サービスを有効にすると、コンプライアンスパッケージをすぐに試すことができます。これは、クラウドリソースの管理と運用のためのベストプラクティスチェックを提供します。このトピックでは、QuickStartCompliancePack のデフォルトルールについて説明します。
ルール名 | ルールの説明 |
Alibaba Cloud アカウントは、どの状態の AccessKey も持たない場合に準拠しています。Alibaba Cloud アカウントの AccessKey には、制限できない過剰な権限があります。この AccessKey が漏洩した場合、深刻な結果を招く可能性があります。代わりに、Resource Access Management (RAM) ユーザーに属する AccessKey を使用し、適切なアクセスの制御を設定してください。 | |
アカウントは、すべてのリージョンとすべてのイベントタイプをモニターするために ActionTrail でアクティブなトレイルが有効になっている場合に準拠しています。リソースディレクトリのメンバーアカウントの場合、管理者がすべてのメンバーアカウントに適用されるトレイルを作成した場合も、アカウントは準拠しています。 | |
Alibaba Cloud アカウントは、多要素認証 (MFA) が有効になっている場合に準拠しています。Alibaba Cloud アカウントで MFA を有効にして、不正アクセスのリスクを軽減してください。 | |
ECS インスタンスは、パブリック IPv4 アドレスまたは EIP が直接アタッチされていない場合に準拠しています。 | |
OSS バケットは、そのアクセス制御リスト (ACL) が公開読み取りに設定されていない場合に準拠しています。公開読み取り権限はデータ漏洩のリスクを高めます。これを防ぐために、権限を無効にしてください。 | |
アカウントは、RAM ユーザー、RAM ユーザーグループ、または RAM ロールに Resource:* と Action:* を持つ Admin 権限が付与されていない場合に準拠しています。最小権限の原則に従うために、これらの権限を付与しないでください。 | |
RAM ユーザーは、ログイン時の二次認証に MFA が有効になっている場合に準拠しています。 | |
RAM ユーザーは、その AccessKey が指定された日数以内に作成または最終使用された場合に準拠しています。デフォルト値は 90 日です。 | |
RAM ユーザーは、指定された日数より古いアクティブな AccessKey が最大 1 つである場合に準拠しています。RAM ユーザーは、アクティブな AccessKey を最大 1 つ持つ必要があります。ローテーション中、ユーザーは一時的に 2 つ持つことができます。 | |
RDS インスタンスは、パブリック IP アドレスを持たないか、そのホワイトリストがすべてのソース IP アドレスからのアクセスを許可するように設定されていない場合に準拠しています。 |