CDN |
CDN域名开启HTTPS加密 |
ACS-CDN-SetDomainServerCertificate |
否 |
为域名设置CDN缓存 |
无 |
否 |
CDN域名OSS类型的源站配置一致 |
无 |
否 |
操作审计 |
操作审计开启跟踪状态 |
无 |
否 |
操作审计开启全量日志跟踪 |
无 |
否 |
云服务器ECS |
ECS数据磁盘开启加密 |
无 |
是 |
ECS预付费实例到期检查 |
无 |
否 |
使用专有网络类型的ECS实例 |
无 |
否 |
ECS实例CPU核数满足最低要求 |
无 |
否 |
ECS实例规格符合标准要求 |
无 |
否 |
ECS实例GPU核数满足最低要求 |
无 |
否 |
ECS实例内存满足最低要求 |
无 |
是 |
不存在闲置的ECS数据磁盘 |
无 |
否 |
ECS实例未绑定公网地址 |
无 |
是 |
检测闲置弹性公网IP |
无 |
否 |
ECS使用指定镜像实例 |
无 |
是 |
ECS实例在指定安全组下 |
无 |
是 |
ECS实例开启释放保护 |
ACS-ECS-BulkyEnableDeletionProtection |
是 |
云助手命令内容检查 |
无 |
否 |
ECS实例状态不是已停止状态 |
无 |
否 |
安全组入网设置有效 |
无 |
是 |
安全组不允许对全部网段开启风险端口 |
无 |
是 |
ECS实例未被锁定 |
无 |
否 |
弹性伸缩组开启ECS实例健康检查 |
无 |
否 |
ECS磁盘设置自动快照策略 |
无 |
是 |
ECS磁盘未被锁定 |
无 |
否 |
ECS数据磁盘释放时保留自动快照 |
无 |
是 |
ECS自动快照保留天数满足指定要求 |
无 |
否 |
ECS实例付费类型为包年包月 |
无 |
是 |
检查闲置安全组 |
无 |
否 |
使用密钥对登录Linux主机 |
无 |
是 |
ECS固定公网IP实例按固定带宽计费 |
无 |
否 |
分配了公网IP地址的ECS实例公网出带宽最大值小于指定值 |
无 |
否 |
ECS实例运行了指定名称的进程 |
无 |
否 |
ECS实例安装了指定名称的软件 |
无 |
否 |
待挂载的ECS数据磁盘开启加密 |
无 |
否 |
使用中的ECS数据磁盘开启加密 |
无 |
否 |
ECS实例的镜像来源满足指定要求 |
无 |
否 |
ECS实例系统盘开启加密 |
无 |
否 |
ECS包年包月实例开启自动续费 |
无 |
否 |
指定操作系统类型的系统盘容量大于等于指定值 |
无 |
否 |
运行中的ECS实例开启云安全中心防护 |
无 |
否 |
安全组描述信息不能为空 |
无 |
是 |
运行中的ECS实例无待修复漏洞 |
无 |
否 |
运行中的ECS实例安装了云监控插件 |
无 |
否 |
访问ECS实例元数据时强制使用加固模式 |
无 |
否 |
安全组入网设置中不能有对所有端口开放的访问规则 |
无 |
是 |
安全组入网设置不能有对所有协议开放的访问规则 |
无 |
是 |
安全组入网设置允许的来源IP不包含公网IP |
无 |
是 |
安全组非白名单端口入网设置有效 |
无 |
是 |
ECS实例使用指定版本的操作系统 |
无 |
是 |
专有宿主机DDH |
专有宿主机CPU核数满足最低要求 |
无 |
否 |
专有宿主机内存大小满足最低要求 |
无 |
否 |
专有宿主机Socket数量满足最低要求 |
无 |
否 |
弹性公网IP |
弹性IP实例带宽满足最低要求 |
无 |
否 |
预付费弹性公网IP到期检查 |
无 |
否 |
云数据库RDS |
RDS实例读写频率满足最低要求 |
无 |
否 |
RDS实例类型满足指定要求 |
无 |
否 |
使用专有网络类型的RDS实例 |
无 |
否 |
RDS实例内存满足最低要求 |
无 |
是 |
RDS实例CPU核数满足最低要求 |
无 |
否 |
RDS实例存储空间满足最低要求 |
无 |
否 |
使用高可用的RDS实例 |
无 |
否 |
使用多可用区的RDS实例 |
无 |
否 |
RDS实例未申请外网地址 |
ACS-RDS-ReleaseInstancePublicConnection |
否 |
RDS实例使用SSL证书 |
无 |
否 |
RDS实例开启TDE加密 |
无 |
否 |
RDS实例正确开启白名单 |
ACS-RDS-BulkyModifySecurityIpsByInstanceIPArray |
是 |
RDS实例网络类型为专有网络 |
无 |
否 |
使用数据库代理模式访问SQL Server |
无 |
否 |
RDS实例开启SQL审计 |
ACS-RDS-BulkyModifySQLCollectorPolicy |
否 |
RDS实例SQL审计日志保留天数满足指定要求 |
ACS-RDS-BulkyModifySQLCollectorRetention |
否 |
PostgreSQL数据库参数log_connections设置为on |
无 |
否 |
PostgreSQL数据库参数log_disconnections设置为on |
无 |
否 |
PostgreSQL数据库参数log_duration设置为on |
无 |
否 |
RDS实例开启历史事件 |
ACS-RDS-BulkyModifyActionEventPolicy |
否 |
RDS预付费实例到期检查 |
无 |
是 |
RDS实例开启日志备份 |
无 |
否 |
RDS实例开启云盘加密 |
无 |
否 |
RDS实例使用自定义密钥开启TDE |
无 |
否 |
RDS实例开启删除保护 |
无 |
否 |
为RDS实例创建动态RDS凭据 |
无 |
否 |
云数据库Redis |
Redis实例满足指定QPS要求 |
无 |
否 |
Redis实例满足指定带宽要求 |
无 |
否 |
Redis实例满足指定内存容量要求 |
无 |
否 |
使用专有网络类型的Redis实例 |
无 |
否 |
Redis实例IP白名单不设置为全网段 |
ACS-Redis-BulkyDeleteSecurityIpFromInstanceIPArray |
是 |
使用集群版的Redis实例 |
无 |
否 |
Redis实例开启释放保护 |
无 |
否 |
Redis实例禁用高风险命令 |
ACS-Redis-BulkyModifyInstanceConfig |
否 |
Redis预付费实例到期检查 |
无 |
否 |
Redis实例开启审计日志 |
ACS-REDIS-BulkyModifyAuditLogConfig |
否 |
Redis实例审计日志保留天数满足指定要求 |
ACS-REDIS-BulkyModifyAuditLogConfig |
否 |
Redis实例开启TDE加密 |
无 |
否 |
Redis实例开启密码认证 |
无 |
否 |
Redis实例为多可用区实例 |
无 |
否 |
Redis实例未设置公网IP |
ACS-Redis-ReleaseInstancePublicConnection |
否 |
Redis实例设置SSL加密 |
无 |
否 |
Redis实例使用自定义密钥开启TDE加密 |
无 |
否 |
Redis实例节点类型为双副本 |
无 |
否 |
云数据库MongoDB |
使用专有网络类型的MongoDB实例 |
无 |
否 |
MongoDB实例IP白名单不设置为全网段 |
无 |
否 |
MongoDB实例满足指定读写次数要求 |
无 |
否 |
MongoDB满足指定连接数要求 |
无 |
否 |
MongoDB实例开启释放保护 |
无 |
否 |
MongoDB实例未被锁定 |
无 |
否 |
MongoDB集群开启审计日志 |
无 |
否 |
MongoDB预付费集群到期检查 |
无 |
否 |
云数据库PolarDB |
推荐使用专有网络类型的PolarDB实例 |
无 |
否 |
PolarDB实例IP白名单不能设置为全网段 |
无 |
是 |
PolarDB产品系列为集群版 |
无 |
否 |
PolarDB预付费集群到期检查 |
无 |
否 |
PolarDB数据库小版本状态为stable |
无 |
否 |
PolarDB集群开启TDE |
无 |
否 |
PolarDB集群设置SSL加密 |
无 |
否 |
PolarDB集群开启SQL审计 |
无 |
否 |
对象存储OSS |
OSS存储空间ACL禁止公共读 |
ACS-OSS-PutBucketAcl |
否 |
OSS存储空间ACL禁止公共读写 |
ACS-OSS-PutBucketAcl |
是 |
OSS存储空间开启同城冗余存储 |
无 |
否 |
OSS存储空间开启版本控制 |
无 |
否 |
OSS存储空间开启日志存储 |
无 |
是 |
OSS存储空间开启服务端KMS加密 |
无 |
否 |
OSS存储空间开启服务端默认加密 |
ACS-OSS-PutBucketEncryption |
否 |
OSS存储空间名称符合正则表达式 |
无 |
否 |
OSS存储空间开启防盗链 |
无 |
否 |
OSS存储空间Referer在指定的防盗链白名单中 |
ACS-OSS-PutBucketReferer |
否 |
OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限 |
无 |
否 |
OSS存储空间权限策略设置安全访问 |
无 |
否 |
OSS存储空间授权策略设置IP限制 |
无 |
否 |
OSS存储空间不能为匿名账号授予任何权限 |
无 |
是 |
OSS存储空间开启日志存储前缀匹配 |
无 |
是 |
访问控制RAM |
RAM用户登录检查 |
无 |
否 |
RAM用户密码策略符合要求 |
ACS-RAM-SetPasswordPolicy |
否 |
不存在闲置的RAM权限策略 |
无 |
否 |
高权限的RAM用户开启MFA |
无 |
否 |
RAM用户组非空 |
无 |
否 |
不存在超级管理员 |
无 |
否 |
不直接授权给RAM用户 |
无 |
否 |
RAM用户归属用户组 |
无 |
否 |
RAM用户在指定时间内有登录行为 |
无 |
否 |
RAM用户开启MFA |
ACS-ECS-BulkyUpdateLoginProfile |
否 |
RAM用户的AccessKey在指定时间内轮换 |
无 |
否 |
RAM用户不存在闲置AccessKey |
无 |
否 |
RAM用户下不存在已禁用的AccessKey |
无 |
否 |
阿里云账号不存在AccessKey |
无 |
否 |
阿里云账号开启MFA |
无 |
否 |
RAM用户未绑定指定的高危权限 |
无 |
否 |
RAM用户不存在激活状态的密钥 |
无 |
否 |
RAM用户及所属用户组无超级管理员或某个云产品管理员权限 |
无 |
否 |
RAM角色无超级管理员或某个云产品管理员权限 |
无 |
否 |
不存在闲置的RAM用户组 |
无 |
否 |
阿里云账号拥有指定名称的角色 |
无 |
否 |
标签
|
存在所有指定标签 |
ACS-TAG-TagResources |
否 |
至少存在一个指定标签 |
无 |
否 |
满足多标签值的一种枚举 |
无 |
否 |
专有网络VPC |
IPsecVPN连接正常 |
无 |
否 |
IPsecVPN开启健康检查 |
无 |
否 |
VPC开启流日志记录 |
无 |
否 |
VPC自定义网段已设置路由 |
无 |
否 |
专有网络交换机可用IP数量大于指定值 |
无 |
否 |
负载均衡SLB |
SLB实例满足指定带宽要求 |
无 |
是 |
SLB禁止开启全网段访问 |
无 |
否 |
SLB使用证书为阿里云签发 |
无 |
否 |
SLB开启HTTPS监听 |
无 |
是 |
SLB实例未绑定公网IP |
无 |
是 |
SLB实例开启释放保护 |
ACS-SLB-BulkySetLoadBalancerDeleteProtection |
是 |
使用专有网络类型的SLB实例 |
无 |
是 |
SLB实例状态为运行中 |
无 |
否 |
SLB实例开启配置修改保护 |
ACS-SLB-BulkySetLoadBalancerModificationProtection |
是 |
SLB证书到期检查 |
无 |
否 |
SLB预付费实例到期检查 |
无 |
否 |
SLB预付费实例开启自动续费 |
无 |
是 |
SLB实例为性能保障型实例 |
无 |
是 |
SLB实例服务器负载权重不为0 |
无 |
否 |
SLB实例访问控制白名单包含指定的IP地址或网段 |
无 |
否 |
SLB实例监听端口不包含指定端口 |
无 |
是 |
SLB实例访问控制白名单不包含指定的IP或网段 |
无 |
否 |
SLB实例规格满足要求 |
无 |
是 |
SLB实例所有运行中的监听都设置访问控制 |
无 |
否 |
使用多可用区的SLB实例 |
无 |
是 |
资源管理 |
资源归属指定区域范围 |
无 |
否 |
资源继承资源组上的指定标签 |
ACS-TAG-TagResourcesIgnoreCaseSensitive |
否 |
容器服务Kubernetes版 |
ACK集群未设置公网连接端点 |
无 |
否 |
ACK集群建议开启释放保护 |
无 |
否 |
ACK集群使用Terway网络插件 |
无 |
否 |
ACK集群节点安装云监控插件 |
无 |
否 |
云安全中心 |
使用云安全中心企业版 |
无 |
否 |
云安全中心通知项目已设置通知方式 |
无 |
否 |
账号下所有ECS实例已安装云安全中心代理 |
无 |
否 |
所有ECS实例漏洞都已修复 |
无 |
否 |
云数据库HBase |
HBase集群类型为集群版 |
无 |
否 |
使用专有网络类型的HBase集群 |
无 |
否 |
HBase集群配置为高可用 |
无 |
否 |
HBase集群开启删除保护 |
无 |
否 |
HBase预付费集群到期检查 |
无 |
否 |
Web应用防火墙 |
WAF实例开启日志采集 |
ACS-WAF-BulkyModifyLogServiceStatus |
否 |
WAF防护域名开启指定防护功能 |
无 |
否 |
WAF防护域名的指定防护功能开启指定防护模式 |
无 |
否 |
API网关中API分组绑定域名接入WAF |
无 |
否 |
密钥管理服务 |
KMS主密钥开启删除保护 |
ACS-KMS-BulkySetDeletionProtection |
否 |
密钥管理服务设置主密钥自动轮转 |
ACS-KMS-BulkyUpdateRotationPolicy |
否 |
密钥管理服务设置凭据自动轮转 |
无 |
否 |
KMS主密钥未设置为待删除 |
无 |
否 |
NAT网关 |
NAT网关不允许映射指定的风险端口 |
ACS-VPC-BulkyDeleteForwardEntry |
否 |
NAT网关启用释放保护 |
无 |
否 |
公网NAT网关创建在指定专有网络内 |
无 |
否 |
私网NAT网关创建在指定专有网络内 |
无 |
否 |
未使用指定网络类型的NAT网关 |
无 |
否 |
文件存储NAS |
NAS文件系统满足指定状态 |
无 |
否 |
NAS文件系统设置了加密 |
无 |
是 |
NAS权限组规则授权对象未设置为全网段 |
无 |
否 |
云企业网CEN |
云企业网带宽包到期检查 |
无 |
否 |
CEN实例中的跨地域连接带宽分配满足指定要求 |
无 |
否 |
CEN实例中的VBR连接都设置了健康检查 |
无 |
否 |
共享带宽CBWP |
共享带宽实例到期检查 |
无 |
是 |
堡垒机 |
堡垒机实例到期检查 |
无 |
否 |
API网关 |
API网关中的API设置为私有 |
无 |
否 |
API网关中开启公网访问的API请求方式为HTTPS |
ACS-ApiGateway-BulkyModifyApiGroupNetworkPolicy |
否 |
API网关中API分组的HTTPS安全策略满足要求 |
无 |
否 |
API网关中API分组绑定自定义域名 |
无 |
否 |
API网关中API分组的自定义域名设置了SSL证书 |
无 |
否 |
API网关中API安全认证设置为JWT方式 |
无 |
否 |
API网关中配置API安全认证 |
无 |
否 |
函数计算 |
函数服务设置为仅允许指定VPC调用 |
无 |
否 |
函数HTTP触发器设置为需要身份验证 |
无 |
否 |
检索分析服务Elasticsearch版 |
使用专有网络服务的Elasticsearch实例 |
无 |
否 |
Elasticsearch实例未开启Kibana公网访问 |
无 |
是 |
Elasticsearch实例未开启公网访问 |
无 |
是 |
云防火墙 |
云防火墙中不存在未开启防护的资产 |
无 |
否 |
云防火墙中不存在匹配指定条件的控制策略 |
无 |
否 |
云防火墙中存在匹配指定条件的控制策略 |
无 |
否 |
日志服务 |
日志服务日志库设置数据加密 |
无 |
否 |
云数据库OceanBase |
OceanBase集群开启SSL加密 |
无 |
否 |
OceanBase租户IP白名单分组设置有效 |
无 |
否 |
OceanBase租户开启TDE加密 |
无 |
否 |
OceanBase集群开启数据库备份 |
无 |
否 |
OceanBase集群开启SQL诊断功能 |
无 |
否 |
容器镜像服务ACR |
容器镜像服务镜像仓库类型为私有 |
无 |
是 |
表格存储 |
表格存储实例网络类型设置为限定VPC或控制台访问 |
无 |
是 |
负载均衡ALB |
ALB实例开启释放保护 |
无 |
否 |
ALB实例网络类型为私网 |
无 |
否 |