参数必须配置 NoEchoROS包含敏感信息(密码、API 密钥、密钥等)的模板参数必须通过设置 NoEcho 为 true 或使用有效的 AssociationProperty 值来保护,以防止以明文形式显示。
polardb-cluster-enabled-tdePolarDB 集群开启 TDEROS, Terraform确保 PolarDB 集群开启了透明数据加密(TDE)。
polardb-cluster-expired-checkPolarDB 集群到期检查ROS, Terraform预付费 PolarDB 集群应开启自动续费,避免业务中断。
polardb-public-access-checkPolarDB 实例 IP 白名单禁止设置为全网段ROS, Terraform确保 PolarDB 实例的 security_ips 未设置为允许所有来源 IP(0.0.0.0/0)。
polardb-public-and-any-ip-access-checkPolarDB 公网及全网 IP 访问检测ROS, Terraform确保 PolarDB 集群没有公网端点,并且未对任何 IP 地址(0.0.0.0/0)开放。
ram-policy-no-statements-with-admin-access-check禁止 RAM 策略包含管理员权限ROS, Terraform确保自定义 RAM 策略未授予完全的管理员权限(AdministratorAccess)。
ram-user-mfa-checkRAM 用户开启 MFAROS, Terraform检测 RAM 用户是否开通 MFA 二次验证登录,开通视为合规。
ram-user-role-no-product-admin-accessram 用户定义的角色不包括产品管理权限ROS, Terraform确保 RAM 角色策略绑定未授予产品管理员权限。
ram-user-specified-permission-boundRAM 用户未绑定指定的高危权限ROS, Terraform确保 RAM 用户绑定的权限策略配置中,不包含规则入参指定的高危权限配置。
rds-instance-enabled-disk-encryptionRDS 实例开启磁盘加密ROS, Terraform确保 RDS 实例开启了磁盘加密。
rds-instance-expired-checkRDS 预付费实例到期检查ROS, Terraform预付费 RDS 实例应开启自动续费,避免业务中断。
rds-public-access-checkRDS 实例不配置公网地址ROS, TerraformRDS 实例不应配置公网地址。公网访问会使数据库暴露于来自互联网的潜在安全威胁。
rds-public-connection-and-any-ip-access-check开启公网 IP 的 RDS 实例白名单未对所有来源开放ROS, Terraform确保 RDS 实例的安全白名单未设置为完全不受限制。
rds-white-list-internet-ip-access-checkRDS 白名单禁用公网开放ROS, Terraform确保 RDS 安全 IP 白名单中不包含 0.0.0.0/0 或 0.0.0.0。
redis-instance-expired-checkRedis 预付费实例到期检查ROS, Terraform预付费 Redis 实例应开启自动续费,避免业务中断。
redis-instance-no-public-ipRedis 实例未设置公网 IPROS, Terraform确保 Redis 实例未设置公网 IP。
redis-instance-open-auth-modeRedis 强制开启认证模式ROS, Terraform确保 Redis 实例需要身份验证,且不处于'免密'模式。
redis-public-and-any-ip-access-checkRedis 实例不开启公网或安全白名单不设置为允许任意来源访问ROS, Terraform确保 Redis 实例未开启公网访问,或者白名单未设置为对所有 IP 开放。
root-ak-check主账号 AccessKey 检测ROS确保主账号没有激活的 AccessKey。
root-mfa-check主账号 MFA 检测ROS确保主账号已开启多因素认证(MFA)。
sg-public-access-check安全组入网设置有效ROS, Terraform安全组入方向授权策略为允许,当端口范围-1/-1 和授权对象 0.0.0.0/0 未同时出现,或者被优先级更高的授权策略拒绝,视为合规。
sg-risky-ports-check安全组不允许对全部网段开启风险端口ROS, Terraform当安全组入网网段设置为 0.0.0.0/0 时,端口范围不包含指定风险端口,视为合规。若入网网段未设置为 0.0.0.0/0 时,即使端口范围包含指定的风险端口,也视为合规。
slb-acl-public-access-checkCLB 访问控制列表不配置所有地址段ROS, Terraform确保 CLB 访问控制列表中不包含 0.0.0.0/0,以防止无限制的公网访问。
slb-all-listener-health-check-enabledSLB 所有监听开启健康检查ROS, Terraform确保所有 SLB 监听均开启了健康检查。
slb-all-listener-servers-multi-zone使用多可用区 SLB 实例并为服务器组配置多个可用区资源ROS, TerraformSLB 实例为多可用区,master_zone_id 和 slave_zone_id 配置为不同可用区,视为合规。
slb-delete-protection-enabledSLB 实例开启释放保护ROS, Terraform确保 SLB 实例开启了释放保护。
slb-listener-risk-ports-checkSLB 监听禁用高风险端口ROS, Terraform确保 SLB 监听未暴露 22、3389 等高风险端口。
transit-router-vpc-attachment-multi-zone为转发路由器 VPC 连接设置多个可用区ROS, Terraform为转发路由器的 VPC 连接设置两个分布在不同可用区的交换机,保障产品跨可用区的高可用性,视为合规。
tsdb-instance-security-ip-checkTSDB 实例安全白名单检测ROS, TerraformTSDB 实例没有开启任意 IP 访问,视为合规。
use-waf-instance-for-security-protection使用 WEB 防火墙对网站或 APP 进行安全防护ROS, Terraform使用 WEB 防火墙对网站或 APP 进行安全防护,视为合规。
vpc-network-acl-risky-ports-checkVPC 网络 ACL 禁用高风险端口ROS, Terraform确保 VPC 网络 ACL 不允许对风险端口(22, 3389)的无限制访问。

中 严重程度 (176 规则)

规则 ID名称IaC 类型描述
ack-cluster-encryption-enabledACK 集群配置 Secret 的落盘加密ROS, TerraformACK 集群配置 Secret 的落盘加密,视为合规。非专业托管版集群视为不适用。
ack-cluster-inspect-kubelet-version-outdate-checkACK 巡检:Kubelet 版本过时检测ROS, Terraform确保 ACK 集群中的 Kubelet 版本是最新的。
ack-cluster-log-plugin-installedACK 集群安装日志插件ROS, Terraform确保 ACK 集群中安装了 log-service 组件。
ack-cluster-rrsa-enabledACK 集群开启 RRSAROS, Terraform确保 ACK 集群开启了 RAM 角色注入(RRSA)功能。
ack-cluster-supported-versionACK 集群版本支持检测ROS, Terraform确保 ACK 集群运行的是受支持的版本。
ack-cluster-upgrade-latest-versionACK 集群已升级至最新版本ROS, Terraform确保 ACK 集群运行的是最新的可用版本。
adb-cluster-multi-zoneADB 集群部署模式为多可用区ROS, TerraformADB 集群为多可用区部署模式,视为合规。
alb-all-listenter-has-serverALB 监听绑定后端服务器ROS, Terraform确保所有 ALB 监听均关联了非空的服务器组。
alb-instance-bind-security-group-or-enabled-aclALB 实例关联安全组或者为所有监听设置访问控制ROS, TerraformALB 实例关联了安全组或者为所有运行中的监听都设置了访问控制,视为合规。不存在运行中监听的实例不适用本规则,视为不适用。
alb-server-group-multi-zoneALB 负载均衡服务器组添加多个可用区资源ROS, TerraformALB 负载均衡的服务器组挂载资源分布在多个可用区,视为合规。ALB 服务器组无挂载任何资源时不适用本规则,视为不适用。IP 或者函数计算类型的服务器组视为不适用。
alidns-domain-regex-match阿里云解析域名符合命名规范ROS, Terraform域名符合参数指定的命名规范正则,视为合规。
api-gateway-api-auth-jwtAPI 网关中 API 安全认证设置为 JWT 方式ROS, Terraform确保 API 网关中的 API 安全认证为 JWT 方式。
api-gateway-api-auth-requiredAPI 网关中配置 API 安全认证ROS, Terraform确保 API 网关中配置 API 安全认证。
api-gateway-api-internet-request-httpsAPI 网关公网请求开启 HTTPSROS, Terraform确保暴露给公网的 API 网关 API 使用 HTTPS 协议。
api-gateway-api-visibility-privateAPI 网关中的 API 设置为私有ROS, Terraform确保 API 网关中的 API 设置为私有。
api-gateway-group-bind-domainAPI 网关中 API 分组绑定自定义域名ROS, Terraform确保 API 网关中的 API 分组绑定了自定义域名。
api-gateway-group-enabled-sslAPI 网关分组开启 SSLROS, Terraform确保 API 网关分组开启了 SSL。
api-gateway-group-https-policy-checkAPI 网关中 API 分组的 HTTPS 安全策略满足要求ROS, Terraform确保 API 网关中的 API 分组设置的 HTTPS 安全策略在指定的参数列表中。
api-gateway-group-log-enabled为 API 分组设置调用日志存储ROS, Terraform确保 API 网关中 API 分组设置了调用日志存储。
apigateway-instance-multi-zone使用多可用区的 API 网关实例ROS, Terraform使用多可用区的 API 网关实例,视为合规。
bastionhost-instance-spec-check使用多可用区部署的堡垒机版本ROS, Terraform使用多可用区部署的企业双擎或者国密版堡垒机,保障稳定性,视为合规。
cen-cross-region-bandwidth-checkCEN 实例中的跨地域连接带宽分配满足指定要求ROS, Terraform云企业网实例下所有跨地域连接分配的带宽大于参数指定值,视为合规。
clickhouse-dbcluster-multi-zone使用多可用区的 ClickHouse 集群实例ROS, Terraform使用多可用区的 ClickHouse 集群实例,视为合规,注意只包含社区版本。
cr-instance-multi-zone关联同城冗余的 oss 桶的容器镜像实例ROS, Terraform关联同城冗余的 oss 桶的容器镜像实例,视为合规。
ecs-disk-all-encrypted-by-kmsECS 磁盘开启 KMS 加密ROS, TerraformECS 磁盘开启 KMS 加密,视为合规。
ecs-disk-encryptedECS 数据磁盘开启加密ROS, TerraformECS 数据磁盘已开启加密,视为合规。
ecs-disk-in-useECS 磁盘正在使用中ROS, TerraformECS 磁盘已挂载到实例或处于使用中状态,视为合规。闲置或未挂载的磁盘可能造成资源浪费。
ecs-disk-retain-auto-snapshotECS 数据磁盘释放时保留自动快照ROS, Terraform设置 ECS 磁盘释放时保留自动快照,视为合规。这有助于防止数据意外删除。
ecs-in-use-disk-encrypted使用中的 ECS 数据磁盘开启加密ROS, Terraform使用中的 ECS 数据磁盘应开启加密以保护静态数据。加密磁盘使用 KMS 密钥对数据进行加密,确保数据安全并符合合规要求。
ecs-instance-auto-renewal-enabledECS 包年包月实例开启自动续费ROS, TerraformECS 包年包月的实例开启自动续费,视为合规。按量付费的实例不适用本规则。
ecs-instance-image-expired-checkECS 实例镜像过期检测ROS, Terraform确保 ECS 实例使用的镜像未过期。
ecs-instance-image-type-checkECS 实例镜像来源核查ROS, Terraform确保 ECS 实例使用来自授权来源的镜像。
ecs-instance-login-use-keypairECS 实例登录使用密钥对ROS, Terraform确保 ECS 实例使用密钥对进行登录,而不是密码。
ecs-instance-meta-data-mode-check访问 ECS 实例元数据时强制使用加固模式ROS, Terraform访问 ECS 实例元数据时强制使用加固模式,视为合规。ACK 集群关联的实例视为不适用。
ecs-instance-no-public-and-anyipECS 实例禁止绑定公网地址和开放任意 ipROS, TerraformECS 实例没有直接绑定 IPv4 公网 IP 或弹性公网 IP,或关联的安全组未开放 0.0.0.0/0,视为合规。
ecs-instance-not-bind-key-pairECS 实例未绑定密钥对检测ROS, Terraform确保 ECS 实例使用密钥对进行身份验证,而不是密码。
ecs-instance-type-family-not-deprecatedECS 弃用规格族预警ROS, Terraform确保 ECS 实例未使用已弃用或陈旧的规格类型。
ecs-instances-in-vpc使用专有网络类型的 ECS 实例ROS, TerraformECS 实例应部署在专有网络(VPC)而非经典网络中。VPC 提供更好的网络隔离、安全性和灵活性。
ecs-internetmaxbandwidth-checkECS 公网出口带宽检查ROS, Terraform确保 ECS 公网出口带宽不超过指定限制。
ecs-launch-template-network-type-checkECS 启动模版配置不应设置公网访问ROS, TerraformECS 启动模版版本中网络类型为 VPC 类型,视为合规。
ecs-launch-template-version-data-disk-encryptedECS 启动模版版本中设置数据磁盘加密ROS, TerraformECS 启动模版版本中数据磁盘配置均设置为加密,视为合规。
ecs-launch-template-version-image-type-check启动模板镜像来源核查ROS, Terraform确保 ECS 启动模板使用授权的镜像类型。
ecs-running-instances-in-vpc运行中的 ECS 实例在专有网络ROS, Terraform阿里云推荐购买的 ECS 放在 VPC 里面。如果 ECS 有归属 VPC 则视为合规。
ecs-snapshot-policy-timepoints-check为自动快照策略设置合理的创建时间点ROS, Terraform自动快照策略中设置的快照创建时间点在参数指定的时间点范围内,视为合规。创建快照会暂时降低块存储 I/O 性能,一般性能差异在 10%以内,出现短暂瞬间变慢。建议您选择避开业务高峰的时间点。
eip-delete-protection-enabled弹性公网 IP 开启删除保护ROS, Terraform确保弹性公网 IP 开启了删除保护。
elasticsearch-instance-enabled-data-node-encryptionElasticsearch 数据节点开启加密ROS, Terraform确保 Elasticsearch 实例中的数据节点已开启磁盘加密。
elasticsearch-instance-enabled-node-config-disk-encryptionES 弹性节点磁盘加密核查ROS, Terraform确保 Elasticsearch 弹性节点配置开启了磁盘加密。
elasticsearch-instance-multi-zoneElasticsearch 实例多可用区部署ROS, TerraformElasticsearch 实例应部署在多个可用区。
emr-cluster-master-public-access-checkEMR 集群 Master 节点公网开启检测ROS, TerraformEMR on ECS 集群 Master 节点公网不开启,视为合规。
ess-group-health-check弹性伸缩组开启 ECS 实例健康检查ROS, Terraform弹性伸缩组开启对 ECS 实例的健康检查,视为合规。
ess-scaling-configuration-attach-security-group弹性伸缩配置中为实例设置关联安全组ROS, Terraform弹性伸缩配置中设置了实例要加入的安全组,视为合规。
ess-scaling-configuration-enabled-internet-checkESS 伸缩配置公网访问检测ROS, Terraform确保 ESS 伸缩配置未为实例开启公网 IP 地址,除非必要。
ess-scaling-configuration-image-check弹性伸缩配置镜像检测ROS, Terraform弹性伸缩配置中镜像为保有中资源,视为合规。
ess-scaling-configuration-image-type-check弹性伸缩配置中使用指定来源的镜像ROS, Terraform弹性伸缩配置中镜像来源为指定类型的来源,视为合规。
ess-scaling-group-attach-multi-switch弹性伸缩组关联至少两个交换机ROS, Terraform弹性伸缩组关联至少两个交换机,视为合规。
ess-scaling-group-attach-slb弹性伸缩组设置关联负载均衡ROS, Terraform弹性伸缩组关联传统型负载均衡,视为合规。
ess-scaling-group-loadbalancer-check弹性伸缩组关联负载均衡存在性检测ROS, Terraform弹性伸缩组关联传统型负载均衡或者应用负载均衡仍然为保有中资源,视为合规。
fc-function-custom-domain-and-cert-enable函数计算函数绑定到自定义域名且上传证书ROS, Terraform函数计算函数绑定的自定义域名已上传 SSL 证书,视为合规。
fc-function-custom-domain-and-https-enable函数计算函数绑定到自定义域名且开启 HTTPSROS, Terraform函数计算函数绑定的自定义域名已开启 HTTPS,视为合规。
fc-function-custom-domain-and-tls-enableFC 函数自定义域名及 TLS 开启ROS, Terraform确保函数计算函数的自定义域名已开启 TLS。
fc-function-internet-and-custom-domain-enable函数计算服务允许访问公网且绑定到自定义域名ROS, Terraform函数计算服务在允许公网访问时绑定了自定义域名,视为合规。
fc-function-settings-check函数计算中函数设置满足参数指定要求ROS, Terraform函数计算 2.0 中的函数设置满足参数指定的要求,视为合规。
fc-service-bind-roleFC 服务绑定角色ROS, Terraform确保函数计算服务绑定了 RAM 角色。
fc-service-internet-access-disableFC 服务禁用公网访问ROS, Terraform确保函数计算服务在仅需访问内网资源时已禁用公网访问。
fc-service-log-enable函数计算服务启用日志功能ROS, Terraform函数计算服务启用日志功能,视为合规。
fc-service-tracing-enable函数计算服务启用链路追踪ROS, Terraform函数计算服务启用链路追踪功能,视为合规。
fc-service-vpc-bindingFC 服务绑定 VPCROS, Terraform确保函数计算服务已配置为访问 VPC 内的资源。
firewall-asset-open-protect云防火墙资产开启保护ROS, Terraform确保资产已受云防火墙保护。
gpdb-instance-multi-zone使用多可用区的云原生数据仓库 AnalyticDB 实例ROS, Terraform使用多可用区的云原生数据仓库 AnalyticDB 实例,视为合规。
gwlb-loadbalancer-multi-zone使用多可用区的网关型负载均衡实例ROS, Terraform使用多可用区的网关型负载均衡实例,视为合规。
hbase-cluster-deletion-protectionHBase 集群开启释放保护ROS, Terraform确保 HBase 实例开启了释放保护。
hbase-cluster-in-vpcHBase 集群部署在 VPC 中ROS, Terraform确保 HBase 实例部署在 VPC 中。
hbase-cluster-multi-zone使用多可用区的 HBase 集群ROS, Terraform使用多可用区的 HBase 集群,视为合规。
internet-nat-gateway-in-specified-vpc公网 NAT 网关创建在指定专有网络内ROS, Terraform公网 NAT 网关所属专有网络在参数指定的专有网络列表中,视为合规。
intranet-nat-gateway-in-specified-vpc私网 NAT 网关创建在指定专有网络内ROS, TerraformVPC NAT 网关所属专有网络在参数指定的专有网络列表中,视为合规。
kafka-instance-multi-zone使用多可用区的消息队列 Kafka 版实例ROS, Terraform使用多可用区的消息队列 Kafka 版实例,视为合规。
kms-instance-multi-zone使用多可用区的 KMS 实例ROS, Terraform使用多可用区的 KMS 实例,视为合规。
kms-key-delete-protection-enabledKMS 密钥开启删除保护ROS, Terraform确保 KMS 密钥开启了删除保护,防止意外删除。
kms-key-rotation-enabledKMS 密钥开启自动轮转ROS, Terraform确保 KMS 密钥开启了自动轮转,通过定期轮转密钥材料来增强安全性。
kms-secret-rotation-enabledKMS 凭据开启自动轮转ROS, Terraform确保 KMS 凭据开启了自动轮转,通过定期轮转凭据值来增强安全性。
lindorm-instance-in-vpcLindorm 实例强制 VPC 部署ROS, Terraform确保 Lindorm 实例部署在 VPC 内。
lindorm-instance-multi-zoneLindorm 实例多可用区部署ROS, TerraformLindorm 实例应至少有 4 个表引擎节点以支持多可用区部署。
mongodb-instance-enabled-sslMongoDB 实例开启 SSL 加密ROS, TerraformMongoDB 实例应开启 SSL 加密以保护传输中的数据。
mongodb-instance-encryption-byok-checkMongoDB 实例使用自定义 KMS 密钥进行 TDE 加密ROS, TerraformMongoDB 实例应启用 TDE 并使用客户管理的 KMS 加密密钥(BYOK)。
mongodb-instance-in-vpc使用专有网络类型的 MongoDB 实例ROS, Terraform确保 MongoDB 实例部署在专有网络(VPC)中。
mongodb-instance-log-auditMongoDB 实例开启审计日志ROS, TerraformMongoDB 实例应开启审计日志以进行安全监控。
mongodb-instance-multi-nodeMongoDB 实例多节点高可用ROS, TerraformMongoDB 实例的 replication_factor 应至少为 3 以实现高可用。
mongodb-instance-multi-zoneMongoDB 实例多可用区部署ROS, TerraformMongoDB 实例应部署在多个可用区以实现容灾。
mongodb-instance-release-protectionMongoDB 实例开启释放保护ROS, TerraformMongoDB 实例应开启释放保护以防止误删除。
mse-cluster-config-auth-enabledMSE 集群配置中心开启鉴权ROS, TerraformMSE 集群应配置 ACL 条目列表以实现鉴权和访问控制。
mse-cluster-multi-availability-area-architecture-check使用高可用版本的 MSE 注册配置中心ROS, Terraform使用高可用版本的 MSE 注册配置中心,视为合规。
mse-cluster-stable-version-checkMSE 注册配置中心引擎版本检测ROS, Terraform确保 MSE 集群引擎版本大于最小稳定版本。
mse-gateway-multi-availability-area-architecture-checkMSE 云原生网关部署在多可用区ROS, TerraformMSE 云原生网关部署在多可用区,视为合规。
nas-filesystem-mount-target-access-group-checkNAS 挂载点禁用默认权限组ROS, Terraform确保 NAS 挂载点未使用'DEFAULT_VPC_GROUP_NAME'。
natgateway-delete-protection-enabledNAT 网关开启释放保护ROS, Terraform确保 NAT 网关实例开启了释放保护。
natgateway-eip-used-checkNAT 网关中 SNAT 和 DNAT 未使用同一个 EIPROS, TerraformNAT 网关的 SNAT 和 DNAT 未同时使用同一个 EIP,视为合规。
natgateway-snat-eip-bandwidth-checkNAT 网关 SNAT 条目绑定多个 EIP 时带宽峰值设置一致ROS, TerraformNAT 网关规格不应为 Small,以确保足够的 SNAT EIP 带宽容量。
nlb-loadbalancer-multi-zone使用多可用区的网络负载均衡实例ROS, Terraform使用多可用区的网络负载均衡实例,视为合规。
nlb-server-group-multi-zoneNLB 负载均衡服务器组添加多个可用区资源ROS, Terraform网络负载均衡的服务器组中资源分布在多个可用区,视为合规。服务器组中无资源或者资源类型为 IP 时,视为不适用。
oss-bucket-authorize-specified-ipOSS 存储桶策略授权特定 IPROS, Terraform确保 OSS 存储桶策略限制了特定 IP 范围的访问。
oss-bucket-backup-enableOSS 开启备份ROS, Terraform确保 OSS 存储桶开启版本控制以实现备份。
oss-bucket-logging-enabledOSS 存储空间开启日志转存ROS, Terraform确保 OSS 存储桶开启了访问日志记录。
oss-bucket-remote-replicationOSS 存储桶开启跨区域复制ROS, Terraform确保 OSS 存储桶开启了跨区域复制,以进行容灾。
oss-bucket-tls-version-checkOSS 存储桶 TLS 版本检测ROS, Terraform确保 OSS 存储桶设置了策略以强制 TLS 要求。
oss-bucket-versioning-enabledOSS 存储桶开启版本控制ROS, Terraform确保 OSS 存储桶开启了版本控制。
oss-default-encryption-kmsOSS 存储空间开启服务端 KMS 加密ROS, TerraformOSS 存储空间开启服务端 KMS 加密,视为合规。
oss-encryption-byok-checkOSS 存储空间使用自定义 KMS 密钥加密ROS, Terraform确保 OSS 存储桶使用客户自定义 KMS 密钥 (BYOK) 加密。
oss-zrs-enabledOSS 桶启用同城冗余存储ROS, Terraform确保 OSS 存储桶使用同城冗余存储 (ZRS) 以实现高可用性。
ots-instance-multi-zone使用同城冗余的 OTS 实例ROS, TerraformOTS 实例应使用同城冗余访问模式(ConsoleOrVpc)以实现高可用性。
ots-instance-network-not-normalOTS 实例限制网络类型ROS, TerraformOTS 实例不应使用不受限制的网络访问(Any),应使用 Vpc 或 ConsoleOrVpc。
pai-eas-instances-multi-zonePAI EAS 实例多可用区部署ROS, Terraform确保 PAI EAS 实例部署在多个可用区以实现高可用性。
polardb-cluster-delete-protection-enabledPolarDB 集群开启删除保护ROS, Terraform确保 PolarDB 集群开启了删除保护。
polardb-cluster-enabled-sslPolarDB 集群开启 SSL 加密ROS, Terraform确保 PolarDB 集群开启了 SSL 加密。
polardb-cluster-multi-zonePolarDB 集群多可用区部署ROS, TerraformPolarDB 集群应部署在多个可用区。
polardb-dbcluster-in-vpc推荐使用专有网络类型的 PolarDB 实例ROS, Terraform确保 PolarDB 实例通过设置 vswitch_id 部署在专有网络中。
polardb-revision-version-used-check使用稳定内核版本的 PolarDB 集群ROS, Terraform确保 PolarDB 集群使用稳定内核版本。
polardb-x2-instance-multi-zonePolarDB-X 2.0 实例多可用区部署ROS, TerraformPolarDB-X 2.0 实例应部署在 3 个可用区。
privatelink-server-endpoint-multi-zonePrivateLink 服务终端节点部署在多可用区ROS, TerraformPrivateLink 服务终端节点应将资源部署在多个可用区以实现高可用性。
privatelink-servier-endpoint-multi-zonePrivateLink 服务终端节点多可用区部署ROS, Terraform确保 PrivateLink 服务终端节点部署在多个可用区以实现高可用性。
ram-password-policy-checkRAM 密码策略检测ROS, Terraform确保 RAM 密码策略符合指定的安全要求。
ram-policy-no-has-specified-document自定义 RAM 策略不包含指定权限配置ROS, Terraform确保自定义 RAM 策略未包含参数指定的授权内容。
ram-role-has-specified-policyRAM 角色绑定指定策略检测ROS, Terraform确保 RAM 角色绑定了符合参数条件的权限策略。
ram-role-no-product-admin-accessRAM 角色无超级管理员或某个云产品管理员权限ROS, Terraform确保 RAM 角色未拥有管理员权限或者某个云产品的管理员权限。
ram-user-activated-ak-quantity-checkRAM 用户激活 AccessKey 数量核查ROS, Terraform确保 RAM 用户激活的 AccessKey 数量不超过 1 个。
ram-user-ak-create-date-expired-checkRAM 用户 AccessKey 创建时间到期检测ROS, Terraform确保 RAM 用户 AccessKey 通过安全存储进行妥善管理。
ram-user-ak-used-expired-checkRAM 用户 AccessKey 最后使用时间检测ROS, Terraform确保 RAM 用户 AccessKey 处于启用状态。
ram-user-has-specified-policyRAM 用户及所属用户组绑定指定条件的权限策略ROS, Terraform确保 RAM 用户绑定了符合参数条件的权限策略,包括继承自用户组的权限。
ram-user-login-checkRAM 用户登录启用检测ROS, Terraform确保不需要控制台访问权限的 RAM 用户已禁用登录功能。
ram-user-no-has-specified-policyRAM 用户及所属用户组未绑定指定条件的权限策略ROS, Terraform确保 RAM 用户未绑定符合参数条件的高危权限策略。
ram-user-no-product-admin-accessRAM 用户没有产品管理权限ROS, Terraform确保 RAM 用户未被授予对云产品的完全管理权限,除非必要。
rds-instacne-delete-protection-enabledRDS 实例开启删除保护ROS, Terraform确保 RDS 实例开启了删除保护。
rds-instance-enabled-auditingRDS 实例开启 SQL 审计ROS, Terraform确保 RDS 实例开启了 SQL 审计。
rds-instance-enabled-log-backupRDS 实例开启日志备份ROS, Terraform确保 RDS 实例开启了日志备份。
rds-instance-enabled-sslRDS 实例开启 SSL 加密ROS, Terraform确保 RDS 实例开启了 SSL 加密。
rds-instance-enabled-tde-disk-encryptionRDS 实例开启 TDE 或者数据盘加密ROS, TerraformRDS 实例开启 TDE 或者数据盘加密,视为合规。
rds-instance-has-guard-instanceRDS 关键实例配置灾备实例ROS, Terraform确保生产环境 RDS 实例配置了相应的灾备实例。
rds-instances-in-vpcRDS 实例在 VPC 内ROS, Terraform确保 RDS 实例部署在 VPC 内。
rds-multi-az-supportRDS 实例多可用区部署ROS, TerraformRDS 实例应部署在多可用区配置中,以实现高可用性和自动故障转移。
redis-architecturetype-cluster-check使用集群版的 Redis 实例ROS, Terraform确保 Redis 实例的架构类型为集群版。
redis-instance-backup-log-enabledRedis 实例开启日志备份ROS, Terraform确保 Redis 实例配置了备份。
redis-instance-double-node-typeRedis 实例节点类型为双副本ROS, Terraform确保 Redis 实例使用双副本节点类型以确保高可用性。
redis-instance-enabled-byok-tdeRedis 实例开启 BYOK TDE 加密ROS, Terraform确保 Redis 实例已使用自带密钥(BYOK)开启了透明数据加密(TDE)。
redis-instance-enabled-sslRedis 实例开启 SSL 加密ROS, Terraform确保 Redis 实例开启了 SSL 加密。
redis-instance-in-vpc使用专有网络类型的 Redis 实例ROS, Terraform确保 Redis 实例部署在专有网络中。
redis-instance-multi-zoneRedis 实例多可用区部署ROS, TerraformRedis 实例应部署在多个可用区。
redis-instance-release-protectionRedis 实例开启释放保护ROS, Terraform确保 Redis 实例开启了释放保护。
redis-instance-tls-version-checkRedis 实例开启 SSL 并使用指定的 TLS 版本ROS, Terraform确保 Redis 实例开启 SSL 且使用的 TLS 版本在可接受范围内。
redis-min-capacity-limitRedis 实例满足指定内存容量要求ROS, Terraform确保 Redis 实例内存总量大于等于指定的参数值。
rocketmq-v5-instance-multi-zone使用多可用区的消息队列 RocketMQ 5.0 版实例ROS, Terraform使用多可用区的消息队列 RocketMQ 5.0 版实例,视为合规。
security-center-version-check云安全中心版本检测ROS云安全中心版本满足要求,视为合规。
slb-all-listener-enabled-aclSLB 实例所有运行中的监听都设置访问控制ROS, TerraformSLB 实例所有运行中的监听都设置了访问控制,视为合规。
slb-all-listener-http-disabledSLB 禁用 HTTP 监听ROS, Terraform确保没有 SLB 监听使用不安全的 HTTP 协议。
slb-all-listener-http-redirect-httpsSLB 监听强制跳转 HTTPSROS, Terraform确保 SLB HTTP 监听已配置为将流量重定向至 HTTPS。
slb-all-listenter-has-serverSLB 负载均衡的所有监听都至少添加了指定数量的后端服务器ROS, TerraformSLB 负载均衡的所有监听都至少添加参数指定数量的后端服务器,视为合规。默认至少添加一台服务器视为合规。
slb-all-listenter-tls-policy-checkSLB 监听使用安全 TLS 策略ROS, Terraform确保 SLB HTTPS 监听使用安全的 TLS 加密策略。
slb-default-server-group-multi-serverSLB 实例默认服务器组包含至少两台服务器ROS, TerraformSLB 实例的默认服务器组至少添加两台服务器,视为合规。
slb-instance-autorenewal-checkSLB 实例包年包月开启自动续费ROS, Terraform包年包月的 SLB 实例开启了自动续费,视为合规。
slb-instance-default-server-group-multi-zoneSLB 负载均衡默认服务器组添加多个可用区资源ROS, TerraformSLB 负载均衡的默认服务器组挂载资源分布在多个可用区,视为合规。
slb-instance-log-enabledSLB 实例开启访问日志ROS, Terraform确保 SLB 实例开启了访问日志。
slb-instance-multi-zoneSLB 实例多可用区部署ROS, TerraformSLB 实例应通过配置主可用区和备可用区来部署在多个可用区,以实现高可用性。
slb-instance-spec-checkSLB 实例规格满足要求ROS, TerraformSLB 实例规格在指定的规格列表中,视为合规。
slb-listener-https-enabledSLB 监听开启 HTTPSROS, Terraform确保 SLB 监听使用 HTTPS 协议以保障通信安全。
slb-loadbalancer-in-vpc强制 SLB 部署在 VPC 环境中ROS, Terraform确保 SLB 实例部署在专有网络(VPC)中。
slb-master-slave-server-group-multi-zoneSLB 负载均衡主备服务器组添加多个可用区资源ROS, TerraformSLB 负载均衡的主备服务器组挂载资源分布在多个可用区,视为合规。主备服务器组无挂载任何资源时不适用本规则,视为不适用。
slb-no-public-ipSLB 实例未开启公网访问ROS, TerraformSLB 实例网络类型为内网,视为合规。
slb-vserver-group-multi-zoneSLB 虚拟服务器组多可用区部署ROS, Terraform确保 SLB 虚拟服务器组包含来自多个可用区的实例。
sls-logstore-enabled-encryptSLS 日志库开启数据加密ROS, Terraform确保 SLS 日志库开启了服务端加密。
sls-logstore-encrypt-key-origin-check日志服务日志库加密使用的主密钥材料来源为用户自行导入ROS, Terraform确保 SLS 日志库使用外部导入的密钥材料(BYOK)进行加密,以更好地控制加密密钥。
sls-project-multi-zoneSLS 项目使用同城冗余存储ROS, TerraformSLS 项目应使用同城冗余存储(ZRS)以实现高可用性和数据持久性。
vpc-flow-logs-enabledVPC 开启流日志ROS, Terraform确保 VPC 开启了流日志,以便监控网络流量。
vpc-network-acl-not-empty专有网络 ACL 不为空条目ROS, Terraform确保 VPC 网络 ACL 至少配置了一条规则。
vpn-connection-master-slave-established双隧道 VPN 网关主备隧道都已建立连接ROS, Terraform使用双隧道的 VPN 网关同时主备隧道都已和对端建立连接。
vpn-gateway-multi-zone使用多可用区的 VPN 网关ROS, Terraform为 VPN 网关设置两个交换机,保障产品跨可用区的高可用性,视为合规。
vswitch-available-ip-countVSwitch 可用 IP 数量检测ROS, Terraform确保 VSwitch 具有足够数量的可用 IP 地址。
waf-instance-logging-enabledWAF 实例开启日志ROS, Terraform确保 WAF 实例开启了日志,以便进行审计和安全分析。
waf3-defense-resource-logging-enabledWAF 3.0 防护资源开启日志审计ROS, Terraform确保 WAF 3.0 防护的资源已开启日志审计。

低 严重程度 (41 规则)

规则 ID名称IaC 类型描述
ack-cluster-spec-checkACK 集群规格核查ROS, Terraform确保 ACK 集群使用批准的规格(如专业版 ACK Pro)。
alb-address-type-checkALB 网络类型核查ROS, Terraform确保 ALB 实例使用首选的网络类型(如私网)。
apig-group-custom-trace-enabledAPI 分组自定义追踪启用ROS, Terraform确保 API 网关分组启用了自定义追踪功能。
cr-repository-immutablity-enable容器镜像服务镜像版本为不可变ROS, Terraform容器镜像服务镜像版本为不可变,视为合规。
eci-container-group-volumn-mountsECI 容器组挂载卷核查ROS, Terraform确保 ECI 容器组挂载了用于持久化数据存储的卷。
ecs-disk-auto-snapshot-policyECS 磁盘设置自动快照策略ROS, TerraformECS 磁盘设置了自动快照策略,视为合规。状态非使用中的磁盘、不支持设置自动快照策略的磁盘、ACK 集群挂载的非持久化使用场景的磁盘视为不适用。开启自动快照策略后,阿里云会自动按照预设的时间点和周期为云盘创建快照,遭遇病毒入侵或勒索后能够快速从安全事件中恢复。
ecs-disk-idle-checkECS 磁盘闲置检测ROS, Terraform确保 ECS 磁盘已挂载到实例,未处于闲置状态。
ecs-disk-regional-auto-check使用同城冗余类型的 ESSD 数据盘ROS, Terraform使用同城冗余类型的 ESSD 数据盘,视为合规。系统盘视为不适用。
ecs-instance-chargetype-checkECS 实例付费类型核查ROS, Terraform确保 ECS 实例使用授权的付费类型。
ecs-instance-multiple-eni-checkECS 实例仅绑定一个弹性网卡ROS, TerraformECS 实例仅绑定一个弹性网卡,视为合规。这有助于简化网络配置并减少复杂性。
ecs-instance-ram-role-attachedECS 实例被授予实例 RAM 角色ROS, Terraform确保 ECS 实例被授予了实例 RAM 角色,以便安全地访问其他云服务。
ecs-internet-charge-type-checkECS 公网带宽计费方式核查ROS, Terraform确保 ECS 实例使用首选的公网带宽计费方式。
ecs-security-group-description-check安全组描述信息不能为空ROS, Terraform安全组描述信息不为空,视为合规。
ecs-security-group-type-not-normal使用企业类型安全组ROS, TerraformECS 安全组类型非普通安全组,视为合规。
ecs-snapshot-retention-daysECS 自动快照保留天数满足指定要求ROS, TerraformECS 自动快照策略设置快照保留天数大于设置的天数,视为合规。默认值:7 天。
ecs-system-disk-size-checkECS 系统盘大小检查ROS, Terraform确保 ECS 系统盘满足最低大小要求。
eip-attachedEIP 必须处于绑定状态ROS, Terraform确保 EIP 实例已与资源关联。
eip-bandwidth-limitEIP 带宽上限核查ROS, Terraform确保 EIP 带宽不超过指定的最高值。
hbase-cluster-type-checkHBase 集群引擎类型检查ROS, TerraformHBase 集群不应使用已废弃的引擎类型。
metadata-ros-composer-check模板 Metadata ALIYUN::ROS::Composer 检查ROS模板必须配置 Metadata.ALIYUN::ROS::Composer。该值必须是字典(对象)类型。
nas-filesystem-encrypt-type-checkNAS 文件系统设置了加密ROS, Terraform确保 NAS 文件系统已启用加密(encrypt_type 设置为 1 或 2)。
oss-bucket-referer-limitOSS 存储空间 Referer 在指定的防盗链白名单中ROS, Terraform确保 OSS 存储桶配置了基于 Referer 的防盗链保护。
polardb-cluster-default-time-zone-not-systemPolarDB 集群默认时区参数值非 SYSTEMROS, Terraform确保 PolarDB 集群配置了明确的时区参数。
polardb-cluster-maintain-time-checkPolarDB 集群维护时间检测ROS, Terraform确保 PolarDB 集群配置了维护时间段。
ram-group-has-member-check识别无成员的空 RAM 用户组ROS, Terraform确保 RAM 用户组至少包含一名成员。
ram-group-in-use-checkRAM 用户组使用检测ROS, Terraform确保 RAM 用户组处于使用状态 - 必须至少包含一个成员且绑定了至少一个权限策略。
ram-policy-in-use-checkRAM 权限策略使用检测ROS, Terraform确保 RAM 权限策略至少绑定到一个 RAM 用户、用户组或角色。
ram-user-group-membership-checkRAM 用户组归属检测ROS, Terraform确保 RAM 用户属于至少一个用户组,以便于权限管理。
ram-user-last-login-expired-checkRAM 用户最后登录时间核查ROS, Terraform核查 RAM 用户是否长时间未登录。
ram-user-no-policy-check识别未挂载任何策略的 RAM 用户ROS, Terraform确保 RAM 用户至少挂载了一个策略。
rds-instance-maintain-time-checkRDS 实例维护时间检测ROS, Terraform确保 RDS 实例配置了维护时间段。
rds-instance-storage-autoscale-enableRDS 开启存储自动扩容ROS, Terraform确保 RDS 实例开启了存储自动扩容,以防止因磁盘满载导致的服务中断。
redis-instance-backup-time-checkRedis 实例备份时间检测ROS, Terraform确保 Redis 实例配置了备份时间段。
root-has-specified-role主账号具有指定的角色ROS确保主账号具有用于治理和管理的指定 RAM 角色。
slb-backendserver-weight-checkSLB 后端服务器权重配置核查ROS, Terraform确保 SLB 后端服务器具有合理的权重配置。
slb-instance-loadbalancerspec-checkSLB 规格合规性检查ROS, Terraform确保 SLB 实例使用批准的性能规格。
slb-loadbalancer-bandwidth-limitSLB 带宽上限核查ROS, Terraform确保 SLB 实例带宽不超过指定的最高值。
slb-modify-protection-checkSLB 实例开启配置修改保护ROS, Terraform确保 SLB 实例开启了配置修改保护。
sls-logstore-hot-ttl-checkSLS 日志库开启智能冷热分层存储ROS, Terraform确保 SLS 日志库开启了智能冷热分层存储功能以优化成本。
vpn-gateway-enabled-ssl-vpnVPN 网关开启 SSL-VPNROS, Terraform确保 VPN 网关开启了 SSL-VPN,以便客户端安全访问。
vpn-ipsec-connection-health-check-openVPN IPsec 连接开启健康检查ROS, Terraform确保 VPN IPsec 连接开启了健康检查,以便及时发现隧道故障。

此文档由策略元数据自动生成。