Cloud Governance Center:保護ルールの一元的な設定

ルール名

説明

適用範囲

ガイダンス

監査ログ用の OSS バケットでパブリック読み取り/書き込みアクセスが許可されていないことの確認

Agentic Cloud Governance Center が監査ログを保存するために指定した OSS バケットは、そのアクセス制御リスト (ACL) がパブリック読み取り/書き込みアクセスを禁止している場合に準拠しています。

ログアカウント

必須

監査ログを保存する OSS バケットでサーバー側の暗号化が有効になっていることの確認

Agentic Cloud Governance Center が監査ログを保存するために指定した OSS バケットは、OSS マネージドキー (SSE-OSS) によるサーバー側の暗号化が有効になっている場合に準拠しています。

ログアカウント

必須

Agentic Cloud Governance Center の指定サービスロールが存在することの確認

Agentic Cloud Governance Center の指定サービスロールが存在する場合、設定は準拠しています。

ログアカウント

任意

監査ログ用の OSS バケットの削除の禁止

このルールは、Agentic Cloud Governance Center が監査ログを保存するためにログアカウントに作成する OSS バケットの削除を禁止します。

コアフォルダー

必須

監査ログ用の OSS バケットの暗号化設定変更の禁止

このルールは、Agentic Cloud Governance Center が監査ログを保存するためにログアカウントに作成する OSS バケットの暗号化設定の変更を禁止します。

コアフォルダー

必須

監査ログ用の OSS バケットのライフサイクル設定変更の禁止

このルールは、Agentic Cloud Governance Center が監査ログを保存するためにログアカウントに作成する OSS バケットのライフサイクル設定の変更を禁止します。

コアフォルダー

必須

Agentic Cloud Governance Center の指定サービスロールの変更の禁止

このルールは、Agentic Cloud Governance Center が使用するサービスロールの変更を禁止します。

コアフォルダー

必須

Cloud Config の無効化の禁止

このルールは、リソースとコンプライアンスの監査のために Cloud Config が有効になっていることを保証します。

コアフォルダー

必須

リソースディレクトリ内の Alibaba Cloud アカウントに AccessKey が存在しないことの確認

Alibaba Cloud アカウントは、どの状態においても AccessKey を持たない場合に準拠しています。

リソースディレクトリのグローバル

推奨

リソースディレクトリ内のすべての Alibaba Cloud アカウントで MFA が有効になっていることの確認

Alibaba Cloud アカウントは、多要素認証 (MFA) が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

推奨

すべての ECS データディスクで暗号化が有効になっていることの確認

ECS データディスクは、暗号化が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

推奨

セキュリティグループがリスクの高いポートをすべてのネットワークに公開しないことの確認

セキュリティグループは、ポート 22 または 3389 への 0.0.0.0/0 CIDR ブロックからのトラフィックを許可するインバウンドルールがない場合に準拠しています。

リソースディレクトリのグローバル

推奨

セキュリティグループのインバウンドルールが有効であることの確認

セキュリティグループは、許可 アクションを持つインバウンドルールで、ポート範囲が -1/-1 で、かつ送信元が 0.0.0.0/0 であるものがない場合に準拠しています。

リソースディレクトリのグローバル

推奨

すべての OSS バケットでパブリック読み取り/書き込みアクセスが無効になっていることの確認

OSS バケットは、その ACL ポリシーがパブリック読み取り/書き込みアクセスを禁止している場合に準拠しています。

リソースディレクトリのグローバル

推奨

RDS インスタンスで TDE が有効になっていることの確認

RDS インスタンスは、そのデータセキュリティ設定で透過的データ暗号化 (TDE) が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

推奨

RDS インスタンスが Virtual Private Cloud (VPC) を使用していることの確認

RDS インスタンスは、そのネットワークタイプが Virtual Private Cloud (VPC) である場合に準拠しています。パラメーターが指定されている場合、インスタンスは、その VPC ID が提供されたカンマ区切りのリストに含まれている場合にのみ準拠しています。

リソースディレクトリのグローバル

推奨

RDS の IP ホワイトリストがすべてのネットワークに公開されていないことの確認

RDS インスタンスは、その IP ホワイトリストが 0.0.0.0/0 に設定されていない場合に準拠しています。

リソースディレクトリのグローバル

推奨

OSS バケットでアクセスログ記録が有効になっていることの確認

OSS バケットは、そのログ管理設定でログ記録が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

RAM ユーザーのパスワードポリシーが要件を満たしていることの確認

パスワードポリシーは、その設定がアクセス制御 (RAM) で定義された要件を満たしている場合に準拠しています。

リソースディレクトリのグローバル

推奨

RAM ユーザーに非アクティブな AccessKey がないことの確認

RAM ユーザーの AccessKey は、その最終使用日時が指定された期間内である場合に準拠しています。デフォルト：90 日。

リソースディレクトリのグローバル

推奨

ECS インスタンスでリリース保護が有効になっていることの確認

ECS インスタンスは、リリース保護が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

推奨

SLB インスタンスでリリース保護が有効になっていることの確認

SLB インスタンスは、リリース保護が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

推奨

すべての OSS バケットでサーバー側の暗号化が有効になっていることの確認

OSS バケットは、OSS マネージドキー (SSE-OSS) によるサーバー側の暗号化が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

RAM ユーザーで MFA が有効になっていることの確認

RAM ユーザーは、多要素認証 (MFA) が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

リソースに指定されたタグの少なくとも 1 つが付与されていることの確認

タグには複数の値を指定できます。リソースは、指定された値の少なくとも 1 つを持つタグが付与されている場合に準拠しています。

リソースディレクトリのグローバル

任意

リソースに指定されたすべてのタグが付与されていることの確認

最大 6 つのタグを定義できます。リソースは、指定されたすべてのタグが付与されている場合に準拠しています。

リソースディレクトリのグローバル

任意

RAM ユーザーが指定された時間内にログインしていることの確認

RAM ユーザーは、過去 90 日以内にログインしている場合に準拠しています。最終ログイン時刻が不明な場合、ユーザーはアカウントの最終更新時刻が過去 90 日以内であれば準拠しています。このルールは、コンソールアクセス権のないユーザーには適用されません。

リソースディレクトリのグローバル

任意

SLB インスタンスで HTTPS リスナーが有効になっていることの確認

SLB インスタンスは、HTTPS リスナーが設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

リソースが指定されたリージョンに配置されていることの確認

リソースは、ルールパラメーターで指定されたリージョンのいずれかに配置されている場合に準拠しています。

リソースディレクトリのグローバル

任意

WAF インスタンスでログ収集が有効になっていることの確認

WAF で保護されているすべてのドメインでログ収集が有効になっている場合、設定は準拠しています。

リソースディレクトリのグローバル

任意

VPC でフローログが有効になっていることの確認

VPC は、フローログ機能が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

API Gateway グループにバインドされたドメインが WAF で保護されていることの確認

API Gateway の API グループは、WAF で保護されたカスタムドメインにバインドされている場合に準拠しています。

リソースディレクトリのグローバル

任意

WAF で保護されたドメインで指定された保護機能が有効になっていることの確認

WAF で保護されたドメインは、指定された保護モジュールが有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

セキュリティグループが指定されたプロトコルのリスクの高いポートをすべてのネットワークに公開しないことの確認

セキュリティグループは、0.0.0.0/0 CIDR ブロックに対するインバウンドルールに、指定されたプロトコルの指定されたリスクの高いポートが含まれていない場合に準拠しています。また、より優先度の高いルールがリスクの高いポートへのアクセスを拒否している場合も準拠しています。このルールは、Alibaba Cloud サービスまたはそのリセラーが使用するセキュリティグループには適用されません。

リソースディレクトリのグローバル

任意

セキュリティグループ内のホワイトリストにないポートに対して有効なインバウンドルールがあることの確認

セキュリティグループは、指定されたホワイトリストにないすべてのポートについて、アクションが 許可 で、かつ送信元が 0.0.0.0/0 であるインバウンドルールがない場合に準拠しています。このルールは、Alibaba Cloud サービスまたはそのリセラーが使用するセキュリティグループには適用されません。

リソースディレクトリのグローバル

任意

パブリック OSS バケットに匿名アクセスを拒否する権限ポリシーがあることの確認

パブリック読み取り/書き込み権限を持つ OSS バケットは、匿名ユーザーにいかなる読み取りまたは書き込み権限も付与しないバケットポリシーがある場合に準拠しています。このルールはプライベートバケットには適用されません。

リソースディレクトリのグローバル

任意

ECS インスタンスへのパブリック IP アドレスの関連付けの禁止

ECS インスタンスは、パブリック IPv4 アドレスまたは Elastic IP アドレス (EIP) に直接関連付けられていない場合に準拠しています。

リソースディレクトリのグローバル

任意

パブリックアクセス可能な RDS インスタンスの IP ホワイトリストがすべてのネットワークに公開されていないことの確認

パブリックアクセス可能な RDS インスタンスは、その IP ホワイトリストが 0.0.0.0/0 に設定されていない場合にのみ準拠しています。

リソースディレクトリのグローバル

任意

パブリックアクセス可能な PolarDB クラスターの IP ホワイトリストがすべてのネットワークに公開されていないことの確認

パブリックアクセス可能な PolarDB クラスターは、その IP ホワイトリストが 0.0.0.0/0 に設定されていない場合にのみ準拠しています。

リソースディレクトリのグローバル

任意

すべての資産が Cloud Firewall で保護されていることの確認

準拠するには、すべての資産が Cloud Firewall で保護されている必要があります。このルールは有料版にのみ適用されます。無料版を使用しているアカウントやサブスクリプションがないアカウントは、デフォルトで準拠しています。

リソースディレクトリのグローバル

任意

実行中の ECS インスタンスが Security Center によって保護されていることの確認

ECS インスタンスは、Security Center エージェントがインストールされている場合に準拠しています。このルールは、実行されていないインスタンスには適用されません。

リソースディレクトリのグローバル

任意

Security Center Enterprise Edition 以上が使用されていることの確認

アカウントは、Security Center の Enterprise Edition またはそれ以上のエディションを使用している場合に準拠しています。

リソースディレクトリのグローバル

任意

実行中の ECS インスタンスに保留中の脆弱性がないことの確認

ECS インスタンスは、Security Center で指定されたタイプと重大度レベルの未対応の脆弱性がない場合に準拠しています。このルールは、実行されていないインスタンスには適用されません。

リソースディレクトリのグローバル

任意

RDS インスタンスで SQL 監査が有効になっていることの確認

RDS インスタンスは、SQL 監査が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

ActionTrail でグローバルイベントログが有効になっていることの確認

すべてのリージョンですべてのイベントタイプをログに記録する有効なトレイルが ActionTrail に存在する場合、設定は準拠しています。リソースディレクトリ内のメンバーアカウントは、管理アカウントがすべてのメンバーアカウントに適用されるトレイルを作成した場合にも準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスの SQL 監査ログ保持期間が要件を満たしていることの確認

RDS for MySQL インスタンスは、SQL 監査が有効で、ログ保持期間が指定値以上である場合に準拠しています。デフォルト：180 日。

リソースディレクトリのグローバル

任意

自動 ECS スナップショットの保持期間が要件を満たしていることの確認

ECS の自動スナップショットポリシーは、スナップショット保持期間が指定された日数よりも長い場合に準拠しています。デフォルト：7 日。

リソースディレクトリのグローバル

任意

PolarDB クラスターのレベル 1 バックアップ保持期間が要件を満たしていることの確認

PolarDB クラスターは、そのレベル 1 バックアップ保持期間が指定された日数以上である場合に準拠しています。デフォルト：7 日。

リソースディレクトリのグローバル

任意

PolarDB クラスターで TDE が有効になっていることの確認

PolarDB クラスターは、TDE が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

KMS の認証情報で自動ローテーションが設定されていることの確認

Key Management Service (KMS) の認証情報は、自動ローテーションが設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

KMS のカスタマーマスターキー (CMK) で自動ローテーションが設定されていることの確認

KMS のカスタマーマスターキー (CMK) は、自動ローテーションが設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

KMS CMK で削除保護が有効になっていることの確認

KMS カスタマーマスターキー (CMK) は、削除保護が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

OSS バケットがカスタマー管理の KMS キーで暗号化されていることの確認

OSS バケットは、KMS のカスタマー管理キーで暗号化されている場合に準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスが TDE にカスタマー管理キーを使用していることの確認

RDS インスタンスは、TDE を有効にするためにカスタマー管理キーを使用している場合に準拠しています。

リソースディレクトリのグローバル

任意

ApsaraDB for Redis インスタンスが TDE にカスタマー管理キーを使用していることの確認

ApsaraDB for Redis インスタンスは、TDE を有効にするためにカスタマー管理キーを使用している場合に準拠しています。

リソースディレクトリのグローバル

任意

CDN ドメインで HTTPS が有効になっていることの確認

CDN ドメインは、HTTPS プロトコルが有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

API Gateway のパブリック API が HTTPS を使用していることの確認

API Gateway のパブリック API は、そのリクエストプロトコルが HTTPS に設定されている場合に準拠しています。このルールは、内部アクセスのみに制限されている API には適用されません。

リソースディレクトリのグローバル

任意

Alibaba Cloud Elasticsearch インスタンスが HTTPS プロトコルを使用していることの確認

Alibaba Cloud Elasticsearch インスタンスは、HTTPS トランスポートプロトコルを使用している場合に準拠しています。

リソースディレクトリのグローバル

任意

OSS バケットポリシーがセキュアなトランスポートを強制していることの確認

OSS バケットは、そのバケットポリシーが読み取り/書き込み操作に HTTPS を強制するか、HTTP 経由のアクセスを明示的に拒否する場合に準拠しています。このルールは、バケットポリシーがないバケットには適用されません。

リソースディレクトリのグローバル

任意

SLB インスタンスの HTTPS リスナーが指定された TLS ポリシーを使用していることの確認

SLB インスタンスは、すべての HTTPS リスナーがパラメーターで指定された TLS ポリシーバージョンを使用している場合に準拠しています。このルールは、HTTPS リスナーがないインスタンスには適用されません。

リソースディレクトリのグローバル

任意

Function Compute 関数が指定された TLS バージョンのカスタムドメインにバインドされていることの確認

Function Compute 関数は、カスタムドメインにバインドされ、指定されたバージョンの TLS が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

アカウント内のすべての ECS インスタンスに Security Center エージェントがインストールされていることの確認

Alibaba Cloud アカウントは、そのすべての ECS インスタンスに Security Center エージェントがインストールされている場合に準拠しています。

リソースディレクトリのグローバル

任意

Security Center で指定されたリスクレベルの脆弱性スキャンが設定されていることの確認

Security Center で指定されたリスクレベルの脆弱性スキャンが設定されている場合、設定は準拠しています。

リソースディレクトリのグローバル

任意

Security Center のすべてのアラート項目に通知方法が設定されていることの確認

Security Center のすべてのアラート項目に通知方法が設定されている場合、設定は準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスに適切なメンテナンスウィンドウが設定されていることの確認

RDS インスタンスは、そのメンテナンスウィンドウがパラメーターで指定された時間帯のいずれかに該当する場合に準拠しています。メンテナンスウィンドウがビジネスのピーク時間と重なると、サービスに影響を与える可能性があります。

リソースディレクトリのグローバル

任意

PolarDB クラスターに適切なメンテナンスウィンドウが設定されていることの確認

PolarDB クラスターは、そのメンテナンスウィンドウがパラメーターで指定された時間帯のいずれかに該当する場合に準拠しています。メンテナンスウィンドウがビジネスのピーク時間と重なると、サービスに影響を与える可能性があります。

リソースディレクトリのグローバル

任意

RAM ユーザーとそのグループに指定された条件の権限ポリシーがアタッチされていないことの確認

RAM ユーザーは、ユーザー自身または所属する RAM ユーザーグループのいずれにも、指定された条件を満たす権限ポリシーがアタッチされていない場合に準拠しています。デフォルトでは、このルールは管理者権限を非準拠としてフラグ付けします。

リソースディレクトリのグローバル

任意

スーパー管理者が存在しないことの確認

RAM ユーザー、RAM ユーザーグループ、または RAM ロールにスーパー管理者権限 (Resource:* および Action:*) を付与するポリシーがない場合、設定は準拠しています。

リソースディレクトリのグローバル

任意

RAM ユーザーの AccessKey が指定された期間内にローテーションされていることの確認

RAM ユーザーの AccessKey は、指定された日数以内に作成された場合に準拠しています。デフォルト：90 日。

リソースディレクトリのグローバル

任意

すべての RAM ユーザーがユーザーグループに属していることの確認

すべての RAM ユーザーが少なくとも 1 つの RAM ユーザーグループに属している場合、設定は準拠しています。

リソースディレクトリのグローバル

任意

RAM ユーザーアクセスがコンソール利用とプログラムによる利用を分離していることの確認

RAM ユーザーは、コンソールパスワードログインとプログラムによるアクセス (AccessKey) の両方を同時に有効にしていない場合に準拠しています。

リソースディレクトリのグローバル

任意

RAM ユーザーで SSO が有効になっていることの確認

RAM ユーザーは、シングルサインオン (SSO) が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

アタッチされていない RAM 権限ポリシーが存在しないことの確認

RAM 権限ポリシーは、少なくとも 1 つの RAM ユーザー、RAM ユーザーグループ、または RAM ロールにアタッチされている場合に準拠しています。

リソースディレクトリのグローバル

任意

RAM ユーザーグループが空でないことの確認

RAM ユーザーグループは、少なくとも 1 人の RAM ユーザーを含んでいる場合に準拠しています。

リソースディレクトリのグローバル

任意

Security Center によって漏洩した AccessKey が検出されないことの確認

Security Center が漏洩した AccessKey 情報を検出していない場合、設定は準拠しています。

リソースディレクトリのグローバル

任意

PolarDB クラスターで SQL 監査が有効になっていることの確認

PolarDB クラスターは、SQL 監査が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスでログバックアップが有効になっていることの確認

RDS インスタンスは、ログバックアップが有効になっている場合に準拠しています。ログバックアップを無効にすると、ローカルログが回復不能な場合にデータ損失のリスクが生じます。

リソースディレクトリのグローバル

任意

NAS ファイルシステムにバックアッププランが作成されていることの確認

NAS ファイルシステムは、バックアッププランがある場合に準拠しています。

リソースディレクトリのグローバル

任意

PolarDB クラスターのログバックアップ保持期間が要件を満たしていることの確認

PolarDB クラスターは、そのログバックアップ保持期間が指定された日数以上である場合に準拠しています。デフォルト値は 30 日です。ログバックアップが無効になっているか、保持期間が指定値未満の場合、クラスターは非準拠となります。

リソースディレクトリのグローバル

任意

OSS バケットでゾーン冗長ストレージ (ZRS) が有効になっていることの確認

OSS バケットは、ゾーン冗長ストレージ (ZRS) が有効になっている場合に準拠しています。ZRS は、アベイラビリティーゾーンの障害が発生した場合のサービス継続性とデータ回復の確保に役立ちます。

リソースディレクトリのグローバル

任意

Log Service Logstore でデータ暗号化が設定されていることの確認

Log Service の Logstore は、データ暗号化が設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスで履歴イベントログが有効になっていることの確認

RDS インスタンスは、履歴イベントログが有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

PolarDB クラスターのデフォルトタイムゾーンが SYSTEM に設定されていないことの確認

PolarDB クラスターは、その default_time_zone パラメーターが SYSTEM に設定されていない場合に準拠しています。データベースの一貫性を確保するために、明示的なタイムゾーンを指定することを推奨します。

リソースディレクトリのグローバル

任意

ECS インスタンスが指定されたオペレーティングシステムバージョンを使用していることの確認

ECS インスタンスは、その OS 名が指定されたホワイトリストにあるか、指定されたブラックリストにない場合に準拠しています。これにより、OS バージョンが標準化され、セキュリティ脆弱性を防ぐためにサポートされていないバージョンからの速やかなアップグレードを促します。

リソースディレクトリのグローバル

任意

実行中の ECS インスタンスに CloudMonitor エージェントがインストールされていることの確認

実行中の ECS インスタンスは、CloudMonitor エージェントがインストールされ、実行されている場合に準拠しています。このルールは、実行されていないインスタンスには適用されません。

リソースディレクトリのグローバル

任意

指定されたクラウド製品に対して CloudMonitor アラートルールが設定されていることの確認

クラウド製品は、その名前空間に対して CloudMonitor で少なくとも 1 つのアラートルールが設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスでクラウドディスク暗号化が有効になっていることの確認

RDS インスタンスは、クラウドディスク暗号化が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

使用中の ECS データディスクで暗号化が有効になっていることの確認

使用中の ECS データディスクは、暗号化が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

アタッチされていない ECS データディスクで暗号化が有効になっていることの確認

アタッチされていない ECS データディスクは、暗号化が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

ECS インスタンスが Virtual Private Cloud (VPC) を使用していることの確認

ECS インスタンスは、そのネットワークタイプが Virtual Private Cloud (VPC) である場合に準拠しています。パラメーターが指定されている場合、インスタンスは、その VPC ID が提供されたカンマ区切りのリストに含まれている場合に準拠しています。

リソースディレクトリのグローバル

任意

RAM ユーザーへのポリシーの直接アタッチの禁止

RAM ユーザーは、ポリシーを直接アタッチする代わりに RAM ユーザーグループまたは RAM ロールから権限を継承する場合に準拠しています。

リソースディレクトリのグローバル

任意

PostgreSQL パラメーター log_connections が on に設定されていることの確認

RDS for PostgreSQL インスタンスは、log_connections パラメーターが on に設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

PostgreSQL パラメーター log_disconnections が on に設定されていることの確認

RDS for PostgreSQL インスタンスは、log_disconnections パラメーターが on に設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

PostgreSQL パラメーター log_duration が on に設定されていることの確認

RDS for PostgreSQL インスタンスは、log_duration パラメーターが on に設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

OSS バケットポリシーに IP 制限があることの確認

OSS バケットは、読み取り/書き込み権限がプライベートに設定されているか、またはバケットポリシーに特定の IP アドレスからのアクセスのみを許可するルールが含まれている場合に準拠しています。

リソースディレクトリのグローバル

任意

OSS バケットの ACL がパブリック読み取りアクセスを禁止していることの確認

OSS バケットは、その ACL ポリシーがパブリック読み取りアクセスを禁止している場合に準拠しています。

リソースディレクトリのグローバル

任意

Ensure the Security Center agent is installed on all ECS instances in an account

An Alibaba Cloud account is compliant if the Security Center agent is installed on all of its ECS instances.

Global for Resource Directory

Optional

VPC のカスタム CIDR ブロックにルートが設定されていることの確認

VPC は、その関連ルートテーブルにカスタム CIDR ブロック内の IP アドレスに対するルートが少なくとも 1 つ含まれている場合に準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスで SSL 証明書が使用されていることの確認

RDS インスタンスは、そのデータセキュリティ設定で SSL が有効になっている場合に準拠しています。

リソースディレクトリのグローバル

任意

ACK クラスターが Terway ネットワークプラグインを使用していることの確認

ACK クラスターは、Terway ネットワークプラグインを使用している場合に準拠しています。

リソースディレクトリのグローバル

任意

ACK クラスターでパブリック API サーバーエンドポイントが無効になっていることの確認

ACK クラスターは、パブリック API サーバーエンドポイントが設定されていない場合に準拠しています。

リソースディレクトリのグローバル

任意

ACK クラスターノードに CloudMonitor エージェントがインストールされていることの確認

ACK クラスターは、すべてのノードに CloudMonitor エージェントがインストールされ、実行されている場合に準拠しています。

リソースディレクトリのグローバル

任意

ActionTrail のトレイルが有効になっていることの確認

ActionTrail のトレイルは、そのステータスが有効である場合に準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスが High-availability Edition を使用していることの確認

RDS インスタンスは、High-availability Edition を使用している場合に準拠しています。安定性の低い Basic Edition の代わりにこのエディションを使用することを推奨します。

リソースディレクトリのグローバル

任意

RDS インスタンスが複数のアベイラビリティーゾーンを使用していることの確認

RDS インスタンスは、複数のアベイラビリティーゾーンにまたがってデプロイされている場合に準拠しています。

リソースディレクトリのグローバル

任意

RDS インスタンスの IP ホワイトリストが正しく設定されていることの確認

RDS インスタンスは、IP ホワイトリストが有効になっており、0.0.0.0/0 を含まない場合に準拠しています。

リソースディレクトリのグローバル

任意

ApsaraDB for Redis インスタンスが Virtual Private Cloud (VPC) を使用していることの確認

ApsaraDB for Redis インスタンスは、そのネットワークタイプが Virtual Private Cloud (VPC) である場合に準拠しています。パラメーターが指定されている場合、インスタンスは、その VPC ID が提供されたカンマ区切りのリストに含まれている場合に準拠しています。

リソースディレクトリのグローバル

任意

ApsaraDB for Redis インスタンスの IP ホワイトリストがすべてのネットワークに公開されていないことの確認

ApsaraDB for Redis インスタンスは、その IP ホワイトリストが 0.0.0.0/0 に設定されていない場合に準拠しています。

リソースディレクトリのグローバル

任意

ApsaraDB for MongoDB インスタンスが Virtual Private Cloud (VPC) を使用していることの確認

ApsaraDB for MongoDB インスタンスは、そのネットワークタイプが Virtual Private Cloud (VPC) である場合に準拠しています。パラメーターが指定されている場合、インスタンスは、その VPC ID が提供されたカンマ区切りのリストに含まれている場合に準拠しています。

リソースディレクトリのグローバル

任意

ApsaraDB for MongoDB インスタンスの IP ホワイトリストをすべてのネットワークに公開することの禁止

ApsaraDB for MongoDB インスタンスは、その IP ホワイトリストが 0.0.0.0/0 に設定されていない場合に準拠しています。

リソースディレクトリのグローバル

任意

PolarDB インスタンスが Virtual Private Cloud (VPC) を使用していることの確認

PolarDB インスタンスは、そのネットワークタイプが Virtual Private Cloud (VPC) である場合に準拠しています。パラメーターが指定されている場合、インスタンスは、その VPC ID が提供されたカンマ区切りのリストに含まれている場合に準拠しています。

リソースディレクトリのグローバル

任意

SQL Server がデータベースプロキシモードでアクセスされることの確認

RDS for SQL Server インスタンスは、そのアクセスモードがデータベースプロキシモードに設定されている場合に準拠しています。

リソースディレクトリのグローバル

任意

SLB アクセス制御リストがすべての IP アドレスからのトラフィックを許可しないことの確認

SLB アクセス制御リスト (ACL) は、0.0.0.0/0 エントリを含まない場合に準拠しています。

リソースディレクトリのグローバル

任意

EIP インスタンスの帯域幅が最小要件を満たしていることの確認

Elastic IP アドレス (EIP) インスタンスは、利用可能な帯域幅が指定値以上である場合に準拠しています。デフォルト：10 Mbps。

リソースディレクトリのグローバル

任意

SLB インスタンスが指定された帯域幅要件を満たしていることの確認

SLB インスタンスは、その利用可能な帯域幅が指定値以上である場合に準拠しています (デフォルト：10 Mbps)。

リソースディレクトリのグローバル

任意

PolarDB インスタンスの IP ホワイトリストをすべてのネットワークに公開することの禁止

PolarDB インスタンスは、その IP ホワイトリストが 0.0.0.0/0 に設定されていない場合に準拠しています。

リソースディレクトリのグローバル

任意