Cloud Config:ルールテンプレート一覧

Alibaba Cloud サービス

ルールテンプレート

修復用の OOS テンプレート ID

ドライランのサポート

ECS

ECS インスタンスはサブスクリプション課金方法を使用する

なし

はい

サブスクリプション ECS インスタンスの有効期限がチェックされる

なし

いいえ

サブスクリプション ECS インスタンスの自動更新が有効になっている

なし

いいえ

ECS インスタンスが停止状態ではない

なし

いいえ

停止した従量課金 ECS インスタンスは節約モードを使用する

なし

いいえ

従量課金 ECS インスタンスの長時間実行ステータスがチェックされる

なし

いいえ

固定パブリック IP アドレスを持つ ECS インスタンスは帯域幅課金方法を使用する

なし

いいえ

アイドル状態の ECS データディスクが存在しない

なし

いいえ

アイドル状態のディスクが検出される

なし

いいえ

ECS インスタンスがロック済みではない

なし

いいえ

ECS インスタンスの削除保護が有効になっている

ACS-ECS-BulkyEnableDeletionProtection

はい

ECS インスタンスの CPU コア数が最小要件を満たしている

なし

いいえ

ECS インスタンスの GPU コア数が最小要件を満たしている

なし

いいえ

指定されたオペレーティングシステムタイプのシステムディスク容量が指定された値以上である

なし

いいえ

廃止された ECS インスタンスファミリーが使用されていない

なし

いいえ

ECS インスタンスが指定されたオペレーティングシステムのバージョンを使用している

なし

はい

ECS インスタンスタイプが標準要件を満たしている

なし

いいえ

ECS インスタンスが VPC にデプロイされている

なし

いいえ

実行中の ECS インスタンスが VPC 内にある

ACS-ECS-BulkyStopClassicInstances

いいえ

ECS インスタンスがパブリック IP アドレスに関連付けられていない

なし

はい

実行中の ECS インスタンスがパブリック IP アドレスに関連付けられていない

ACS-ECS-BulkyStopInstancesWithPublicIp

いいえ

パブリック IP アドレスを持つ ECS インスタンスの最大パブリックアウトバウンドトラフィックが指定された値未満である

なし

いいえ

実行中の ECS インスタンスで Security Center 保護が有効になっている

なし

いいえ

ECS インスタンスが指定されたセキュリティグループ内にある

なし

はい

セキュリティグループのインバウンドルールが有効である

なし

はい

セキュリティグループがすべての CIDR ブロックに対して高リスクポートを開放していない

なし

はい

セキュリティグループが指定されたプロトコルに対してすべての CIDR ブロックに高リスクポートを開放していない

なし

いいえ

セキュリティグループのインバウンドルールがすべてのポートからのアクセスを許可していない

なし

はい

セキュリティグループのインバウンドルールがすべてのプロトコルでのアクセスを許可していない

なし

はい

セキュリティグループのアウトバウンドルールがすべてのトラフィックを許可するように設定されていない

なし

はい

ホワイトリストにないポートのインバウンドルールが有効である

なし

はい

セキュリティグループのインバウンドルールで許可されているソース IP アドレスにパブリック IP アドレスが含まれていない

なし

はい

セキュリティグループの説明が必要である

なし

はい

アイドル状態のセキュリティグループがチェックされる

なし

いいえ

エンタープライズセキュリティグループが使用されている

なし

いいえ

ECS 起動テンプレートでパブリックネットワークアクセスが構成されていない

なし

いいえ

ECS インスタンスが指定されたイメージを使用している

なし

はい

ECS インスタンスイメージのソースが指定された要件を満たしている

なし

いいえ

ECS インスタンスが指定されたアカウントによって共有されたイメージを使用している

なし

いいえ

ECS インスタンスが有効期間内のイメージを使用している

なし

いいえ

ECS 起動テンプレートのバージョンで指定されたソースのイメージが使用されている

なし

いいえ

ECS 起動テンプレートのバージョンでセキュリティグループが指定されている

なし

いいえ

ECS 起動テンプレートのバージョンでデータディスクの暗号化が構成されている

なし

いいえ

ECS 起動テンプレートのバージョンでシステムディスクの暗号化が構成されている

なし

いいえ

ECS インスタンスに RAM ロールが付与されている

なし

いいえ

ECS インスタンスが SSH キーペアに関連付けられていない

なし

いいえ

Linux ホストへのログインにキーペアが使用されている

なし

はい

ECS インスタンスでシステムディスクの暗号化が有効になっている

なし

いいえ

ECS インスタンスでデータディスクの暗号化が有効になっている

なし

はい

ECS インスタンスのメモリサイズが最小要件を満たしている

なし

はい

アタッチされる ECS データディスクで暗号化が有効になっている

なし

いいえ

使用中の ECS データディスクで暗号化が有効になっている

なし

いいえ

ECS ディスクで KMS 暗号化が有効になっている

なし

いいえ

ECS ディスクに自動スナップショットポリシーが構成されている

なし

はい

自動スナップショットポリシーに妥当な作成時間が設定されている

なし

いいえ

ECS インスタンスの自動スナップショットの保持期間が指定された要件を満たしている

なし

いいえ

ECS データディスクがリリースされるときに自動スナップショットが保持される

なし

はい

ECS ディスクがロック済みではない

なし

いいえ

ECS ディスクの自動スナップショットポリシーまたは Cloud Backup のマシン全体のバックアップ機能が使用されている

なし

いいえ

ECS ディスクの自動スナップショットのクロスリージョンレプリケーション、または Cloud Backup のマシン全体のバックアップのリモートレプリケーションが有効になっている

なし

いいえ

ECS インスタンスのファイルバックアップリポジトリでクロスリージョンレプリケーションが有効になっている

なし

いいえ

ECS インスタンスのバックアップのデータ保護スコアがチェックされる

なし

いいえ

指定された名前のプロセスが ECS インスタンスで実行されている

なし

いいえ

指定された名前のプロセスが ECS インスタンスで無効になっている

なし

いいえ

指定された名前のソフトウェアが ECS インスタンスにインストールされている

なし

いいえ

実行中の ECS インスタンスに未パッチの脆弱性がない

なし

いいえ

実行中の ECS インスタンスに CloudMonitor エージェントがインストールされている

なし

いいえ

ECS インスタンスのメタデータへのアクセスに強化モードが適用されている

なし

いいえ

クラウドアシスタントのコマンドの内容がチェックされる

なし

いいえ

ECS インスタンスに対してブルートフォース攻撃からの保護ルールが作成されている

なし

いいえ

Simple Log Service がビジネスログの集中収集とモニタリングに使用されている

なし

いいえ

Application Load Balancer が高可用性アプリケーションアーキテクチャの構築に使用されている

なし

いいえ

ECS インスタンスが 1 つの Elastic Network Interface (ENI) にのみアタッチされている

なし

いいえ

ゾーン間で ECS インスタンスの数が不均衡である

なし

いいえ

ゾーン冗長 ESSD データディスクが使用されている

なし

いいえ

ECS インスタンスの DDoS 対策ステータスがチェックされる

なし

いいえ

CPU 使用率に基づいてアイドル状態の ECS インスタンスが検出される

なし

いいえ

メモリ使用量に基づいてアイドル状態の ECS インスタンスが検出される

なし

いいえ

ディスク使用率に基づいてアイドル状態の ECS インスタンスが検出される

なし

いいえ

ECS インスタンスのアプリケーションチェックリストがチェックされる

なし

いいえ

Auto Scaling グループ内の ECS インスタンスでヘルスチェックが有効になっている

なし

いいえ

GPU 使用率に基づいてアイドル状態の ECS インスタンスが検出される

なし

いいえ

GPU メモリ使用量に基づいてアイドル状態の ECS インスタンスが検出される

なし

いいえ

ECS インスタンスでファイルバックアップまたは自己管理データベースのバックアップが有効になっている

なし

いいえ

ECS インスタンスがパブリック IP アドレスに関連付けられておらず、すべての IP アドレスからのインバウンドトラフィックを許可していない

なし

いいえ

専用ホスト (DDH)

専用ホストの CPU コア数が最小要件を満たしている

なし

いいえ

専用ホストのメモリサイズが最小要件を満たしている

なし

いいえ

専用ホストのソケット数が最小要件を満たしている

なし

いいえ

Auto Scaling

Auto Scaling 構成のインスタンスにセキュリティグループが関連付けられている

なし

いいえ

ESS スケーリンググループに構成されたセキュリティグループが 0.0.0.0/0 に設定されていない

なし

いいえ

Auto Scaling 構成でデータディスクの暗号化が構成されている

なし

いいえ

Auto Scaling 構成でシステムディスクの暗号化が構成されている

なし

いいえ

Auto Scaling 構成で指定されたソースのイメージが使用されている

なし

いいえ

Auto Scaling 構成のイメージがチェックされる

なし

いいえ

Auto Scaling グループに関連付けられた Server Load Balancer インスタンスの存在がチェックされる

なし

いいえ

Function Compute

Function Compute サービスが指定された VPC からのみ呼び出されるように構成されている

なし

いいえ

Function Compute サービスでパブリックネットワークアクセスが無効になっている

なし

いいえ

Function Compute サービスがインターネットからアクセス可能で、カスタムドメイン名にマッピングされている

なし

いいえ

関数の HTTP トリガーが ID 検証を要求するように構成されている

なし

いいえ

Function Compute 関数がカスタムドメイン名にマッピングされ、指定された TLS バージョンが有効になっている

なし

いいえ

Function Compute 関数がカスタムドメイン名にマッピングされ、証明書がアップロードされている

なし

いいえ

Function Compute 関数がカスタムドメイン名にマッピングされ、HTTPS が有効になっている

なし

いいえ

Function Compute サービスでトレース分析が有効になっている

なし

いいえ

Function Compute サービスでロギング機能が有効になっている

なし

いいえ

Function Compute サービスにサーバロールが構成されている

なし

いいえ

Function Compute で非推奨のランタイムが使用されていない

なし

いいえ

Function Compute の関数の設定が指定されたパラメーター要件を満たしている

なし

いいえ

Alibaba Cloud サービス

ルールテンプレート

修復用の OOS テンプレート ID

ドライランを実行できますか？

Container Service for Kubernetes

ACK クラスターのリリース保護を有効にする

なし

いいえ

Professional Edition のマネージド ACK クラスターを使用する

なし

いいえ

ACK クラスターが最新バージョンを実行している

なし

いいえ

サポートされている ACK バージョンを使用する

なし

いいえ

ACK クラスターのマネージドノードプール機能を有効にする

なし

いいえ

ACK ノードプールのノードの自動スケーリングを有効にする

なし

いいえ

ACK ノードプールのスケーリング設定の可用性を確認する

なし

いいえ

ACK ノードプールのセキュリティグループの可用性を確認する

なし

いいえ

ACK ノードプールの vSwitch の可用性を確認する

なし

いいえ

ACK ノードプールのスケーリンググループの可用性を確認する

なし

いいえ

インターネットエンドポイントのない ACK クラスター

なし

いいえ

ACK クラスターに Terway ネットワークプラグインを使用する

なし

いいえ

リージョンレベルでマルチゾーン ACS クラスターを使用する

なし

いいえ

リージョンレベルでマルチゾーン ACK クラスターを使用する

なし

いいえ

ACK クラスターの RRSA 機能を有効にする

なし

いいえ

RAM ベースのリクエスト認証のために ACK クラスターに ack-ram-authenticator コンポーネントをインストールする

なし

いいえ

ACK クラスターのコンテナーセキュリティポリシーを有効にして設定する

なし

いいえ

ACK クラスターの Secret の保存時暗号化を設定する

なし

いいえ

ACK クラスターノードに CloudMonitor エージェントをインストールする

なし

いいえ

ACK クラスターの実行中のノードに CloudMonitor エージェントをインストールする

なし

いいえ

ACK クラスターのコントロールプレーンコンポーネントのロギングを有効にする

なし

いいえ

ACK クラスターに監査ログプラグインをインストールする

なし

いいえ

ACK クラスターの API サーバー監査機能を有効にする

なし

いいえ

実行されたコマンドを監査するために、ACK クラスターにコンテナー内監査コンポーネントをインストールする

なし

いいえ

ACK クラスターで CoreDNS サービスのバックエンドサーバー数がゼロでないことを確認する

なし

いいえ

ACK クラスターの CoreDNS のレプリカ数を確認する

なし

いいえ

ACK クラスターの CoreDNS の Pod ステータスを確認する

なし

いいえ

ACK クラスターの API サーバー用の CLB インスタンスのバックエンドステータスを確認する

なし

いいえ

ACK クラスターで API サーバーにアタッチされている CLB インスタンスが存在することを確認する

なし

いいえ

ACK クラスターで API サーバーにアタッチされている CLB インスタンスが「正常」ステータスであることを確認する

なし

いいえ

ACK クラスターで API サーバーにアタッチされている CLB インスタンスのポートリスナー設定が正常であることを確認する

なし

いいえ

ACK クラスターの APIService の可用性を確認する

なし

いいえ

ACK クラスターの伸縮性コンポーネントのステータスを確認する

なし

いいえ

ワークロードのセキュリティ脅威をチェックするために、ACK クラスターに検査コンポーネントをインストールして設定する

なし

いいえ

ACK クラスターの検査中に中リスクの脅威をチェックする

なし

いいえ

ACK クラスターの AIOps ベースの検査機能を有効にする

なし

いいえ

ACK クラスターにコスト分析コンポーネントをインストールする

なし

いいえ

ACK クラスターノード間で Kubelet バージョンの一貫性を確認する

なし

いいえ

ACK クラスターの LoadBalancer サービスの証明書 ID の一貫性を確認する

なし

いいえ

ACK クラスターの LoadBalancer サービスの課金方法の一貫性を確認する

なし

いいえ

Container Registry (ACR)

Container Registry でイメージリポジトリのタイプを非公開に設定する

なし

はい

Container Registry のイメージバージョンは不変です

なし

いいえ

Container Registry インスタンスのホワイトリストを確認する

なし

いいえ

Container Registry インスタンスのパブリックネットワークアクセスが無効になっている

なし

いいえ

アイドル状態の Container Registry インスタンスを確認する

なし

いいえ

指定された時間内にイメージリポジトリのイメージバージョンを更新する

なし

いいえ

Container Registry インスタンスのセキュリティスキャンを有効にする

なし

いいえ

Container Registry インスタンスをゾーン冗長 OSS バケットに関連付ける

なし

いいえ

Elastic Container Instance

ECI インスタンスのコンテナグループにボリュームをマウントする

なし

いいえ

ECI コンテナグループの環境変数に機密情報が含まれていないことを確認する

なし

いいえ

実行中の ECI インスタンスに修正すべき脆弱性がないことを確認する

なし

いいえ

実行中の ECI コンテナグループに対して Security Center 保護を有効にする

なし

いいえ

Alibaba Cloud サービス

ルールテンプレート

修復用の OOS テンプレート ID

このサービスはドライランをサポートしていますか？

Object Storage Service (OSS)

OSS バケットの ACL で公開読み取りアクセスが禁止されている

ACS-OSS-PutBucketAcl

いいえ

OSS バケットの ACL で公開読み書きアクセスが禁止されている

ACS-OSS-PutBucketAcl

はい

OSS バケットのアクセスポリシーがセキュアアクセス用に設定されている

なし

いいえ

OSS バケットが匿名アカウントに権限を付与していない

なし

はい

公開 OSS バケットにアクセスポリシーがあり、匿名アカウントに権限を付与していない

なし

いいえ

OSS バケットの権限付与ポリシーに IP アドレス制限が設定されている

なし

いいえ

バケットポリシーで組織外への権限付与がチェックされている

なし

いいえ

バケットポリシーが組織外に権限を付与していない

なし

いいえ

OSS バケットポリシーにパラメーターで指定された権限付与が含まれていない

なし

いいえ

OSS バケットで KMS によるサーバ側暗号化が有効になっている

なし

いいえ

OSS バケットでデフォルトのサーバ側暗号化が有効になっている

ACS-OSS-PutBucketEncryption

はい

OSS バケットがカスタム KMS キーを使用して暗号化されている

なし

いいえ

OSS バケットでバージョニングが有効になっている

ACS-OSS-PutBucketVersioning

いいえ

OSS バケットでゾーン冗長ストレージが有効になっている

ACS-OSS-EnableBucketZRS

いいえ

OSS バケットで Cloud Backup が有効になっている

なし

いいえ

OSS バケットでクロスリージョンレプリケーションが有効になっている

なし

いいえ

OSS バケットのバックアップボールトでクロスリージョンレプリケーションが有効になっている

なし

いいえ

OSS バケットのバックアップでデータ保護スコアがチェックされている

なし

いいえ

OSS バケットでログストレージが有効になっている

ACS-OSS-BulkyPutBucketLogging

はい

OSS バケットのログストレージでプレフィックスマッチングが有効になっている

なし

はい

Object Storage Service でリアルタイムロギングが有効になっている

なし

いいえ

指定されたリージョンで OOS 実行レコードの配信が設定されている

なし

いいえ

OSS バケットでホットリンク保護が有効になっている

なし

いいえ

OSS バケットの Referer が指定されたホットリンク保護のホワイトリストに含まれている

ACS-OSS-PutBucketReferer

いいえ

OSS バケットでカスタムドメイン名のチェックが有効になっている

なし

いいえ

OSS バケットで TLS バージョンがチェックされている

なし

いいえ

OSS バケット名が正規表現に一致する

なし

いいえ

File Storage NAS

NAS ファイルシステムで暗号化が設定されている

なし

はい

NAS ファイルシステムが指定されたステータスである

なし

いいえ

NAS ファイルシステムが非アクティブであるかチェックされている

なし

いいえ

NAS 権限グループルールの権限付与オブジェクトがすべてのネットワークセグメントに設定されていない

なし

いいえ

NAS ファイルシステムで使用される権限グループがすべてのソースに公開されていない

なし

いいえ

NAS アクセスポイントで RAM ポリシーが有効になっている

なし

いいえ

NAS アクセスポイントのルートディレクトリがデフォルトディレクトリに設定されていない

なし

いいえ

NAS ファイルシステムでごみ箱が有効になっている

ACS-NAS-BulkyEnableRecycleBin

いいえ

NAS ファイルシステムにバックアッププランが作成されている

なし

いいえ

NAS バックアップボールトでクロスリージョンレプリケーションが有効になっている

なし

いいえ

NAS バックアップボールトでデータ保護スコアがチェックされている

ACS-NAS-BulkyEnableRecycleBin

いいえ

Tablestore

Tablestore インスタンスのネットワークタイプが VPC のみまたはコンソールのみのアクセスに設定されている

ACS-Config-OTS-RemovePublicAccess

はい

Tablestore インスタンス内のすべてのデータテーブルが暗号化されている

なし

いいえ

Tablestore インスタンスがゾーン冗長ストレージを使用している

なし

いいえ

Tablestore インスタンスで Cloud Backup が有効になっている

なし

いいえ

Tablestore バックアップボールトでクロスリージョンバックアップが有効になっている

なし

いいえ

Tablestore インスタンスでデータ保護スコアがチェックされている

なし

いいえ

Simple Log Service

Simple Log Service の Logstore でデータ暗号化が設定されている

なし

いいえ

Simple Log Service の Logstore 暗号化用のキーマテリアルがユーザーによってインポートされている

なし

いいえ

SLS Logstore で自動ストレージ階層化が有効になっている

なし

いいえ

ログプロジェクトがゾーン冗長ストレージを使用している

なし

いいえ

Cloud Storage Gateway

クロスゾーン高可用性の Cloud Storage Gateway が使用されている

なし

いいえ

Cloud Storage Gateway が SSL 接続の OSS バケットを使用している

なし

いいえ

Cloud Storage Gateway の共有でサーバ側暗号化が使用されている

なし

いいえ

Alibaba Cloud サービス

ルールテンプレート

設定修正用の OOS テンプレート ID

ドライランはサポートされていますか？

クラシックロードバランサー (CLB)

SLB インスタンスのリリース保護を有効にする

ACS-SLB-BulkySetLoadBalancerDeleteProtection

はい

SLB インスタンスの設定変更保護を有効にする

ACS-SLB-BulkySetLoadBalancerModificationProtection

はい

SLB サブスクリプションインスタンスの有効期限を確認する

ACS-BssOpenApi-SetRenewal

ACS-BssOpenApi-EnableAutoRenewal

いいえ

サブスクリプション SLB インスタンスの自動更新を有効にする

なし

はい

サブスクリプション Server Load Balancer インスタンスのアイドル検出

なし

いいえ

SLB アイドル検出

なし

いいえ

SLB インスタンスのステータスが実行中

なし

いいえ

VPC 内の SLB インスタンスを使用する

なし

はい

SLB インスタンスがパブリック IP アドレスにバインドされていない

なし

はい

SLB アクセス制御リストは、すべてのアドレスセグメントのエントリを許可しません

なし

はい

SLB インスタンスで実行中のすべてのリスナーに Resource Access Management を設定する

なし

いいえ

SLB インスタンスのアクセス制御ホワイトリストには、指定された IP アドレスまたは CIDR ブロックが含まれています。

なし

いいえ

SLB インスタンスのアクセス制御ホワイトリストに、指定された IP アドレスまたはネットワークセグメントが含まれていない

なし

いいえ

SLB インスタンスのリスナーに指定されたポートが含まれていません

なし

はい

SLB の Anti-DDoS ステータスを確認する

なし

いいえ

SLB インスタンスに未設定の HTTP リスナーがある

なし

いいえ

SLB の HTTPS リスナーを有効にする

なし

はい

SLB インスタンスの HTTPS リスナーが指定のセキュリティポリシー スイートを使用

なし

いいえ

SLB に Alibaba Cloud 発行の証明書を使用する

なし

いいえ

SLB サーバー証明書は有効です

なし

いいえ

SLB 証明書の有効期限チェック

なし

いいえ

マルチゾーン SLB インスタンスを使用する

なし

はい

マルチゾーン SLB インスタンスを使用し、サーバーグループに複数ゾーンのリソースを追加する

なし

いいえ

Server Load Balancer のすべてのリスナーに、少なくとも指定された数のバックエンドサーバーが設定されている

なし

いいえ

SLB インスタンスのデフォルトサーバーグループには、少なくとも 2 つのサーバーが含まれています

なし

いいえ

Server Load Balancer のデフォルトサーバーグループに複数のゾーンからリソースを追加する

なし

いいえ

複数のゾーンから SLB プライマリ/セカンダリサーバーグループにリソースを追加する

なし

いいえ

複数のゾーンから SLB vServer グループにリソースを追加する

なし

いいえ

SLB インスタンスは保証性能インスタンスです

なし

はい

SLB インスタンスが指定の帯域幅要件を満たしている

なし

はい

SLB インスタンスタイプが要件を満たしている

なし

はい

SLB インスタンスの最大接続数の平均使用率を確認する

なし

いいえ

SLB インスタンスの平均新規接続使用率を確認する

なし

いいえ

SLB インスタンスのアウトバウンド帯域幅の平均使用率チェック

なし

いいえ

すべての SLB リスナーにヘルスチェックが設定されている

なし

いいえ

SLB インスタンスのサーバーの重みが 0 ではない

なし

いいえ

SLB インスタンスのアクセスログを有効にする

なし

いいえ

CLB インスタンスの存在しないしきい値の異常をトラブルシューティングする

なし

いいえ

アプリケーションロードバランサー (ALB)

ALB インスタンスのリリース保護を有効にする

なし

いいえ

ALB アイドル接続検出

なし

いいえ

ALB インスタンスに関連付けられたインターネット共有帯域幅のアウトバウンド帯域幅使用率の監視

なし

いいえ

ALB に関連付けられた EIP のアウトバウンド帯域幅使用量の監視

なし

いいえ

ALB インスタンスのネットワークタイプが非公開である

なし

いいえ

ALB インスタンスで実行中のすべてのリスナーにアクセス制御を設定する

なし

いいえ

ALB アクセス制御リストでは、すべてのアドレスセグメントを設定できません

なし

いいえ

ALB インスタンスのアクセス制御ホワイトリストに、指定された IP アドレスまたはネットワークセグメントが含まれていません

なし

いいえ

ALB インスタンスのアクセス制御ホワイトリストには、指定された IP アドレスまたはネットワークセグメントが含まれます。

なし

いいえ

ALB HTTP リスナーのヘッダー転送機能を削除する

なし

いいえ

マルチゾーン ALB インスタンスの使用

なし

いいえ

ALB サーバーグループに少なくとも 2 台のサーバーが含まれている

なし

いいえ

複数のゾーンから ALB サーバーグループにリソースを追加する

なし

いいえ

すべての ALB リスナーと転送ルールにヘルスチェックが設定されている

なし

いいえ

Application Load Balancer (ALB) 上の各リスナーのデフォルトの転送ルールには、少なくとも指定された数のサーバーが含まれています

なし

いいえ

実行中の ALB インスタンスのリスナーにおける SSL 証明書の有効期限チェック

なし

いいえ

ALB インスタンスの Web Application Firewall を有効にする

なし

いいえ

ALB インスタンス接続失敗率のチェック

なし

いいえ

ALB インスタンス 4xx エラー率の検出

なし

いいえ

ALB インスタンスの 5xx エラー率検出

なし

いいえ

ALB インスタンスの TLS ハンドシェイク失敗率チェック

なし

いいえ

異常な高ウォーターマークが原因で ALB インスタンスの仮想 IP が処理に利用できない

なし

いいえ

Network Load Balancer (NLB)

マルチゾーン Network Load Balancer インスタンスを使用する

なし

いいえ

Network Load Balancer サーバーグループに複数のゾーンのリソースを追加する

なし

いいえ

NLB インスタンスの仮想 IP 処理におけるしきい値の欠落異常

なし

いいえ

NLB インスタンスリスナーの指定セキュリティポリシー

なし

いいえ

Gateway Load Balancer (GWLB)

マルチゾーン Gateway Load Balancer インスタンスを使用する

なし

いいえ

GWLB サーバーグループのサーバーが複数のゾーンにデプロイされる

なし

いいえ

Elastic IP アドレス

サブスクリプション EIP の有効期限チェック

なし

いいえ

アイドル状態の Elastic IP アドレスを検出する

なし

いいえ

遊休 EIP の検出

なし

いいえ

EIP の削除保護を有効にする

なし

いいえ

EIP インスタンスのサービスステータスが正常である

なし

いいえ

Elastic IP アドレス (EIP) インスタンスの帯域幅が最小要件を満たしている

なし

いいえ

EIP インスタンスの帯域幅レベルに異常がない

なし

いいえ

EIP の Cloud Firewall 保護を有効にする

なし

いいえ

EIP の Anti-DDoS ステータスを確認する

なし

いいえ

スケーリング設定にパブリック IPv4 アドレスが割り当てられていない

なし

いいえ

Auto Scaling グループと Server Load Balancer の関連付け

なし

いいえ

Auto Scaling グループを少なくとも 2 つの vSwitch に関連付ける

なし

いいえ

関連付けられたリソースからの EIP タグ継承の検出

ACS-TAG-TagResourcesIgnoreCaseSensitive

いいえ

インターネット共有帯域幅 (CBWP)

インターネット共有帯域幅インスタンスの有効期限チェック

なし

はい

遊休共有帯域幅の検出

なし

いいえ

仮想プライベートクラウド (VPC)

カスタム VPC ネットワークセグメントにルーティングが設定されている

なし

いいえ

VPC カスタムルートの宛先 CIDR ブロックがすべての CIDR ブロックに設定されていない

なし

いいえ

同じリージョン内の vSwitch の IP アドレス範囲は重複できません

なし

いいえ

VPC vSwitch の利用可能な IP アドレス数が指定された値より大きい

なし

いいえ

VPC ネットワーク ACL にリスクのあるポートが開かれていない

なし

いいえ

VPC ネットワーク ACL が空ではない

なし

いいえ

ネットワーク ACL を少なくとも 1 つのリソースにアタッチする

なし

いいえ

VPC のフローログを有効にする

なし

いいえ

IPsec VPN 接続が正常

なし

いいえ

IPsec VPN 接続のヘルスチェックを有効にする

なし

いいえ

エンドポイントサービスに複数のゾーンを設定する

なし

いいえ

Express Connect ルーターインターフェイスのピアアカウント ID の確認

なし

いいえ

NAT Gateway

NAT Gateway は指定された脅威ポートのマッピングを許可しません

ACS-VPC-BulkyDeleteForwardEntry

いいえ

インターネット NAT ゲートウェイは、特定の VPC に作成されます。

なし

いいえ

プライベート NAT ゲートウェイは、指定された VPC (virtual private cloud) 内に作成されます。

なし

いいえ

指定されたネットワークタイプを使用していない NAT Gateway

なし

いいえ

NAT Gateway では、SNAT と DNAT は同じ EIP を使用しません

なし

いいえ

複数の EIP を SNAT エントリにアタッチする場合の整合性のあるピーク帯域幅設定

なし

いいえ

NAT Gateway のリリース保護を有効にする

なし

いいえ

NAT Gateway アイドル検出

なし

いいえ

VPC プライベートゲートウェイのアイドル検出

なし

いいえ

NAT Gateway が存在しない場合の異常なしきい値の処理

なし

いいえ

NAT Gateway ゾーンの独立性

なし

いいえ

NAT Gateway のステータスチェック

なし

いいえ

CEN

Cloud Enterprise Network 帯域幅プランの有効期限チェック

ACS-BssOpenApi-SetRenewal

ACS-BssOpenApi-EnableAutoRenewal

いいえ

CEN インスタンス内のリージョン間接続の帯域幅割り当てが指定された要件を満たしている

なし

いいえ

CEN インスタンス内のすべての VBR 接続にヘルスチェックが設定されている

なし

いいえ

TransitRouter VPC 接続に複数のゾーンを設定する

なし

いいえ

リージョン間の帯域幅レベルに異常なし

なし

いいえ

TR ルートエントリ上限超過の脅威なし

なし

いいえ

VPN Gateway

VPN Gateway が有効化されていません

なし

いいえ

VPN Gateway アイドル検出

なし

いいえ

VPN インスタンスの有効期限チェック

ACS-BssOpenApi-EnableAutoRenewal

いいえ

VPN 接続の暗号化アルゴリズムが None ではない

なし

いいえ

マルチゾーン VPN Gateway を使用する

なし

いいえ

VPN Gateway のステータスが正常

なし

いいえ

デュアルトンネル VPN Gateway のアクティブなトンネルとスタンバイのトンネルの両方が接続されている

なし

いいえ

VPN Gateway インバウンド帯域幅使用率チェック

なし

いいえ

VPN Gateway アウトバウンド帯域幅の使用状況の確認

なし

いいえ

VPN Gateway サービスに異常なしきい値がない

なし

いいえ

Express Connect

高信頼性モードで Express Connect を使用する

なし

いいえ

VBR インスタンスのヘルスチェックを設定する

なし

いいえ

VBR インスタンスに冗長性の欠落がない

なし

いいえ

VBR インスタンスの BGP 接続ステータスは正常です。

なし

いいえ

Express Connect 回線に異常なポートがない

なし

いいえ

Express Connect 回線ゲートウェイ上の複数の有効なルート

なし

いいえ

CDN

高速化ドメイン名の HTTPS 暗号化を有効にする

なし

いいえ

CDN SSL 証明書は有効期限が切れていない

なし

いいえ

高速化ドメイン名に対して HTTP から HTTPS への強制リダイレクトを有効にする

なし

いいえ

高速化ドメイン名の Referer ホットリンク保護を有効にする

なし

いいえ

高速化ドメイン名の URL 署名を有効にする

なし

いいえ

高速化ドメイン名の OCSP ステープリングを有効にする

なし

いいえ

高速化ドメイン名の TLS 1.3 検出を有効にする

なし

いいえ

ドメイン名の CDN キャッシュを設定する

なし

いいえ

高速化ドメイン名の Gzip 圧縮を有効にする

なし

いいえ

高速化ドメイン名の Brotli 圧縮を有効にする

なし

いいえ

高速化ドメイン名の Range オリジンフェッチを有効にする

なし

いいえ

高速化ドメイン名のパラメータフィルタリングを有効にする

なし

いいえ

CDN を使用して OSS のデータ伝送を最適化する

なし

いいえ

CDN 構成のソースは、存在しない OSS バケットを指すべきではありません

なし

いいえ

高速化ドメイン名の OSS オリジン構成が一致している

なし

いいえ

高速化ドメイン名に複数のオリジンを設定する

なし

いいえ

高速化ドメイン名の IPv6 アクセスを有効にする

なし

いいえ

Edge Security Acceleration

DCDN 高速化ドメイン名に複数のソースを設定する

なし

いいえ

Alibaba Cloud DNS

DNS の CNAME レコードは既存の OSS バケットのエンドポイントを指します

なし

いいえ

Cloud DNS のドメイン名フォーマットが指定された正規表現に一致する

なし

いいえ

DNS MX レコードのコンプライアンスチェック

なし

いいえ

Alibaba Cloud サービス

ルールテンプレート

設定修正用の OOS テンプレート ID

ドライランをサポート

Anti-DDoS

DDoS インスタンスの有効期限チェック

なし

いいえ

Anti-DDoS を使用して DDoS 攻撃を防ぐ

なし

いいえ

Anti-DDoS Pro または Anti-DDoS Premium インスタンスの保護された IP のステータスチェック

なし

いいえ

Web Application Firewall

Web ファイアウォールを使用してウェブサイトまたはアプリを保護する

なし

いいえ

API Gateway から API グループドメインを WAF に追加する

なし

いいえ

WAF で保護されたドメイン名の特定の保護機能を有効にする

なし

いいえ

WAF ドメイン名の特定の保護機能に特定の防止モードを有効にする

なし

いいえ

WAF インスタンスの特定の保護ルールを有効にする

なし

いいえ

WAF インスタンスのログ収集を有効にする

ACS-WAF-BulkyModifyLogServiceStatus

いいえ

WAF 3.0 保護オブジェクトのログ検出を有効にする

なし

いいえ

Cloud Firewall

Cloud Firewall のすべてのアセットが保護されます

なし

いいえ

指定された条件に一致する Cloud Firewall のコントロールポリシーがありません

なし

いいえ

Cloud Firewall のコントロールポリシーが指定された条件に一致する

なし

いいえ

Cloud Firewall のアセットの保護を有効にする

なし

いいえ

Cloud Firewall IPS で基本保護が有効になっている

ACS-Cloudfw-ModifyIPSConfig

いいえ

Cloud Firewall IPS で脅威インテリジェンスが有効

ACS-Cloudfw-ModifyIPSConfig

いいえ

Cloud Firewall IPS が仮想パッチを有効にしました

ACS-Cloudfw-ModifyIPSConfig

いいえ

Cloud Firewall の侵入防止システム (IPS) がブロックモードである

ACS-Cloudfw-ModifyIPSConfig

いいえ

Cloud Firewall を使用してネットワーク境界を保護する

なし

いいえ

セキュリティセンター

Security Center Enterprise Edition の使用

なし

いいえ

アカウント内のすべての ECS インスタンスに Security Center プロキシがインストールされている

なし

いいえ

セキュリティセンターの通知項目に通知方法が設定されている

なし

いいえ

すべての ECS インスタンスの脆弱性が修正されます

なし

いいえ

セキュリティセンターに未処理のイメージ脆弱性がない

なし

いいえ

Security Center で指定された優先度の脆弱性スキャンを設定する

なし

いいえ

Security Center は漏洩した AccessKey を検出しません

なし

いいえ

Security Center で高リスクの弱いパスワードを持つアセットは検出されませんでした

なし

いいえ

Security Center で特定の種類のプロアクティブな保護を有効にする

なし

いいえ

Security Center で特定のタイプの資産指紋コレクションを有効にする

なし

いいえ

デジタル証明書管理サービス (SSL 証明書)

SSL 証明書の有効期限チェック

なし

いいえ

Key Management Service

KMS マスターキーの削除保護を有効にする

ACS-KMS-BulkySetDeletionProtection

いいえ

KMS マスターキーの削除がスケジュールされていない

なし

いいえ

Key Management Service でマスターキーの自動ローテーションを設定する

ACS-KMS-BulkyUpdateRotationPolicy

いいえ

Key Management Service (KMS) で認証情報の自動ローテーションを設定する

なし

いいえ

KMS 認証情報の回転に成功しました

なし

いいえ

外部ソースの KMS マスターキーを使用しない

なし

いいえ

マルチゾーン KMS インスタンスの使用

なし

いいえ

KMS インスタンスの有効期限チェック

ACS-BssOpenApi-EnableAutoRenewal

いいえ

データセキュリティセンター

Data Security Center で機密データ検出が有効になっていません

なし

いいえ

バスティオンホスト

Bastionhost インスタンスの有効期限チェック

なし

いいえ

マルチゾーンデプロイメントをサポートする Bastionhost のバージョン

なし

いいえ

Bastionhost の利用可能なストレージが最小要件を満たしている

なし

いいえ

Alibaba Cloud サービス

ルールテンプレート

修復用の OOS テンプレート ID

ドライランを実行できますか？

Microservices Engine (MSE)

MSE クラスターがパブリックネットワークアクセスを許可し、認証を有効にする

なし

いいえ

MSE クラスターのパブリックネットワークアクセスチェック

なし

いいえ

High-availability Edition の MSE レジストリを使用する

なし

いいえ

MSE レジストリのマルチノードデプロイメントチェック

なし

いいえ

MSE レジストリの DPI エンジンバージョンチェック

なし

いいえ

MSE レジストリの容量チェック

なし

いいえ

MSE クラウドネイティブゲートウェイのマルチノードデプロイメントチェック

なし

いいえ

MSE クラウドネイティブゲートウェイをマルチゾーンにデプロイする

なし

いいえ

MSE クラウドネイティブゲートウェイのバージョンチェック

なし

いいえ

Enterprise Distributed Application Service (EDAS)

EDAS のログ収集が設定されていない

なし

いいえ

ApsaraMQ for RocketMQ

マルチゾーンの ApsaraMQ for RocketMQ 5.0 インスタンスを使用する

なし

いいえ

Platinum Edition の ApsaraMQ for RocketMQ インスタンスを使用する

なし

いいえ

Message Queue for Apache Kafka

Kafka インスタンスのパブリック IP アドレスのホワイトリストがすべての IP アドレスに公開されていない

なし

いいえ

マルチゾーンの Message Queue for Apache Kafka インスタンスを使用する

なし

いいえ

軽量メッセージキュー

MNS キューのパブリックネットワークアクセスを無効にする

なし

いいえ

API Gateway

API Gateway の API を非公開に設定する

なし

いいえ

API Gateway インスタンスの IPv4 アクセス制御を有効にし、有効なリストを設定する

なし

いいえ

API Gateway インスタンスの IPv6 アクセス制御を有効にし、有効なリストを設定する

なし

いいえ

パブリックネットワークアクセスを許可する API Gateway の API のリクエストメソッドを HTTPS に設定する

ACS-ApiGateway-BulkyModifyApiGroupNetworkPolicy

いいえ

API Gateway の API グループの HTTPS セキュリティポリシーが要件を満たしている

なし

いいえ

API Gateway の API グループにカスタムドメイン名をアタッチする

なし

いいえ

API Gateway の API グループのカスタムドメイン名に SSL 証明書を設定する

なし

いいえ

API グループに独立ドメイン名をアタッチし、HTTPS への強制リダイレクトを有効にする

なし

いいえ

API Gateway で API セキュリティ認証方式を JWT に設定する

なし

いいえ

API Gateway で API セキュリティ認証を設定する

なし

いいえ

API グループの API 呼び出しのロギングを設定する

なし

いいえ

API Gateway の API グループにアタッチされたドメイン名を WAF または WAF 3.0 に接続する

なし

いいえ

API グループのトレース分析機能を設定する

なし

いいえ

マルチゾーンの API Gateway インスタンスを使用する

なし

いいえ

Alibaba Cloud サービス

ルールテンプレート

修復のための OOS テンプレート ID

Dry Run はサポートされていますか？

クラウドネイティブデータベース PolarDB

PolarDB サブスクリプションクラスターの有効期限チェック

なし

いいえ

PolarDB-X1 インスタンスの有効期限チェック

なし

いいえ

PolarDB-X2 インスタンスの有効期限チェック

なし

いいえ

PolarDB クラスターの削除保護を有効にする

なし

いいえ

PolarDB クラスターにメンテナンスウィンドウを設定する

なし

いいえ

PolarDB クラスターのログバックアップの保持期間が指定された要件を満たしている

なし

いいえ

PolarDB クラスターのレベル 2 バックアップ保持期間が指定された要件を満たしている

なし

いいえ

PolarDB クラスターのレベル 1 バックアップ保持期間が指定要件を満たしている

なし

いいえ

仮想プライベートクラウド (VPC) 内の PolarDB インスタンスを使用する

なし

いいえ

専用の PolarDB インスタンスを使用する

なし

いいえ

PolarDB プロダクトシリーズは Cluster エディションです。

なし

いいえ

マルチゾーン PolarDB-X2 インスタンスを使用する

なし

いいえ

安定したカーネルバージョンの PolarDB クラスター

なし

いいえ

PolarDB データベースのマイナーバージョンは安定しています

なし

いいえ

PolarDB インスタンスの IP ホワイトリストは、すべてのネットワークセグメントに設定できません

なし

はい

パブリックアクセスが有効な PolarDB クラスターエンドポイントはありません

なし

いいえ

PolarDB インスタンスにインターネットエンドポイントがない、またはその IP ホワイトリストがすべてのネットワークセグメントに設定されていない

なし

いいえ

PolarDB クラスターエンドポイントの接続タイプを特定の値に設定する

なし

いいえ

PolarDB クラスターエンドポイントの読み取り/書き込みパターンを読み取り/書き込みに設定する

なし

いいえ

PolarDB クラスターエンドポイントのセッションの一貫性レベルを指定された値に設定する

なし

いいえ

PolarDB クラスターエンドポイントの接続フォーマットは有効です。

なし

いいえ

PolarDB クラスターのプライマリエンドポイントの接続フォーマットは有効です。

なし

いいえ

PolarDB クラスターの読み取り専用接続文字列のフォーマットは正しい

なし

いいえ

PolarDB クラスターのホットスタンバイクラスターを有効にする

なし

いいえ

PolarDB クラスターの読み取り専用エンドポイントへの新しいノードの自動追加を無効にする

なし

いいえ

新しいノードを PolarDB クラスターエンドポイントに自動追加する

なし

いいえ

プライマリデータベースでの読み取りを受け入れるように PolarDB クラスターエンドポイントを設定する

なし

いいえ

PolarDB クラスターエンドポイントのトランザクション分割ステータスがシャットダウンに設定される

なし

いいえ

PolarDB クラスターで TDE (透過的データ暗号化) を有効化する

なし

いいえ

PolarDB クラスターに SSL 暗号化を設定する

なし

いいえ

PolarDB クラスターの SQL 監査を有効にする

なし

いいえ

PolarDB クラスターのデフォルトのタイムゾーンパラメーターが System ではない

なし

いいえ

PolarDB クラスター内の各アカウントの説明が空でない

なし

いいえ

ApsaraDB RDS

RDS サブスクリプションインスタンスの有効期限チェック

なし

はい

長時間実行されている従量課金 RDS インスタンスのチェック

なし

いいえ

RDS インスタンスの削除保護を有効にする

なし

いいえ

RDS インスタンスがインターネット経由でアクセスできない、または IP ホワイトリストがすべてのネットワークセグメントに設定されていない

なし

いいえ

RDS インスタンスがインターネットに接続されておらず、IP ホワイトリストがすべてのネットワークセグメントに設定されていない

なし

いいえ

古い RDS インスタンスを使用しない

なし

いいえ

RDS インスタンスタイプが指定された要件を満たしている

なし

いいえ

RDS インスタンスが最小 CPU コア要件を満たしている

なし

いいえ

RDS インスタンスが最小メモリ要件を満たしている

なし

はい

RDS インスタンスが最小ストレージ要件を満たしている

なし

いいえ

RDS インスタンスが最小の読み取り/書き込み周波数を満たしている

なし

いいえ

RDS インスタンスの平均接続使用率のチェック

なし

いいえ

RDS インスタンスの平均 CPU 使用率チェック

なし

はい

RDS インスタンスの平均 IOPS 使用率チェック

なし

いいえ

RDS インスタンスの平均メモリ使用量チェック

なし

いいえ

RDS インスタンスのアイドル CPU 使用率チェック

なし

いいえ

RDS インスタンスの遊休ディスク使用率チェック

なし

はい

RDS インスタンスのアイドル状態のメモリ使用量チェック

なし

いいえ

RDS インスタンスの残りのストレージ容量を確認する

なし

いいえ

専用 RDS インスタンスを使用する

なし

いいえ

クラスターエディションで実行される RDS インスタンスを使用する

なし

いいえ

VPC 内の RDS インスタンスを使用する

なし

いいえ

RDS インスタンスのネットワークタイプは VPC です。

なし

いいえ

RDS インスタンスにパブリック IP アドレスがありません

ACS-RDS-ReleaseInstancePublicConnection

いいえ

RDS インスタンスのホワイトリストを設定する

ACS-RDS-BulkyModifySecurityIpsByInstanceIPArray

はい

RDS インスタンスの IP ホワイトリストにインターネットが含まれていません

なし

いいえ

RDS インスタンスの高セキュリティホワイトリストモードを有効にする

ACS-RDS-BulkyMigrateSecurityIPMode

いいえ

RDS インスタンスに SSL 証明書を使用する

なし

いいえ

RDS インスタンスの SSL を有効にして TLS バージョンを指定する

なし

いいえ

データベースプロキシパターンを使用して SQL Server にアクセスする

なし

いいえ

高可用性 RDS インスタンスを使用する

なし

いいえ

マルチゾーン RDS インスタンスを使用する

なし

いいえ

プライマリ/スタンバイ RDS インスタンスの自動スイッチオーバー構成チェック

ACS-RDS-BulkyModifyHASwitchConfig

いいえ

RDS インスタンスのデータレプリケーションが非同期ではない

なし

いいえ

RDS のディザスタリカバリインスタンスを作成する

なし

いいえ

RDS 読み取り/書き込みインスタンスの待機時間チェック

なし

いいえ

RDS クラスターのプライマリノードとセカンダリノードの CPU とメモリの構成が一致しない

なし

いいえ

RDS クラスターのプライマリノードとセカンダリノードが同じインスタンスクラスで設定されていない

なし

いいえ

RDS インスタンスの TDE を有効にする

なし

いいえ

カスタムキーを使用して RDS インスタンスの TDE を有効にする

なし

いいえ

RDS インスタンスのディスク暗号化を有効にする

なし

いいえ

RDS PostgreSQL データの耐久性チェック

ACS-RDS-BulkyModifyParameter

いいえ

RDS インスタンスのログバックアップを有効にする

なし

いいえ

RDS インスタンスのリージョン間バックアップを有効にする

なし

いいえ

RDS インスタンスのストレージ自動スケーリングチェック

ACS-RDS-BulkyModifyDasInstanceConfig

いいえ

RDS インスタンスの自動スケーリングが有効になっているかどうかを確認する

なし

いいえ

RDS インスタンスの SQL 監査を有効にする

ACS-RDS-BulkyModifySQLCollectorPolicy

いいえ

RDS インスタンスの SQL 監査ログには、必要な保持期間が設定されています。

ACS-RDS-BulkyModifySQLCollectorRetention

いいえ

RDS インスタンスの履歴イベントを有効にする

ACS-RDS-BulkyModifyActionEventPolicy

いいえ

RDS インスタンスのスロー SQL 文の検出

なし

いいえ

RDS インスタンスの自動マイナーバージョン更新を有効にする

ACS-RDS-BulkyModifyDBInstanceAutoUpgradeMinorVersion

いいえ

RDS インスタンスに適切なメンテナンスウィンドウを設定する

なし

いいえ

RDS モニタリングの粒度設定が要件を満たしている。

なし

いいえ

RDS インスタンス用の動的 ApsaraDB RDS シークレットを作成する

なし

いいえ

PostgreSQL データベースパラメーター log_connections を on に設定する

なし

いいえ

PostgreSQL データベースパラメーター log_disconnections を on に設定する

なし

いいえ

PostgreSQL データベースのパラメーター log_duration を on に設定する

なし

いいえ

データベースインスタンスのセキュリティ監査を有効にする

なし

いいえ

データベースインスタンスの SQL 監査を有効にする

なし

いいえ

ApsaraDB Tair (Redis 互換)

Redis サブスクリプションインスタンスの有効期限チェック

なし

いいえ

Redis インスタンスのリリース保護を有効にする

なし

いいえ

Redis インスタンスの合理的なバックアップ時間ウィンドウを設定する

なし

いいえ

Redis インスタンスの増分バックアップを有効にする

なし

いいえ

Redis インスタンスを最新のマイナーバージョンにアップグレードする

なし

いいえ

Redis インスタンスに必要なクエリ/秒 (QPS) を満たす

なし

いいえ

Redis インスタンスが指定された帯域幅要件を満たしている

なし

いいえ

Redis インスタンスがメモリ容量の要件を満たしている

なし

いいえ

Redis インスタンスの平均接続使用率チェック

なし

いいえ

Redis インスタンスの平均 CPU 使用率

なし

なし

Redis インスタンスの平均メモリ使用量のチェック

なし

いいえ

VPC 内の Redis インスタンスを使用する

なし

いいえ

Redis インスタンスにパブリック IP アドレスがない

ACS-Redis-ReleaseInstancePublicConnection

いいえ

Redis インスタンスの IP ホワイトリストをすべてのネットワークセグメントに設定しないでください

ACS-Redis-BulkyDeleteSecurityIpFromInstanceIPArray

はい

Redis インスタンスでインターネットアクセスが有効になっていない、またはホワイトリストが任意のソースからのアクセスを許可するように設定されていない

なし

いいえ

Redis インスタンスのパスワード認証を有効にする

なし

いいえ

Redis インスタンスの SSL 暗号化を有効にする

なし

いいえ

Redis インスタンスで SSL を有効にし、TLS バージョンを指定する

なし

いいえ

クラスター Redis インスタンスを使用する

なし

いいえ

Redis インスタンスはマルチゾーンインスタンス

なし

いいえ

Redis インスタンスのノードタイプはデュアルレプリカです

なし

いいえ

Enterprise Edition Redis インスタンスを使用する

なし

いいえ

Redis インスタンスの TDE 暗号化を有効化する

なし

いいえ

カスタムキーを使用して Redis インスタンスの TDE (透過的データ暗号化) を有効にする

なし

いいえ

Tair インスタンスの AOF 永続化を無効にする

なし

いいえ

Redis インスタンスの監査ログを有効にする

ACS-REDIS-BulkyModifyAuditLogConfig

いいえ

Redis インスタンスの監査ログは、必要な日数保持されます

ACS-REDIS-BulkyModifyAuditLogConfig

いいえ

Redis インスタンスの高リスクコマンドを無効化する

ACS-Redis-BulkyModifyInstanceConfig

いいえ

Redis インスタンスで指定された高リスクコマンドが無効化されている

なし

いいえ

DTS データ同期を使用したリアルタイムキャッシュの一貫性の構築

なし

いいえ

Redis インスタンスのアイドル CPU 使用率チェック

なし

いいえ

Redis インスタンスのメモリ使用量のアイドル検出

なし

いいえ

Lindorm

マルチゾーン Lindorm インスタンスを使用する

なし

いいえ

Lindorm インスタンスでパブリックネットワークアクセスが有効になっていません

なし

いいえ

ApsaraDB MongoDB

MongoDB サブスクリプションクラスターの有効期限チェック

なし

いいえ

MongoDB インスタンスのリリース保護を有効にする

なし

いいえ

MongoDB インスタンスはロックされていません

なし

いいえ

MongoDB クラスターで監査ログを有効にする

なし

いいえ

MongoDB インスタンスのログバックアップを有効にする

なし

いいえ

MongoDB インスタンスが指定された読み取り/書き込み数の要件を満たしている

なし

いいえ

MongoDB が指定された接続要件を満たしている

なし

いいえ

MongoDB: 専用または排他インスタンスの使用

なし

いいえ

VPC 内の MongoDB インスタンスを使用する

なし

いいえ

MongoDB インスタンスの IP ホワイトリストにすべてのネットワークセグメントを設定しない

なし

いいえ

MongoDB インスタンスにインターネットアクセスがないか、そのセキュリティホワイトリストが任意のソースからのアクセスを許可するように設定されていません

なし

いいえ

MongoDB インスタンスの Secure Sockets Layer (SSL) 暗号化を有効にする

なし

いいえ

マルチノード MongoDB インスタンスを使用する

なし

いいえ

マルチゾーン MongoDB インスタンスの使用

なし

いいえ

カスタムキーを使用して MongoDB の TDE を設定する

なし

いいえ

MongoDB インスタンスの CPU アイドル検出

なし

いいえ

メモリ使用量による MongoDB インスタンスのアイドルチェック

なし

いいえ

MongoDB インスタンスの空きディスク領域チェック

なし

いいえ

AnalyticDB for MySQL

AnalyticDB for MySQL クラスターにインターネットエンドポイントがない

なし

いいえ

ADB クラスターはマルチゾーンデプロイメントモードです

なし

いいえ

ADB クラスターの SQL 監査ログを有効にする

なし

いいえ

ADB クラスターのログバックアップを有効にする

なし

いいえ

ADB クラスターに適切なメンテナンスウィンドウを設定する

なし

いいえ

AnalyticDB for Data Warehouse のインスタンス有効期限の確認

なし

いいえ

クラウドネイティブデータウェアハウス AnalyticDB for PostgreSQL

マルチゾーンのクラウドネイティブデータウェアハウス AnalyticDB インスタンスを使用する

なし

いいえ

PostgreSQL インスタンスのディスク暗号化を有効にする

なし

いいえ

PostgreSQL インスタンスの SSL 暗号化を有効にする

なし

いいえ

AnalyticDB for PostgreSQL：アクティブなデータバックアップの確認

なし

いいえ

ApsaraDB for ClickHouse

マルチゾーン ApsaraDB for ClickHouse クラスターインスタンスの利用

なし

いいえ

時系列データベース (TSDB)

TSDB インスタンスにはインターネットアクセスがありません

なし

いいえ

TSDB インスタンスのセキュリティホワイトリスト確認

なし

いいえ

ApsaraDB for HBase

HBase クラスターのタイプはクラスターエディション

なし

いいえ

VPC 内の HBase クラスター

なし

いいえ

HBase クラスターにインターネットアドレスがありません

なし

いいえ

HBase クラスターを高可用性向けに設定する

なし

いいえ

マルチゾーン HBase クラスターを使用する

なし

いいえ

HBase クラスターの削除保護を有効にする

なし

いいえ

HBase サブスクリプションクラスターの有効期限チェック

なし

いいえ

ApsaraDB OceanBase

OceanBase クラスターの Secure Sockets Layer (SSL) 暗号化を有効にする

なし

いいえ

OceanBase テナントの IP ホワイトリストグループの設定が有効です。

なし

いいえ

OceanBase テナントのインターネットアクセスが有効になっていないか、セキュリティホワイトリストが任意のソースからのアクセスを許可するように設定されていません

なし

いいえ

OceanBase テナントの TDE (透過的データ暗号化) を有効にする

なし

いいえ

OceanBase クラスターのデータベースバックアップを有効にする

なし

いいえ

OceanBase クラスターで SQL 診断を有効にする

なし

いいえ

データ管理 (DMS)

DMS インスタンスで安定的な変更チェックを有効にする

なし

いいえ

データベースインスタンスの機密データ保護を有効にする

なし

いいえ

データ伝送サービス (DTS)

DTS 移行タスクのソースデータベースとターゲットデータベースに安全な SSL 接続を使用する

なし

いいえ

DTS 追跡タスクのソースデータベースで SSL を使用する

なし

いいえ

DTS 同期タスクのソースデータベースとターゲットデータベースに SSL 接続を使用する

なし

いいえ

DTS を使用してデータベースインスタンスのジオディザスタリカバリを有効にする

なし

いいえ

Alibaba Cloud サービス

ルールテンプレート

修復用の OOS テンプレート ID

ドライランはサポートされていますか？

クラウドネイティブなビッグデータコンピューティングサービス

MaxCompute プロジェクトの暗号化を有効にする

なし

いいえ

MaxCompute プロジェクトの IP ホワイトリストを有効にする

なし

いいえ

MaxCompute プロジェクトはゾーンディザスタリカバリ アーキテクチャを採用

なし

いいえ

Hologres

Hologram インスタンスにリモートバックアップデータがある

なし

いいえ

リアルタイムコンピューティング for Apache Flink

マルチゾーン Flink インスタンスを使用する

なし

いいえ

検索・分析サービス (Elasticsearch エディション)

VPC 内の Elasticsearch インスタンス

なし

いいえ

Elasticsearch インスタンスで Kibana のパブリックネットワークアクセスが無効になっている

なし

はい

Elasticsearch インスタンスにパブリックネットワークアクセスがない

なし

はい

Elasticsearch インスタンスのインターネットアクセスが有効になっていない、または任意の IP アドレスからのアクセスが許可されていない

なし

いいえ

Elasticsearch インスタンスのデータノードのディスク暗号化を有効にする

なし

いいえ

Elasticsearch インスタンスの弾性データノードでディスク暗号化を有効にする

なし

いいえ

Elasticsearch インスタンスのコールドデータノードのディスク暗号化を有効にする

なし

いいえ

Elasticsearch インスタンスに HTTPS トランスポートプロトコルを使用する

なし

いいえ

マルチゾーン Elasticsearch インスタンスを使用する

なし

いいえ

Elasticsearch インスタンスの自動バックアップを有効にする

なし

いいえ

非推奨の Elasticsearch インスタンスは使用されません

なし

いいえ

すべての Elasticsearch インスタンスがサポートされているバージョンを使用する

なし

いいえ

オープンソースビッグデータプラットフォーム E-MapReduce

EMR クラスターのマスターノードのインターネットアクセスチェック

なし

いいえ

EMR クラスターセキュリティグループの無制限のホワイトリスト

なし

いいえ

Alibaba Cloud サービス

ルールテンプレート

修復用の OOS テンプレート ID

ドライランのサポート

Resource Access Management (RAM)

Alibaba Cloud アカウントに AccessKey がない

なし

いいえ

Alibaba Cloud アカウントに RAM ユーザーが作成されていない

なし

いいえ

Alibaba Cloud アカウントで多要素認証 (MFA) が有効になっている

なし

いいえ

利用可能クレジットアラートが有効になっている

ACS-Config-BSS-ModifyAlarm

いいえ

アカウントのパスワードポリシーをチェックすること

なし

いいえ

Alibaba Cloud アカウント配下に指定された名前のリソースが存在する

なし

いいえ

Alibaba Cloud アカウント配下に、指定された要件を満たす Simple Log Service データ変換タスクが存在する

なし

いいえ

RAM ユーザーのログインがチェックされる

なし

いいえ

RAM ユーザーが指定された期間内にログインしている

なし

いいえ

RAM ユーザーの AccessKey が指定された期間内にローテーションされている

なし

いいえ

RAM ユーザーにアクティブなキーが存在しない

なし

いいえ

RAM ユーザーにアイドル状態の AccessKey が存在しない

なし

いいえ

RAM ユーザーに無効化された AccessKey が存在しない

なし

いいえ

指定された条件を満たすアクセスポリシーが RAM ユーザーまたはそのユーザーグループにアタッチされていない

なし

いいえ

指定された高リスク権限が RAM ユーザーに付与されていない

なし

いいえ

RAM ユーザーが持つアクティブな AccessKey が 1 つ以下である

なし

いいえ

RAM ユーザーに対してコンソールアクセスと API 呼び出しアクセスが同時に有効になっていない

なし

いいえ

RAM ユーザーのパスワードポリシーが要件を満たしている

ACS-RAM-SetPasswordPolicy

いいえ

RAM ユーザーのパスワードポリシーにおけるパスワードの複雑さが要件を満たしている

なし

いいえ

RAM ユーザーのパスワードポリシーにおける最大ログイン試行回数が要件を満たしている

なし

いいえ

RAM ユーザーのパスワードポリシーにおけるパスワードの有効期限が要件を満たしている

なし

いいえ

権限の高い RAM ユーザーに対して多要素認証 (MFA) が有効になっている

なし

いいえ

RAM ユーザーに対して多要素認証 (MFA) が有効になっている

ACS-ECS-BulkyUpdateLoginProfile

いいえ

RAM ユーザーがログインに多要素認証 (MFA) を有効にしているかを確認する

なし

いいえ

権限が RAM ユーザーに直接付与されていない

なし

いいえ

RAM ユーザーがユーザーグループに属している

なし

いいえ

RAM ユーザーグループが空ではない

なし

いいえ

スーパー管理者が存在しない

なし

いいえ

RAM ユーザーとそのユーザーグループが、どの Alibaba Cloud サービスに対してもスーパー管理者権限または管理者権限を持っていない

なし

いいえ

指定されたパラメーター条件を満たすアクセスポリシーが RAM ユーザーにアタッチされている

なし

いいえ

カスタム RAM ポリシーにパラメーターで指定された権限設定が含まれていない

なし

いいえ

アイドル状態の RAM アクセスポリシーが存在しない

なし

いいえ

アイドル状態の RAM ユーザーグループが存在しない

なし

いいえ

Alibaba Cloud アカウントに指定された名前のロールがある

なし

いいえ

RAM ユーザーによって定義されたロールにプロダクト管理権限が含まれていない

なし

いいえ

RAM ロールが、どの Alibaba Cloud サービスに対してもスーパー管理者権限または管理者権限を持っていない

なし

いいえ

指定されたパラメーター条件を満たすアクセスポリシーが RAM ロールにアタッチされている

なし

いいえ

ロールベースのシングルサインオン (SSO) が有効になっている

なし

いいえ

RAM ユーザーに対してシングルサインオン (SSO) が有効になっている

なし

いいえ

CloudSSO SAML 署名証明書の有効期限がチェックされる

なし

いいえ

CloudSSO SCIM キーの有効期限がチェックされる

なし

いいえ

Resource Management

リソースが指定されたリージョンに配置されている

なし

いいえ

リソース名が指定された正規表現に一致する

なし

いいえ

リンクされたインスタンスのリソースグループが親 ECS インスタンスから継承される

ACS-Config-ResourceManager-BulkyMoveResources

いいえ

リンクされたリソースが ECS ディスクのリソースグループを継承する

ACS-Config-ResourceManager-BulkyMoveResources

いいえ

リンクされたリソースが ECS ネットワークインターフェイスカードのリソースグループを継承する

ACS-Config-ResourceManager-BulkyMoveResources

いいえ

リンクされたリソースが NAT Gateway のリソースグループを継承する

ACS-Config-ResourceManager-BulkyMoveResources

いいえ

リンクされたリソースが SLB インスタンスのリソースグループを継承する

ACS-Config-ResourceManager-BulkyMoveResources

いいえ

リソースに関連付けられているリソースグループがデフォルトのリソースグループではない

なし

いいえ

リソースがリソースグループから指定されたタグを継承する

ACS-TAG-TagResourcesIgnoreCaseSensitive

いいえ

リソースがディスクからタグを継承する

ACS-TAG-TagResourcesIgnoreCaseSensitive

いいえ

リソースが親 ECS インスタンスからタグを継承する

なし

いいえ

Resource Management のアカウントタイプがチェックされる

なし

いいえ

リソースが Kafka インスタンスからタグを継承する

ACS-TAG-TagResourcesIgnoreCaseSensitive

いいえ

タグ

指定されたすべてのタグが存在する

ACS-TAG-TagResources

いいえ

指定されたタグが少なくとも 1 つ存在する

なし

いいえ

列挙を使用して複数のタグ値を照合する

なし

いいえ

指定されたすべてのタグが一致する

なし

いいえ

リソースにタグが付いている

なし

いいえ

リソースタグが指定された正規表現に一致する

ACS-TAG-TagResources

いいえ

リソースタグの大文字と小文字が統一されており、先頭または末尾に空白がない

ACS-Config-Tag-TagResources

いいえ

ActionTrail

ActionTrail のトレイルが有効になっている

なし

いいえ

ActionTrail の完全なログ追跡が有効になっている

なし

いいえ

CloudMonitor

指定された Alibaba Cloud サービスに対して CloudMonitor アラートルールが設定されている

なし

いいえ

CloudMonitor に指定された名前のイベントトリガーのアラートルールが設定されている

なし

いいえ