このトピックでは、ガバナンス成熟度評価モデル 3.0 でサポートされるチェック項目について説明します。
セキュリティ
カテゴリ | チェック項目 | 説明 | クイックフィックスの説明 | 支援付き意思決定のサポート |
要員の ID 管理 | Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっていない | セキュリティをさらに強化するために、Alibaba Cloud アカウント (root ユーザー) で多要素認証 (MFA) を有効にしてください。MFA を使用しない設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
要員の ID 管理 | Resource Access Management (RAM) ユーザーでコンソールログインと AccessKey の両方が有効になっている | 最小権限の原則に従い、RAM ユーザーはコンソールログインと AccessKey の両方を持つべきではありません。この条件が存在する場合、設定は非準拠と見なされます。アカウントでシングルサインオン (SSO) が有効になっている場合、コンソールログイン設定は無視されます。ただし、ユーザーが AccessKey を持ち、過去 7 日以内にコンソールにログインした場合、設定は依然として非準拠と見なされます。 | この修正により、選択した RAM ユーザーのコンソールログインが無効になります。修正を適用する前に、ユーザーがコンソールアクセスを必要としなくなったことを確認してください。 | はい |
要員の ID 管理 | RAM ユーザーで MFA が有効になっていない | MFA は RAM ユーザーにさらなるセキュリティ層を提供します。RAM ユーザーでコンソールログインが有効になっているが MFA が有効になっていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | はい |
要員の ID 管理 | ID 管理に RAM が使用されていない | Alibaba Cloud アカウント (root ユーザー) は広範な権限を持っており、侵害されると高いセキュリティリスクをもたらします。日常業務には RAM ID を使用する必要があります。RAM ID が存在しない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
要員の ID 管理 | RAM ユーザーがパスワード強度の要件を満たしていない | 強力なパスワードポリシーを適用することで、クレデンシャルスタッフィングやブルートフォース攻撃のリスクを軽減します。パスワードの長さ、文字種、有効期限、履歴、または再試行制限の要件が適用されていない場合、設定は非準拠と見なされます。 | この修正により、RAM のパスワード強度設定が更新されます。設定は次のように構成されます:最小パスワード長 8 文字、少なくとも 3 種類の文字種の要件、最大パスワード有効期間 90 日、および 1 時間あたり 5 回のログイン試行制限。これらはベストプラクティスの推奨事項です。より厳しい要件を適用するためにパラメーターを調整できます。設定が完了すると、設定はすべての RAM ユーザーに適用されます。 | いいえ |
要員の ID 管理 | Alibaba Cloud アカウントが過去 90 日以内にコンソールにログインした | Alibaba Cloud アカウント (root ユーザー) は、ソース IP や時間などの条件で制限できない広範な権限を持っています。このアカウントが侵害されると、高いセキュリティリスクをもたらします。アカウントが過去 90 日以内にコンソールへのログインに使用された場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
要員の ID 管理 | 非アクティブな RAM ユーザーが存在する | コンソールログインが有効になっている RAM ユーザーは、パスワードを使用してログインします。パスワードが存在する期間が長いほど、漏洩のリスクが高くなります。RAM ユーザーが 90 日以上ログインしていない場合、設定は非準拠と見なされます。 | この修正により、選択した RAM ユーザーのコンソールログインが無効になります。修正を適用する前に、ユーザーがコンソールアクセスを必要としなくなったことを確認してください。注:SSO が有効になっている場合、コンソールログインを無効にしても、ユーザーはリソースリストから削除されません。アラートをクリアするには、RAM ユーザーを削除する必要があります。 | はい |
要員の ID 管理 | コンソールログインに RAM SSO が有効になっていない | SSO を使用してユーザー ID を一元管理し、セキュリティリスクを軽減します。RAM SSO が設定されていない場合、または過去 30 日間に SSO ログインが発生していない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
要員の ID 管理 | マルチアカウント ID の統合管理が推奨される | Cloud SSO を使用して、組織全体のすべてのユーザーを管理します。Alibaba Cloud SSO 用にエンタープライズ ID プロバイダー (IdP) を設定し、Resource Directory (RD) のメンバーアカウントに均一なアクセス権限を設定できます。Cloud SSO が 90 日以上使用されていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
要員の ID 管理 | RAM SCIM ユーザー同期が有効になっていない | System for Cross-domain Identity Management (SCIM) は、エンタープライズ ID を Alibaba Cloud に同期し、手動でのユーザー作成の必要性をなくします。SCIM が設定されていない場合、または同期されたユーザーが 2 か月間ログインしていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
プログラムによる ID 管理 | Alibaba Cloud アカウントにアクティブな AccessKey が存在する | Alibaba Cloud アカウント (root ユーザー) の AccessKey は、アカウントへの完全な権限を付与します。ソース IP や時間などの条件で制限することはできません。この AccessKey が漏洩すると、高いセキュリティリスクをもたらします。アカウントにアクティブな AccessKey が存在する場合、設定は非準拠と見なされます。 | この修正により、Alibaba Cloud アカウント (root ユーザー) の選択した AccessKey が無効になります。修正を適用する前に、AccessKey がどのプログラムやアプリケーションでも使用されていないことを確認してください。AccessKey を無効にすると、セキュリティスコアが部分的に向上しますが、AccessKey が削除されるまでアラートは持続します。注:この修正は Alibaba Cloud アカウント (root ユーザー) のみ実行できます。RAM ユーザーまたは RAM ロールを使用してこの修正を実行しようとすると失敗します。 | はい |
プログラムによる ID 管理 | RAM ユーザーに 2 つのアクティブな AccessKey がある | 2 つのアクティブな AccessKey を持つ RAM ユーザーはそれらをローテーションできず、セキュリティリスクが増大します。RAM ユーザーに 2 つのアクティブな AccessKey がある場合、設定は非準拠と見なされます。 | この修正により、RAM ユーザーの選択した AccessKey が無効になります。修正を適用する前に、AccessKey がどのプログラムやアプリケーションでも使用されていないことを確認してください。 | はい |
プログラムによる ID 管理 | 公開され、未処理の AccessKey が存在する | AccessKey が公開されると、攻撃者はそれを使用してリソースやデータにアクセスできます。未処理の AccessKey 漏洩イベントが存在する場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
プログラムによる ID 管理 | KMS キーが削除予定になっている (モデル 3.0 の新機能) | カスタマーマスターキー (CMK) が削除されると、回復できません。CMK とその関連データキーで暗号化されたデータは、永久に復号できなくなります。偶発的な削除やサービスの中断を防ぐため、アクティブな CMK が削除予定になっていないことを確認してください。CMK が削除予定になっている場合、設定は非準拠と見なされます。 | この修正により、選択した Key Management Service (KMS) キーの削除予定がキャンセルされます。キーのステータスは「削除予定」から「有効」に変わります。キーが有効になると、データの暗号化と復号に使用でき、標準の課金料金が適用されます。 | いいえ |
プログラムによる ID 管理 | AccessKey が定期的にローテーションされていない | AccessKey を定期的にローテーションすることで、漏洩時間を短縮し、漏洩のリスクを低減します。RAM ユーザーの AccessKey が 365 日以上使用されている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
プログラムによる ID 管理 | 非アクティブな AccessKey が存在する | RAM ユーザーの AccessKey は、Alibaba Cloud への API アクセスを許可します。AccessKey が公開されている期間が長いほど、漏洩のリスクが高くなります。AccessKey が 365 日以上使用されていない場合、設定は非準拠と見なされます。 | この修正により、RAM ユーザーの選択した AccessKey が無効になります。修正を適用する前に、AccessKey がどのプログラムやアプリケーションでも使用されていないことを確認してください。AccessKey を無効にすると、セキュリティスコアが部分的に向上しますが、AccessKey が削除されるまでアラートは持続します。 | はい |
プログラムによる ID 管理 | Redis インスタンスでパスワード認証が有効になっていない (モデル 3.0 の新機能) | VPC 内の Redis インスタンスでパスワード認証が有効になっていない、またはセキュリティ設定が誤っている場合、データ漏洩、不正な悪意のある行為、ネットワークセキュリティの問題、またはサービスの中断につながる可能性があります。VPC 内の Redis インスタンスでパスワード認証が無効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
プログラムによる ID 管理 | プログラムによるアクセスで AccessKey フリーのソリューションが使用されていない | ECS インスタンスにインスタンスロールがない、ACK クラスターに RRSA プラグインが有効になっていない、または Function Compute サービスにサービスロールがない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
プログラムによる ID 管理 | ECS インスタンスが強化されたメタデータサービス (V2) を使用していない | ECS インスタンスには強化されたメタデータサービス (V2) を使用して、V1 で発生する可能性のある Security Token Service (STS) トークンの漏洩を防ぎます。ECS インスタンスが V1 を使用している場合、設定は非準拠と見なされます。この問題を解決するには、メタデータサービスを V2 にアップグレードしてください。 | クイックフィックスはサポートされていません。 | いいえ |
権限管理 | AdministratorAccess 権限を持つ RAM ID が多すぎる | 最小権限の原則に従い、AdministratorAccess 権限を付与される RAM ID の数を制限する必要があります。この権限はすべてのリソースに対する完全な制御を許可し、あまりにも多くの ID に付与すると、潜在的な ID 漏洩の影響が増大します。AdministratorAccess 権限を持つ RAM ID が 3 つ以下の場合、設定は準拠していると見なされます。 | この修正により、AdministratorAccess 権限が PowerUserAccess 権限に置き換えられます。PowerUserAccess は Alibaba Cloud サービスとリソースへのフルアクセスを許可しますが、RAM ID、Resource Directory、共有リソース、または財務アカウント情報の管理権限は含まれません。この修正は権限監査ログを分析し、未使用の管理者 ID の AdministratorAccess 権限を PowerUserAccess 権限に自動的に置き換えます。 | いいえ |
権限管理 | 管理者以外の RAM ID が高リスクの課金権限を持ちすぎている | 最小権限の原則に従い、高リスクの課金権限を制限する必要があります。`bss:*`、`bssapi:*`、`bss:PayOrder`、`bss:Modify*`、`bss:Create*`、`bss:*Order*`、`bss:Delete*` などの権限は、ユーザーが注文、請求書、契約、請求書、取引、および引き出しを変更することを許可します。これらの権限の管理を誤ると、金銭的損失を引き起こす可能性があります。これらの権限を持つ管理者以外の RAM ID が 3 つ以下の場合、設定は準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
権限管理 | 管理者以外の RAM ID が高権限の権限を持ちすぎている | 最小権限の原則に従い、高権限の権限を制限する必要があります。これらの権限により、RAM ID は自身または他者の権限を昇格させることができます。これらの権限の誤用は、リソースのセキュリティと機密性を損なう可能性があります。高権限の権限を持つ管理者以外の RAM ID が 3 つ以下の場合、設定は準拠していると見なされます。高権限の権限の完全なリストについては、ドキュメントをご参照ください。 | クイックフィックスはサポートされていません。 | いいえ |
権限管理 | 管理者以外の RAM ID がすべての KMS キーに対する復号権限を持っている | KMS を使用すると、誰がキーを使用し、暗号化されたデータにアクセスできるかを制御できます。RAM ポリシーは、ユーザー、グループ、ロールなどの ID が特定のリソースに対して実行できるアクションを定義します。セキュリティのベストプラクティスに従い、必要な権限のみを付与し、特定のキーへのアクセスを制限してください。すべてのキーに対して `kms:Decrypt` 権限を付与すると、過剰なセキュリティリスクが生じます。代わりに、必要なキーの最小セットを特定し、それらのキーへのアクセスのみを許可してください。たとえば、特定のリージョンの特定のキーに対してのみ `kms:Decrypt` アクションを許可できます。このアプローチにより、データ漏洩のリスクが最小限に抑えられます。 | クイックフィックスはサポートされていません。 | いいえ |
権限管理 | RAM ID にアイドル状態の製品レベルの権限がある | 製品レベルの権限は、付与されてから指定された期間使用されない場合、アイドル状態と見なされます。これは、ロールの変更や、最初に付与された権限が広すぎた場合に発生する可能性があります。ベストプラクティスとして、詳細な権限付与を実現するために、アイドル状態の権限を回収する必要があります。RAM ID が 180 日間アイドル状態の製品レベルの権限を持っている場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
権限管理 | RAM ID にアイドル状態の高リスク操作権限がある | RAM ユーザーの作成などの高リスク操作権限は、付与されてから指定された期間使用されない場合、アイドル状態と見なされます。これは、ロールの変更や、最初に付与された権限が広すぎた場合に発生する可能性があります。ベストプラクティスとして、セキュリティインシデントを防ぐために、アイドル状態の高リスク権限を速やかに回収する必要があります。RAM ID が 180 日間アイドル状態の高リスク操作権限を持っている場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
権限管理 | すべての RAM ID が AdministratorAccess 権限を持っている | 最小権限の原則に従い、潜在的な ID 漏洩の影響を制限するために、すべての RAM ID に AdministratorAccess 権限を付与することは避けるべきです。少なくとも 1 つの RAM ID が管理者以外の権限を持っている場合、設定は準拠していると見なされます。 | この修正により、AdministratorAccess 権限が PowerUserAccess 権限に置き換えられます。PowerUserAccess は Alibaba Cloud サービスとリソースへのフルアクセスを許可しますが、RAM ID、Resource Directory、共有リソース、または財務アカウント情報の管理権限は含まれません。この修正は権限監査ログを分析し、未使用の管理者 ID の AdministratorAccess 権限を PowerUserAccess 権限に自動的に置き換えます。 | いいえ |
権限管理 | 権限管理に Access Analyzer が使用されていない (モデル 3.0 の新機能) | Access Analyzer は、外部アカウントと共有されているリソースを特定し、予期しない共有を検出してセキュリティリスクを軽減するのに役立ちます。また、過剰な権限を持つ ID を特定し、分析レポートを生成します。 | クイックフィックスはサポートされていません。 | いいえ |
権限管理 | マルチアカウントの境界保護にコントロールポリシーを使用することが推奨される | Resource Directory のコントロールポリシーにより、組織はメンバーアカウントがアクセスできるクラウドサービスと操作を制限できます。これにより、権限境界管理を一元化し、セキュリティ基準への準拠を確保できます。カスタムコントロールポリシーが作成され、Resource Directory のフォルダまたはメンバーアカウントにアタッチされていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
権限管理 | RAM ユーザーグループから権限を継承する RAM ユーザーがいない | デフォルトでは、RAM ユーザー、グループ、およびロールはどのリソースにもアクセスできません。RAM ポリシーを使用して権限を付与する必要があります。管理を簡素化し、偶発的な権限拡大のリスクを軽減するために、個々のユーザーではなくグループまたはロールにポリシーを適用する必要があります。少なくとも 1 人の RAM ユーザーが RAM ユーザーグループから権限を継承している場合、設定はベストプラクティスに準拠しています。 | クイックフィックスはサポートされていません。 | いいえ |
ログの収集とアーカイブ | ActionTrail ログが長期間保持されていない | トレイルが作成されていない、または既存のトレイルがすべてのリージョンからのイベントをアーカイブしていない、すべての読み取りおよび書き込み操作をアーカイブしていない、またはログを 180 日未満保持している場合、設定は非準拠と見なされます。 | この修正により、既存のトレイルの設定が強化され、すべての管理読み取りおよび書き込みイベントとすべてのリージョンからのイベントが含まれるようになります。更新するには、少なくとも 1 つの既存のトレイルを選択する必要があります。修正が適用された後に生成される新しいイベントは、トレイルの宛先ストレージに配信されます。履歴イベントは影響を受けません。 | いいえ |
ログの収集とアーカイブ | EDAS でログ収集が設定されていない (モデル 3.0 の新機能) | Alibaba Cloud Enterprise Distributed Application Service (EDAS) は、Simple Log Service (SLS) と統合して、Kubernetes クラスターからアプリケーションログとコンテナの標準出力ログを収集し、クエリと分析を行います。EDAS でログ収集が設定されていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ログの収集とアーカイブ | OSS バケットでリアルタイムログクエリが有効になっていない (モデル 3.0 の新機能) | Object Storage Service (OSS) のリアルタイムロギング機能は、監査、モニタリング、分析目的でバケットへのアクセスを記録します。リアルタイムロギングが無効になっている場合、またはログ保持期間が 180 日以下の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ログの収集とアーカイブ | OSS バケットでログ配信が有効になっていない (モデル 3.0 の新機能) | OSS アクセスログは大量のデータを生成する可能性があります。ログ配信機能は、固定の命名規則を使用して、1 時間ごとのログファイルを指定されたバケットに書き込みます。配信されたログは、Simple Log Service または Spark クラスターを使用して分析できます。OSS バケットでログ配信が有効になっている場合、設定は準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ログの収集とアーカイブ | ESA サイトにログ配信タスクが設定されていない | このチェックは、サイトに少なくとも 1 つのログタイプが設定されていることを確認し、モニタリング、分析、コンテンツ配信の最適化のためのリアルタイムアクセスログを提供します。ログタイプが設定されていない場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ログの収集とアーカイブ | Cloud Firewall ログが 180 日以上収集および保存されていない | Cloud Firewall はすべてのトラフィックを自動的にログに記録し、攻撃イベント、トラフィック詳細、操作ログの視覚化された監査ページを提供します。デフォルトのログ保持期間は 7 日です。コンプライアンスとセキュリティ強化のため、ログは 180 日以上保存する必要があります。Cloud Firewall のサブスクリプション版を購入したが、ログを 180 日以上保存していない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | この修正により、Cloud Firewall のログ分析が有効になり、ログ保持期間が設定されます。データ保護およびネットワークセキュリティ規制に準拠するため、保持期間は 180 日以上である必要があります。この機能が有効になると、Cloud Firewall は専用のプロジェクトと Logstore を作成してすべてのログを保存します。料金は保持期間とストレージ容量に基づいて発生します。詳細については、課金の詳細をご参照ください。 | いいえ |
ログの収集とアーカイブ | マルチアカウント操作ログの集中集約が推奨される | ActionTrail はデフォルトで 90 日間イベントを保存します。トレイルを作成すると、コンプライアンス目的で操作記録を永続化するのに役立ちます。マルチアカウントトレイルにより、管理者は複数のアカウントにわたるログを一元的に追跡および監査できます。マルチアカウントトレイルが存在しない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ログの収集とアーカイブ | マルチアカウント環境での集中ログ収集の有効化が推奨される | Simple Log Service (SLS) ログ監査の信頼できるサービスが無効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コンプライアンスチェック | クラウドリソースが非準拠である | Cloud Config ルールが非準拠を検出し、準拠リソース率が 100% 未満の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コンプライアンスチェック | Cloud Config が有効になっていない | Cloud Config が有効になっていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コンプライアンスチェック | Cloud Config コンプライアンスルールが有効になっていない | Cloud Config コンプライアンスルールが有効になっていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コンプライアンスチェック | Cloud Config コンプライアンスルールがすべてのクラウドリソースをカバーしていない | ルールカバー率が 100% 未満の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コンプライアンスチェック | マルチアカウント環境での統一された設定チェックの有効化が推奨される | 次のいずれかの条件が満たされていない場合、設定は非準拠と見なされます:1. アカウントグループが存在し、ルールが設定されている。2. 非準拠イベントが SLS に配信される。 | クイックフィックスはサポートされていません。 | いいえ |
コンプライアンスチェック | コンプライアンスチェックデータが定期的に取得されていない | Cloud Config が非準拠イベントを配信しない場合、または過去 7 日間に結果が表示されなかった場合、設定は非準拠と見なされます。 | この修正により、現在のアカウントにリソースデータ配信タスクが作成されます。設定とコンプライアンスのスナップショットと変更を、指定された Alibaba Cloud アカウントの SLS、OSS、または MNS に配信して、永続化と通知を行います。配信タスクは無料ですが、データ配信には標準料金が適用されます。詳細については、課金の詳細をご参照ください。 | いいえ |
コンプライアンスチェック | リソース変更またはスナップショット配信が設定されていない | Cloud Config がリソースの変更やスナップショットを配信しない場合、設定は非準拠と見なされます。 | この修正により、現在のアカウントにリソースデータ配信タスクが作成されます。設定とコンプライアンスのスナップショットと変更を、指定された Alibaba Cloud アカウントの SLS、OSS、または MNS に配信して、永続化と通知を行います。配信タスクは無料ですが、データ配信には標準料金が適用されます。詳細については、課金の詳細をご参照ください。 | いいえ |
コンピューティングリソースの保護 | ホストのベースライン問題の修正が必要 | ウイルスやハッカーは、サーバー設定の弱点を悪用してデータを盗んだり、バックドアをインストールしたりします。ベースラインチェックは、OS、データベース、ソフトウェア、コンテナの設定を評価します。ベースラインの問題を修正することで、セキュリティが強化され、侵入リスクが軽減され、コンプライアンス要件を満たすのに役立ちます。未修正のベースラインが存在する場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コンピューティングリソースの保護 | 脆弱性の修正が必要 | 脆弱性管理は、継続的かつ積極的なプロセスです。システム、ネットワーク、アプリケーションをサイバー攻撃やデータ侵害から保護します。タイムリーな修正により、攻撃を防ぎ、損害を最小限に抑えます。未修正の脆弱性が存在する場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コンピューティングリソースの保護 | ランサムウェア対策が有効になっていない | ランサムウェアはビジネスデータを暗号化し、サービスの中断、データ漏洩、データ損失を引き起こす可能性があります。ランサムウェア対策を設定することで、これらのリスクを軽減します。ランサムウェア対策を購入したが、保護ポリシーが作成されていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コンピューティングリソースの保護 | ウイルス対策が有効になっていない | ウイルス対策スキャンは、ランサムウェア、DDoS トロイの木馬、マイニングマルウェア、バックドア、ワームなどの悪意のある脅威を駆除します。Security Center (Enterprise または Ultimate Edition) のウイルス対策を購入したが、定期的なスキャンポリシーが設定されていない場合、設定は非準拠と見なされます。 | この修正により、Security Center で定期的なウイルススキャンが設定されます。修正が適用されると、設定された間隔と時間枠に従って、対象となるすべてのサーバーでスキャンが実行されます。ウイルスアラートはセキュリティアラートモジュールに表示されます。サーバーのセキュリティを確保するために、速やかに対処する必要があります。 | いいえ |
コンピューティングリソースの保護 | コンテナイメージスキャンが設定されていない | システムやアプリケーションの脆弱性を持つイメージ、または悪意のあるバージョンに置き換えられたイメージは、リスクをもたらす可能性があります。レジストリ内のイメージをスキャンすることで、セキュリティチームは調査結果を開発者にプッシュして修正を促すことができます。イメージスキャンを購入したが、スキャン範囲が設定されていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションランタイム保護 | ESA サイトに WAF マネージドルールが設定されていない | このチェックは、サイトに WAF マネージドルールがあり、Web および API アプリケーションをより適切に保護していることを確認します。マネージドルールが設定されていない場合、設定は Web アプリケーション保護のベストプラクティスに準拠していません。 | マネージドルールは、ESA の組み込みインテリジェントルールです。OWASP 攻撃や新たなオリジン脆弱性から保護します。この修正により、選択した ESA サイトのマネージドルールセットが有効になります。ルールの可用性はエディションによって異なります。詳細については、エディション別のサポート機能をご参照ください。 | いいえ |
アプリケーションランタイム保護 | ESA サイトに WAF カスタムルールが設定されていない | このチェックは、サイトに WAF カスタムルールがあり、悪意のあるリクエストを検出して軽減していることを確認します。カスタムルールが設定されていない場合、設定は Web アプリケーション保護のベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションランタイム保護 | アプリケーション保護設定が作成されていない | ランタイムの検出と保護は、Java アプリケーションをゼロデイ脆弱性から保護します。アプリケーション保護を購入したが、設定やグループが存在しない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションランタイム保護 | Web サイト改ざん防止が有効になっていない | Web サイト改ざん防止は、Web サイトのディレクトリやファイルをリアルタイムで監視し、改ざんされたコンテンツをバックアップから復元します。不正なコンテンツの挿入を防ぎ、サイトの可用性を確保します。Web サイト改ざん防止を購入したが、サーバーがバインドされていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | Anti-DDoS Pro または Anti-DDoS Premium が防御しきい値を超えている (モデル 3.0 の新機能) | 攻撃トラフィックが Anti-DDoS インスタンスの保護帯域幅を超えると、インスタンスはブラックホールモードに入ります。インスタンスを経由するすべてのトラフィックがブロックされ、サービスにアクセスできなくなります。Anti-DDoS インスタンスの IP ステータスが「ブラックホール適用中」の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | ECS インスタンスが DDoS 防御しきい値を超えている (モデル 3.0 の新機能) | ECS インスタンスが防御帯域幅を超える大量の DDoS 攻撃を受けると、Alibaba Cloud のブラックホールポリシーがインスタンスとインターネット間のトラフィックをブロックし、より広範な被害を防ぎ、他の資産を保護します。Open Public IP Address を持つ ECS インスタンスの DDoS 対策ステータスが「ブラックホール適用中」の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | EIP が DDoS 防御しきい値を超えている (モデル 3.0 の新機能) | EIP が防御帯域幅を超える大量の DDoS 攻撃を受けると、Alibaba Cloud のブラックホールポリシーが EIP とインターネット間のトラフィックをブロックし、より広範な被害を防ぎ、他の資産を保護します。EIP の DDoS 対策ステータスが「ブラックホール適用中」の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | SLB インスタンスが DDoS 防御しきい値を超えている (モデル 3.0 の新機能) | SLB インスタンスが防御帯域幅を超える大量の DDoS 攻撃を受けると、Alibaba Cloud のブラックホールポリシーがインスタンスとインターネット間のトラフィックをブロックし、より広範な被害を防ぎ、他の資産を保護します。SLB インスタンスの DDoS 対策ステータスが「ブラックホール適用中」の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | ネイティブ DDoS 対策に保護対象が追加されていない | Native DDoS Protection または Anti-DDoS インスタンスを購入した後、DDoS 対策を有効にするには、パブリック IP 資産を保護対象として追加する必要があります。この手順がないと、保護は効果がなく、コストが無駄になります。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク攻撃への対応 | Web サイト向けの AI ベースのインテリジェント保護が Strict モードに設定されている | AI ベースのインテリジェント保護は Web サイトのセキュリティを向上させます。ただし、Strict モードは誤検知を引き起こす可能性があります。Strict モードは、パフォーマンスが低い、または保護が不十分な Web サイトにのみ使用してください。注:Web サイトドメインには、組み込みのレイヤー 4 攻撃保護があります。ほとんどの Web サイトでは、保護とビジネス継続性のバランスをとるために Normal モードを使用してください。 | この修正により、AI ベースのインテリジェント保護が「ブロックモード (通常)」に設定されます。Anti-DDoS Proxy は、脅威が検出されたときに、正確なアクセス制御ルールを自動的に生成し、悪意のある攻撃からインテリジェントに防御します。 | いいえ |
ネットワークアクセス制御 | ECS インスタンスがパブリック IP アドレスへのバインドを禁止されていない | 攻撃のリスクを軽減するために、ECS インスタンスをパブリックインターネットに直接公開することは避けてください。代わりに NAT Gateway または Server Load Balancer を使用してください。ECS インスタンスがパブリック IP アドレスにバインドされている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | Elasticsearch インスタンスにパブリックエンドポイントが有効になっており、IP アドレスホワイトリストがない | Elasticsearch をパブリックインターネットに公開すると、セキュリティリスクが生じます。攻撃者から見えるようになり、適切なアクセス制御がないとデータ漏洩や破壊を受ける可能性があります。ベストプラクティスとして、VPC 内部ネットワークからのアクセスのみを許可し、適切な IP ホワイトリストを設定してください。パブリックエンドポイントが有効になっている場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | Elasticsearch インスタンスの Kibana サービスにパブリックエンドポイントが有効になっており、IP アドレスホワイトリストがない | Kibana をパブリックインターネットに公開すると、セキュリティリスクが生じます。攻撃者から見えるようになり、適切なアクセス制御がないとデータ漏洩や破壊を受ける可能性があります。ベストプラクティスとして、VPC 内部ネットワークからのアクセスのみを許可し、適切な IP ホワイトリストを設定してください。Kibana のパブリックエンドポイントが有効になっている場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | MongoDB インスタンスにパブリックエンドポイントが有効になっており、IP アドレスホワイトリストがない | データベースをパブリックインターネットに公開すると、セキュリティリスクが生じます。攻撃者から見えるようになり、適切なアクセス制御がないとデータ漏洩や破壊を受ける可能性があります。ベストプラクティスとして、VPC 内部ネットワークからのアクセスのみを許可し、IP ホワイトリストを設定し、強力な認証情報を使用してください。パブリックエンドポイントが有効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | PolarDB クラスターにパブリックエンドポイントが設定されている | データベースをパブリックインターネットに公開すると、セキュリティリスクが生じます。攻撃者から見えるようになり、適切なアクセス制御がないとデータ漏洩や破壊を受ける可能性があります。ベストプラクティスとして、VPC 内部ネットワークからのアクセスのみを許可し、IP ホワイトリストを設定し、強力な認証情報を使用してください。パブリックエンドポイントが有効になっている場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | RDS インスタンスにパブリックエンドポイントが有効になっており、IP アドレスホワイトリストがない | データベースをパブリックインターネットに公開すると、セキュリティリスクが生じます。攻撃者から見えるようになり、適切なアクセス制御がないとデータ漏洩や破壊を受ける可能性があります。ベストプラクティスとして、VPC 内部ネットワークからのアクセスのみを許可し、IP ホワイトリストを設定し、強力な認証情報を使用してください。パブリックエンドポイントが有効になっている場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | Redis インスタンスにパブリックエンドポイントが設定されている | データベースをパブリックインターネットに公開すると、セキュリティリスクが生じます。攻撃者から見えるようになり、適切なアクセス制御がないとデータ漏洩や破壊を受ける可能性があります。ベストプラクティスとして、VPC 内部ネットワークからのアクセスのみを許可し、IP ホワイトリストを設定し、強力な認証情報を使用してください。パブリックエンドポイントが有効になっている場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | セキュリティグループのインバウンドルールが 0.0.0.0/0 から任意のポートへのアクセスを許可している | すべての IP アドレス (0.0.0.0/0) が任意のポートにアクセスすることを許可しないでください。特定の IP 範囲とポートへのアクセスを制限する必要があります。セキュリティグループのインバウンドルールがポートを指定せずに 0.0.0.0/0 からのアクセスを許可している場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | Tablestore インスタンスでパブリックネットワークとクラシックネットワークアクセスが有効になっている | Tablestore は、各インスタンスに対してパブリックドメイン名、VPC ドメイン名、およびクラシックネットワークドメイン名を作成します。パブリックドメイン名はインターネットからアクセス可能です。クラシックネットワークドメイン名は、同じリージョン内の ECS インスタンスからアクセス可能です。ベストプラクティスとして、コンソールまたは VPC からのアクセスのみを許可してください。パブリックネットワークとクラシックネットワークアクセスを制限することで、ネットワーク分離とデータセキュリティが向上します。ネットワークタイプが「コンソールまたは VPC のみ」または「VPC のみ」に設定されている場合、設定はベストプラクティスに準拠しています。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | ACK クラスター API サーバーにパブリックエンドポイントが有効になっている (モデル 3.0 の新機能) | ACK クラスターにパブリックエンドポイントを有効にすると、Pod、サービス、レプリカコントローラーなどのリソースへの攻撃のリスクが高まります。パブリックエンドポイントを有効にしないでください。パブリックエンドポイントが有効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | ECS 起動テンプレートのネットワークタイプがクラシックネットワークに設定されている (モデル 3.0 の新機能) | クラシックネットワークは、ユーザー間のネットワークレベルの分離を提供しません。複数のテナントが同じ IP プールを共有し、ユーザーはネットワークトポロジや IP アドレスをカスタマイズできません。クラシックネットワークアプリケーションの脆弱性は、他のテナントに公開される可能性があります。Virtual Private Cloud (VPC) は、より強力なセキュリティを提供します。データセキュリティを優先する組織にとって、VPC はより良い選択です。ECS 起動テンプレートがクラシックネットワークを使用している場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | EMR クラスターのマスターノードにパブリックエンドポイントが有効になっている (モデル 3.0 の新機能) | EMR マスターノードにパブリック IP アドレスを割り当てると、攻撃への露出が増加します。攻撃者はスキャン、侵入、またはその他の悪意のあるアクションを実行する可能性があり、クラスター全体を脅かします。パブリックエンドポイントが有効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | ESS スケーリンググループに関連付けられたセキュリティグループのインバウンドルールが 0.0.0.0/0 から任意のポートへのアクセスを許可している (モデル 3.0 の新機能) | スケーリングアクティビティがトリガーされると、Auto Scaling はスケーリング設定を使用して ECS インスタンスを作成します。関連付けられたセキュリティグループのインバウンドルールが任意のポートで全ての IP アドレス (0.0.0.0/0) を許可している場合、新しいインスタンスはセキュリティリスクに直面します。このようなルールが存在する場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | MaxCompute プロジェクトに IP アドレスホワイトリストがない (モデル 3.0 の新機能) | IP アドレスホワイトリストを使用すると、リストされたデバイスのみがプロジェクトにアクセスできます。ホワイトリストがない場合、パブリックエンドポイントを使用するどのデバイスでもプロジェクトにアクセスでき、露出リスクが生じます。プロジェクトが IP アドレスホワイトリストなしで外部ネットワークアクセスを許可している場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワークアクセス制御 | セキュリティグループが高リスクポート (22, 3389 など) をパブリックインターネットに公開している | 攻撃や不正アクセスを防ぐため、SSH (22) や RDP (3389) などの高リスクポートへのパブリックインターネットアクセスを許可しないでください。このようなポートが公開されている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | NAT Gateway インスタンスが NAT ボーダーファイアウォールによって完全に保護されていない | プライベートネットワークのパブリックインターネットへの露出を減らすために、すべての NAT Gateway インスタンスは Cloud Firewall の NAT ボーダーファイアウォールによって保護される必要があります。Cloud Firewall を使用しているが、一部の NAT Gateway が保護されていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | VPC 間トラフィックが VPC ボーダーファイアウォールによって完全に保護されていない | すべての VPC 間トラフィックは、内部トラフィックのリスクを軽減するために、Cloud Firewall の VPC ボーダーファイアウォールを通過する必要があります。Cloud Firewall を使用しているが、一部の VPC 間トラフィックが保護されていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall の侵入防止システム (IPS) で基本防御が有効になっていない | Cloud Firewall の侵入防止システム (IPS) で基本防御を有効にしてください。ブルートフォース攻撃、コマンド実行エクスプロイト、C&C 通信のブロックなど、基本的な保護を提供します。Cloud Firewall を使用しているが、基本防御が無効になっている場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall の侵入防止システム (IPS) で脅威インテリジェンスが有効になっていない | Cloud Firewall の IPS で脅威インテリジェンスを有効にして、脅威をスキャンし、悪意のあるアクティビティをブロックします。Cloud Firewall を使用しているが、脅威インテリジェンスが無効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall の侵入防止システム (IPS) でブロックモードが有効になっていない | Cloud Firewall の IPS をブロックモードに設定して、悪意のあるトラフィックを遮断し、侵入を阻止します。Cloud Firewall を使用しているが、ブロックモードが無効になっている場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | この修正により、脅威エンジンのブロックモードが有効になります。重大度はデフォルトで「中」になります。 | いいえ |
ネットワーク保護 | Cloud Firewall の侵入防止システム (IPS) で仮想パッチが有効になっていない | Cloud Firewall の IPS で仮想パッチを有効にしてください。ネットワーク層で重大かつ緊急の脆弱性に対するリアルタイムの保護を提供し、サービスを中断することなく悪用を防ぎます。Cloud Firewall を使用しているが、仮想パッチが無効になっている場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall の利用可能な権限付与が不足している | このチェックは、Cloud Firewall の権限付与数が十分であることを確認します。Cloud Firewall を使用しているが、保護されていないパブリック IP 資産の数が利用可能な権限付与数を超えている場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall にデフォルトの拒否ポリシーが設定されていない | ネットワークセキュリティのため、デフォルトの拒否ポリシー (ソースと宛先が 0.0.0.0/0 に設定され、アクションが「拒否」に設定された IPv4 ポリシー) を設定してください。これにより、明示的に許可された信頼できるトラフィックを除くすべてのトラフィックがブロックされます。Cloud Firewall を使用しているが、デフォルトの拒否ポリシーが設定されていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall がすべてのパブリック IP 資産を保護していない | このチェックは、すべてのパブリック IP 資産が Cloud Firewall によって保護されていることを確認します。Cloud Firewall を使用しているが、一部のパブリック IP 資産がインターネット境界ファイアウォールの保護を受けていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall にアクセス制御リスト (ACL) ポリシーが設定されていない | ファイアウォールを有効にした後、ACL ポリシーが設定されていない場合、Cloud Firewall はデフォルトですべてのトラフィックを許可します。不正アクセスを制御するために ACL ポリシーを設定する必要があります。Cloud Firewall を使用しているが、ACL ポリシーが存在しない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall の保護帯域幅が不足している | このチェックは、Cloud Firewall の保護帯域幅が十分であることを確認します。Cloud Firewall を使用しているが、過去 30 日間のピーク帯域幅が購入した帯域幅を超えている場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク保護 | Cloud Firewall がネットワークトラフィックの保護に使用されていない | Cloud Firewall は、インターネット境界、VPC 境界、ホスト境界に統一されたセキュリティ分離を提供する SaaS ベースのファイアウォールです。クラウドワークロードの第一の防御線です。Cloud Firewall が使用されていない場合、設定はネットワークセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
データアクセス制御 | OSS バケットでパブリック書き込み権限が有効になっている | OSS は、バケットポリシーと ACL を使用してパブリックアクセスをサポートします。パブリック書き込みとは、誰でも権限や認証なしにオブジェクトを変更またはアップロードできることを意味します。これにより、データ漏洩や悪意のあるアクセスによる高額なコストのリスクが生じます。ベストプラクティスとして、パブリック書き込み権限を無効にしてください。署名付き URL または API を使用してのみ OSS データにアクセスしてください。バケットポリシーまたは ACL にパブリック書き込みのセマンティクスが含まれている場合、バケットはリスクにさらされており、ベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
データアクセス制御 | OSS バケットに匿名アカウントのアクセスルールがある | 最小権限の原則を適用することで、セキュリティリスクを軽減し、エラーや悪意のある行為の影響を制限します。OSS バケットポリシーが匿名アクセスを許可している場合、攻撃者がデータを抜き取る可能性があります。外部アカウントが侵害された場合、データが変更または削除され、その整合性、機密性、およびビジネス継続性が脅かされます。ベストプラクティスとして、ポリシーを使用して匿名アクセスをブロックしてください。バケットポリシーが * (すべてのアカウント) に「許可」効果でアクセスを許可している場合、ベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
データアクセス制御 | OSS バケットに組織外のアカウントのアクセスルールがある | データ漏洩を防ぐために、OSS バケットが内部アカウントのみにアクセス可能であることを確認してください。バケットの権限付与ポリシーが外部アカウントを許可している場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
データアクセス制御 | OSS バケットでパブリック読み取り権限が有効になっている | データの機密性とセキュリティを確保するために、OSS バケットコンテンツへのパブリック読み取りアクセスを防ぎます。パブリック読み取り権限が有効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | SLB サーバー証明書が有効期限切れのリスクがある | 暗号化の失敗を避けるために、SLB サーバー証明書が 15 日以内に有効期限が切れないことを確認してください。残りの有効期間が 15 日以下の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | パブリックエンドポイントを持つ API Gateway の API に HTTPS が設定されていない | パブリック API に HTTP のみを使用すると、データセキュリティのリスクが生じます。HTTP はデータをプレーンテキストで送信するため、攻撃者は認証情報や個人データなどの機密情報を閲覧できます。ベストプラクティスとして、パブリック API には HTTPS を使用し、暗号化された伝送を確保するために HTTP から HTTPS へのリダイレクトを強制してください。API Gateway ドメインに HTTPS が設定されていない場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | CDN SSL 証明書の有効期限が近づいている (モデル 3.0 の新機能) | セキュリティリスクやサービスの中断を避けるために、ドメインにバインドされた SSL/TLS 証明書が有効であることを確認してください。CDN 証明書が 15 日未満で有効期限が切れる場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | CDN ドメインに HTTP から HTTPS への強制リダイレクトが設定されていない | CDN ドメインに HTTP のみを使用すると、データセキュリティのリスクが生じます。HTTP はデータをプレーンテキストで送信するため、攻撃者は認証情報や個人データなどの機密情報を閲覧できます。ベストプラクティスとして、CDN ドメインには HTTPS を使用し、暗号化された伝送を確保するために HTTP から HTTPS へのリダイレクトを強制してください。CDN ドメインの強制リダイレクトタイプが HTTP→HTTPS に設定されていない場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | CDN ドメインに HTTPS が設定されていない | CDN ドメインに HTTP のみを使用すると、データセキュリティのリスクが生じます。HTTP はデータをプレーンテキストで送信するため、攻撃者は認証情報や個人データなどの機密情報を閲覧できます。ベストプラクティスとして、CDN ドメインには HTTPS を使用し、暗号化された伝送を確保するために HTTP から HTTPS へのリダイレクトを強制してください。CDN ドメインで HTTPS セキュアアクセラレーションが有効になっていない場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | Elasticsearch インスタンスが HTTPS を使用していない | Elasticsearch に HTTP のみを使用すると、データセキュリティのリスクが生じます。HTTP はデータをプレーンテキストで送信するため、攻撃者は機密情報を閲覧できます。ベストプラクティスとして、アプリケーションやクライアントから Elasticsearch にアクセスする際には HTTPS を使用して、暗号化された伝送を確保してください。クラスターネットワーク設定で HTTPS が有効になっている場合、設定はベストプラクティスに準拠しています。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | SLB インスタンスで HTTPS リスナーが有効になっていない | Server Load Balancer (SLB) で HTTPS リスナーが有効になっていることを確認して、TLS を使用して転送中のデータを暗号化してください。HTTPS リスナーが有効になっていない場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | Certificate Management Service の証明書が有効期限切れのリスクがある | SSL 証明書が期限切れになると、クライアントはサーバー ID を検証できなくなり、アクセス障害や警告が発生します。タイムリーな更新を怠ると、サービスの可用性が低下したり、顧客の信頼を損なったり、データ漏洩を引き起こしたりする可能性があります。中断を避けるために、更新には十分な時間を確保してください。Certificate Management Service の証明書が 15 日以内に期限切れになる場合、設定はベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | ESA サイトで TLS v1.2 が有効になっていない | このチェックは、サイトでセキュリティを向上させるために TLS v1.2 が有効になっていることを確認します。有効になっていない場合、設定は転送中のデータセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | ESA サイトで HTTP Strict Transport Security (HSTS) が有効になっていない | このチェックは、サイトで初回訪問時のハイジャックのリスクを軽減するために HSTS が有効になっていることを確認します。有効になっていない場合、設定は転送中のデータセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
転送中のデータ保護 | ESA サイトで強制 HTTPS が有効になっていない | このチェックは、サイトでクライアントから ESA エッジノードへの HTTP リクエストを HTTPS にリダイレクトするために強制 HTTPS が有効になっていることを確認します。有効になっていない場合、設定は転送中のデータセキュリティのベストプラクティスに準拠していません。 | クイックフィックスはサポートされていません。 | いいえ |
データマスキング | Data Security Center で機密データ識別が有効になっていない (モデル 3.0 の新機能) | 機密データには、顧客データ、技術文書、個人情報が含まれます。Data Security Center は、定義済みのルールとヒット数を使用してデータベースをスキャンし、機密データを検出します。サポートされているデータベースには、MaxCompute、OSS、ApsaraDB サービス (RDS、PolarDB-X、PolarDB、OceanBase、Tablestore)、および自己管理データベースが含まれます。機密データ識別が無効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
保存データの保護 | PolarDB クラスターで TDE (透過的データ暗号化) が有効になっていない (モデル 3.0 の新機能) | TDE は、データファイルに対してリアルタイムの I/O 暗号化と復号を実行します。データはディスクに書き込まれる前に暗号化され、メモリに読み込まれるときに復号されます。PolarDB で TDE が無効になっている場合、データ漏洩、不正アクセス、または改ざんが発生する可能性があります。TDE が無効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
保存データの保護 | RDS インスタンスで TDE (透過的データ暗号化) が有効になっていない (モデル 3.0 の新機能) | セキュリティ準拠または保存データの暗号化シナリオでは、リアルタイムの I/O 暗号化と復号に TDE を使用します。TDE はデータベース層でデータを暗号化するため、攻撃者がストレージから直接機密データを読み取るのを防ぎます。RDS で TDE が無効になっている場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
セキュリティインシデントの対応と復旧 | Security Center に保留中のアラートがある | セキュリティアラートは、サーバーまたはクラウド製品で Security Center によって検出された脅威を示します。アラートタイプには、Web サイト改ざん防止、異常なプロセス、Web シェル、異常なログイン、悪意のあるプロセスが含まれます。アラートに対処することで、セキュリティ体制が向上します。保留中のアラートが存在する場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
セキュリティインシデントの対応と復旧 | Security Center がセキュリティ保護に使用されていない (モデル 3.0 の新機能) | クラウド資産は、ウイルス、サイバー攻撃、ランサムウェア、脆弱性の悪用などの脅威に直面しています。Security Center は、資産管理、設定チェック、および積極的な防御を提供します。防御システムを構築するために、適切なセキュリティサービスを購入する必要があります。Security Center のエディションが Basic 以下の場合、設定は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定性
カテゴリ | チェック項目 | チェック項目の説明 | クイックフィックスの説明 | 支援付き意思決定のサポート |
インスタンスタイプ | ACK クラスターが Basic Edition のマネージドクラスターを使用している | ACK マネージドクラスターは Basic Edition と Pro Edition に分かれています。Pro Edition は Basic Edition と比較して、クラスターの信頼性、セキュリティ、スケジューリングをさらに強化しており、本番環境で大規模なサービスを実行するのに適しています。マネージドクラスタータイプの Pro Edition を使用していないアカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
インスタンスタイプ | ECS インスタンスが共有または廃止されたインスタンスタイプを使用している | ECS インスタンスに共有または廃止されたインスタンスタイプを使用すると、安定したコンピューティングパフォーマンスを保証できません。共有または廃止された ECS インスタンスファミリーを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
インスタンスタイプ | Elasticsearch インスタンスが開発およびテスト用のインスタンスタイプを使用している | 1 コア 2 GB のメモリを持つ Elasticsearch インスタンスは、テストシナリオにのみ適しており、本番環境には適していません。1 コア 2 GB のメモリを持つ Elasticsearch インスタンスを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
インスタンスタイプ | MongoDB インスタンスがシングルノードのインスタンスタイプを使用している | MongoDB がシングルノードアーキテクチャを採用している場合、障害復旧時間が長く、SLA 保証がありません。マルチゾーンではない MongoDB インスタンスを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
インスタンスタイプ | RDS インスタンスが Basic シリーズのインスタンスタイプを使用している | RDS Basic シリーズのインスタンスにはデータベースノードが 1 つしかなく、ホットバックアップとしてのセカンダリノードがありません。そのため、ノードが予期せず障害を起こしたり、インスタンスの再起動、設定の変更、バージョンのアップグレードなどのタスクを実行したりすると、長時間利用できなくなります。同時に、RDS インスタンスファミリーの共有および汎用インスタンスタイプは、同じ物理マシン上の他のインスタンスとリソースを共有し、安定性要件の低いアプリケーションシナリオにのみ適しています。ビジネスがデータベースに高い可用性要件を持つ場合は、製品シリーズに高可用性/クラスターシリーズ、インスタンスファミリーに専用タイプを使用することをお勧めします。RDS インスタンスは、RDS 製品シリーズが高可用性/クラスターシリーズを使用していない場合、または RDS インスタンスファミリーが専用タイプを使用していない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
インスタンスタイプ | Redis インスタンスがオープンソース版のインスタンスタイプを使用している | Redis Enterprise Edition は、より強力なパフォーマンス、より多くのデータ構造、より柔軟なストレージ方法を提供します。Redis Enterprise Edition を使用していないことは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
インスタンスタイプ | ApsaraMQ for RocketMQ インスタンスが Standard Edition のインスタンスタイプを使用している | ApsaraMQ for RocketMQ の Standard Edition は共有インスタンスを使用しており、本番環境での使用は推奨されません。RocketMQ インスタンスの共有エディションを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | ACK クラスターが期限切れの Kubernetes バージョンを使用している | Kubernetes コミュニティは、約 4 か月ごとにマイナーバージョンをリリースします。まだメンテナンス中のバージョンを使用することをお勧めします。期限切れのバージョンのクラスターには、セキュリティと安定性のリスクがあります。クラスターのバージョンが期限切れになると、新しい Kubernetes バージョンでサポートされている機能やバグ修正を利用できなくなり、タイムリーで効果的なテクニカルサポートを受けられなくなり、セキュリティ脆弱性を修正できなくなります。まだメンテナンス中の ACK クラスターバージョンを使用することは準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | ECS インスタンスが期限切れの OS バージョンを使用している | ECS インスタンスでサポートされなくなった OS バージョンを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | Elasticsearch インスタンスが非推奨のバージョンを使用している | Elasticsearch インスタンスは、使用しているバージョンが公式の推奨バージョン範囲内にない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | MSE エンジンのバージョンが低すぎる | 最新の MSE エンジンバージョンを使用することは、MSE のサービス継続性を確保するための鍵です。エンジンバージョンが低すぎると、コードの欠陥による GC が回収されない、メモリオーバーフローによる継続的なメモリ増加、起動速度の低下、JSON シリアル化の欠陥などの問題が発生する可能性があります。MSE-ZooKeeper または MSE-ANS エンジンのバージョン、または MSE-ANS クライアントのバージョンが低すぎる場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | MSE-Ingress ゲートウェイのバージョンが低すぎる | 最新バージョンの Ingress を使用することは、ゲートウェイのサービス継続性を確保するための鍵です。バージョンが低すぎると、セキュリティや安定性のリスクなどの問題が発生し、Nacos サービスをサブスクライブするためのインスタンスリストが不正確になる可能性があります。MSE-Ingress のバージョンが低すぎる場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | RDS インスタンスの MySQL データベースのメジャーバージョンが低すぎる (モデル 3.0 の新機能) | ライフサイクルが停止した、または停止しようとしている MySQL バージョンを使用すると、システムがセキュリティリスク、パフォーマンスボトルネック、互換性の問題、テクニカルサポートの欠如などの問題にさらされます。サポートされている MySQL バージョンにタイムリーにアップグレードすることで、最新のセキュリティパッチ、パフォーマンスの向上、機能の強化が提供され、O&M リスクが軽減され、システム全体の信頼性が向上します。RDS インスタンスがバージョン 5.5 または 5.6 を使用している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | Function Compute (FC) 2.0 関数が非推奨のランタイムを使用している (モデル 3.0 の新機能) | ランタイムバージョンが更新されるにつれて、Function Compute は一部のランタイムのメンテナンスを停止し、それらに対するテクニカルサポートやセキュリティ更新プログラムの提供を終了します。テクニカルサポートとセキュリティ更新プログラムを入手するために、関数を最新のサポートされているランタイムに移行することをお勧めします。FC 2.0 関数が次のいずれかのランタイムを使用している場合、非準拠と見なされます:nodejs12、nodejs10、nodejs8、dotnetcore2.1、python2.7、nodejs6、または nodejs4.4。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | ACK クラスターの検査で、ノード上の Kubelet コンポーネントのバージョンがコントロールプレーンより遅れていることが判明 (モデル 3.0 の新機能) | ACK クラスターノード上の Kubelet コンポーネントのバージョンがコントロールプレーンより遅れている場合、互換性の問題が発生する可能性があります。API サーバーなどのコントロールプレーンは、新しい機能やプロトコルのアップグレードにより、古いバージョンの Kubelet と通信できない場合があります。これにより、ノードの状態が異常になったり、Pod のスケジューリングが失敗したり、ノードが利用不可とマークされたりする可能性があります。さらに、古いバージョンの Kubelet には未修正のセキュリティ脆弱性が含まれている可能性があり、ノード攻撃のリスクが高まり、クラスター全体のアップグレード能力が妨げられます。通信の安定性を回復し、セキュリティリスクを排除するには、Kubelet を互換性のあるバージョンにアップグレードする必要があります。コントロールプレーンより遅れている Kubelet バージョンを持つノードは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
安定版 | PolarDB クラスターデータベースが安定したマイナーバージョンを使用していない | PolarDB データベースは、そのマイナーバージョンのステータスが「安定」または「ベータ」でない場合、非準拠と見なされます。 | この修正により、指定されたインスタンスのマイナーバージョンの自動アップグレードが有効になります。マイナーエンジンバージョンが最新のマイナーエンジンバージョンより低い場合、システムは定期的にアクティブな O&M タスクを発行してマイナーエンジンバージョンをアップグレードします。自動アップグレード操作は、設定したメンテナンスウィンドウ内で実行されます。アップグレードプロセス中に、データベースプロキシ (PolarProxy) またはカーネルエンジン (DB) が再起動され、一時的な切断が発生する可能性があります。アップグレード操作はオフピーク時に実行し、アプリケーションに自動再接続メカニズムがあることを確認してください。 | いいえ |
安定版 | RDS インスタンスでマイナーエンジンバージョンの自動アップグレードが有効になっていない (モデル 3.0 の新機能) | ApsaraDB RDS は、マイナーエンジンバージョンの自動または手動アップグレードをサポートしています。マイナーエンジンバージョンが最新のマイナーエンジンバージョンより低い場合、システムは定期的にアクティブな O&M タスクを発行してマイナーエンジンバージョンをアップグレードします。インスタンスは、パフォーマンスの向上、新機能のサポート、セキュリティ問題の修正を含む最新バージョンを取得し、データベースサービスの継続的な最適化とセキュリティを確保できます。RDS インスタンスでマイナーエンジンバージョンの自動アップグレードが有効になっていない場合、非準拠と見なされます。 | この修正により、選択した RDS インスタンスのマイナーエンジンバージョンの自動アップグレードが自動的に有効になります。RDS インスタンスのマイナーエンジンバージョンが最新のマイナーエンジンバージョンより低い場合、システムは定期的にアクティブな O&M タスクを発行してマイナーエンジンバージョンをアップグレードします。自動アップグレード操作は、設定したメンテナンスウィンドウ内で実行されます。システムによって発行されたアップグレードタスク情報は、メッセージセンターで設定されたテキストメッセージやメールなどのチャネルを通じて通知されます。 | いいえ |
安定版 | Redis インスタンスが最新のマイナーバージョンにアップグレードされていない | Redis インスタンスが最新のマイナーバージョンにアップグレードされていない場合、非準拠と見なされます。 | この修正により、選択したインスタンスのマイナーバージョンの自動アップグレードが有効になります。有効にすると、システムは定期的にバージョンリリースステータスをチェックします。新しいバージョンが見つかった場合、60 日間のアップグレード可能期間内に自動的にアップグレードされます。データベースバージョンをアップグレードする場合、インスタンスはまずセカンダリ (レプリカ) インスタンスをアップグレードするか、新しいインスタンスを準備します。指定された実行時間に、プライマリ/セカンダリ スイッチオーバーまたはインスタンススイッチオーバーが実行され、アップグレード操作が完了します。インスタンススイッチオーバーフェーズ中、インスタンスはデータが完全に同期されるのを待つ間、最大 60 秒間読み取り専用状態になり、数秒の一時的な切断が発生します。アプリケーションに再接続メカニズムがあることを確認してください。 | いいえ |
有効期限のリスク | AnalyticDB for MySQL Data Warehouse Edition インスタンスが有効期限切れのリスクがある | AnalyticDB for MySQL Data Warehouse Edition インスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した ADB サブスクリプションインスタンスリソースの自動更新が有効になります。 | いいえ |
有効期限のリスク | Anti-DDoS インスタンスが有効期限切れのリスクがある | DDoS インスタンスは、現在時刻から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した DDoSCOO サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | ECS インスタンスが有効期限切れのリスクがある | ECS サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した ECS サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | EIP インスタンスが有効期限切れのリスクがある | EIP サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した EIP サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | KMS インスタンスが有効期限切れのリスクがある (モデル 3.0 の新機能) | 有効期限によるビジネスの中断を避けるために、KMS サブスクリプションインスタンスのタイムリーな更新を確保してください。KMS サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した KMS サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | MongoDB インスタンスが有効期限切れのリスクがある | MongoDB サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した MongoDB サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | PolarDB クラスターが有効期限切れのリスクがある | PolarDB サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した PolarDB サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | PolarDB-X インスタンスが有効期限切れのリスクがある | PolarDB-X 1.0 または PolarDB-X 2.0 インスタンスは、現在時刻から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
有効期限のリスク | RDS インスタンスが有効期限切れのリスクがある | RDS サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した RDS サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | Redis インスタンスが有効期限切れのリスクがある | Redis サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した Redis サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | SLB インスタンスが有効期限切れのリスクがある | SLB サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した SLB サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | VPN Gateway が有効期限切れのリスクがある (モデル 3.0 の新機能) | 有効期限によるビジネスの中断を避けるために、VPN Gateway サブスクリプションインスタンスのタイムリーな更新を確保してください。VPN Gateway サブスクリプションインスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した VPN サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | CEN 帯域幅プランが有効期限切れのリスクがある | Cloud Enterprise Network 帯域幅プランは、現在時刻から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した CEN サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | 共有帯域幅インスタンスが有効期限切れのリスクがある | 共有帯域幅インスタンスは、現在時刻から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した CBWP リソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
有効期限のリスク | Bastionhost インスタンスが有効期限切れのリスクがある | Bastionhost インスタンスは、チェック時から 7 日以内に有効期限が切れ、自動更新が有効になっていない場合、非準拠と見なされます。 | この修正により、選択した Bastionhost サブスクリプションインスタンスリソースの自動更新が有効になります。自動更新を有効にすると、機能は翌日に有効になります。サブスクリプションインスタンスの有効期限が切れる少なくとも 2 日前に自動更新を有効にしてください。インスタンスが翌日に有効期限が切れる場合は、製品コンソールに移動して手動で更新することをお勧めします。自動更新サイクルは、設定された自動更新期間に基づいています。たとえば、更新期間を 1 か月選択した場合、インスタンスは各有効期限の前に 1 か月間自動的に更新されます。アカウントの残高、現金クーポン、またはその他の支払方法が更新額をカバーするのに十分であることを確認してください。 | いいえ |
削除保護 | ACK クラスターで削除保護が有効になっていない | ACK クラスターは、削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインを通じてリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページに移動して削除保護スイッチをオフにしてください。 | いいえ |
削除保護 | ALB インスタンスで削除保護が有効になっていない | ALB インスタンスは、削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインを通じてリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページに移動して削除保護スイッチをオフにしてください。 | いいえ |
削除保護 | EIP インスタンスで削除保護が有効になっていない | EIP インスタンスは、削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインを通じてリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページに移動して削除保護スイッチをオフにしてください。 | いいえ |
削除保護 | MongoDB インスタンスでリリース保護が有効になっていない | MongoDB インスタンスは、リリース保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインを通じてリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページに移動して削除保護スイッチをオフにしてください。 | いいえ |
削除保護 | PolarDB クラスターでクラスターロックが有効になっていない | PolarDB インスタンスは、クラスターロックが有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインを通じてリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページに移動して削除保護スイッチをオフにしてください。 | いいえ |
削除保護 | RDS インスタンスでリリース保護が有効になっていない | RDS インスタンスは、リリース保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインを通じてリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページに移動して削除保護スイッチをオフにしてください。 | いいえ |
削除保護 | SLB インスタンスで削除保護が有効になっていない | SLB インスタンスは、削除保護が有効になっていない場合、非準拠と見なされます。 | この修正により、選択したリソースの削除保護が有効になります。リソースは、コンソール、API、またはコマンドラインを通じてリリースできません。インスタンスをリリースするには、まずインスタンスの詳細ページに移動して削除保護スイッチをオフにしてください。 | いいえ |
リスク検査 | ACK クラスターの検査で、API サーバーにバインドされた CLB インスタンスが存在しないことが判明 (モデル 3.0 の新機能) | ACK クラスター API サーバーが Classic Load Balancer (CLB) インスタンスにバインドされていない場合、API サービスのトラフィックエントリポイントが不足します。kubectl などの外部クライアントは、負荷分散を通じて API サーバーにアクセスできず、クラスター管理が完全に中断されます。kubelet やコントローラーなどのクラスターコンポーネントは、安定した通信を確立できないため、ノードの状態が異常になったり、Pod のスケジューリングが失敗したり、サービスが利用できなくなったりする可能性があります。同時に、API サーバーノードは IP アドレスを直接公開し、トラフィック分散とフェイルオーバー機能を失い、単一障害点のリスクをもたらし、不正アクセスや DDoS 攻撃の脅威を増大させます。高可用性と安全なアクセスを回復するために、CLB インスタンスを直ちに作成してバインドする必要があります。API サーバーが CLB インスタンスにバインドされていない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、API サーバーにバインドされた CLB インスタンスが異常な状態であることが判明 (モデル 3.0 の新機能) | ACK クラスター API サーバーにバインドされた CLB インスタンスが異常な状態にある場合、API サービストラフィックの転送が失敗します。kubectl などのクライアントは安定した接続を確立できず、クラスター管理が完全にブロックされます。kubelet やコントローラーなどの内部コンポーネントは、通信の中断により、ノードの状態が異常になったり、Pod のスケジューリングが停滞したり、サービスが利用できなくなったりします。同時に、CLB のヘルスチェックの失敗により、トラフィックが障害のあるノードに集中し、単一障害点のリスクが悪化する可能性があります。異常な状態に、暗号化なしや公開ポートなどのセキュリティ設定エラーが伴う場合、不正アクセスや中間者攻撃につながる可能性があります。クラスターの麻痺やデータ侵害を避けるために、CLB のヘルスステータスを直ちに修復し、セキュリティポリシーを検証する必要があります。API サーバーにバインドされた CLB インスタンスが異常な状態にある ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、API サーバーにバインドされた CLB ポートリスナーの設定が異常であることが判明 (モデル 3.0 の新機能) | ACK クラスター API サーバーにバインドされた CLB ポートリスナーの設定が異常な場合、API サービスへのアクセスが中断されます。kubectl などのクライアントはクラスターに接続できず、O&M 操作が完全に失敗します。同時に、kubelet やコントローラーなどの内部コンポーネントは、API サーバーと通信できないため、ノードの状態が異常になったり、Pod のスケジューリングが失敗したり、サービスが利用できなくなったりします。リスナープロトコルが正しくない、またはセキュリティグループの制限が欠落している場合、不正アクセスやトラフィックハイジャックのリスクにつながる可能性があります。クラスターの麻痺やデータ侵害を避けるために、リスナーポートの設定を直ちに修復し、プロトコルタイプとセキュリティポリシーを検証する必要があります。API サーバーにバインドされた CLB ポートリスナーの設定が異常な ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、CoreDNS サービスのバックエンドサーバー数が 0 であることが判明 (モデル 3.0 の新機能) | ACK クラスター内の CoreDNS のバックエンドサーバー数が 0 の場合、サービス検出が完全に失敗します。マイクロサービス呼び出しやデータベースアクセスなどのクラスター内のサービス間通信が中断され、アプリケーションはサービス名でアドレスを解決できなくなり、ビジネスの可用性に直接影響します。また、クラスターの安定性リスクも引き起こします。CoreDNS サービスのバックエンドサーバー数が 0 の ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ALB の 5xx エラー率が高すぎる (モデル 3.0 の新機能) | ALB インスタンスの 5xx エラー率が一定期間、指定されたしきい値を超え続ける場合、バックエンドサービスが頻繁に内部エラーを経験していることを示します。これは、アプリケーションの例外、リソース不足、設定エラー、または依存サービスの障害が原因である可能性があります。これは、ユーザーエクスペリエンスの低下、ビジネス中断のリスクの増加に直接つながり、システムの安定性と可用性に影響します。過去の特定の時間範囲内で、5xx エラー率が少なくとも 8 時間、80% 以上である ALB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ALB の TLS ハンドシェイク失敗率が高すぎる (モデル 3.0 の新機能) | ALB の TLS ハンドシェイク失敗率が高い場合、クライアントとサーバー間の暗号化通信に問題がある可能性があります。たとえば、証明書の設定エラー、互換性のないプロトコルバージョン、キー スイートの不一致、またはクライアントがサポートされていない暗号化アルゴリズムを使用している場合などです。これにより、ユーザーアクセスが失敗し、ビジネスの可用性に影響するだけでなく、セキュリティの脆弱性が露呈し、中間者攻撃のリスクが高まる可能性があります。過去の特定の時間範囲内で、TLS ハンドシェイク失敗率が少なくとも 8 時間、80% 以上である ALB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ALB の接続失敗率が高すぎる (モデル 3.0 の新機能) | Application Load Balancer (ALB) の接続失敗率が高い場合、バックエンドサービスが異常である、ネットワークが不安定である、または設定が正しくない可能性があります。これにより、ユーザーアクセスが失敗したり、ビジネスが中断したり、ユーザーエクスペリエンスが低下したりする可能性があります。ALB の接続失敗率メトリックを検査することで、問題の根本原因を迅速に発見して特定し、システムの可用性と安定性を向上させ、トラフィックスケジューリングの効率を最適化し、ビジネスの継続性とサービス品質を確保できます。これにより、お客様により信頼性の高いクラウドアプリケーション配信機能がもたらされます。過去の特定の時間範囲内で、接続失敗率が少なくとも 8 時間、80% 以上である ALB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | CDN ドメイン名の OSS オリジンドメイン名設定が異常 (モデル 3.0 の新機能) | CDN ドメイン名のオリジンドメイン名設定が存在しない場合、リソースリクエストが失敗し、ビジネス機能に影響します。同時に、オリジンフェッチの失敗により CDN が継続的に再試行し、無意味なネットワークオーバーヘッドが増加します。CDN ドメイン名がオリジン情報に OSS ドメイン名を使用し、対応する OSS バケットリソースのステータスが「利用中」でない場合、非準拠と見なされます。オリジン情報として OSS ドメイン名を使用しない CDN ドメイン名は、検出範囲に含まれません。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | DNS ドメイン名解決の CNAME レコードで設定された OSS ドメイン名が異常 (モデル 3.0 の新機能) | DNS ドメイン名解決の CNAME レコードに不正な OSS ドメイン名が設定されている場合、そのドメイン名を通じてリソースにアクセスすると、リソースが正常にロードされず、通常のビジネス機能に影響します。DNS の CNAME レコードに OSS ドメイン名が設定されており、対応する OSS バケットが「利用中」でない場合、DNS ドメイン名は非準拠と見なされます。CNAME レコードに OSS ドメイン名を使用しない DNS ドメイン名は、検出範囲に含まれません。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ECS インスタンス起動テンプレートで設定されたカスタムイメージが異常 (モデル 3.0 の新機能) | インスタンス起動テンプレートは、インスタンスを迅速に作成するためのツールであり、効率とユーザーエクスペリエンスを向上させます。起動テンプレートで設定されたカスタムイメージが存在しない場合、起動テンプレートの実行が失敗します。関連付けられたカスタムイメージが「利用中」のリソースでない場合、ECS インスタンス起動テンプレートは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ESS スケーリンググループに関連付けられたロードバランサーが異常 (モデル 3.0 の新機能) | スケーリンググループがロードバランサーインスタンスに関連付けられた後、スケーリンググループが自動的にインスタンスを作成するか、インスタンスが手動でスケーリンググループに追加されるかにかかわらず、インスタンスは自動的にロードバランサーインスタンスのバックエンドサーバーに追加されます。ロードバランサーまたはロードバランサーサーバーグループが存在しない場合、スケーリンググループのスケーリングが失敗します。関連付けられた Classic Load Balancer または Application Load Balancer が「利用中」のリソースでない場合、Auto Scaling グループは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | RDS 読み取り専用インスタンスとプライマリインスタンス間の遅延が大きすぎる (モデル 3.0 の新機能) | RDS 読み取り専用インスタンスは、MySQL のネイティブなログベースのレプリケーション技術 (非同期レプリケーションまたは準同期レプリケーション) を使用するため、必然的に同期遅延が発生します。この遅延により、読み取り専用インスタンスとプライマリインスタンス間でデータの不整合が生じ、ビジネス上の問題が発生します。さらに、この遅延はログのスタッキングを引き起こし、読み取り専用インスタンスのスペースを急速に消費する可能性があります。RDS 読み取り専用インスタンスは、プライマリインスタンスとの最大遅延が 7 日以内に 60 秒を超える場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | VPC インスタンスで利用可能な IP が不足している (モデル 3.0 の新機能) | リソース不足によるビジネスの拡張が不可能になるのを避けるため、VPC vSwitch に十分な数の利用可能な IP があることを確認してください。利用可能な IPv4 IP の数が指定された値 (デフォルトは 10) 以下の場合、VPC vSwitch は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ECS インスタンスが支払い遅延またはセキュリティ上の理由でシャットダウンされた | ECS インスタンスの受動的なシャットダウンは、サービスの中断、データの損失、データの不整合を引き起こし、システムのパフォーマンスに影響を与えたり、セキュリティリスクを生じさせたりします。現在のアカウント下に、支払い遅延またはセキュリティ上の理由でシャットダウンされた ECS インスタンスがある場合、アカウントはリスクにさらされていると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、API サーバー CLB インスタンスのバックエンドステータスが異常であることが判明 (モデル 3.0 の新機能) | ACK クラスター API サーバー CLB インスタンスのバックエンドステータスが異常な場合、コントロールプレーンの通信が中断され、クラスター管理が完全に失敗します。kubectl などのクライアントは API サーバーにアクセスできず、アプリケーションのデプロイやステータスの表示などの操作が不可能になります。同時に、kubelet やコントローラーなどのコンポーネントは、API サーバーとの接続が切断されるため、ノードの状態が異常になったり、Pod のスケジューリングが失敗したり、自動回復メカニズムが失敗したりします。これにより、クラスターの安定性が崩壊し、API にアクセスできないためにビジネスサービスが中断されます。さらに、Prometheus などの監視ツールはメトリックデータを収集できず、異常を迅速に警告してトラブルシューティングすることが不可能になります。さらに深刻なことに、API サーバーが長期間利用できないと、クラスターの状態と etcd に保存されているデータとの間に不整合が生じ、データの損失や操作の異常につながる可能性があります。通常のトラフィック分散を確保し、クラスターの完全なクラッシュを避けるために、CLB の設定、バックエンドノードのヘルスステータス、およびネットワーク接続を直ちに確認する必要があります。API サーバー CLB インスタンスのバックエンドステータスが異常な ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、APIService が利用できないことが判明 (モデル 3.0 の新機能) | ACK クラスターの APIService が利用できない場合、拡張 API 機能が失敗します。CRD などのカスタムリソースはコントロールプレーンと通信できなくなり、Operator やサービスメッシュなど、拡張 API に依存するコンポーネントの管理異常につながります。リソースステータスの更新や設定配信などの API リクエストは、サービスの中断により失敗し、監視データの損失、自動ポリシーの失敗、またはクラスター管理コマンドのエラーを引き起こす可能性があります。Admission Webhook などのコア拡張 API が影響を受けると、リソース作成プロセスがブロックされ、クラスター操作のブロックのリスクが悪化します。主要な機能の麻痺やデータの不整合を避けるために、APIService を緊急に復元する必要があります。APIService が利用できない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、LoadBalancer サービスの課金方法が実際のインスタンスと一致しないことが判明 (モデル 3.0 の新機能) | ACK クラスターの LoadBalancer サービスの課金方法が実際のインスタンスと一致しない場合、課金の異常が発生します。これにより、予期しない配信 (たとえば、サブスクリプションではなく従量課金) や、予期しないリソースのリリース (たとえば、有効期限切れ時にサブスクリプションを更新しない) が発生し、サービスの中断につながる可能性があります。同時に、混沌としたリソース管理は自動スケーリングポリシーを妨害し、O&M コストとリスクを増大させます。課金の不一致やビジネスの可用性の低下を避けるために、課金方法の設定を直ちに調整する必要があります。LoadBalancer サービスの課金方法が実際のインスタンスと一致しない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、LoadBalancer サービスの証明書インスタンス ID が実際のインスタンスと一致しないことが判明 (モデル 3.0 の新機能) | ACK クラスターの LoadBalancer サービスの証明書インスタンス ID が実際にバインドされている証明書と一致しない場合、TLS 設定が失敗します。これにより、HTTPS サービスの接続が拒否されたり、セキュリティ警告が表示されたりして、ユーザーアクセスが中断されます。無効な証明書は暗号化されていないトラフィックを公開し、中間者攻撃のリスクを高める可能性があります。同時に、異常なヘルスチェックはバックエンドサービスのステータスを誤って判断し、トラフィック分散の混乱を悪化させます。安全な通信とサービスの可用性を回復するために、証明書の設定を直ちに同期する必要があります。LoadBalancer サービスの証明書インスタンス ID が実際のインスタンスと一致しない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で異常な CoreDNS Pod が見つかった (モデル 3.0 の新機能) | ACK クラスター内の異常な CoreDNS Pod は、DNS 解決サービスを不安定にします。ドメイン名によるサービス間の通信がタイムアウトしたり失敗したりして、アプリケーションの呼び出しが中断される可能性があります。異常な Pod はコントローラーを継続的に再起動させ、コントロールプレーンの負荷を増大させ、効果的なサービスを提供せずにノードリソースを占有する可能性があります。Pod が設定エラーやイメージの脆弱性により異常な場合、DNS ハイジャックや解決の汚染を引き起こし、サービスのルーティングエラーやデータ侵害につながる可能性があります。DNS サービスの信頼性を回復するために、Pod のステータスを確認し、設定を直ちに修復する必要があります。異常な CoreDNS Pod が存在する ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、エラスティックコンポーネントのステータスが異常であることが判明 (モデル 3.0 の新機能) | ACK クラスターのエラスティックコンポーネントのステータスが異常な場合、自動スケーリングや自動障害回復などのメカニズムが失敗します。高負荷時に動的にスケールアウトできず、リソースのボトルネック、サービスの応答遅延、または中断につながります。障害のあるノードや Pod を自動的に置き換えることができず、可用性のリスクが悪化します。同時に、クラスターはポリシーに従ってリソース割り当てを最適化できず、コストの無駄や O&M 効率の低下につながります。長期的には、主要なビジネスプロセスをブロックする可能性があります。クラスターの適応能力を回復するために、エラスティックコンポーネントのステータスを緊急に修復する必要があります。エラスティックコンポーネントのステータスが異常な ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、ノードプールの vSwitch が利用できないことが判明 (モデル 3.0 の新機能) | ACK クラスターのノードプールの vSwitch が利用できない場合、ノード間のネットワーク通信が中断されます。Pod とサービスはノード間で対話できなくなり、サービス検出の失敗やデータ転送の停滞につながります。コントロールプレーンとワーカーノード間の通信が切断され、ノードが利用不可とマークされ、誤ったエビクションや異常なクラスターサイズの縮小がトリガーされる可能性があります。同時に、ノードは外部ストレージ、データベース、その他のリソースにアクセスできず、アプリケーション機能が麻痺します。ネットワークパーティションのリスクが悪化し、クラスターのスプリットブレインやデータの不整合を引き起こす可能性があります。O&M の観点からは、監視データの中断により、障害をタイムリーに特定することが不可能です。ネットワーク接続を確保するために、vSwitch サービスを緊急に復元する必要があります。ノードプールの vSwitch が利用できない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、ノードプールのスケーリンググループが利用できないことが判明 (モデル 3.0 の新機能) | ACK クラスターのノードプールのスケーリンググループが利用できない場合、クラスターは自動スケーリング機能を完全に失います。高負荷時に動的にスケールアウトできず、ノードリソースの枯渇、Pod のスケジューリングの失敗、またはサービスの応答遅延につながります。低負荷時にスケールインできず、リソースのアイドル化とコストの無駄につながります。障害のあるノードの自動置換メカニズムが失敗し、ノードが長時間オフラインになり、クラスターの単一障害点のリスクが悪化する可能性があります。同時に、異常なスケーリンググループは、突然のトラフィックやメンテナンスのニーズに弾力的に対応するクラスターの能力を妨げます。長期的には、サービスの安定性と O&M 効率の低下につながります。クラスターの弾力性のある能力を回復するために、スケーリンググループのステータスを直ちに修復する必要があります。ノードプールのスケーリンググループが利用できない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、ノードプールのスケーリング設定が利用できないことが判明 (モデル 3.0 の新機能) | ACK クラスターのノードプールのスケーリング設定が利用できない場合、クラスターはノード数を自動的に調整できなくなります。高負荷時にスケールアウトできず、リソースの枯渇、Pod のスケジューリングの失敗、またはサービスの中断につながります。低負荷時にスケールインできず、リソースの無駄とコストの急増につながります。同時に、障害のあるノードの自動置換メカニズムが失敗し、ノードが長時間利用できなくなり、クラスターの高可用性が低下する可能性があります。長期的には、HPA (Horizontal Pod Autoscaler) などの自動ポリシーも失敗し、クラスターの状態が不均衡になり、O&M コストが増加します。弾力性のある能力を回復するために、スケーリング設定を直ちに修復する必要があります。ノードプールのスケーリング設定が利用できない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ACK クラスターの検査で、ノードプールのセキュリティグループが利用できないことが判明 (モデル 3.0 の新機能) | ACK クラスターのノードプールのセキュリティグループが利用できない場合、ネットワークアクセスルールが失敗します。kubelet と API サーバーなどのクラスターコンポーネント間の通信、および Pod 間のサービス検出は、ポートのブロックまたはルールの欠落により中断される可能性があります。同時に、不正なトラフィックが保護を突破し、ノードの侵入や DDoS 攻撃のリスクを高める可能性があります。アウトバウンドルールが異常な場合、ノードは外部ストレージ、イメージリポジトリ、または監視サービスにアクセスできず、依存サービスの呼び出しが失敗します。セキュリティグループの障害により、ノードが誤って隔離され、Pod のスケジューリングとビジネスの継続性に影響を与える可能性もあります。ネットワークの分離と通信のセキュリティを回復するために、ルール設定を直ちに修復する必要があります。ノードプールのセキュリティグループが利用できない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ALB の 4xx エラー率が高すぎる (モデル 3.0 の新機能) | ALB インスタンスの 4xx エラー率が一定期間、指定されたしきい値を超え続ける場合、通常、クライアントリクエストに多くの例外があることを意味します。たとえば、無効なリクエスト、パラメータエラー、認証の失敗、または DDoS 攻撃などの高いアクセス頻度などです。これは、通常のユーザーのユーザーエクスペリエンスに影響を与えるだけでなく、システムインターフェイスの設計上の欠陥やセキュリティリスクを露呈する可能性もあります。過去の特定の時間範囲内で、4xx エラー率が少なくとも 8 時間、80% 以上である ALB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | CEN インスタンスに VBR ヘルスチェックが設定されていない (モデル 3.0 の新機能) | Cloud Enterprise Network のヘルスチェック機能は、VBR インスタンスに関連付けられた Express Connect 回線の接続性を検出します。Cloud Enterprise Network とデータセンター間に冗長ルートがあるシナリオでは、ヘルスチェックは Express Connect 回線の障害を検出した後、利用可能なルートに自動的に切り替えることをサポートし、中断のないトラフィック伝送を保証します。関連付けられた VBR にヘルスチェックが設定されていない CEN インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | DNS ドメインのメール解決における SPF レコードが異常 (モデル 3.0 の新機能) | SPF は、ドメインに代わってメールを送信する権限を持つメールサーバー (IP アドレスやドメイン名など) を定義するために使用される DNS ベースのメール検証プロトコルです。メールサーバーがメールを受信すると、送信者の IP アドレスを SPF レコードの許可リストと照合して、メールが正当であるかどうかを判断します。合理的で有効な SPF 値を設定すると、メールのなりすましを防ぎ、迷惑メールのリスクを減らし、メールの配信率を向上させることができます。DNS ドメインの各 MX レコードについて、v=spf1 で始まる有効な SPF 値を持つ TXT レコードが少なくとも 1 つあるかどうかを確認します。上記の条件を満たさない DNS ドメインは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | ECS インスタンスに保留中の O&M イベントがある | ECS のスケジュールされた O&M イベントにタイムリーに対応して処理しないと、ビジネスのピーク時に ECS インスタンスが再起動し、ECS インスタンス上のサービスの安定性に影響を与える可能性があります。ステータスが「照会中」、「スケジュール済み」、または「実行中」の保留中の ECS O&M イベントがある場合、アカウントはリスクにさらされていると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | OSS バケットにカスタムドメイン名が設定されていない | カスタムドメイン名を使用すると、ブランドイメージと専門性を高め、安定性を向上させることができます。カスタムドメイン名は CNAME を通じてバインドして CDN アクセラレーションを実現し、アクセスパフォーマンスを向上させることができます。また、HTTPS セキュアアクセスをサポートし、データ伝送のセキュリティを強化します。カスタムドメイン名が設定されていない OSS バケットは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リスク検査 | RDS for PostgreSQL インスタンスのデータレプリケーションが同期または半同期モードを使用していない (モデル 3.0 の新機能) | RDS for PostgreSQL は、非同期、同期、半同期の 3 つのデータレプリケーションモードをサポートしています。非同期モードは応答速度が最も速いですが、データの永続性要件が低いシナリオにのみ適しています。データベースがクラッシュするとデータが失われる可能性があり、永続性のリスクがあります。データレプリケーションに非同期モードを使用している (synchronous_commit パラメータがオフ) RDS for PostgreSQL インスタンスは非準拠と見なされます。 | この修正により、RDS for PostgreSQL データベースのデータレプリケーションモードが半同期または同期モードに変更されます。同期モードは最大の保護レベルを提供し、非常に高いデータ永続性要件を持つシナリオに適していますが、応答速度は遅くなります。半同期モードは最高の可用性保護レベルを提供し、データの永続性と応答速度のバランスをとります。データレプリケーションモードを半同期に変更するには、インスタンスのカーネルバージョンが 20220228 以降である必要があります。パラメータを変更するアクションは、インスタンスに設定されたメンテナンスウィンドウ内で実行されます。 | いいえ |
リスク検査 | Redis インスタンスの接続使用率が高すぎる (モデル 3.0 の新機能) | Redis インスタンスの接続使用率が一定期間、指定されたしきい値を超え続ける場合、現在の接続リソースが制限に近づいているか、または達していることを示します。これにより、新しいクライアントが接続を確立できなくなったり、リクエストが拒否されたり、応答レイテンシーが増加したりして、ビジネスのパフォーマンスと安定性に影響を与える可能性があります。この状況は、接続リーク、不合理な接続プール設定、または突然のトラフィックプレッシャーなどの問題を示している可能性もあります。過去の特定の時間範囲内で、平均接続使用率が少なくとも 8 時間、50% 以上である Redis インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | AnalyticDB for MySQL インスタンスでログバックアップが有効になっていない | AnalyticDB for MySQL クラスターは、ログバックアップが有効になっていない場合、非準拠と見なされます。 | この修正により、選択した AnalyticDB for MySQL クラスターのログバックアップが有効になり、デフォルトの保存期間は 7 日間になります。 | いいえ |
データバックアップとスナップショット | AnalyticDB for PostgreSQL インスタンスに利用可能なデータバックアップセットがない (モデル 3.0 の新機能) | AnalyticDB for PostgreSQL のデータバックアップチェックは、データの損失や誤操作によるビジネスの中断を防ぐために、インスタンスに利用可能なバックアップセットがあることを確認することを目的としています。バックアップポリシーとバックアップステータスを定期的にチェックすることで、データセキュリティと回復能力を効果的に向上させることができます。実行中で、サーバーレスタイプではない AnalyticDB for PostgreSQL ストレージインスタンスは、過去の指定された時間数 (デフォルトは 7 日または 168 時間) 以内に利用可能なデータバックアップセットがない場合、非準拠と見なされます。 | これを有効にすると、AnalyticDB for PostgreSQL インスタンスはバックアップ設定に従ってデータバックアップを実行し、利用可能なバックアップセットを生成します。AnalyticDB for PostgreSQL は、完全な基本バックアップと継続的なログバックアップを通じて、新しいインスタンスを過去の時点に復元でき、その時点でのデータセキュリティを確保します。 | いいえ |
データバックアップとスナップショット | ECS インスタンスのデータバックアップ保護にリスクがある (モデル 3.0 の新機能) | 日常的なデータ保護、高リスク操作のエスコート、リージョン間の災害保護、完全なマシン回復など、さまざまなシナリオに応じて異なるスナップショットとバックアップソリューションを選択する必要があります。そうしないと、データを回復できなくなる可能性があり、不完全なバックアップソリューションは、コアファイルの回復可能性と効率が期待を満たさないことにもつながります。ECS インスタンスは、次のバックアップソリューションのいずれも有効にしていない場合、非準拠と見なされます:1. クラウドディスクスナップショットソリューションを有効にする。2. 「ファイル/自己管理データベースバックアップ」バックアップソリューションを設定する。 | クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | ECS ディスクに自動スナップショットポリシーが設定されていない | ECS ディスクは、自動スナップショットポリシーが設定されていない場合、非準拠と見なされます。 | この修正により、選択した ECS ディスクインスタンスに指定されたスナップショットポリシーが有効になります。スナップショットポリシーは各リージョンで独立しているため、選択したディスクが配置されているリージョンに同じ名前のポリシーが存在する場合、既存のポリシーが使用されます。それ以外の場合は、新しいスナップショットポリシーが作成されます。 | いいえ |
データバックアップとスナップショット | MongoDB インスタンスでログバックアップが有効になっていない | MongoDB インスタンスは、ログバックアップが有効になっていない場合、非準拠と見なされます。 | この修正により、選択した MongoDB クラスターのログバックアップが有効になり、デフォルトの保存期間は 7 日間になります。 | いいえ |
データバックアップとスナップショット | NAS ファイルシステムのデータバックアップポリシーにリスクがある (モデル 3.0 の新機能) | NAS のゴミ箱と Cloud Backup が有効になっていない場合、ファイルが誤って削除または改ざんされたときにタイムリーに回復できません。バックアップボールトのクロスリージョンレプリケーションが有効になっていない場合、複数バージョンの地理的冗長性を実現できず、別の場所でデータを復元できないため、ビジネスの継続性に深刻な影響を与えます。NAS ファイルシステムは、次のバックアップソリューションのいずれも有効にしていない場合、非準拠と見なされます:1. NAS のゴミ箱を有効にする。2. NAS バックアップを有効にする。 | この修正により、NAS のゴミ箱機能が有効になります。汎用型 NAS ファイルシステム内のファイルの偶発的な削除によるビジネスの中断や永続的なデータ損失を避けるために、ゴミ箱機能を有効にすることをお勧めします。これを有効にすると、削除されたファイルやディレクトリは一時的にゴミ箱に保存され、指定された保持期間後に完全に削除されます。保持期間中は、UID、GID、ACL などのメタデータ情報とともにこれらのファイルを復元できます。 | いいえ |
データバックアップとスナップショット | OSS バケットのデータバックアップポリシーにリスクがある | バケットレベルのデータは保護する必要があります。バージョン管理が有効になっていない場合、データの上書きおよび削除操作の履歴バージョンが保存されない可能性があります。問題が発生した場合、バケットに保存されているオブジェクトを特定の時点に復元することは不可能です。同時に、クロスリージョンレプリケーションが有効になっていない場合、同じまたは異なるアカウントでの操作は別のリージョンに同期されません。災害や障害が発生した場合、ビジネスの継続性に深刻な損害を与えます。OSS バケットは、次のバックアップソリューションの少なくとも 1 つを有効にしていない場合、非準拠と見なされます:1. OSS バージョン管理を有効にする。2. OSS バケットバックアップを有効にする。 | この修正により、選択した OSS インスタンスのバージョン管理が有効になります。バージョン管理を有効にすると、データの上書きおよび削除操作は履歴バージョンとして保存されます。誤ってオブジェクトを上書きまたは削除した場合、バケットに保存されているオブジェクトをいつでも任意の履歴バージョンに復元できます。 | いいえ |
データバックアップとスナップショット | PolarDB クラスターでレベル 2 バックアップが有効になっていない | PolarDB クラスターは、レベル 2 バックアップが有効になっておらず、保持期間が 30 以上の場合、非準拠と見なされます。 | この修正により、選択した PolarDB クラスターのレベル 2 バックアップサイクルとレベル 2 バックアップ保持期間 (デフォルトは 30 日) が設定されます。現在レベル 2 バックアップが有効になっていない場合は、自動的に有効になります。 | いいえ |
データバックアップとスナップショット | RDS インスタンスでログバックアップが有効になっていない | RDS インスタンスは、ログバックアップが有効になっていない場合、非準拠と見なされます。 | この修正により、選択した RDS インスタンスのログバックアップが有効になり、デフォルトの保存期間は 7 日間になります。 | いいえ |
データバックアップとスナップショット | Tablestore インスタンスのデータバックアップポリシーにリスクがある (モデル 3.0 の新機能) | Tablestore のバックアップとクロスリージョンバックアップが有効になっていない場合、重要なデータをシンプル、効率的、安全、かつ信頼性の高い方法で迅速に復元できません。障害が発生すると、ビジネスの継続性に深刻な影響を与えます。バックアップソリューションが有効になっていない Tablestore インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | ECI エラスティックインスタンス Pod にデータボリュームがマウントされていない | ECI エラスティックインスタンス Pod は、データボリュームがマウントされていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
データバックアップとスナップショット | Elasticsearch インスタンスで自動バックアップが有効になっていない | Elasticsearch インスタンスは、自動バックアップが有効になっていない場合、非準拠と見なされます。 | この操作を実行すると、選択した Elasticsearch インスタンスの自動バックアップ機能が有効になります。システムは、設定されたバックアップサイクルと時間に従ってデータを自動的にバックアップします。データが誤って削除されたり、アプリケーションに論理エラーが発生したりした場合、自動バックアップ回復機能を使用して、特定の時点のバックアップデータを元の ES インスタンスに復元し、データセキュリティを確保できます。自動バックアップは過去 7 日間のスナップショットデータのみを保持し、自動バックアップデータは元のクラスターへの復元にのみ使用できることに注意してください。 | いいえ |
データバックアップとスナップショット | Redis インスタンスに増分バックアップが設定されていない | Redis インスタンス (Tair Enterprise Edition) は、増分バックアップが有効になっていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ACK クラスターにシングルゾーンデプロイメントのリスクがある | リージョンクラスターを使用すると、クロスリージョンディザスタリカバリ機能を実現できます。ACK クラスターは、3 つ以上のゾーンにノードが分散しているリージョンクラスターである場合、準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ALB インスタンスにシングルゾーンデプロイメントのリスクがある | 1 つのゾーンのみを選択した場合、このゾーンが障害を起こすと ALB インスタンスに影響し、ビジネスの安定性に影響します。ALB インスタンスは、マルチゾーンインスタンスである場合、準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ALB サーバーグループにマウントされたリソースがすべて単一ゾーンにある | 複数のゾーンから ALB ロードバランサーサーバーグループにリソースを追加すると、1 つのゾーンが障害を起こしても、アプリケーションが他のゾーンで実行され続けることが保証され、より優れたフォールトトレランスが提供されます。ALB ロードバランサーサーバーグループは、マウントされたリソースが複数のゾーンに分散している場合、準拠していると見なされます。ALB サーバーグループにリソースがマウントされていない場合、またはサーバーグループが IP または Function Compute タイプの場合は、このルールは適用されません。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | API Gateway インスタンスにシングルゾーンデプロイメントのリスクがある | マルチゾーンディザスタリカバリ機能を備えたマルチゾーン API Gateway インスタンスを使用することをお勧めします。ゲートウェイインスタンスは、マルチゾーンである場合、準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | リージョン内の ECS インスタンスのゾーン間での分散が不均衡 (モデル 3.0 の新機能) | すべての ECS インスタンスを同じゾーンにデプロイすると、単一障害点のリスクが生じます。そのゾーンがハードウェアの損傷、ネットワークの中断、またはその他の問題で障害を起こすと、そのリージョン内のすべての ECS インスタンスが同時に利用できなくなり、ビジネスの中断につながります。同じリージョン内のすべての ECS インスタンスが同じゾーンにデプロイされている場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Flink インスタンスがクロスゾーン CU タイプを使用していない | Flink CU にクロスゾーンを有効にすることをお勧めします。これにより、マルチゾーンディザスタリカバリ機能が提供されます。Flink インスタンスは、マルチゾーン CU を使用していない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | GWLB インスタンスにシングルゾーンデプロイメントのリスクがある | GWLB インスタンスにマルチゾーンを有効にすることをお勧めします。これにより、マルチゾーンディザスタリカバリ機能が提供されます。Gateway Load Balancer インスタンスは、マルチゾーンでない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | GWLB サーバーグループにマウントされたリソースがすべて単一ゾーンにある (モデル 3.0 の新機能) | マルチゾーンサーバーグループにリソースをマウントすると、システムのディザスタリカバリ能力が向上し、ビジネス中断のリスクが軽減されます。GWLB インスタンスがシングルゾーンである場合、または GWLB インスタンス下のリスナーが使用するサーバーグループに複数のゾーンからのリソースが追加されていない場合、アカウントは非準拠と見なされます。サーバーグループにリソースがない場合、またはリソースタイプが IP の場合は、このルールは適用されません。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | MSE 関連コンポーネントにシングルゾーンデプロイメントのリスクがある | MSE 関連コンポーネントには、安定性を向上させるためにマルチゾーンデプロイメントアーキテクチャを採用することをお勧めします。MSE 関連コンポーネントがシングルゾーンにデプロイされている場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | MSE ゲートウェイにシングルゾーンデプロイメントのリスクがある | 現在のゲートウェイのすべてのインスタンスレプリカは同じゾーン (AZ) にデプロイされています。このデプロイメント形式には高可用性機能がなく、極端な場合にはビジネスが損なわれる可能性があります。ゲートウェイインスタンスを複数のゾーンに分散させるために、できるだけ早く新しいバージョンにアップグレードしてください。MSE Ingress ゲートウェイコンポーネントがシングルゾーンアーキテクチャである場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | MongoDB インスタンスにシングルゾーンデプロイメントのリスクがある | マルチゾーンではない MongoDB インスタンスを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | NLB インスタンスにシングルゾーンデプロイメントのリスクがある | Network Load Balancer インスタンスについては、マルチゾーンディザスタリカバリを満たすためにマルチゾーンを設定することを強くお勧めします。シングルゾーンの Network Load Balancer インスタンスを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | NLB サーバーグループにマウントされたリソースがすべて単一ゾーンにある | Network Load Balancer サーバーグループに複数のゾーンからリソースを追加することをお勧めします。これにより、マルチゾーンディザスタリカバリ機能が提供されます。Network Load Balancer サーバーグループは、そのリソースが複数のゾーンに分散している場合、準拠していると見なされます。サーバーグループにリソースがない場合、またはリソースタイプが IP の場合は、これは適用されません。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | OSS バケットでゾーン冗長ストレージが有効になっていない | OSS バケットは、ゾーン冗長ストレージが有効になっていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | PolarDB クラスターでホットスタンバイストレージクラスターが有効になっていない | PolarDB クラスターは、ホットスタンバイストレージクラスターが有効になっておらず、データが単一ゾーンに分散している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | PrivateLink エンドポイントサービスにシングルゾーンデプロイメントのリスクがある | エンドポイントサービスに複数のゾーンを設定すると、サービス中断のリスクが大幅に軽減され、トラフィックがより均等に分散されて単一ゾーンの過負荷が回避され、最寄りアクセスが提供されてネットワーク遅延が短縮され、アクセス速度が向上します。エンドポイントサービスに複数のゾーンを設定することは準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | RDS インスタンスにシングルゾーンデプロイメントのリスクがある | マルチゾーンではない RDS インスタンスを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Redis インスタンスにシングルゾーンデプロイメントのリスクがある | マルチゾーンではない Redis インスタンスを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | SLB インスタンスとそのリスナーのサーバーグループに単一障害点のリスクがある | SLB インスタンスがシングルゾーンである場合、または SLB インスタンス下のリスナーが使用するサーバーグループに複数のゾーンからのリソースが追加されていない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ApsaraMQ for Kafka インスタンスにシングルゾーンデプロイメントのリスクがある | Professional Edition インスタンスを使用しており、デプロイメント中にシングルゾーンデプロイメントのみを選択した場合、セカンダリゾーンを編集することでクラスターをマルチゾーンアーキテクチャデプロイメントにアップグレードでき、クラスターのディザスタリカバリ能力が向上します。ApsaraMQ for Kafka インスタンスは、マルチゾーンである場合、準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | トランジットルーターにシングルゾーンデプロイメントのリスクがある | 既存のトランジットルーターについては、マルチゾーンディザスタリカバリ機能を満たすためにマルチゾーンを設定することを強くお勧めします。トランジットルーターは、その VPC 接続が 1 つのゾーンにしか vSwitch を設定していない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | AnalyticDB for PostgreSQL インスタンスにシングルゾーンデプロイメントのリスクがある | AnalyticDB for PostgreSQL インスタンスには、クロスアベイラビリティーゾーンのディザスタリカバリーを有効にすることをお勧めします。プライマリゾーンが障害を起こした場合、システムは自動的にセカンダリゾーンノードをプライマリノードに切り替えてサービスを提供し続け、ビジネスの継続性を確保します。AnalyticDB for PostgreSQL インスタンスは、クロスアベイラビリティーゾーンのディザスタリカバリーが有効になっていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ClickHouse クラスターにシングルゾーンデプロイメントのリスクがある | マルチゾーンディザスタリカバリ機能を備えたマルチゾーン ClickHouse クラスターインスタンスを使用することをお勧めします。マルチゾーン ClickHouse クラスターインスタンスは準拠していると見なされます。現在、コミュニティ版のみがマルチゾーンアーキテクチャについてチェックされています。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | HBase インスタンスにシングルゾーンデプロイメントのリスクがある | より高いディザスタリカバリ能力を持つマルチゾーンデプロイメントアーキテクチャを採用することをお勧めします。HBase インスタンスは、マルチゾーンデプロイメントを採用していない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Lindorm インスタンスにシングルゾーンデプロイメントのリスクがある | Lindorm インスタンスを複数のゾーンにデプロイすることをお勧めします。マルチゾーンインスタンスは、より高いディザスタリカバリ能力を持っています。同時に、Lindorm インスタンスは、複数のゾーン間でデータの強力な整合性を実現でき、また、最終的なデータ整合性の下で最速の結果を返すこともでき、オンラインビジネスのサービス品質を向上させます。Lindorm インスタンスは、マルチゾーンデプロイメントを採用していない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | PolarDB-X 2.0 インスタンスにシングルゾーンデプロイメントのリスクがある | マルチゾーンディザスタリカバリ機能を備えたマルチゾーン PolarDB-X 2.0 インスタンスを使用することをお勧めします。マルチゾーンアーキテクチャを持つ PolarDB-X 2.0 インスタンスは準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Tablestore インスタンスにシングルゾーンデプロイメントのリスクがある | Tablestore インスタンスは、マルチゾーンデプロイメントを使用していない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ACK クラスターの検査で、CoreDNS のレプリカが 1 つしかないことが判明 (モデル 3.0 の新機能) | ACK クラスターの CoreDNS が単一のレプリカ構成しか保持していない場合、高可用性を失います。Pod が障害を起こすと、DNS サービスが完全に中断され、クラスター内のサービスドメイン名の解決が失敗し、アプリケーション間の通信が中断されます。単一障害点アーキテクチャは、ノードの障害やメンテナンス操作に耐えられません。アップグレードや再起動中にサービスが一時的に中断される可能性があり、長期的な運用のリスクが悪化します。サービスの冗長性と安定性を確保するために、レプリカ数を直ちに拡張する必要があります。CoreDNS のレプリカが 1 つしかない ACK クラスターは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ACR に関連付けられた OSS バケットでゾーン冗長ストレージが有効になっていない | Enterprise Edition の ACR インスタンスを使用し、ゾーン冗長ストレージが有効になっている OSS バケットに関連付けることをお勧めします。ACR がローカル冗長ストレージを持つ OSS バケットに関連付けられている場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ACS クラスターにシングルゾーンデプロイメントのリスクがある | マルチゾーンディザスタリカバリ機能を備えたリージョンマルチゾーン ACS クラスターを使用することをお勧めします。ACS クラスターは、3 つ以上のゾーンにノードが分散しているリージョンクラスターである場合、準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Elasticsearch インスタンスにシングルゾーンデプロイメントのリスクがある | マルチゾーンではない Elasticsearch インスタンスを使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | SLS プロジェクトがゾーン冗長ストレージを使用していない | Simple Log Service は、ローカル冗長ストレージとゾーン冗長ストレージの 2 つのストレージ冗長タイプを提供します。これらは、単一ゾーンから複数ゾーンまでのデータ冗長化メカニズムをカバーし、データの永続性と可用性を確保します。ログプロジェクトは、ゾーン冗長ストレージを使用している場合、準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | VPN Gateway にシングルゾーンデプロイメントのリスクがある | 既存のシングルトンネルインスタンスについては、コンソールで AZ 高可用性を有効にし、ピアに接続するためにデュアルトンネルを設定することを強くお勧めします。VPN は、シングルトンネルインスタンスを使用している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | VPN Gateway がデュアルトンネルモードを使用していない | デュアルトンネルモードの IPsec-VPN 接続には、プライマリトンネルとセカンダリトンネルがあります。プライマリトンネルが障害を起こした場合、トラフィックはセカンダリトンネルを通じて伝送でき、IPsec-VPN 接続の高可用性が向上します。デュアルトンネル VPN Gateway は、プライマリトンネルとセカンダリトンネルの両方がピアに接続されている場合、準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | Bastionhost にシングルゾーンデプロイメントのリスクがある | マルチゾーンディザスタリカバリ機能を満たすために、Bastionhost の Enterprise Dual-Engine または SM-compliant Edition を使用することをお勧めします。Bastionhost の Basic Edition を使用することは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
マルチゾーンアーキテクチャ | ApsaraMQ for RocketMQ インスタンスが高可用性クラスター版を使用していない | マルチゾーンディザスタリカバリ機能を備えた高可用性クラスター版を使用することをお勧めします。ApsaraMQ for RocketMQ 5.0 インスタンスは、マルチゾーンでない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クラスターアーキテクチャ | ESS スケーリンググループが単一の vSwitch にしか関連付けられていない | 複数の vSwitch を関連付けることで、スケーリンググループはアプリケーションの全体的な堅牢性、信頼性、パフォーマンスを向上させ、ビジネス要件をよりよく満たすのに役立ちます。1 つの vSwitch がネットワークの問題やその他の条件でアクセスできなくなった場合でも、ユーザートラフィックは他の vSwitch を通じてアプリケーションにアクセスできます。スケーリンググループは、少なくとも 2 つの vSwitch に関連付けられている場合、準拠していると見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クラスターアーキテクチャ | MSE 関連コンポーネントに単一障害点のリスクがある | MSE ZooKeeper コンポーネントについては、3 つ以上のノードにスケールアウトすることをお勧めします。Nacos-ANS コンポーネントについては、3 つ以上のノードにスケールアウトすることをお勧めします。MSE 関連コンポーネントが単一ノードにデプロイされている場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クラスターアーキテクチャ | MSE ゲートウェイに単一障害点のリスクがある | シングルノードインスタンスにはアーキテクチャ上のリスクがあります。単一障害点によりサービスが利用できなくなります。2 つ以上のノードにスケールアウトすることをお勧めします。MSE Ingress コンポーネントが単一ノードにデプロイされている場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クラスターアーキテクチャ | PolarDB インスタンスに単一障害点のリスクがある | PolarDB インスタンスは、クラスター版またはマルチマスタークラスター版を使用していない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クラスターアーキテクチャ | RDS インスタンスでプライマリ/セカンダリの自動切り替えが有効になっていない (モデル 3.0 の新機能) | インスタンスのプライマリノードが異常で利用できない場合、またはインスタンスに潜在的なリスクがあり、セカンダリノードで緊急修復が実行された場合、RDS は自動的にプライマリ/セカンダリの切り替えをトリガーし、プライマリノードとセカンダリノードを交換します。切り替え後、インスタンスのエンドポイントは変更されず、アプリケーションは自動的に新しいプライマリノード (元のセカンダリノード) に接続し、インスタンスの高可用性を確保します。RDS インスタンスでプライマリ/セカンダリの自動切り替え機能が有効になっていない場合、非準拠と見なされます。 | この修正により、RDS インスタンスのプライマリ/セカンダリの自動切り替え機能が有効になります。インスタンスのプライマリノードが異常で利用できない場合、またはインスタンスに潜在的なリスクがあり、セカンダリノードで緊急修復が実行された場合、RDS は自動的にプライマリ/セカンダリの切り替えをトリガーし、プライマリノードとセカンダリノードを交換します。切り替え後、インスタンスのエンドポイントは変更されず、アプリケーションは自動的に新しいプライマリノード (元のセカンダリノード) に接続し、インスタンスの高可用性を確保します。 | いいえ |
クラスターアーキテクチャ | RDS クラスターのプライマリノードとセカンダリノードが同じインスタンスサイズで設定されていない (モデル 3.0 の新機能) | RDS クラスターのプライマリノードとセカンダリノードが同じインスタンスサイズで設定されていない場合、プライマリノードが障害を起こしたときにセカンダリノードがスムーズに引き継ぐことができず、パフォーマンスのボトルネックやサービスの中断につながる可能性があります。さらに、異なるインスタンスの仕様はリソースの不一致につながり、データ同期の効率と回復速度に影響を与え、システムの高可用性とディザスタリカバリ能力を低下させる可能性があります。プライマリノードとセカンダリノードのインスタンスサイズが一致していることを検出して確認することは、システムの安定性を向上させ、フェイルオーバー能力を高め、ビジネスの継続性を確保するのに役立ちます。これにより、お客様により高い信頼性と O&M の制御性がもたらされます。RDS クラスターのプライマリノードとセカンダリノードが異なるインスタンスサイズで設定されている場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クラスターアーキテクチャ | RDS クラスターのプライマリノードとセカンダリノードが同じインスタンスタイプで設定されていない (モデル 3.0 の新機能) | RDS クラスターのプライマリノードとセカンダリノードが同じインスタンスタイプで設定されていない場合、プライマリノードが障害を起こしたときにセカンダリノードがスムーズに引き継ぐことができず、パフォーマンスのボトルネックやサービスの中断につながる可能性があります。さらに、異なるインスタンスの仕様はリソースの不一致につながり、データ同期の効率と回復速度に影響を与え、システムの高可用性とディザスタリカバリ能力を低下させる可能性があります。プライマリノードとセカンダリノードのインスタンスタイプが一致していることを検出して確認することは、システムの安定性を向上させ、フェイルオーバー能力を高め、ビジネスの継続性を確保するのに役立ちます。これにより、お客様により高い信頼性と O&M の制御性がもたらされます。RDS クラスターのプライマリノードとセカンダリノードが異なるインスタンスタイプで設定されている場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クラスターアーキテクチャ | Express Connect で高信頼性モードが使用されていない (モデル 3.0 の新機能) | Express Connect の高信頼性モードを使用して、同じリージョンに 2 つのアクセスポイントを作成し、ネットワークの冗長性を実現し、データ伝送の安定性と信頼性を確保し、コンプライアンス要件を満たします。同じリージョンに 2 つ未満のアクセスポイントしかない Express Connect 回線は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | RDS インスタンスの残りのストレージ容量が不足している (モデル 3.0 の新機能) | RDS インスタンスの残りのストレージ容量が不足すると、データベースの書き込み失敗、パフォーマンスの低下、さらにはサービスの中断やデータ損失のリスクにつながる可能性があります。ビジネスの異常を避け、データベースの安定性を確保し、O&M の信頼性と先見性を向上させるために、タイムリーに容量を拡張するか、データをクリーンアップする必要があります。RDS インスタンスは、7 日以内に 1 時間でも残りのストレージ容量が 10% 未満になった場合、非準拠と見なされます。 | この修正により、RDS インスタンスのストレージの自動拡張機能が有効になります。これを有効にすると、ストレージスペースがしきい値に達したときに自動的に拡張されます。拡張中にインスタンスを再起動する必要はなく、ビジネスへの影響はありません。 | いいえ |
クォータと容量 | ACK API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ALB API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CDN API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ECS API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | NAS API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | PolarDB API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | RDS API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | Redis API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | RocketMQ API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | SLB API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | VPC API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | Cloud Enterprise Network (CEN) API 呼び出しがスロットリングされている | API 呼び出しがスロットリングされると、呼び出しが失敗し、ビジネスの安定性に影響を与える可能性があります。過去 7 日間に API 呼び出しでスロットリング例外が発生した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ACK クラスターの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。ACK クラスターの数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ALB インスタンスの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。ALB インスタンスの総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CDN URL リフレッシュ数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。CDN URL リフレッシュ数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CDN がサポートする高速化ドメイン名の数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。CDN がサポートする高速化ドメイン名の数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CDN ディレクトリリフレッシュ数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。CDN ディレクトリリフレッシュ数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | CDN プリフェッチアイテム数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。CDN プリフェッチアイテム数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | EBS クラウドディスクの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。EBS クラウドディスクの総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ECS サブスクリプションインスタンスの vCPU のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。ECS サブスクリプションインスタンスの vCPU に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ECS スポットインスタンスの vCPU のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。ECS スポットインスタンスの vCPU に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ECS 従量課金インスタンスの vCPU のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。ECS 従量課金インスタンスの vCPU クォータに関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | EIP の総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。EIP の総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ESS スケーリンググループの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。ESS スケーリンググループの総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | MSE 関連コンポーネントに容量リスクがある | リソース容量が妥当な範囲内にあることを確認してください。容量制限を超えると、安定性のリスクにつながる可能性があります。MSE は、関連するメトリックの容量が超過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | NAT Gateway に保持できる SNAT エントリ数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。NAT Gateway に保持できる SNAT エントリ数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | NAT Gateway にバインドできる EIP 数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。NAT Gateway にバインドできる EIP 数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | NLB インスタンスの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。NLB インスタンスの総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | RDS オンデマンドインスタンスのクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。RDS オンデマンドインスタンスに関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | ROS スタックの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。ROS スタックの総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | SLB インスタンスによって保持されるリスナー数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。SLB インスタンスによって保持されるリスナー数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | SLB インスタンスのバックエンドにマウントできるサーバー数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。SLB インスタンスのバックエンドにマウントできるサーバー数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | SLB インスタンスの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。SLB インスタンスの総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | セキュリティグループの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。セキュリティグループの総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | Elastic Network Interface (ENI) の総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。Elastic Network Interface (ENI) の総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
クォータと容量 | デプロイメントセットの総数のクォータ使用量が上限に近づいている (モデル 3.0 の新機能) | リソースクォータが不足すると、製品リソースの作成、変更、または拡張操作が制限される可能性があります。デプロイメントセットの総数に関連するクォータ項目が上限の 80% に達した場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
監視管理 | クラウド製品リソースに監視アラートルールが設定されていない | リソース監視の完全なカバレッジを達成することは、ビジネスの継続性を確保するための基盤であり、鍵です。クラウド製品リソースにアラートルールを設定することは、クラウド製品リソースの監視を実現するために必要な手段です。アラートルールでカバーされていないクラウド製品リソースがある場合、アカウントは非準拠と見なされます。 | この修正により、Cloud Monitor が設定されていないクラウドリソースタイプに対して、ベストプラクティスに基づいてアラートルールが自動的に有効になります。デフォルトでは、「Alibaba Cloud アカウントアラート連絡先」タイプのメッセージ受信者に通知が送信されます。設定が正しいことを確認してください。有効にすると、Cloud Monitor のワンクリックアラート機能で有効化ステータスを表示したり、アラートパラメータを更新したりできます。 | いいえ |
監視管理 | ARMS に高優先度のアラートルールが設定されていない | 効果的なアラートルールを設定することで、ビジネスシステムが期待される運用条件を満たしていない場合にタイムリーに通知され、緊急対応をタイムリーに行うことができます。Alibaba Cloud ARMS のアプリケーション監視または Prometheus モニタリングに P1 レベルのアラートルールが設定されていない場合、または対応する通知ポリシーが設定されていない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
監視管理 | ARMS の高優先度アラートが迅速に処理されていない | MTTx (MTTR: 平均修復時間など) メトリックは、アラート処理効率の重要な指標として使用できます。高優先度アラートにタイムリーに対応することで、アラートや障害の回復効率を効果的に向上させ、ビジネスシステムのサービス品質を向上させることができます。アプリケーション監視または Prometheus モニタリングに P1 レベルのアラートルールが設定されていない場合、または Alibaba Cloud ARMS に 30 分以内に解決されていないアラート (請求保留中、進行中、または 30 分以上経過後に解決済み) がある場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
監視管理 | 継続的なアラートを伴うアラートルールが迅速に処理されていない | 長時間にわたって継続的にアラート状態にあるアラートルールは、注意とガバナンスが必要な問題です。通常、問題をできるだけ早く解決して監視メトリックを正常なレベルに戻すか、実際状況に基づいてアラートルールを調整して、多くのアラートメッセージやアラート疲労が通常の監視および O&M 作業を妨げないようにする必要があります。Cloud Monitor で設定されたアラートルールが 24 時間以上継続してアラート状態にある場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
監視管理 | ACK クラスターに Prometheus モニタリングが設定されていない | ACK クラスターを監視に接続すると、開発および O&M 担当者が、インフラストラクチャ層、コンテナパフォーマンス層など、システムの実行状態を表示するのに役立ちます。ACK クラスターは、「Alibaba Cloud Prometheus モニタリングを有効にする」が設定されていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
監視管理 | ACK クラスターにアプリケーション監視が設定されていない | 分散およびマイクロサービスベースのアプリケーションの場合、ARMS アプリケーション監視に接続して、フルリンク追跡とコードレベルのリアルタイムパフォーマンス監視を行い、O&M 担当者が常にアプリケーションの健全性を把握できるようにします。アプリケーションが ACK または ECS にデプロイされているが、ARMS アプリケーション監視に接続されていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
監視管理 | ARMS の Alibaba Cloud アカウント間でリソースの統一監視を推奨 | グローバル集約インスタンスを作成することで、アカウント間で統一された監視を実現できます。ARMS を使用しておらず、GlobalView インスタンスを作成していない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コスト
カテゴリ | チェック項目 | チェック項目の説明 | クイックフィックスの説明 | 支援付き意思決定のサポート |
コスト監視 | アカウントで利用可能クレジットアラートが有効になっていない (モデル 3.0 の新機能) | ユーザーセンターでアカウントの「利用可能クレジットアラート」が有効になっていない場合、アカウントの残高がなくなったときに、支払い遅延によるサービス停止、データ損失、またはビジネスの中断などのリスクにつながる可能性があります。さらに、アラートメカニズムがないと、コスト超過を引き起こし、企業の予算管理と財務コンプライアンスに影響を与える可能性もあります。ユーザーセンターでアカウントの「利用可能クレジットアラート」が有効になっていない場合、非準拠と見なされます。 | この修正により、利用可能クレジットアラート機能が有効になります。アカウントの利用可能クレジットがアラートのしきい値を下回ると、テキストメッセージ、メール、およびアカウント連絡先へのサイト内メッセージで通知されます (最大 5 日間連続のリマインダー)。 | いいえ |
課金方法の最適化 | ECS インスタンスにはサブスクリプション課金を使用するか、従量課金リソースを節約プランに追加することを推奨 | 長期間安定して使用されるリソースには、サブスクリプション課金方法を使用することをお勧めします。通常、サブスクリプション課金の ECS インスタンスのコストは、従量課金よりも低くなります。節約プランは、一定期間、安定した量のリソースを使用することを約束する代わりに、より低い従量課金割引を提供する割引プランです。ECS インスタンスが従量課金方法を使用し、節約プランインスタンスを購入していない場合、ベストプラクティスとは見なされません。 | クイックフィックスはサポートされていません。 | いいえ |
課金方法の最適化 | RDS インスタンスにはサブスクリプション課金を使用することを推奨 | 長期間安定して使用されるリソースには、サブスクリプション課金方法を使用することをお勧めします。通常、サブスクリプション課金の RDS インスタンスのコストは、従量課金よりも低くなります。RDS インスタンスが従量課金方法を使用している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | ESA サイトが異常な状態にある | このチェック項目は、ESA がサイトに高速化と保護を提供できるように、サイトが有効になっていることを確認します。有効になっていない場合、アプリケーションリソースの最適化のベストプラクティスとは見なされません。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | ECS インスタンスのリソース使用量が低い | ECS インスタンスのリソース使用量を長期間にわたって妥当なレベルに維持することは、クラウドコスト管理の重要なタスクです。クラウドプラットフォームは、企業にさまざまな仕様の ECS インスタンスを提供します。企業は、実際のビジネスの周期的な状況に基づいて適切な仕様のインスタンスを選択し、ECS インスタンスのコスト管理を実現する必要があります。ECS インスタンスの CPU 使用率とメモリ使用率がともに 30 日間連続で 3% 未満の場合、ベストプラクティスとは見なされません。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | ECS ディスクのリソース使用量が低い | ECS インスタンスのリソース使用量を長期間にわたって妥当なレベルに維持することは、クラウドコスト管理の重要なタスクです。クラウドプラットフォームは、企業にさまざまな仕様の ECS インスタンスを提供します。企業は、実際のビジネスの周期的な状況に基づいて適切な仕様のインスタンスを選択し、ECS インスタンスのコスト管理を実現する必要があります。ECS ディスクの使用率が 30 日間連続で 3% 未満の場合、ベストプラクティスとは見なされません。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | RDS インスタンスのリソース使用量が低い | RDS インスタンスのリソース使用量を長期間にわたって妥当なレベルに維持することは、クラウドコスト管理の重要なタスクです。クラウドプラットフォームは、企業にさまざまな仕様の RDS インスタンスを提供します。企業は、実際のビジネスの周期的な状況に基づいて適切な仕様のインスタンスを選択し、RDS インスタンスのコスト管理を実現する必要があります。RDS インスタンスの CPU 使用率、メモリ使用率、およびディスク使用率がすべて 30 日間連続で 3% 未満の場合、ベストプラクティスとは見なされません。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | RDS ディスクのリソース使用量が低い | RDS インスタンスのリソース使用量を長期間にわたって妥当なレベルに維持することは、クラウドコスト管理の重要なタスクです。クラウドプラットフォームは、企業にさまざまな仕様の RDS インスタンスを提供します。企業は、実際のビジネスの周期的な状況に基づいて適切な仕様のインスタンスを選択し、RDS インスタンスのコスト管理を実現する必要があります。RDS ディスクの使用率が 30 日間連続で 3% 未満の場合、ベストプラクティスとは見なされません。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の ALB インスタンスが存在する | ALB ロードバランサーにバックエンドサーバーが追加されていないリスナーがあり、作成時間が 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の ECS インスタンスが存在する | ECS インスタンスが停止状態にあり、停止インスタンスの無課金モードが設定されていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の ECS ディスクが存在する | クラウドディスクが使用されておらず、作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の EIP インスタンスが存在する | EIP がリソースインスタンスにバインドされておらず、作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の NAS ファイルシステムインスタンスが存在する | NAS ファイルシステムにマウントターゲットが追加されておらず、作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の NAT Gateway が存在する | NAT Gateway が EIP にバインドされていない、またはバインドされた EIP に SNAT/DNAT エントリが設定されておらず、ゲートウェイの作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の SLB インスタンスが存在する | SLB ロードバランサーに実行中のリスナーがなく、作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の VPC NAT Gateway インスタンスが存在する | VPC NAT Gateway が EIP にバインドされていない、またはバインドされた EIP に SNAT/DNAT エントリが設定されておらず、ゲートウェイの作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の VPN Gateway が存在する | VPN Gateway に宛先ベースのルートポリシーが設定されていない、またはルート自動伝播が有効になっておらず、ゲートウェイの作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態の共有帯域幅インスタンスが存在する | 共有帯域幅インスタンスがリソースインスタンスにバインドされておらず、作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アプリケーションリソースの最適化 | アイドル状態のコンテナイメージインスタンスが存在する | コンテナイメージインスタンスに名前空間やイメージリポジトリが作成されておらず、インスタンスの作成から 7 日以上経過している場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
コストポリシー | ACK クラスターでコスト管理スイートが有効になっていない | 従来の方法では、クラウドネイティブシナリオに対する効果的なコストインサイトとコスト管理手段が不足しています。コスト管理スイートは、リソースの無駄の検査やリソースコストの予測などの機能を提供します。ACK クラスターでコスト管理スイート機能が有効になっていない場合、ベストプラクティスとは見なされません。 | クイックフィックスはサポートされていません。 | いいえ |
効率
カテゴリ | チェック項目 | チェック項目の説明 | クイックフィックスの説明 | 支援付き意思決定のサポート |
リソース管理 | 関連リソースが異なるリソースグループに分割されている | 関連リソースが統一されたリソースグループに配置されていない場合、リソースグループベースの権限、財務、および O&M 管理がすべての対象リソースをカバーできなくなります。同じカスタムリソースグループにない関連リソースがある場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソース管理 | カスタムタグを使用してリソースにタグ付けされていない | カスタムタグを通じて、ユーザーはさまざまなリソースをより柔軟に識別、分類、整理できます。カスタムタグを持つリソースの割合が総リソースの 75% 未満の場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソース管理 | カスタムリソースグループを使用してリソースをグループ化していない | カスタムリソースグループを通じて、リソースへのアクセスと使用をより柔軟に制御できます。カスタムリソースグループに属するリソースの割合が総リソースの 75% 未満の場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソース管理 | 事前定義タグが使用されていない | 事前定義タグは、事前に作成され、すべてのリージョンに適用されるタグです。事前定義タグを使用すると、リソース実装フェーズでのクラウドリソースのバインドと管理が容易になります。事前定義タグの割合がカスタムタグの 80% 未満の場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソース管理 | 作成者タグが有効になっていない | クラウド上のリソースの規模が拡大し続けると、複数の人がクラウド上のリソースを管理する必要があります。コストやセキュリティなどのシナリオでは、コスト配分やセキュリティの追跡可能性を容易にし、管理効率を向上させるために、リソースの作成者を効果的に識別する必要があります。作成者タグが有効になっていない場合、アカウントは非準拠と見なされます。 | 作成者タグは、Alibaba Cloud がリソースの作成者を識別するために、対応するリソースに自動的に生成してバインドするシステムタグです。作成者タグは、コストと請求書を分析し、企業のクラウドコストを効果的に管理するのに役立ちます。この修正により、現在のアカウントの作成者タグが有効になります。 | いいえ |
リソース管理 | マルチアカウントリソース検索機能を有効にすることを推奨 | リソースディレクトリを使用して複数の Alibaba Cloud アカウントを管理する場合、管理アカウントまたは委任された管理者アカウントは、リソースディレクトリ内のすべてのメンバーのクラウドリソースを表示および検索できます。クロスアカウントリソース検索が有効になっていない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アカウントシステム | アカウントがリソースディレクトリによって管理されていない | 複数のアカウントを分散管理するのと比較して、複数のアカウントを統一管理することは、権限、セキュリティ、コストの面で企業に価値をもたらします。どのアカウントもリソースディレクトリに属していない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アカウントシステム | マルチアカウントのメッセージ連絡先を一元管理することを推奨 | リソースディレクトリのメッセージ連絡先管理機能を通じて、アカウント間でメッセージ連絡先を一元管理できます。リソースディレクトリのメッセージ連絡先が検出されない、またはメッセージ連絡先がリソースディレクトリ、リソースフォルダ、またはメンバーにバインドされていない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
アカウントシステム | アカウントが配置されているリソースディレクトリに委任された管理者アカウントを設定することを推奨 | 委任された管理者アカウントを使用すると、組織管理タスクとビジネス管理タスクを分離できます。管理アカウントはリソースディレクトリの組織管理タスクを実行し、委任された管理者アカウントは信頼できるサービスのビジネス管理タスクを実行します。リソースディレクトリ管理アカウント (MA) によって有効化された信頼できるサービスに委任された管理者アカウントが設定されていない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の ACK API を呼び出している | 非推奨の ACK API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の ACK API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の ALB API を呼び出している | 非推奨の ALB API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の ALB API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の CDN API を呼び出している | 非推奨の CDN API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の CDN API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の CEN API を呼び出している | 非推奨の CEN API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の CEN API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の ECS API を呼び出している | 非推奨の ECS API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の ECS API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の NAS API を呼び出している | 非推奨の NAS API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の NAS API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の PolarDB API を呼び出している | 非推奨の PolarDB API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の PolarDB API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の RDS API を呼び出している | 非推奨の RDS API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の RDS API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の Redis API を呼び出している | 非推奨の Redis API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の Redis API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の RocketMQ API を呼び出している | 非推奨の RocketMQ API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の RocketMQ API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の SLB API を呼び出している | 非推奨の SLB API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の SLB API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | ユーザーが非推奨の VPC API を呼び出している | 非推奨の VPC API はもはやメンテナンスされておらず、安定性のリスクがあり、新機能を使用できません。過去 30 日間に非推奨の VPC API の呼び出しがあった場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 継続的なリソース管理に自動化された方法を使用することを推奨 | 過去 30 日間にコンソール以外の方法を使用してリソースを継続的に管理するために OpenAPI が呼び出された回数の割合が 100% に達していない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | 日常的なリソースプロビジョニングに自動化された方法を使用することを推奨 | 過去 1 年間にコンソール以外の方法を使用してリソースを作成するために OpenAPI が呼び出された回数の割合が 100% に達していない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | リソース管理に自動化された方法を使用することを推奨 | 過去 30 日間に SDK、Terraform、Cloud Control API、CADT、ROS、Service Catalog などの自動化された手段を使用して行われた OpenAPI 呼び出しの割合が 100% に達していない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | リソース作成インターフェイスの呼び出し成功率が 100% に達していない | 過去 30 日間に OpenAPI、Cloud Control API、SDK、Terraform などの自動化された手段を使用してインフラストラクチャリソースを作成する成功率が 100% に達していない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
リソースのプロビジョニングとオーケストレーション | リソース変更インターフェイスの呼び出し成功率が 100% に達していない | 過去 30 日間に OpenAPI、Cloud Control API、SDK、Terraform などの自動化された手段を使用してインフラストラクチャリソースを変更する成功率が 100% に達していない場合、アカウントは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス
カテゴリ | チェック項目 | チェック項目の説明 | クイックフィックスの説明 | 支援付き意思決定のサポート |
パフォーマンス監視 | ALB に関連付けられた EIP が高パフォーマンス負荷のリスクにさらされている (モデル 3.0 の新機能) | ALB インスタンスに関連付けられた EIP のアウトバウンド帯域幅使用率が長時間にわたって高すぎると、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断につながります。タイムリーに注意を払い、対処することをお勧めします。過去 24 時間に、関連付けられた EIP の最大アウトバウンド帯域幅使用率が少なくとも 8 時間、80% 以上である ALB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | ALB に関連付けられた共有帯域幅が高パフォーマンス負荷のリスクにさらされている (モデル 3.0 の新機能) | ALB インスタンスに関連付けられた共有帯域幅インスタンスのアウトバウンド帯域幅使用率が長時間にわたって高すぎると、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断につながります。タイムリーに注意を払い、対処することをお勧めします。過去 24 時間に、関連付けられた共有帯域幅インスタンスの最大アウトバウンド帯域幅使用率が少なくとも 8 時間、80% 以上である ALB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | EBS クラウドディスクが高スループットによりパフォーマンスリスクにさらされている | これは、お客様がパフォーマンスのボトルネックを防ぎ、ストレージリソースが合理的に割り当てられているか、ビジネスの継続性を確保するために拡張が必要かどうかを評価するのに役立ちます。過去 24 時間の IOPS または BPS 使用率がクラウドディスクタイプの IOPS または BPS の 90% を超える EBS クラウドディスクは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | EBS クラウドディスクが高いスペース使用率によりパフォーマンスリスクにさらされている | ディスクスペースの使用率が高すぎると、データ損失のリスクが高まる可能性があります。これは、お客様が潜在的なパフォーマンスのボトルネックを早期に発見し、パフォーマンスの低下を避けるための対策を講じるのに役立ちます。スペース使用率が 80% を超える EBS クラウドディスクは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | ECS インスタンスが高い CPU 使用率によりパフォーマンスリスクにさらされている | コアクラウド製品である ECS の CPU 使用率を健全なレベルに保つことは、安定したビジネスパフォーマンスと継続的な運用を確保するための基礎です。高負荷は、アプリケーションの応答を遅くするだけでなく、システム自動再起動やサービス低下などの自動保護メカニズムをトリガーする可能性もあります。ECS インスタンスは、CPU 使用率が高すぎる場合、つまり、過去 24 時間に CPU 使用率が累積で 8 時間以上 85% を超える場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | ECS インスタンスが高いメモリ使用率によりパフォーマンスリスクにさらされている | コアクラウド製品である ECS のメモリ使用率を健全なレベルに保ち、メモリ不足によるパフォーマンス低下やサービス中断のリスクを回避します。ECS インスタンスは、メモリ使用率が高すぎる場合、つまり、過去 24 時間に ECS のメモリ使用率が累積で 9 時間以上 85% を超える場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | RDS インスタンスが高パフォーマンス負荷のリスクにさらされている (モデル 3.0 の新機能) | RDS インスタンスの CPU、メモリ、接続数のいずれかが長時間にわたって高すぎると、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断につながります。タイムリーに注意を払い、対処することをお勧めします。過去 7 日間に、CPU、メモリ、接続数使用率、または IOPS メトリックのいずれかの平均使用率が少なくとも 8 時間、80% 以上である RDS インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | Redis インスタンスが高パフォーマンス負荷のリスクにさらされている (モデル 3.0 の新機能) | Redis インスタンスの CPU 使用率またはメモリ使用率が任意の期間にわたって継続的に高い場合、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断につながる可能性があります。タイムリーに注意を払い、対処することをお勧めします。過去 7 日間に、CPU 使用率またはメモリ使用率のいずれかの平均使用率が累積で 8 時間以上 80% 以上である Redis インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | SLB インスタンスが高パフォーマンス負荷のリスクにさらされている (モデル 3.0 の新機能) | SLB インスタンスの最大接続数、新規接続数、およびインターネットアウトバウンドトラフィックのいずれかの使用率が長時間にわたって高すぎると、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断につながります。タイムリーに注意を払い、対処することをお勧めします。過去 7 日間に、インスタンスの最大接続数使用率、新規接続数、またはインターネットアウトバウンドトラフィック使用率メトリックのいずれかの平均使用率が少なくとも 8 時間、80% 以上である SLB インスタンスは非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
パフォーマンス監視 | VPN Gateway が高パフォーマンス負荷のリスクにさらされている (モデル 3.0 の新機能) | VPN Gateway のインバウンドまたはアウトバウンド帯域幅使用率が長時間にわたって高すぎると、システムのパフォーマンス低下、安定性の低下、さらにはサービスの中断につながります。タイムリーに注意を払い、対処することをお勧めします。過去 24 時間に、インバウンド帯域幅使用率またはアウトバウンド帯域幅使用率の最大値が少なくとも 8 時間、80% 以上である VPN Gateway は非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
弾力性のあるリソースの活用 | ECS スケーリンググループがパフォーマンスのために自動的にスケーリングできないリスクがある | ECS リソースなどのコアクラウド製品は、パフォーマンス負荷に基づいてリソースを自動的に増減でき、ビジネス運用中の動的なバランスを確保します。 | クイックフィックスはサポートされていません。 | いいえ |
弾力性のあるリソースの活用 | RDS で自動スケーリングが有効になっていない (モデル 3.0 の新機能) | RDS インスタンスで自動スケーリング機能が有効になっていない場合、ビジネスのピーク時に負荷の増加に対応するためにリソースをタイムリーに拡張できない、またはオフピーク時にアイドル状態のリソースを解放できない可能性があります。これにより、パフォーマンスのボトルネック、応答の遅延、さらにはサービスの中断が発生し、リソースの無駄や不要なコスト支出も発生します。自動スケーリング機能を有効にすると、お客様はリソースの弾力的なスケジューリングと効率的な利用を実現し、データベースの安定性と高可用性を確保しながらコスト構造を最適化し、クラウドリソース管理のインテリジェンスレベルを向上させることができます。自動スケーリングが有効になっていない RDS インスタンスは非準拠と見なされます。 | この修正により、RDS インスタンスのストレージの自動拡張機能が有効になります。これを有効にすると、ストレージスペースがしきい値に達したときに自動的に拡張されます。拡張中にインスタンスを再起動する必要はなく、ビジネスへの影響はありません。 | いいえ |
ネットワーク設計 | ESA サイトにキャッシュルールが設定されていない | このチェック項目は、オリジンフェッチトラフィックを削減するためにサイトにキャッシュルールが設定されていることを確認します。設定されていない場合、ネットワーク最適化のベストプラクティスとは見なされません。 | クイックフィックスはサポートされていません。 | いいえ |
ネットワーク設計 | グローバルリージョンの ESA サイトでスマートルーティングが有効になっていない | このチェック項目は、グローバルリージョンでの ESA の高速化効果を向上させるために、サイトでスマートルーティングが有効になっていることを確認します。有効になっていない場合、ネットワーク最適化のベストプラクティスとは見なされません。 | この修正により、選択したサイトのスマートルーティングサービスが有効になります。このサービスが有効になると、Alibaba Cloud のグローバルエッジノードに基づいてリアルタイムのネットワーク検出を実行し、リアルタイムのネットワーク状況に基づいてリクエストデータ伝送に最適なルートをインテリジェントに選択し、高性能プロトコルスタックなどの最適化技術と組み合わせて、グローバルネットワークの遅延とリクエスト失敗率を大幅に削減し、ユーザーエクスペリエンスを効果的に向上させます。スマートルーティングはリクエスト数によって課金されます。具体的な課金基準については、課金をご参照ください。 | いいえ |
ネットワーク設計 | OSS リソースへのアクセスを高速化するために CDN が使用されていない (モデル 3.0 の新機能) | OSS 内の画像、動画、ドキュメントなどの静的リソースを配信するために CDN を使用すると、トラフィックコストを削減し、リソースの読み込み速度を向上させることができます。CDN は世界中の複数のリージョンにキャッシュノードをデプロイします。ユーザーが OSS 内の静的リソースへのアクセスを要求すると、CDN はユーザーのリクエストを最寄りのキャッシュノードにルーティングし、OSS リソースに直接アクセスするための長距離リクエストは不要になります。同時に、最寄りの CDN ノードはキャッシュされたリソースをユーザーに返し、オリジンの OSS からフェッチする必要はありません。このプロセスにより、CDN のダウンストリームトラフィックコストが発生します。OSS のインターネットアウトバウンドトラフィックと比較して、CDN のダウンストリームトラフィックの単位価格は低くなります。OSS バケットのパブリックネットワークインバウンドトラフィックが 24 時間以内に 100 B を超えるが、OSS データ伝送を最適化するために CDN が使用されていない場合、非準拠と見なされます。 | クイックフィックスはサポートされていません。 | いいえ |
削除されたチェック項目
モデル 2.0 の一部のチェック項目は、新しいモデル 3.0 に統合されました。新しいモデル 3.0 は関連するリスクの検出をカバーしているため、次のチェック項目は新しいモデル 3.0 から削除されました。
柱 | カテゴリ | チェック項目 | チェック項目の説明 |
セキュリティ | 権限乱用の防止 | OSS および SLS に対して高リスクの権限を付与された RAM ID が多すぎる | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与することをお勧めします。高リスクの権限の管理を誤ると、データの損失や不正なデータアクセスにつながる可能性があります。たとえば、`oss:Delete*` や `log:Delete*` などの権限を持つ RAM ID は、OSS または SLS に保存されているデータを削除できます。`oss:PutBucketAcl`、`oss:PutObjectAcl`、または `oss:PutBucketPolicy` などの権限を持つ RAM ID は、OSS バケット内のファイルのアクセス権限を変更でき、ファイルを外部アクセスに公開する可能性があります。これらの高リスクの権限を持つ RAM ID が 3 つ以下のアカウントは準拠していると見なされます。 |
セキュリティ | 権限乱用の防止 | リソースディレクトリに対して高リスクの権限を付与された RAM ID が多すぎる | リソースディレクトリを使用すると、組織内のアカウントを統一的に管理し、現在の組織に基づいて新しいアカウントを作成したり、現在の組織から既存のアカウントを削除したりできます。ベストプラクティスによれば、組織内の管理者またはクラウド管理チームのリーダーのみが、リソースディレクトリの有効化または無効化、アカウントの作成、招待、または削除、アカウントタイプの切り替えなど、リソースディレクトリの書き込み操作権限を持つべきです。通常、企業内でこの機能を持つ人は 3 人以下であるべきです。リソースディレクトリに対応する書き込み権限を一般ユーザーに付与することはお勧めしません。そうしないと、クラウドアカウントの削除などの誤操作により、ビジネスに損害を与える可能性があります。 |
セキュリティ | 詳細な権限付与の使用 | アクセス操作の収束範囲を持つ RAM ID が存在する | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与することをお勧めします。RAM ID がクラウドサービスのいくつかの操作権限にバインドされている場合、アカウントは準拠していると見なされます。 |
セキュリティ | 詳細な権限付与の使用 | OSS および SLS への収束アクセスを持つ RAM ID が存在しない | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与することをお勧めします。特に、OSS や SLS などのデータ製品へのアクセスについては、ID の侵害によるデータ侵害のリスクを軽減するために、詳細な権限付与をお勧めします。RAM ID がデータ製品に関連する操作権限にバインドされている場合は、詳細な権限付与を実行する必要があります。バッチ権限付与にワイルドカード文字 * を使用しないでください。これは準拠していると見なされます。 |
セキュリティ | 権限付与の効率と制御 | RAM ID に付与されたカスタムポリシーの有効範囲がリソースグループを指定していない | デフォルトでは、RAM ID にカスタムポリシーを付与するときの有効範囲はアカウントレベルです。この場合、カスタムポリシーが指定されたリソースを明示的に制限したり、権限の有効条件を指定したりしない限り、RAM ID はアカウント下のすべてのリソースに対して指定された権限を持ちます。クラウドリソース管理のベストプラクティスによれば、リソースはリソースグループによってグループ化され、RAM ID はグループに基づいて権限付与されるべきです。権限付与プロセス中に、有効範囲をリソースグループに制限することで、RAM ID の権限範囲をより適切に制限し、詳細な権限付与を実現できます。RAM ID に付与されたカスタムポリシーの有効範囲がリソースグループである場合、またはポリシー条件でリソースグループが指定されている場合、ベストプラクティスと見なされます。 |
セキュリティ | 権限付与の効率と制御 | サービスレベルのシステムポリシーを持つ RAM ID の権限付与がリソースグループに収束していない | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与することをお勧めします。アプリケーションや環境などのディメンションに基づいてクラウドリソースをリソースグループに分割することで、権限付与時にリソースグループに基づいて権限付与でき、権限範囲をさらに狭め、過剰な権限によるリスクを回避できます。AliyunECSFullAccess などのサービスレベルのシステムポリシーを持つ RAM ID の権限付与範囲がリソースグループである場合、アカウントは準拠していると見なされます。 |
セキュリティ | 権限付与の効率と制御 | 管理者権限を持つ RAM ID の権限付与がリソースグループに収束していない | RAM ID の権限管理については、最小権限の原則に従い、必要な権限のみを付与することをお勧めします。アプリケーションや環境などのディメンションに基づいてクラウドリソースをリソースグループに分割することで、権限付与時にリソースグループに基づいて権限付与でき、権限範囲をさらに狭め、過剰な権限によるリスクを回避できます。AdministratorAccess 権限を持つ RAM ID の権限付与範囲がリソースグループである場合、アカウントは準拠していると見なされます。 |
セキュリティ | 非準拠アラートへの対応 | リスクのある操作イベントにアラートルールが設定されていない | ActionTrail イベントアラートでサポートされているアカウントセキュリティまたは ActionTrail 操作コンプライアンスに関連するルールが有効になっていない場合、アカウントは非準拠と見なされます。 |
セキュリティ | 自動修正の有効化 | 非準拠の問題を修正するために自動化された方法が使用されていない | ユーザーがどのルールに対しても自動修正を有効にしていない場合、アカウントは非準拠と見なされます。 |
セキュリティ | データストレージインスタンスはパブリックネットワークアクセスを避けるべき | PolarDB インスタンスの IP ホワイトリストが 0.0.0.0/0 に設定されている | IP アドレスホワイトリストは、PolarDB クラスターへのアクセスを許可する IP のリストです。IP アドレスホワイトリストが % または 0.0.0.0/0 に設定されている場合、どの IP アドレスでもデータベースクラスターにアクセスできることを意味します。この設定はデータベースのセキュリティを大幅に低下させるため、必要な場合を除き使用しないでください。ベストプラクティスでは、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、PolarDB クラスターに高レベルのアクセスセキュリティ保護を提供することをお勧めします。クラスターの IP アドレスホワイトリストが 0.0.0.0/0 または % に設定されている場合、ベストプラクティスとは見なされません。 |
セキュリティ | データストレージインスタンスはパブリックネットワークアクセスを避けるべき | RDS インスタンスの IP ホワイトリストが 0.0.0.0/0 に設定されている | IP アドレスホワイトリストは、RDS インスタンスへのアクセスを許可する IP のリストです。IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、どの IP アドレスでもデータベースクラスターにアクセスできることを意味します。この設定はデータベースのセキュリティを大幅に低下させるため、必要な場合を除き使用しないでください。ベストプラクティスでは、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスに高レベルのアクセスセキュリティ保護を提供することをお勧めします。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、ベストプラクティスとは見なされません。 |
セキュリティ | データストレージインスタンスはパブリックネットワークアクセスを避けるべき | Redis インスタンスの IP ホワイトリストが 0.0.0.0/0 に設定されている | IP アドレスホワイトリストは、Redis インスタンスへのアクセスを許可する IP のリストです。IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、どの IP アドレスでもデータベースクラスターにアクセスできることを意味します。この設定はデータベースのセキュリティを大幅に低下させるため、必要な場合を除き使用しないでください。ベストプラクティスでは、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスに高レベルのアクセスセキュリティ保護を提供することをお勧めします。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、ベストプラクティスとは見なされません。 |
セキュリティ | データストレージインスタンスはパブリックネットワークアクセスを避けるべき | MongoDB インスタンスの IP ホワイトリストが 0.0.0.0/0 に設定されている | IP アドレスホワイトリストは、MongoDB インスタンスへのアクセスを許可する IP のリストです。IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、どの IP アドレスでもデータベースクラスターにアクセスできることを意味します。この設定はデータベースのセキュリティを大幅に低下させるため、必要な場合を除き使用しないでください。ベストプラクティスでは、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、データベースインスタンスに高レベルのアクセスセキュリティ保護を提供することをお勧めします。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 に設定されている場合、ベストプラクティスとは見なされません。 |
セキュリティ | データストレージインスタンスはパブリックネットワークアクセスを避けるべき | Elasticsearch インスタンスの IP ホワイトリストが 0.0.0.0/0 に設定されている | インスタンスの IP アドレスホワイトリストは、Elasticsearch インスタンスへのアクセスを許可する IP のリストです。IP アドレスホワイトリストが 0.0.0.0/0 または ::/0 に設定されている場合、どの IP アドレスでもインスタンスにアクセスできることを意味します。この設定はインスタンスのセキュリティを大幅に低下させるため、必要な場合を除き使用しないでください。ベストプラクティスでは、最小権限の原則に従い、適切な IP アドレスホワイトリストを設定して、インスタンスに高レベルのアクセスセキュリティ保護を提供することをお勧めします。インスタンスの IP アドレスホワイトリストが 0.0.0.0/0 または ::/0 に設定されている場合、ベストプラクティスとは見なされません。 |
安定性 | 削除保護 | Redis リソースのリリース保護が有効になっていない | Redis インスタンスは、リリース保護が有効になっていない場合、非準拠と見なされます。 |
安定性 | 削除保護 | ECS リソースのリリース保護が有効になっていない | ECS インスタンスは、リリース保護が有効になっていない場合、非準拠と見なされます。 |
安定性 | 変更管理 | Redis リソースのメンテナンスウィンドウが不合理 | Redis インスタンスは、自動バックアップ時間帯が 04:00-05:00、05:00-06:00、または 12:00-13:00 の範囲内にない場合、非準拠と見なされます。 |
安定性 | 変更管理 | PolarDB リソースのメンテナンスウィンドウが不合理 | PolarDB クラスターは、メンテナンスウィンドウが 02:00-04:00 または 06:00-10:00 の範囲内にない場合、非準拠と見なされます。 |
安定性 | 変更管理 | ADB リソースのメンテナンスウィンドウが不合理 | ADB クラスターは、メンテナンスウィンドウが 02:00-04:00、06:00-08:00、または 12:00-13:00 の範囲内にない場合、非準拠と見なされます。 |
安定性 | 変更管理 | RDS リソースのメンテナンスウィンドウが不合理 | RDS インスタンスは、メンテナンスウィンドウが 02:00-06:00 または 06:00-10:00 の範囲内にない場合、非準拠と見なされます。 |
安定性 | 変更管理 | ECS リソースのメンテナンスウィンドウが不合理 | ECS インスタンスのスナップショットを作成すると、ブロックストレージの I/O パフォーマンスが一時的に低下します。スナップショット作成時間が 1 または 2 の範囲内にない場合、自動スナップショットポリシーは非準拠と見なされます。 |
コスト | リソースコストの最適化 | 「アイドルリソース検出のベストプラクティス」コンプライアンスパッケージが有効になっていない | Cloud Config でアイドルリソース検出コンプライアンスパッケージが有効になっていない場合、アカウントは非準拠と見なされます。 |
効率 | リソースのグループ化と分離 | 同じ組織内のリソースを管理するために複数のアカウントが使用されていない | Alibaba Cloud アカウントには複数の意味があります。各クラウドアカウントは完全に隔離されたテナントであり、デフォルトでは、リソースアクセス、ネットワークデプロイメント、および ID 権限は完全に独立して隔離されています。クラウドアカウントは請求書にも関連付けられているため、異なるサービスを異なるクラウドアカウントにデプロイして、独立した会計と請求を実現できます。マルチアカウント管理を使用すると、環境の分離、セキュリティコンプライアンス、およびビジネスイノベーションの面で企業にメリットがもたらされます。同じエンティティ下に 2 つ以上の Alibaba Cloud アカウントがある場合、条件は満たされます。 |
効率 | 自動化の品質 | ECS クォータが飽和のリスクにさらされている | 製品リソースの作成、変更、または製品機能の使用で例外が発生する可能性があります。過去 7 日間に高いクォータレベルのリソースクォータ項目があり、quota_exceed エラーが発生した場合、製品はリスクにさらされていると見なされます。 |
効率 | 自動化の品質 | VPC クォータが飽和のリスクにさらされている | 製品リソースの作成、変更、または製品機能の使用で例外が発生する可能性があります。過去 7 日間に高いクォータレベルのリソースクォータ項目があり、quota_exceed エラーが発生した場合、製品はリスクにさらされていると見なされます。 |
効率 | 自動化の品質 | SLB クォータが飽和のリスクにさらされている | 製品リソースの作成、変更、または製品機能の使用で例外が発生する可能性があります。過去 7 日間に高いクォータレベルのリソースクォータ項目があり、quota_exceed エラーが発生した場合、製品はリスクにさらされていると見なされます。 |
効率 | 自動化の品質 | CEN クォータが飽和のリスクにさらされている | 製品リソースの作成、変更、または製品機能の使用で例外が発生する可能性があります。過去 7 日間に高いクォータレベルのリソースクォータ項目があり、quota_exceed エラーが発生した場合、製品はリスクにさらされていると見なされます。 |
効率 | 自動化の品質 | ACK クォータが飽和のリスクにさらされている | 製品リソースの作成、変更、または製品機能の使用で例外が発生する可能性があります。過去 7 日間に高いクォータレベルのリソースクォータ項目があり、quota_exceed エラーが発生した場合、製品はリスクにさらされていると見なされます。 |
効率 | 自動化の品質 | CDN クォータが飽和のリスクにさらされている | 製品リソースの作成、変更、または製品機能の使用で例外が発生する可能性があります。過去 7 日間に高いクォータレベルのリソースクォータ項目があり、quota_exceed エラーが発生した場合、製品はリスクにさらされていると見なされます。 |