Well-Architected フレームワークのセキュリティの柱に対応する、デフォルトの CloudConfig コンプライアンスルールを一覧表示します。ネットワークセキュリティ、ID セキュリティ、ホストセキュリティ、データセキュリティをカバーしています。
|
ルール名 |
ルールの説明 |
|
ActionTrail において、すべてのリージョンとイベントタイプを追跡する追跡が有効になっている場合に準拠します。リソースディレクトリのメンバーアカウントは、管理アカウントの追跡がすべてのメンバーアカウントを対象としている場合も準拠します。 |
|
|
ADB クラスターのメンテナンスウィンドウが、パラメーターで指定された時間範囲内である場合に準拠します。 |
|
|
ADB インスタンスでパブリックネットワークアクセスが有効になっていない場合に準拠します。 |
|
|
API Gateway の API グループに関連付けられたカスタムドメインが WAF または WAF 3.0 に接続されている場合に準拠します。 |
|
|
API Gateway の API グループに、SSL 証明書が設定されたカスタムドメインがある場合に準拠します。 |
|
|
クラウドディスクが使用中である場合に準拠します。指定された日数 (デフォルト:7) 以内に作成されたディスクには適用されません。 |
|
|
使用中の ECS データディスクで暗号化が有効になっている場合に準拠します。 |
|
|
ホストのセキュリティ保護のために Security Center エージェントがインストールされている場合に準拠します。実行中でないインスタンスには適用されません。 |
|
|
ECS インスタンスにインスタンス RAM ロールが関連付けられている場合に準拠します。 |
|
|
ECS インスタンスが停止状態でない場合に準拠します。 |
|
|
ECS インスタンスに、Security Center で修正が必要な、指定されたタイプと重要度の脆弱性がない場合に準拠します。実行中でないインスタンスには適用されません。 |
|
|
パラメーターが指定されていない場合、ECS インスタンスのネットワークタイプが VPC であれば準拠します。パラメーターが指定されている場合、VPC は指定された範囲内である必要があります。複数の値はコンマ (,) で区切ります。 |
|
|
実行中の ECS インスタンスに、パブリック IPv4 アドレスまたは Elastic IP Address が割り当てられていない場合に準拠します。 |
|
|
セキュリティグループが少なくとも 1 つの ECS インスタンスに関連付けられている場合に準拠します。 |
|
|
指定されたプロトコルにおいて、セキュリティグループの 0.0.0.0/0 CIDR ブロックに対する危険なポートの不許可 |
指定されたプロトコルで 0.0.0.0/0 からのアクセスを許可するインバウンドルールに、指定された危険なポートが含まれていない場合に準拠します。危険なポートに対して、より優先度の高い拒否ルールが存在する場合も準拠します。Alibaba Cloud のサービスまたは仮想サーバープロバイダーが使用するセキュリティグループには適用されません。 |
|
0.0.0.0/0 からのアクセスを許可するインバウンドルールが、指定されたホワイトリストに登録されたポートに対してのみ設定されている場合に準拠します。Alibaba Cloud のサービスまたは仮想サーバープロバイダーが使用するセキュリティグループには適用されません。 |
|
|
Elasticsearch インスタンスのデータノードでディスク暗号化が有効になっている場合に準拠します。 |
|
|
パラメーターが指定されていない場合、Elasticsearch インスタンスのネットワークタイプが VPC であれば準拠します。パラメーターが指定されている場合、関連付けられた VPC は指定された範囲内である必要があります。 |
|
|
Auto Scaling 設定でパブリック IPv4 アドレスが割り当てられていない場合に準拠します。 |
|
|
Function Compute サービスでパブリックネットワークアクセスが無効になっている場合に準拠します。 |
|
|
Function Compute サービスが、指定された VPC からのみ呼び出されるように設定されている場合に準拠します。 |
|
|
KMS マスターキーのソースが外部でない場合に準拠します。 |
|
|
KMS のカスタマーマスターキー (CMK) で自動ローテーションが有効になっている場合に準拠します。 |
|
|
KMS マスターキーが削除保留中でない場合に準拠します。 |
|
|
KMS の認証情報で自動ローテーションが有効になっている場合に準拠します。 |
|
|
NAS ファイルシステムで暗号化が有効になっている場合に準拠します。 |
|
|
OSS バケットのログ管理設定でログストレージが有効になっている場合に準拠します。 |
|
|
OSS バケットのアクセスポリシーが HTTPS のみを許可するか、HTTP を拒否する場合に準拠します。アクセスポリシーが空のバケットには適用されません。 |
|
|
OSS バケットの認可ポリシーが匿名アカウントに読み取りまたは書き込み権限を付与していない場合に準拠します。認可ポリシーが設定されていない場合も準拠します。 |
|
|
OSS バケットの ACL がパブリック読み取りアクセスを禁止している場合に準拠します。 |
|
|
OSS バケットの ACL がパブリック読み取り/書き込みアクセスを禁止している場合に準拠します。 |
|
|
バケットで、OSS が完全に管理するキーによるサーバー側の暗号化が有効になっている場合に準拠します。 |
|
|
OSS バケットでバージョニングが有効になっている場合に準拠します。バージョニングは、誤った上書きや削除からデータを復旧するのに役立ちます。 |
|
|
OSS バケットがカスタム KMS キーを使用して暗号化されている場合に準拠します。 |
|
|
Tablestore インスタンス内のすべてのデータテーブルで暗号化が有効になっている場合に準拠します。 |
|
|
RAM ユーザーグループに少なくとも 1 人の RAM ユーザーが含まれている場合に準拠します。 |
|
|
RAM ユーザーのすべてのパスワードポリシー設定が、指定されたパラメーター値を満たしている場合に準拠します。 |
|
|
RAM ユーザー、RAM ユーザーグループ、またはロールに、Resource が *、Action が * に設定されたスーパー管理者権限が付与されていない場合に準拠します。 |
|
|
RAM ユーザーの AccessKey ペアが指定された期間 (デフォルト:90日) 以内に作成された場合に準拠します。 |
|
|
RAM ユーザーの AccessKey ペアが指定された期間 (デフォルト:90日) 以内に使用された場合に準拠します。 |
|
|
RAM ユーザーグループに割り当てられているすべての RAM ユーザーは準拠していると見なされます。 |
|
|
コンソールアクセス権を持つ RAM ユーザーが、ログオン時に多要素認証 (MFA) を有効にしている場合に準拠します。 |
|
|
RAM ユーザーが、RAM ユーザーグループから継承された権限を含め、管理者権限または製品固有の管理者権限を持っていない場合に準拠します。 |
|
|
RDS インスタンスのデータセキュリティ設定で TDE (透過的データ暗号化) が有効になっている場合に準拠します。 |
|
|
ApsaraDB RDS for MySQL インスタンスで SQL 監査が有効になっており、ログの保持期間が指定された値 (デフォルト:180日) 以上である場合に準拠します。 |
|
|
RDS インスタンスでパブリックネットワークアクセスが有効になっており、その IP ホワイトリストが 0.0.0.0/0 に設定されている場合は非準拠です。 |
|
|
Alibaba Cloud アカウントに AccessKey ペアがない場合に準拠します。 |
|
|
Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっている場合に準拠します。 |
|
|
Security Center Enterprise Edition またはそれ以降のエディションが使用されている場合に準拠します。 |
|
|
CLB インスタンスでアクセスログが有効になっている場合に準拠します。レイヤー 7 リスナーがないインスタンスには適用されません (アクセスログはサポートされていません)。 |
|
|
SLB インスタンスで、指定されたポートで HTTPS リスナーが有効になっている場合に準拠します。TCP または UDP リスナーのみを持つインスタンスには適用されません。 |
|
|
VPC でフローログが有効になっている場合に準拠します。 |
|
|
WAF 2.0 で保護されているすべてのドメイン名でログ収集が有効になっている場合に準拠します。 |