Anda dapat mengonfigurasi dan mengaktifkan aturan perlindungan yang disediakan oleh Cloud Config untuk semua akun anggota direktori sumber daya Anda secara terpusat di konsol Cloud Governance Center. Hal ini mencegah modifikasi pada konfigurasi dasar Cloud Governance Center dan struktur sumber daya yang dibuat di dalamnya, serta memastikan keamanan lingkungan multi-akun.
Jalankan tugas inisialisasi aturan perlindungan
Masuk ke konsol Cloud Governance Center.
Di panel navigasi sebelah kiri, pilih Landing Zone > LandingZone Setup.
Di bagian Standard Blueprint atau Standard Blueprint (CEN), klik Build.
Dalam contoh ini, blueprint standar digunakan.
Di bagian Added Items pada halaman Configure Blueprint, klik Guardrails.
Pilih aturan perlindungan yang ingin diaktifkan.
Secara default, aturan yang diperlukan dipilih. Anda dapat memilih satu atau lebih aturan yang direkomendasikan atau aturan opsional.
Kelola aturan perlindungan
Setelah aturan perlindungan diinisialisasi, Anda dapat mengelola aturan tersebut. Anda dapat melihat detail suatu aturan, meninjau hasil evaluasi kepatuhan sumber daya, atau mengaktifkan atau menonaktifkan aturan yang direkomendasikan atau aturan opsional.
Masuk ke konsol Cloud Governance Center.
Di panel navigasi sebelah kiri, pilih .
Di bagian Overview, tinjau aturan identifikasi risiko, aturan yang diaktifkan, aturan yang dinonaktifkan, serta waktu modifikasi terakhir dari aturan-aturan tersebut.
Pada tab All, klik nama aturan yang ingin dikelola.
Klik tab Guardrail details untuk melihat detail aturan tersebut. Anda juga dapat mengaktifkan atau menonaktifkan aturan yang direkomendasikan atau aturan opsional.
Pada tab Result, tinjau hasil evaluasi kepatuhan sumber daya.
Aturan Perlindungan
Anda dapat mengaktifkan jenis-jenis aturan perlindungan berikut sesuai dengan kebutuhan bisnis Anda:
Aturan wajib: aturan perlindungan dasar. Aturan wajib diaktifkan secara otomatis dan tidak dapat dinonaktifkan.
Aturan yang direkomendasikan: aturan kepatuhan keamanan. Kami merekomendasikan Anda untuk mengaktifkan aturan ini. Anda dapat mengaktifkan atau menonaktifkan aturan yang direkomendasikan sesuai dengan kebutuhan bisnis Anda.
Aturan opsional: Anda dapat mengaktifkan atau menonaktifkan aturan opsional sesuai dengan kebutuhan bisnis Anda. Setelah aturan opsional diaktifkan, Anda dapat menonaktifkannya kembali.
Nama Aturan | Deskripsi Aturan | Ruang Lingkup Aturan | Tipe |
Bucket OSS yang ditentukan untuk Cloud Governance Center menyimpan log audit yang menolak akses baca/tulis publik. | Jika daftar kontrol akses (ACL) bukan public-read-write untuk bucket Object Storage Service (OSS) yang ditentukan untuk Cloud Governance Center menyimpan log audit, konfigurasi dianggap sesuai. | Akun arsip log | Aturan wajib |
Fitur enkripsi sisi server yang dikelola OSS diaktifkan untuk bucket OSS yang ditentukan untuk Cloud Governance Center menyimpan log audit. | Jika enkripsi sisi server diaktifkan untuk bucket OSS yang ditentukan untuk Cloud Governance Center menyimpan log audit, konfigurasi dianggap sesuai. | Akun arsip log | Aturan wajib |
Peran yang ditentukan untuk menyediakan layanan ada di Cloud Governance Center. | Jika peran terhubung layanan Cloud Governance Center dibuat dan dapat dicari berdasarkan nama, konfigurasi dianggap sesuai. | Akun arsip log | Aturan opsional |
oss-bucket-audit-log-delete-prohibited | Jika bucket OSS yang dibuat oleh Cloud Governance Center untuk menyimpan log audit dalam akun arsip log tidak dihapus, konfigurasi dianggap sesuai. | Folder inti | Aturan wajib |
oss-bucket-encryption-modify-prohibited | Jika pengaturan enkripsi bucket OSS yang dibuat oleh Cloud Governance Center untuk menyimpan log audit dalam akun arsip log tidak dimodifikasi, konfigurasi dianggap sesuai. | Folder inti | Aturan wajib |
oss-bucket-audit-logs-lifecycle-modify-prohibited | Jika pengaturan siklus hidup bucket OSS yang dibuat oleh Cloud Governance Center untuk menyimpan log audit dalam akun arsip log tidak dimodifikasi, konfigurasi dianggap sesuai. | Folder inti | Aturan wajib |
cloud-governance-center-role-modify-prohibited | Jika peran terhubung layanan yang digunakan oleh Cloud Governance Center untuk menyediakan layanan tidak diubah, konfigurasi dianggap sesuai. | Folder inti | Aturan wajib |
cloud-config-feature-disable-prohibited | Jika Cloud Config yang digunakan untuk melakukan audit kepatuhan pada sumber daya diaktifkan, konfigurasi dianggap sesuai. | Folder inti | Aturan wajib |
Tidak ada akun Alibaba Cloud di direktori sumber daya yang memiliki pasangan AccessKey. | Jika tidak ada pasangan AccessKey yang dibuat untuk akun Alibaba Cloud dalam direktori sumber daya, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Fitur MFA diaktifkan untuk semua akun Alibaba Cloud di direktori sumber daya. | Jika autentikasi multi-faktor (MFA) diaktifkan untuk semua akun Alibaba Cloud dalam direktori sumber daya, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Enkripsi diaktifkan untuk semua disk data dari instance ECS. | Jika enkripsi diaktifkan untuk semua disk data setiap Elastic Compute Service (ECS) instance, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Tidak semua jaringan diizinkan mengakses port berisiko tinggi dari grup keamanan. | Jika port 22 dan port 3389 dinonaktifkan ketika 0.0.0.0/0 ditambahkan ke daftar putih alamat IP masuk dari grup keamanan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Pengaturan akses jaringan grup keamanan valid. | Jika rentang port -1/-1 dan blok CIDR yang diotorisasi 0.0.0.0/0 tidak ditentukan ketika kebijakan otorisasi masuk grup keamanan disetel ke Mengizinkan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Izin baca/tulis publik tidak diberikan pada semua bucket OSS. | Jika ACL setiap bucket OSS bukan public-read-write, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Enkripsi TDE diaktifkan untuk instance RDS. | Jika fitur Transparent Data Encryption (TDE) diaktifkan dalam pengaturan keamanan data setiap instance ApsaraDB RDS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Gunakan Instance ApsaraDB RDS di VPC. | Jika ID virtual private cloud (VPC) tidak ditentukan dan tipe jaringan setiap instance ApsaraDB RDS disetel ke VPC, konfigurasi dianggap sesuai. Jika ID VPC ditentukan dan setiap instance ApsaraDB RDS berada di salah satu VPC yang ditentukan, konfigurasi dianggap sesuai. Pisahkan beberapa ID VPC dengan koma (,). | Direktori sumber daya global | Aturan yang direkomendasikan |
Daftar putih instance ApsaraDB RDS tidak mencakup semua blok CIDR. | Jika 0.0.0.0/0 tidak ditambahkan ke daftar putih alamat IP setiap instance ApsaraDB RDS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
oss-bucket-logging-enabled | Jika logging diaktifkan pada halaman Logging setiap bucket OSS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
Kebijakan kata sandi pengguna RAM memenuhi persyaratan. | Jika kebijakan kata sandi untuk setiap pengguna Resource Access Management (RAM) memenuhi persyaratan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Pengguna RAM tidak memiliki pasangan AccessKey yang tidak digunakan. | Jika periode antara waktu terakhir pengguna RAM menggunakan pasangan AccessKey dan waktu saat ini kurang dari jumlah hari yang ditentukan, konfigurasi dianggap sesuai. Periode default adalah 90 hari. | Direktori sumber daya global | Aturan yang direkomendasikan |
Fitur perlindungan pelepasan diaktifkan untuk instance ECS. | Jika fitur perlindungan pelepasan diaktifkan untuk setiap instance ECS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Fitur perlindungan pelepasan diaktifkan untuk instance SLB. | Jika fitur perlindungan pelepasan diaktifkan untuk setiap instance Server Load Balancer (SLB), konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan yang direkomendasikan |
Fitur enkripsi sisi server yang dikelola OSS diaktifkan untuk bucket OSS. | Jika enkripsi sisi server diaktifkan untuk setiap bucket OSS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
Fitur MFA diaktifkan untuk semua pengguna RAM. | Jika MFA diaktifkan untuk setiap pengguna RAM, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
Sumber daya harus memiliki setidaknya satu dari tag yang ditentukan. | Parameter nilai dapat diatur ke beberapa nilai tag. Jika tag sumber daya berisi salah satu nilai tag, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
Sumber daya harus memiliki semua tag yang ditentukan. | Jika sumber daya memiliki semua tag yang ditentukan, konfigurasi dianggap sesuai. Anda dapat menentukan hingga enam tag. | Direktori sumber daya global | Aturan opsional |
Pengguna RAM telah masuk dalam waktu yang ditentukan. | Jika setiap pengguna RAM masuk ke sistem setidaknya sekali dalam 90 hari terakhir, konfigurasi dianggap sesuai. Jika tidak ada catatan masuk untuk pengguna RAM, sistem memeriksa waktu pembaruan. Jika pengguna RAM diperbarui dalam 90 hari terakhir, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk pengguna RAM yang akses konsol dinonaktifkan. | Direktori sumber daya global | Aturan opsional |
Fitur mendengarkan HTTPS diaktifkan untuk instance SLB. | Jika port 80 dan port 8080 ditentukan untuk pendengar HTTPS setiap instance SLB, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
Sumber daya termasuk dalam wilayah yang ditentukan. | Jika setiap sumber daya berada di wilayah yang ditentukan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
waf-instance-logging-enabled | Jika fitur pengumpulan log diaktifkan untuk setiap nama domain yang dilindungi oleh Web Application Firewall (WAF), konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
vpc-flow-logs-enabled | Jika fitur log aliran diaktifkan untuk setiap VPC, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
api-group-integrated-waf | Jika grup API API Gateway terikat ke setiap nama domain kustom dan nama domain tersebut dilindungi oleh WAF, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
waf-domain-enabled-specified-protection-module | Jika fitur perlindungan diaktifkan untuk setiap nama domain yang dilindungi oleh WAF, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
security-group-high-risk-port-all-disabled | Jika 0.0.0.0/0 tidak ditambahkan ke daftar putih alamat IP masuk grup keamanan, konfigurasi dianggap sesuai terlepas dari apakah port berisiko tinggi dinonaktifkan. Jika port berisiko tinggi ditolak oleh kebijakan otorisasi dengan prioritas lebih tinggi, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk grup keamanan yang digunakan oleh layanan cloud atau operator jaringan virtual (VNO). | Direktori sumber daya global | Aturan opsional |
security-group-non-whitelist-port-setting-valid | Jika setiap aturan masuk dalam grup keamanan hanya mengizinkan akses dari port dalam rentang tertentu ketika parameter Obyek Otorisasi dari aturan masuk disetel ke 0.0.0.0/0, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk grup keamanan yang digunakan oleh layanan cloud atau VNO. | Direktori sumber daya global | Aturan opsional |
oss-bucket-anonymous-prohibited | Jika kebijakan bucket dikonfigurasi untuk setiap bucket OSS yang ACL-nya adalah public-read-write dan izin baca dan tulis tidak diberikan kepada akun anonim dalam kebijakan bucket, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk bucket OSS yang ACL-nya adalah private. | Direktori sumber daya global | Aturan opsional |
ecs-public-access-check | Jika tidak ada alamat IPv4 publik atau alamat IP elastis (EIP) yang ditentukan untuk setiap instance ECS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-public-and-any-ip-access-check | Jika akses Internet diaktifkan untuk instance ApsaraDB RDS dan 0.0.0.0/0 ditambahkan ke daftar putih alamat IP, konfigurasi dianggap tidak sesuai. | Direktori sumber daya global | Aturan opsional |
polardb-dbcluster-in-vpc | Jika akses Internet diaktifkan untuk instance PolarDB dan 0.0.0.0/0 ditambahkan ke daftar putih alamat IP, konfigurasi dianggap tidak sesuai. | Direktori sumber daya global | Aturan opsional |
cfw-all-asset-protection-enabled | Jika fitur perlindungan diaktifkan untuk semua aset di Cloud Firewall, konfigurasi dianggap sesuai. Aturan ini hanya berlaku untuk Cloud Firewall edisi berbayar. Jika Anda tidak mengaktifkan Cloud Firewall atau menggunakan Cloud Firewall edisi gratis, konfigurasi dianggap sesuai meskipun perlindungan dinonaktifkan untuk aset di Cloud Firewall. | Direktori sumber daya global | Aturan opsional |
ecs-instance-enabled-security-protection | Jika agen Security Center diinstal pada semua instance ECS yang sedang berjalan untuk menyediakan fitur perlindungan, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. | Direktori sumber daya global | Aturan opsional |
security-center-version-check | Jika Security Center Enterprise Edition atau edisi yang lebih canggih digunakan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ecs-instance-updated-security-vul | Jika tidak ada kerentanan yang belum diperbaiki dari jenis tertentu atau tingkat tertentu yang terdeteksi oleh Security Center pada setiap instance ECS yang sedang berjalan, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. | Direktori sumber daya global | Aturan opsional |
rds-high-availability-category | Jika fitur SQL Explorer dan Audit diaktifkan untuk setiap instance ApsaraDB RDS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
actiontrail-trail-intact-enabled | Jika jejak aktif ada di ActionTrail dan semua jenis peristiwa yang dihasilkan di semua wilayah dilacak, konfigurasi dianggap sesuai. Jika administrator direktori sumber daya telah membuat jejak yang berlaku untuk semua anggota, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-instance-sql-collector-retention | Jika fitur SQL Explorer dan Audit diaktifkan untuk setiap instance ApsaraDB RDS for MySQL dan jumlah hari penyimpanan log audit SQL tidak kurang dari periode yang ditentukan, konfigurasi dianggap sesuai. Periode default adalah 180 hari. | Direktori sumber daya global | Aturan opsional |
ecs-snapshot-retention-days | Jika snapshot otomatis instance ECS disimpan selama periode tidak kurang dari jumlah hari yang ditentukan, konfigurasi dianggap sesuai. Periode default adalah tujuh hari. | Direktori sumber daya global | Aturan opsional |
polardb-cluster-level-one-backup-retention | Jika periode retensi untuk cadangan level-1 setiap kluster PolarDB tidak kurang dari jumlah hari yang ditentukan, konfigurasi dianggap sesuai. Periode default adalah tujuh hari. | Direktori sumber daya global | Aturan opsional |
polardb-cluster-enabled-tde | Jika fitur TDE diaktifkan dalam pengaturan keamanan data setiap kluster PolarDB, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
kms-credential-automatic-rotation-enabled | Jika fitur rotasi otomatis diaktifkan untuk rahasia Key Management Service (KMS), konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
cmk-automatic-rotation-enabled | Jika fitur rotasi otomatis diaktifkan untuk kunci master pelanggan (CMK) di KMS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
cmk-delete-protection-enabled | Jika fitur perlindungan penghapusan diaktifkan untuk CMK KMS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
oss-encryption-byok-check | Jika parameter Metode Enkripsi setiap bucket OSS disetel ke KMS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-instance-enabled-byok-tde | Jika kunci kustom digunakan untuk mengaktifkan TDE untuk setiap instance ApsaraDB RDS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
redis-instance-enabled-byok-tde | Jika kunci kustom digunakan untuk mengaktifkan TDE untuk setiap instance ApsaraDB for Redis, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
cdn-domain-https-enabled | Jika HTTPS diaktifkan untuk setiap nama domain yang dipercepat oleh Alibaba Cloud CDN, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
api-gateway-api-internet-request-https | Jika metode permintaan setiap API yang mengizinkan akses Internet di API Gateway disetel ke HTTPS, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk API yang hanya mengizinkan akses internal. | Direktori sumber daya global | Aturan opsional |
elasticsearch-instance-used-https-protocol | Jika HTTPS diaktifkan untuk setiap instance Elasticsearch, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
oss-security-access-enabled | Jika kebijakan bucket setiap bucket OSS mengizinkan operasi baca dan tulis melalui HTTPS dan menolak akses melalui HTTP, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk bucket OSS tanpa kebijakan bucket. | Direktori sumber daya global | Aturan opsional |
slb-http-listener-security-policy-suite | Jika pendengar HTTPS setiap instance SLB menggunakan versi suite kebijakan keamanan tertentu, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk instance SLB tanpa pendengar HTTPS. | Direktori sumber daya global | Aturan opsional |
fc-function-custom-domain-and-tls-enable | Jika setiap fungsi di Function Compute terikat ke nama domain kustom dan Transport Layer Security (TLS) versi tertentu diaktifkan untuk fungsi tersebut, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ecs-all-enabled-account-security-protection | Jika agen Security Center diinstal pada setiap instance ECS yang termasuk dalam akun saat ini, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
security-center-concern-necessity-check | Jika pemindaian kerentanan untuk risiko tingkat tertentu dikonfigurasi di Security Center, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
security-center-notice-config-check | Jika metode notifikasi ditentukan untuk setiap item notifikasi Security Center, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-instance-maintain-time-check | Jika periode pemeliharaan setiap instance ApsaraDB RDS sesuai dengan salah satu rentang waktu yang ditentukan, konfigurasi dianggap sesuai. Jika jam sibuk bisnis Anda tumpang tindih dengan periode pemeliharaan, bisnis Anda mungkin terpengaruh. | Direktori sumber daya global | Aturan opsional |
polardb-cluster-maintain-time-check | Jika periode pemeliharaan setiap kluster PolarDB sesuai dengan salah satu rentang waktu yang ditentukan, konfigurasi dianggap sesuai. Jika jam sibuk bisnis Anda tumpang tindih dengan periode pemeliharaan, bisnis Anda mungkin terpengaruh. | Direktori sumber daya global | Aturan opsional |
ram-user-no-has-specified-policy | Jika kebijakan yang memenuhi kondisi tertentu dan mencakup izin yang diwarisi dari grup pengguna RAM tidak dilampirkan ke setiap pengguna RAM, konfigurasi dianggap sesuai. Kebijakan yang menggunakan pengaturan default mencakup izin administrator. Jika kebijakan ini dilampirkan ke pengguna RAM, konfigurasi dianggap tidak sesuai. | Direktori sumber daya global | Aturan opsional |
ram-policy-no-statements-with-admin-access-check | Jika parameter Resource dan Action untuk pengguna RAM, grup pengguna RAM, dan peran RAM tidak disetel ke | Direktori sumber daya global | Aturan opsional |
ram-user-ak-create-date-expired-check | Jika periode antara waktu pasangan AccessKey pengguna RAM dibuat dan waktu saat ini tidak lebih dari jumlah hari yang ditentukan, konfigurasi dianggap sesuai. Periode default adalah 90 hari. | Direktori sumber daya global | Aturan opsional |
ram-user-group-membership-check | Jika setiap pengguna RAM termasuk dalam grup pengguna RAM, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ram-user-login-check | Jika akses konsol dan akses API tidak diaktifkan untuk setiap pengguna RAM pada saat yang sama, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ram-user-sso-enabled | Jika fitur single sign-on (SSO) diaktifkan untuk setiap pengguna RAM, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
Tidak ada kebijakan RAM yang tidak digunakan. | Jika kebijakan dilampirkan ke satu atau lebih grup pengguna RAM, peran RAM, atau pengguna RAM, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ram-group-has-member-check | Jika setiap grup pengguna RAM berisi satu atau lebih pengguna RAM, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
security-center-leak-ak-check | Jika tidak ada pasangan AccessKey yang bocor terdeteksi di Security Center, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
polardb-cluster-enabled-auditing | Jika fitur audit SQL diaktifkan untuk setiap kluster PolarDB, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-instance-enabled-log-backup | Jika Anda tidak mengaktifkan fitur pencadangan log, Anda tidak dapat memulihkan data yang hilang di log lokal. Jika fitur pencadangan log diaktifkan untuk setiap instance ApsaraDB RDS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
nas-filesystem-enable-backup-plan | Jika rencana pencadangan dibuat untuk setiap sistem file NAS File Storage, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
polardb-cluster-log-backup-retention | Jika periode retensi untuk cadangan log setiap kluster PolarDB tidak kurang dari jumlah hari yang ditentukan, konfigurasi dianggap sesuai. Periode default adalah 30 hari. Jika pencadangan log tidak diaktifkan atau periode retensi cadangan kurang dari jumlah hari yang ditentukan, konfigurasi dianggap tidak sesuai. | Direktori sumber daya global | Aturan opsional |
oss-zrs-enabled | Jika fitur penyimpanan redundansi zona dinonaktifkan, OSS tidak dapat menyediakan layanan yang konsisten atau memastikan pemulihan data ketika pusat data menjadi tidak tersedia. Jika fitur penyimpanan redundansi zona diaktifkan untuk setiap bucket OSS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
sls-logstore-enabled-encrypt | Jika enkripsi data diaktifkan untuk setiap Logstore di Simple Log Service, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-event-log-enabled | Jika fitur riwayat peristiwa diaktifkan untuk setiap instance ApsaraDB RDS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
polardb-cluster-default-time-zone-not-system | Jika parameter | Direktori sumber daya global | Aturan opsional |
ecs-instance-os-name-check | Anda dapat menggunakan aturan ini untuk memastikan bahwa semua instance ECS dalam lingkungan produksi menggunakan versi sistem operasi yang sama, atau memperbarui sistem operasi yang dukungannya secara resmi dihentikan untuk mencegah kerentanan keamanan. Jika nama sistem operasi setiap instance ECS termasuk dalam daftar putih atau tidak termasuk dalam daftar hitam, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ecs-instance-monitor-enabled | Jika agen CloudMonitor diinstal pada setiap instance ECS yang sedang berjalan dan agen tersebut berfungsi dengan baik, konfigurasi dianggap sesuai. Aturan ini tidak berlaku untuk instance ECS yang tidak berjalan. | Direktori sumber daya global | Aturan opsional |
cms-created-rule-for-specified-product | Jika setidaknya satu aturan peringatan dikonfigurasikan di CloudMonitor untuk setiap layanan Alibaba Cloud dari namespace, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-instance-enabled-disk-encryption | Jika fitur enkripsi disk diaktifkan untuk setiap instance ApsaraDB RDS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ecs-in-use-disk-encrypted | Jika fitur enkripsi diaktifkan untuk setiap disk data ECS yang sedang digunakan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ecs-disk-mount-encrypted | Jika fitur enkripsi diaktifkan untuk setiap disk data ECS yang ingin Anda pasang, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ecs-vpc-enabled | Jika ID VPC tidak ditentukan dan tipe jaringan setiap instance ECS disetel ke VPC, konfigurasi dianggap sesuai. Jika ID VPC ditentukan dan setiap instance ECS berada di salah satu VPC yang ditentukan, konfigurasi dianggap sesuai. Pisahkan beberapa ID VPC dengan koma (,). | Direktori sumber daya global | Aturan opsional |
ram-user-no-policy-check | Jika tidak ada kebijakan yang dilampirkan ke setiap pengguna RAM, konfigurasi dianggap sesuai. Kami merekomendasikan Anda mengonfigurasi setiap pengguna RAM untuk mewarisi izin dari grup pengguna RAM atau peran RAM. | Direktori sumber daya global | Aturan opsional |
rds-postgresql-parameter-log-connections | Jika parameter | Direktori sumber daya global | Aturan opsional |
rds-postgresql-parameter-log-disconnections | Jika parameter | Direktori sumber daya global | Aturan opsional |
rds-postgresql-parameter-log-duration | Jika parameter | Direktori sumber daya global | Aturan opsional |
oss-authorization-policy-ip-limit-enabled | Jika ACL setiap bucket OSS disetel ke private atau kebijakan bucket setiap bucket OSS hanya mengizinkan akses dari alamat IP tertentu, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
oss-acl-public-read-disabled | Jika ACL setiap bucket OSS bukan public-read, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ecs-all-enabled-account-security-protection | Jika agen Security Center diinstal pada setiap instance ECS yang termasuk dalam akun saat ini, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
vpc-secondary-cidr-route-check | Jika tabel rute terkait mencakup setidaknya satu entri yang menunjukkan informasi perutean alamat IP untuk blok CIDR VPC kustom, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-instance-enabled-ssl | Jika fitur sertifikat SSL diaktifkan dalam pengaturan keamanan data setiap instance ApsaraDB RDS, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ack-cluster-terway-plugin-enabled | Jika plug-in jaringan Terway digunakan di setiap kluster Container Service for Kubernetes (ACK), konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ack-cluster-public-endpoint-disabled | Jika tidak ada titik akhir publik yang dikonfigurasi untuk server API di setiap kluster ACK, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
ack-cluster-cloudmonitor-agent-installed | Jika agen CloudMonitor diinstal pada semua node di setiap kluster ACK dan agen tersebut berfungsi dengan baik, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
actiontrail-trail-enabled | Jika jejak diaktifkan di ActionTrail, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
Instance RDS ketersediaan tinggi dibeli | Jika edisi setiap instance ApsaraDB RDS adalah Ketersediaan Tinggi, konfigurasi dianggap sesuai. Kami merekomendasikan Anda menggunakan instance ApsaraDB RDS Edisi Ketersediaan Tinggi. Jika Anda menggunakan instance ApsaraDB RDS Edisi Dasar, stabilitas sistem Anda mungkin tidak terjamin. Lanjutkan dengan hati-hati. | Direktori sumber daya global | Aturan opsional |
rds-multi-az-support | Jika instance ApsaraDB RDS diterapkan di beberapa zona, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
rds-instance-enabled-security-ip-list | Jika daftar alamat IP keamanan dikonfigurasikan untuk setiap instance ApsaraDB RDS dan 0.0.0.0/0 tidak ditambahkan ke daftar alamat IP keamanan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
redis-instance-in-vpc | Jika ID VPC tidak ditentukan dan tipe jaringan setiap instance ApsaraDB for Redis disetel ke VPC, konfigurasi dianggap sesuai. Jika ID VPC ditentukan dan setiap instance ApsaraDB for Redis berada di salah satu VPC yang ditentukan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
redis-public-access-check | Jika 0.0.0.0/0 tidak ditambahkan ke daftar putih alamat IP setiap instance ApsaraDB for Redis, hasil evaluasi adalah Sesuai. | Direktori sumber daya global | Aturan opsional |
mongodb-instance-in-vpc | Jika ID VPC tidak ditentukan dan tipe jaringan setiap instance ApsaraDB for MongoDB disetel ke VPC, konfigurasi dianggap sesuai. Jika ID VPC ditentukan dan setiap instance ApsaraDB for MongoDB berada di salah satu VPC yang ditentukan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
mongodb-public-access-check | Jika 0.0.0.0/0 tidak ditambahkan ke daftar putih alamat IP setiap instance ApsaraDB for MongoDB, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
Tipe jaringan instance PolarDB adalah VPC | Jika ID VPC tidak ditentukan dan tipe jaringan setiap instance PolarDB disetel ke VPC, konfigurasi dianggap sesuai. Jika ID VPC ditentukan dan setiap instance PolarDB berada di salah satu VPC yang ditentukan, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
sql-server-database-proxy-enabled | Jika mode akses setiap database ApsaraDB RDS for SQL Server disetel ke proxy, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
slb-acl-public-access-check | Jika ACL setiap instance SLB tidak mencakup 0.0.0.0/0, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |
eip-bandwidth-limit | Jika bandwidth yang tersedia setiap EIP tidak kurang dari bandwidth yang ditentukan, konfigurasi dianggap sesuai. Bandwidth default adalah 10 MB. | Direktori sumber daya global | Aturan opsional |
slb-loadbalancer-bandwidth-limit | Jika bandwidth yang tersedia setiap instance SLB tidak kurang dari bandwidth yang ditentukan, konfigurasi dianggap sesuai. Bandwidth default adalah 10 MB. | Direktori sumber daya global | Aturan opsional |
polardb-public-access-check | Jika 0.0.0.0/0 tidak ditambahkan ke daftar putih alamat IP setiap instance PolarDB, konfigurasi dianggap sesuai. | Direktori sumber daya global | Aturan opsional |