Cloud Governance Center コンソールで、リソースディレクトリのすべてのメンバーアカウントに対して Cloud Config が提供する保護ルールを一元的に構成および有効化できます。これにより、Cloud Governance Center の基本構成と Cloud Governance Center で作成されたリソース構造が変更されるのを防ぎます。また、複数アカウント環境のセキュリティも確保されます。
保護ルールの初期化タスクを実行する
Cloud Governance Center コンソールにログインします。
左側のナビゲーションウィンドウで、[landing Zone] > [landing Zone のセットアップ] を選択します。
標準ブループリントまたは標準ブループリント (CEN) セクションで、[ビルド] をクリックします。
この例では、標準ブループリントが使用されます。
[追加されたアイテム][ブループリントの構成] ページの ガードレール セクションで、 をクリックします。
有効にする保護ルールを選択します。
デフォルトでは、必須ルールが選択されています。推奨ルールまたはオプションルールを 1 つ以上選択できます。
保護ルールを管理する
保護ルールが初期化された後、保護ルールを管理できます。ルールの詳細の表示、リソースのコンプライアンス評価結果の表示、推奨ルールまたはオプションルールの有効化または無効化を行うことができます。
Cloud Governance Center コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[概要] セクションで、リスク識別ルール、有効なルール、無効なルール、ルールの最終変更時刻を表示します。
[すべて] タブで、管理するルールの名前をクリックします。
[ガードレール詳細] タブをクリックして、ルールの詳細を表示します。推奨ルールまたはオプションルールを有効または無効にすることもできます。
[結果] タブで、リソースのコンプライアンス評価結果を表示します。
保護ルール
ビジネス要件に基づいて、次の種類の保護ルールを有効化できます。
必須ルール: 基本的な保護ルール。必須ルールは自動的に有効になり、無効にすることはできません。
推奨ルール: セキュリティコンプライアンスルール。推奨ルールを有効にすることをお勧めします。ビジネス要件に基づいて、推奨ルールを有効または無効にすることができます。
オプションルール: ビジネス要件に基づいて、オプションルールを有効または無効にすることができます。オプションルールを有効にした後、オプションルールを無効にすることができます。
ルール名 | ルールの説明 | ルールの範囲 | タイプ |
Cloud Governance Center が監査ログの保存に指定した OSS バケットは、パブリックの読み取り/書き込みアクセスを拒否します。 | Cloud Governance Center が監査ログの保存に指定した Object Storage Service ( OSS ) バケットのアクセス制御リスト ( ACL ) が公開読み書きでない場合、構成は準拠していると見なされます。 | ログアーカイブアカウント | 必須ルール |
Cloud Governance Center が監査ログの保存に指定した OSS バケットに対して、サーバー側の OSS 管理の暗号化機能が有効になっています。 | Cloud Governance Center が監査ログの保存に指定した OSS バケットに対してサーバー側暗号化が有効になっている場合、構成は準拠していると見なされます。 | ログアーカイブアカウント | 必須ルール |
サービスを提供するために指定されたロールが Cloud Governance Center に存在します。 | Cloud Governance Center のサービスロールが作成され、名前で検索できる場合、構成は準拠していると見なされます。 | ログアーカイブアカウント | オプションルール |
oss-bucket-audit-log-delete-prohibited | ログアーカイブアカウント内で Cloud Governance Center によって監査ログを保存するために作成された OSS バケットが削除されていない場合、構成は準拠していると見なされます。 | Core フォルダ | 必須ルール |
oss-bucket-encryption-modify-prohibited | ログアーカイブアカウント内で Cloud Governance Center によって監査ログを保存するために作成された OSS バケットの暗号化設定が変更されていない場合、構成は準拠していると見なされます。 | Core フォルダ | 必須ルール |
oss-bucket-audit-logs-lifecycle-modify-prohibited | ログアーカイブアカウント内で Cloud Governance Center によって監査ログを保存するために作成された OSS バケットのライフサイクル設定が変更されていない場合、構成は準拠していると見なされます。 | Core フォルダ | 必須ルール |
cloud-governance-center-role-modify-prohibited | Cloud Governance Center がサービスの提供に使用するサービスロールが変更されていない場合、構成は準拠していると見なされます。 | Core フォルダ | 必須ルール |
cloud-config-feature-disable-prohibited | リソースのコンプライアンス監査を実行するために使用される Cloud Config がアクティブになっている場合、構成は準拠していると見なされます。 | Core フォルダ | 必須ルール |
リソースディレクトリ内の Alibaba Cloud アカウントには、AccessKey ペアがありません。 | リソースディレクトリ内の Alibaba Cloud アカウントに対して AccessKey ペアが作成されていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
リソースディレクトリ内のすべての Alibaba Cloud アカウントに対して MFA 機能が有効になっています。 | リソースディレクトリ内のすべての Alibaba Cloud アカウントに対して多要素認証 ( MFA ) が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
ECS インスタンスのすべてのデータディスクに対して暗号化が有効になっています。 | 各 Elastic Compute Service ( ECS ) インスタンスのすべてのデータディスクに対して暗号化が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
すべてのネットワークがセキュリティグループの高リスクポートにアクセスできるわけではありません。 | 0.0.0.0/0 がセキュリティグループのインバウンド IP アドレスホワイトリストに追加されたときにポート 22 とポート 3389 が無効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
セキュリティグループのネットワークアクセス設定は有効です。 | セキュリティグループのインバウンド権限付与ポリシーが [許可] に設定されている場合に、ポート範囲 -1/-1 と承認済み CIDR ブロック 0.0.0.0/0 が指定されていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
すべての OSS バケットで公開読み書き権限が付与されていません。 | 各 OSS バケットの ACL が公開読み書きでない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
RDS インスタンスに対して TDE 暗号化が有効になっています。 | 各 ApsaraDB RDS インスタンスのデータセキュリティ設定で透過的データ暗号化 ( TDE ) 機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
VPC 内の ApsaraDB RDS インスタンスを使用します。 | 仮想プライベートクラウド ( VPC ) ID が指定されておらず、各 ApsaraDB RDS インスタンスのネットワークタイプが VPC に設定されている場合、構成は準拠していると見なされます。VPC ID が指定されており、各 ApsaraDB RDS インスタンスが指定された VPC のいずれかに存在する場合、構成は準拠していると見なされます。複数の VPC ID はコンマ (,) で区切ります。 | グローバルリソースディレクトリ | 推奨ルール |
ApsaraDB RDS インスタンスのホワイトリストには、すべての CIDR ブロックが含まれているわけではありません。 | 0.0.0.0/0 が各 ApsaraDB RDS インスタンスの IP アドレスホワイトリストに追加されていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
oss-bucket-logging-enabled | 各 OSS バケットの [ロギング] ページでロギングが有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
RAM ユーザーのパスワードポリシーは要件を満たしています。 | 各 Resource Access Management ( RAM ) ユーザーのパスワードポリシーが要件を満たしている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
RAM ユーザーにはアイドル状態の AccessKey ペアがありません。 | RAM ユーザーが AccessKey ペアを最後に使用した時刻と現在の時刻の間の期間が、指定された日数より短い場合、構成は準拠していると見なされます。デフォルトの期間は 90 日です。 | グローバルリソースディレクトリ | 推奨ルール |
ECS インスタンスに対してリリース保護機能が有効になっています。 | 各 ECS インスタンスに対してリリース保護機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
SLB インスタンスに対してリリース保護機能が有効になっています。 | 各 Server Load Balancer ( SLB ) インスタンスに対してリリース保護機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | 推奨ルール |
OSS バケットに対して、サーバー側の OSS 管理の暗号化機能が有効になっています。 | 各 OSS バケットに対してサーバー側暗号化が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
すべての RAM ユーザーに対して MFA 機能が有効になっています。 | 各 RAM ユーザーに対して MFA が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
リソースには、指定されたタグの少なくとも 1 つが必要です。 | value パラメーターには複数のタグ値を設定できます。リソースのタグにタグ値のいずれかが含まれている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
リソースには、指定されたすべてのタグが必要です。 | リソースに指定されたすべてのタグがある場合、構成は準拠していると見なされます。最大 6 つのタグを指定できます。 | グローバルリソースディレクトリ | オプションルール |
RAM ユーザーは指定された時間内にログオンしています。 | 各 RAM ユーザーが過去 90 日間に少なくとも 1 回システムにログオンしている場合、構成は準拠していると見なされます。RAM ユーザーのログオンレコードが存在しない場合、システムは更新時刻を確認します。RAM ユーザーが過去 90 日間に更新されている場合、構成は準拠していると見なされます。コンソールアクセスが無効になっている RAM ユーザーに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
SLB インスタンスに対して HTTPS リスニング機能が有効になっています。 | 各 SLB インスタンスの HTTPS リスナーにポート 80 とポート 8080 が指定されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
リソースは指定されたリージョンに属しています。 | 各リソースが指定されたリージョンに存在する場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
waf-instance-logging-enabled | Web Application Firewall ( WAF ) によって保護されている各ドメイン名に対してログ収集機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
vpc-flow-logs-enabled | 各 VPC に対してフローログ機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
api-group-integrated-waf | API Gateway の API グループが各カスタムドメイン名にバインドされており、ドメイン名が WAF によって保護されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
waf-domain-enabled-specified-protection-module | WAF によって保護されている各ドメイン名に対して保護機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
security-group-high-risk-port-all-disabled | 0.0.0.0/0 が各セキュリティグループのインバウンド IP アドレスホワイトリストに追加され、高リスクポートが無効になっている場合、構成は準拠していると見なされます。0.0.0.0/0 がセキュリティグループのインバウンド IP アドレスホワイトリストに追加されていない場合、高リスクポートが無効になっているかどうかに関係なく、構成は準拠していると見なされます。高リスクポートが優先順位の高い権限付与ポリシーによって拒否されている場合、構成は準拠していると見なされます。クラウドサービスまたは仮想ネットワークオペレーター ( VNO ) によって使用されているセキュリティグループに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
security-group-non-whitelist-port-setting-valid | セキュリティグループの各インバウンドルールで、インバウンドルールの [承認オブジェクト] パラメーターが 0.0.0.0/0 に設定されている場合に、範囲内のポートからのアクセスのみが許可されている場合、構成は準拠していると見なされます。クラウドサービスまたは VNO によって使用されているセキュリティグループに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
oss-bucket-anonymous-prohibited | ACL が公開読み書きである各 OSS バケットに対してバケットポリシーが構成されており、バケットポリシーで匿名アカウントに読み取りおよび書き込み権限が付与されていない場合、構成は準拠していると見なされます。ACL が非公開である OSS バケットに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
ecs-public-access-check | 各 ECS インスタンスにパブリック IPv4 アドレスまたはエラスティック IP アドレス ( EIP ) が指定されていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-public-and-any-ip-access-check | ApsaraDB RDS インスタンスに対してインターネットアクセスが有効になっており、0.0.0.0/0 が IP アドレスホワイトリストに追加されている場合、構成は非準拠と見なされます。 | グローバルリソースディレクトリ | オプションルール |
polardb-dbcluster-in-vpc | PolarDB インスタンスに対してインターネットアクセスが有効になっており、0.0.0.0/0 が IP アドレスホワイトリストに追加されている場合、構成は非準拠と見なされます。 | グローバルリソースディレクトリ | オプションルール |
cfw-all-asset-protection-enabled | Cloud Firewall のすべてのアセットに対して保護機能が有効になっている場合、構成は準拠していると見なされます。このルールは、有料版の Cloud Firewall に対してのみ有効です。Cloud Firewall をアクティブ化していない場合、または無料版の Cloud Firewall を使用している場合、Cloud Firewall のアセットに対して保護が無効になっている場合でも、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ecs-instance-enabled-security-protection | すべての実行中の ECS インスタンスに Security Center エージェントがインストールされて保護機能が提供されている場合、構成は準拠していると見なされます。実行されていない ECS インスタンスに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
security-center-version-check | Security Center Enterprise Edition 以降のエディションが使用されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ecs-instance-updated-security-vul | 各実行中の ECS インスタンスで Security Center によって特定のタイプまたは特定のレベルの未修正の脆弱性が検出されない場合、構成は準拠していると見なされます。実行されていない ECS インスタンスに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
rds-high-availability-category | 各 ApsaraDB RDS インスタンスに対して SQL Explorer および監査機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
actiontrail-trail-intact-enabled | ActionTrail にアクティブな証跡が存在し、すべてのリージョンで生成されるすべてのタイプのイベントが追跡されている場合、構成は準拠していると見なされます。リソースディレクトリの管理者がすべてのメンバーに適用される証跡を作成した場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-instance-sql-collector-retention | 各 ApsaraDB RDS for MySQL インスタンスに対して SQL Explorer および監査機能が有効になっており、SQL 監査ログを保持できる日数が指定された期間以上である場合、構成は準拠していると見なされます。デフォルトの期間は 180 日です。 | グローバルリソースディレクトリ | オプションルール |
ecs-snapshot-retention-days | ECS インスタンスの自動スナップショットが指定された日数以上保持されている場合、構成は準拠していると見なされます。デフォルトの期間は 7 日です。 | グローバルリソースディレクトリ | オプションルール |
polardb-cluster-level-one-backup-retention | 各 PolarDB クラスタのレベル 1 バックアップの保持期間が指定された日数以上である場合、構成は準拠していると見なされます。デフォルトの期間は 7 日です。 | グローバルリソースディレクトリ | オプションルール |
polardb-cluster-enabled-tde | 各 PolarDB クラスタのデータセキュリティ設定で TDE 機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
kms-credential-automatic-rotation-enabled | Key Management Service ( KMS ) シークレットに対して自動回転機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
cmk-automatic-rotation-enabled | KMS のカスタマーマスターキー ( CMK ) に対して自動回転機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
cmk-delete-protection-enabled | KMS CMK に対して削除保護機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
oss-encryption-byok-check | 各 OSS バケットの [暗号化方法] パラメーターが KMS に設定されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-instance-enabled-byok-tde | 各 ApsaraDB RDS インスタンスに対してカスタムキーを使用して TDE を有効にしている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
redis-instance-enabled-byok-tde | 各 ApsaraDB for Redis インスタンスに対してカスタムキーを使用して TDE を有効にしている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
cdn-domain-https-enabled | Alibaba Cloud CDN によって高速化される各ドメイン名に対して HTTPS が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
api-gateway-api-internet-request-https | API Gateway でインターネットアクセスを許可する各 API のリクエストメソッドが HTTPS に設定されている場合、構成は準拠していると見なされます。内部アクセスのみを許可する API に対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
elasticsearch-instance-used-https-protocol | 各 Elasticsearch インスタンスに対して HTTPS が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
oss-security-access-enabled | 各 OSS バケットのバケットポリシーで HTTPS 経由の読み取りおよび書き込み操作が許可され、HTTP 経由のアクセスが拒否されている場合、構成は準拠していると見なされます。バケットポリシーのない OSS バケットに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
slb-http-listener-security-policy-suite | 各 SLB インスタンスの HTTPS リスナーが特定のセキュリティポリシースイートバージョンを使用している場合、構成は準拠していると見なされます。HTTPS リスナーのない SLB インスタンスに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
fc-function-custom-domain-and-tls-enable | Function Compute の各関数がカスタムドメイン名にバインドされており、関数に対して特定のバージョンの Transport Layer Security ( TLS ) が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ecs-all-enabled-account-security-protection | 現在のアカウントに属する各 ECS インスタンスに Security Center エージェントがインストールされている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
security-center-concern-necessity-check | Security Center で特定のレベルのリスクの脆弱性スキャンが構成されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
security-center-notice-config-check | Security Center の各通知項目に通知方法が指定されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-instance-maintain-time-check | 各 ApsaraDB RDS インスタンスのメンテナンス期間が指定された時間範囲のいずれかと一致する場合、構成は準拠していると見なされます。ビジネスのピーク時間とメンテナンス期間が重複する場合、ビジネスに影響を与える可能性があります。 | グローバルリソースディレクトリ | オプションルール |
polardb-cluster-maintain-time-check | 各 PolarDB クラスタのメンテナンス期間が指定された時間範囲のいずれかと一致する場合、構成は準拠していると見なされます。ビジネスのピーク時間とメンテナンス期間が重複する場合、ビジネスに影響を与える可能性があります。 | グローバルリソースディレクトリ | オプションルール |
ram-user-no-has-specified-policy | 指定された条件を満たし、RAM ユーザーグループから継承された権限を含むポリシーが各 RAM ユーザーにアタッチされていない場合、構成は準拠していると見なされます。デフォルト設定を使用するポリシーには、管理者権限が含まれています。このポリシーが RAM ユーザーにアタッチされている場合、構成は非準拠と見なされます。 | グローバルリソースディレクトリ | オプションルール |
ram-policy-no-statements-with-admin-access-check | RAM ユーザー、RAM ユーザーグループ、および RAM ロールの [リソース] パラメーターと [アクション] パラメーターが、スーパー管理者権限を示す | グローバルリソースディレクトリ | オプションルール |
ram-user-ak-create-date-expired-check | 各 RAM ユーザーの AccessKey ペアが作成された時刻と現在の時刻の間の期間が指定された日数以下である場合、構成は準拠していると見なされます。デフォルトの期間は 90 日です。 | グローバルリソースディレクトリ | オプションルール |
ram-user-group-membership-check | 各 RAM ユーザーが RAM ユーザーグループに属している場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ram-user-login-check | 各 RAM ユーザーに対してコンソールアクセスと API アクセスが同時に有効になっていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ram-user-sso-enabled | 各 RAM ユーザーに対してシングルサインオン (SSO) 機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
アイドル状態の RAM ポリシーはありません。 | ポリシーが 1 つ以上の RAM ユーザーグループ、RAM ロール、または RAM ユーザーにアタッチされている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ram-group-has-member-check | 各 RAM ユーザーグループに 1 人以上の RAM ユーザーが含まれている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
security-center-leak-ak-check | Security Center でリークされた AccessKey ペアが検出されない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
polardb-cluster-enabled-auditing | 各 PolarDB クラスタに対して SQL 監査機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-instance-enabled-log-backup | ログバックアップ機能を有効にしないと、ローカルログの失われたデータを復元できません。各 ApsaraDB RDS インスタンスに対してログバックアップ機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
nas-filesystem-enable-backup-plan | 各 NAS ファイルシステムに対してバックアッププランが作成されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
polardb-cluster-log-backup-retention | 各 PolarDB クラスタのログバックアップの保持期間が指定された日数以上である場合、構成は準拠していると見なされます。デフォルトの期間は 30 日です。ログバックアップが有効になっていない場合、またはバックアップの保持期間が指定された日数より短い場合、構成は非準拠と見なされます。 | グローバルリソースディレクトリ | オプションルール |
oss-zrs-enabled | ゾーン冗長ストレージ機能が無効になっている場合、OSS はデータセンターが使用できなくなったときに一貫したサービスを提供したり、データリカバリを保証したりできません。各 OSS バケットに対してゾーン冗長ストレージ機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
sls-logstore-enabled-encrypt | Simple Log Service の各ログストアに対してデータ暗号化が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-event-log-enabled | 各 ApsaraDB RDS インスタンスに対してイベント履歴機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
polardb-cluster-default-time-zone-not-system | 各 PolarDB クラスタの | グローバルリソースディレクトリ | オプションルール |
ecs-instance-os-name-check | このルールを使用して、本番環境のすべての ECS インスタンスが同じオペレーティングシステムバージョンを使用していることを確認したり、セキュリティの脆弱性を防ぐためにサポートが正式に停止されたオペレーティングシステムを更新したりできます。各 ECS インスタンスのオペレーティングシステムの名前がホワイトリストに含まれているか、ブラックリストに含まれていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ecs-instance-monitor-enabled | 各実行中の ECS インスタンスに CloudMonitor エージェントがインストールされており、エージェントが想定どおりに実行されている場合、構成は準拠していると見なされます。実行されていない ECS インスタンスに対しては、ルールは有効になりません。 | グローバルリソースディレクトリ | オプションルール |
cms-created-rule-for-specified-product | 名前空間の各 Alibaba Cloud サービスに対して CloudMonitor に少なくとも 1 つのアラートルールが構成されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-instance-enabled-disk-encryption | 各 ApsaraDB RDS インスタンスに対してディスク暗号化機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ecs-in-use-disk-encrypted | 使用中の各 ECS データディスクに対して暗号化機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ecs-disk-mount-encrypted | マウントする各 ECS データディスクに対して暗号化機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ecs-vpc-enabled | VPC ID が指定されておらず、各 ECS インスタンスのネットワークタイプが VPC に設定されている場合、構成は準拠していると見なされます。VPC ID が指定されており、各 ECS インスタンスが指定された VPC のいずれかに存在する場合、構成は準拠していると見なされます。複数の VPC ID はコンマ (,) で区切ります。 | グローバルリソースディレクトリ | オプションルール |
ram-user-no-policy-check | 各 RAM ユーザーにポリシーがアタッチされていない場合、構成は準拠していると見なされます。各 RAM ユーザーが RAM ユーザーグループまたは RAM ロールから権限を継承するように構成することをお勧めします。 | グローバルリソースディレクトリ | オプションルール |
rds-postgresql-parameter-log-connections | 各 ApsaraDB RDS for PostgreSQL データベースの | グローバルリソースディレクトリ | オプションルール |
rds-postgresql-parameter-log-disconnections | 各 ApsaraDB RDS for PostgreSQL データベースの | グローバルリソースディレクトリ | オプションルール |
rds-postgresql-parameter-log-duration | 各 ApsaraDB RDS for PostgreSQL データベースの | グローバルリソースディレクトリ | オプションルール |
oss-authorization-policy-ip-limit-enabled | 各 OSS バケットの ACL が非公開に設定されているか、各 OSS バケットのバケットポリシーで特定の IP アドレスからのアクセスのみが許可されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
oss-acl-public-read-disabled | 各 OSS バケットの ACL が公開読み取りでない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ecs-all-enabled-account-security-protection | 現在のアカウントに属する各 ECS インスタンスに Security Center エージェントがインストールされている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
vpc-secondary-cidr-route-check | 関連するルートテーブルに、カスタム VPC CIDR ブロックの IP アドレスのルーティング情報を示すエントリが少なくとも 1 つ含まれている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-instance-enabled-ssl | 各 ApsaraDB RDS インスタンスのデータセキュリティ設定で SSL 証明書機能が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ack-cluster-terway-plugin-enabled | 各 Container Service for Kubernetes ( ACK ) クラスタで Terway ネットワークプラグインが使用されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ack-cluster-public-endpoint-disabled | 各 ACK クラスタの API サーバーにパブリックエンドポイントが構成されていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
ack-cluster-cloudmonitor-agent-installed | 各 ACK クラスタのすべてのノードに CloudMonitor エージェントがインストールされており、エージェントが想定どおりに実行されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
actiontrail-trail-enabled | ActionTrail で証跡が有効になっている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
高可用性 RDS インスタンスが購入されます | 各 ApsaraDB RDS インスタンスのエディションが高可用性の場合、構成は準拠していると見なされます。High-availability Edition の ApsaraDB RDS インスタンスを使用することをお勧めします。Basic Edition の ApsaraDB RDS インスタンスを使用する場合、システムの安定性が保証されない場合があります。注意して進めてください。 | グローバルリソースディレクトリ | オプションルール |
rds-multi-az-support | ApsaraDB RDS インスタンスが複数ゾーンにデプロイされている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
rds-instance-enabled-security-ip-list | 各 ApsaraDB RDS インスタンスに IP アドレスホワイトリストが構成されており、0.0.0.0/0 が IP アドレスホワイトリストに追加されていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
redis-instance-in-vpc | VPC ID が指定されておらず、各 ApsaraDB for Redis インスタンスのネットワークタイプが VPC に設定されている場合、構成は準拠していると見なされます。VPC ID が指定されており、各 ApsaraDB for Redis インスタンスが指定された VPC のいずれかに存在する場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
redis-public-access-check | 各 ApsaraDB for Redis インスタンスの IP アドレスホワイトリストに 0.0.0.0/0 が追加されていない場合、評価結果は [準拠] です。 | グローバルリソースディレクトリ | オプションルール |
mongodb-instance-in-vpc | VPC ID が指定されておらず、各 ApsaraDB for MongoDB インスタンスのネットワークタイプが VPC に設定されている場合、構成は準拠していると見なされます。VPC ID が指定されており、各 ApsaraDB for MongoDB インスタンスが指定された VPC のいずれかに存在する場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
mongodb-public-access-check | 各 ApsaraDB for MongoDB インスタンスの IP アドレスホワイトリストに 0.0.0.0/0 が追加されていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
PolarDB インスタンスのネットワークタイプは VPC です | VPC ID が指定されておらず、各 PolarDB インスタンスのネットワークタイプが VPC に設定されている場合、構成は準拠していると見なされます。VPC ID が指定されており、各 PolarDB インスタンスが指定された VPC のいずれかに存在する場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
sql-server-database-proxy-enabled | 各 ApsaraDB RDS for SQL Server データベースのアクセスモードがプロキシに設定されている場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
slb-acl-public-access-check | 各 SLB インスタンスの ACL に 0.0.0.0/0 が含まれていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |
eip-bandwidth-limit | 各 EIP の利用可能な帯域幅が指定された帯域幅以上である場合、構成は準拠していると見なされます。デフォルトの帯域幅は 10 MB です。 | グローバルリソースディレクトリ | オプションルール |
slb-loadbalancer-bandwidth-limit | 各 SLB インスタンスの利用可能な帯域幅が指定された帯域幅以上である場合、構成は準拠していると見なされます。デフォルトの帯域幅は 10 MB です。 | グローバルリソースディレクトリ | オプションルール |
polardb-public-access-check | 各 PolarDB インスタンスの IP アドレスホワイトリストに 0.0.0.0/0 が追加されていない場合、構成は準拠していると見なされます。 | グローバルリソースディレクトリ | オプションルール |