| CDN |
CDN域名开启HTTPS加密 |
ACS-CDN-SetDomainServerCertificate |
否 |
| 为域名设置CDN缓存 |
无 |
否 |
| CDN域名OSS类型的源站配置一致 |
无 |
否 |
| 操作审计 |
操作审计开启跟踪状态 |
无 |
否 |
| 操作审计开启全量日志跟踪 |
无 |
否 |
| 云服务器ECS |
ECS数据磁盘开启加密 |
无 |
是 |
| ECS预付费实例到期检查 |
无 |
否 |
| 使用专有网络类型的ECS实例 |
无 |
否 |
| ECS实例CPU核数满足最低要求 |
无 |
否 |
| ECS实例规格符合标准要求 |
无 |
否 |
| ECS实例GPU核数满足最低要求 |
无 |
否 |
| ECS实例内存满足最低要求 |
无 |
是 |
| 不存在闲置的ECS数据磁盘 |
无 |
否 |
| ECS实例未绑定公网地址 |
无 |
是 |
| 检测闲置弹性公网IP |
无 |
否 |
| ECS使用指定镜像实例 |
无 |
是 |
| ECS实例在指定安全组下 |
无 |
是 |
| ECS实例开启释放保护 |
ACS-ECS-BulkyEnableDeletionProtection |
是 |
| 云助手命令内容检查 |
无 |
否 |
| ECS实例状态不是已停止状态 |
无 |
否 |
| 安全组入网设置有效 |
无 |
是 |
| 安全组不允许对全部网段开启风险端口 |
无 |
是 |
| ECS实例未被锁定 |
无 |
否 |
| 弹性伸缩组开启ECS实例健康检查 |
无 |
否 |
| ECS磁盘设置自动快照策略 |
无 |
是 |
| ECS磁盘未被锁定 |
无 |
否 |
| ECS数据磁盘释放时保留自动快照 |
无 |
是 |
| ECS自动快照保留天数满足指定要求 |
无 |
否 |
| ECS实例付费类型为包年包月 |
无 |
是 |
| 检查闲置安全组 |
无 |
否 |
| 使用密钥对登录Linux主机 |
无 |
是 |
| ECS固定公网IP实例按固定带宽计费 |
无 |
否 |
| 分配了公网IP地址的ECS实例公网出带宽最大值小于指定值 |
无 |
否 |
| ECS实例运行了指定名称的进程 |
无 |
否 |
| ECS实例安装了指定名称的软件 |
无 |
否 |
| 待挂载的ECS数据磁盘开启加密 |
无 |
否 |
| 使用中的ECS数据磁盘开启加密 |
无 |
否 |
| ECS实例的镜像来源满足指定要求 |
无 |
否 |
| ECS实例系统盘开启加密 |
无 |
否 |
| ECS包年包月实例开启自动续费 |
无 |
否 |
| 指定操作系统类型的系统盘容量大于等于指定值 |
无 |
否 |
| 运行中的ECS实例开启云安全中心防护 |
无 |
否 |
| 安全组描述信息不能为空 |
无 |
是 |
| 运行中的ECS实例无待修复漏洞 |
无 |
否 |
| 运行中的ECS实例安装了云监控插件 |
无 |
否 |
| 访问ECS实例元数据时强制使用加固模式 |
无 |
否 |
| 安全组入网设置中不能有对所有端口开放的访问规则 |
无 |
是 |
| 安全组入网设置不能有对所有协议开放的访问规则 |
无 |
是 |
| 安全组入网设置允许的来源IP不包含公网IP |
无 |
是 |
| 安全组非白名单端口入网设置有效 |
无 |
是 |
| ECS实例使用指定版本的操作系统 |
无 |
是 |
| 专有宿主机DDH |
专有宿主机CPU核数满足最低要求 |
无 |
否 |
| 专有宿主机内存大小满足最低要求 |
无 |
否 |
| 专有宿主机Socket数量满足最低要求 |
无 |
否 |
| 弹性公网IP |
弹性IP实例带宽满足最低要求 |
无 |
否 |
| 预付费弹性公网IP到期检查 |
无 |
否 |
| 云数据库RDS |
RDS实例读写频率满足最低要求 |
无 |
否 |
| RDS实例类型满足指定要求 |
无 |
否 |
| 使用专有网络类型的RDS实例 |
无 |
否 |
| RDS实例内存满足最低要求 |
无 |
是 |
| RDS实例CPU核数满足最低要求 |
无 |
否 |
| RDS实例存储空间满足最低要求 |
无 |
否 |
| 使用高可用的RDS实例 |
无 |
否 |
| 使用多可用区的RDS实例 |
无 |
否 |
| RDS实例未申请外网地址 |
ACS-RDS-ReleaseInstancePublicConnection |
否 |
| RDS实例使用SSL证书 |
无 |
否 |
| RDS实例开启TDE加密 |
无 |
否 |
| RDS实例正确开启白名单 |
ACS-RDS-BulkyModifySecurityIpsByInstanceIPArray |
是 |
| RDS实例网络类型为专有网络 |
无 |
否 |
| 使用数据库代理模式访问SQL Server |
无 |
否 |
| RDS实例开启SQL审计 |
ACS-RDS-BulkyModifySQLCollectorPolicy |
否 |
| RDS实例SQL审计日志保留天数满足指定要求 |
ACS-RDS-BulkyModifySQLCollectorRetention |
否 |
| PostgreSQL数据库参数log_connections设置为on |
无 |
否 |
| PostgreSQL数据库参数log_disconnections设置为on |
无 |
否 |
| PostgreSQL数据库参数log_duration设置为on |
无 |
否 |
| RDS实例开启历史事件 |
ACS-RDS-BulkyModifyActionEventPolicy |
否 |
| RDS预付费实例到期检查 |
无 |
是 |
| RDS实例开启日志备份 |
无 |
否 |
| RDS实例开启云盘加密 |
无 |
否 |
| RDS实例使用自定义密钥开启TDE |
无 |
否 |
| RDS实例开启删除保护 |
无 |
否 |
| 为RDS实例创建动态RDS凭据 |
无 |
否 |
| 云数据库Redis |
Redis实例满足指定QPS要求 |
无 |
否 |
| Redis实例满足指定带宽要求 |
无 |
否 |
| Redis实例满足指定内存容量要求 |
无 |
否 |
| 使用专有网络类型的Redis实例 |
无 |
否 |
| Redis实例IP白名单不设置为全网段 |
ACS-Redis-BulkyDeleteSecurityIpFromInstanceIPArray |
是 |
| 使用集群版的Redis实例 |
无 |
否 |
| Redis实例开启释放保护 |
无 |
否 |
| Redis实例禁用高风险命令 |
ACS-Redis-BulkyModifyInstanceConfig |
否 |
| Redis预付费实例到期检查 |
无 |
否 |
| Redis实例开启审计日志 |
ACS-REDIS-BulkyModifyAuditLogConfig |
否 |
| Redis实例审计日志保留天数满足指定要求 |
ACS-REDIS-BulkyModifyAuditLogConfig |
否 |
| Redis实例开启TDE加密 |
无 |
否 |
| Redis实例开启密码认证 |
无 |
否 |
| Redis实例为多可用区实例 |
无 |
否 |
| Redis实例未设置公网IP |
ACS-Redis-ReleaseInstancePublicConnection |
否 |
| Redis实例设置SSL加密 |
无 |
否 |
| Redis实例使用自定义密钥开启TDE加密 |
无 |
否 |
| Redis实例节点类型为双副本 |
无 |
否 |
| 云数据库MongoDB |
使用专有网络类型的MongoDB实例 |
无 |
否 |
| MongoDB实例IP白名单不设置为全网段 |
无 |
否 |
| MongoDB实例满足指定读写次数要求 |
无 |
否 |
| MongoDB满足指定连接数要求 |
无 |
否 |
| MongoDB实例开启释放保护 |
无 |
否 |
| MongoDB实例未被锁定 |
无 |
否 |
| MongoDB集群开启审计日志 |
无 |
否 |
| MongoDB预付费集群到期检查 |
无 |
否 |
| 云数据库PolarDB |
推荐使用专有网络类型的PolarDB实例 |
无 |
否 |
| PolarDB实例IP白名单不能设置为全网段 |
无 |
是 |
| PolarDB产品系列为集群版 |
无 |
否 |
| PolarDB预付费集群到期检查 |
无 |
否 |
| PolarDB数据库小版本状态为stable |
无 |
否 |
| PolarDB集群开启TDE |
无 |
否 |
| PolarDB集群设置SSL加密 |
无 |
否 |
| PolarDB集群开启SQL审计 |
无 |
否 |
| 对象存储OSS |
OSS存储空间ACL禁止公共读 |
ACS-OSS-PutBucketAcl |
否 |
| OSS存储空间ACL禁止公共读写 |
ACS-OSS-PutBucketAcl |
是 |
| OSS存储空间开启同城冗余存储 |
无 |
否 |
| OSS存储空间开启版本控制 |
无 |
否 |
| OSS存储空间开启日志存储 |
无 |
是 |
| OSS存储空间开启服务端KMS加密 |
无 |
否 |
| OSS存储空间开启服务端默认加密 |
ACS-OSS-PutBucketEncryption |
否 |
| OSS存储空间名称符合正则表达式 |
无 |
否 |
| OSS存储空间开启防盗链 |
无 |
否 |
| OSS存储空间Referer在指定的防盗链白名单中 |
ACS-OSS-PutBucketReferer |
否 |
| OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限 |
无 |
否 |
| OSS存储空间权限策略设置安全访问 |
无 |
否 |
| OSS存储空间授权策略设置IP限制 |
无 |
否 |
| OSS存储空间不能为匿名账号授予任何权限 |
无 |
是 |
| OSS存储空间开启日志存储前缀匹配 |
无 |
是 |
| 访问控制RAM |
RAM用户登录检查 |
无 |
否 |
| RAM用户密码策略符合要求 |
ACS-RAM-SetPasswordPolicy |
否 |
| 不存在闲置的RAM权限策略 |
无 |
否 |
| 高权限的RAM用户开启MFA |
无 |
否 |
| RAM用户组非空 |
无 |
否 |
| 不存在超级管理员 |
无 |
否 |
| 不直接授权给RAM用户 |
无 |
否 |
| RAM用户归属用户组 |
无 |
否 |
| RAM用户在指定时间内有登录行为 |
无 |
否 |
| RAM用户开启MFA |
ACS-ECS-BulkyUpdateLoginProfile |
否 |
| RAM用户的AccessKey在指定时间内轮换 |
无 |
否 |
| RAM用户不存在闲置AccessKey |
无 |
否 |
| RAM用户下不存在已禁用的AccessKey |
无 |
否 |
| 阿里云账号不存在AccessKey |
无 |
否 |
| 阿里云账号开启MFA |
无 |
否 |
| RAM用户未绑定指定的高危权限 |
无 |
否 |
| RAM用户不存在激活状态的密钥 |
无 |
否 |
| RAM用户及所属用户组无超级管理员或某个云产品管理员权限 |
无 |
否 |
| RAM角色无超级管理员或某个云产品管理员权限 |
无 |
否 |
| 不存在闲置的RAM用户组 |
无 |
否 |
| 阿里云账号拥有指定名称的角色 |
无 |
否 |
| 标签
|
存在所有指定标签 |
ACS-TAG-TagResources |
否 |
| 至少存在一个指定标签 |
无 |
否 |
| 满足多标签值的一种枚举 |
无 |
否 |
| 专有网络VPC |
IPsecVPN连接正常 |
无 |
否 |
| IPsecVPN开启健康检查 |
无 |
否 |
| VPC开启流日志记录 |
无 |
否 |
| VPC自定义网段已设置路由 |
无 |
否 |
| 专有网络交换机可用IP数量大于指定值 |
无 |
否 |
| 负载均衡SLB |
SLB实例满足指定带宽要求 |
无 |
是 |
| SLB禁止开启全网段访问 |
无 |
否 |
| SLB使用证书为阿里云签发 |
无 |
否 |
| SLB开启HTTPS监听 |
无 |
是 |
| SLB实例未绑定公网IP |
无 |
是 |
| SLB实例开启释放保护 |
ACS-SLB-BulkySetLoadBalancerDeleteProtection |
是 |
| 使用专有网络类型的SLB实例 |
无 |
是 |
| SLB实例状态为运行中 |
无 |
否 |
| SLB实例开启配置修改保护 |
ACS-SLB-BulkySetLoadBalancerModificationProtection |
是 |
| SLB证书到期检查 |
无 |
否 |
| SLB预付费实例到期检查 |
无 |
否 |
| SLB预付费实例开启自动续费 |
无 |
是 |
| SLB实例为性能保障型实例 |
无 |
是 |
| SLB实例服务器负载权重不为0 |
无 |
否 |
| SLB实例访问控制白名单包含指定的IP地址或网段 |
无 |
否 |
| SLB实例监听端口不包含指定端口 |
无 |
是 |
| SLB实例访问控制白名单不包含指定的IP或网段 |
无 |
否 |
| SLB实例规格满足要求 |
无 |
是 |
| SLB实例所有运行中的监听都设置访问控制 |
无 |
否 |
| 使用多可用区的SLB实例 |
无 |
是 |
| 资源管理 |
资源归属指定区域范围 |
无 |
否 |
| 资源继承资源组上的指定标签 |
ACS-TAG-TagResourcesIgnoreCaseSensitive |
否 |
| 容器服务Kubernetes版 |
ACK集群未设置公网连接端点 |
无 |
否 |
| ACK集群建议开启释放保护 |
无 |
否 |
| ACK集群使用Terway网络插件 |
无 |
否 |
| ACK集群节点安装云监控插件 |
无 |
否 |
| 云安全中心 |
使用云安全中心企业版 |
无 |
否 |
| 云安全中心通知项目已设置通知方式 |
无 |
否 |
| 账号下所有ECS实例已安装云安全中心代理 |
无 |
否 |
| 所有ECS实例漏洞都已修复 |
无 |
否 |
| 云数据库HBase |
HBase集群类型为集群版 |
无 |
否 |
| 使用专有网络类型的HBase集群 |
无 |
否 |
| HBase集群配置为高可用 |
无 |
否 |
| HBase集群开启删除保护 |
无 |
否 |
| HBase预付费集群到期检查 |
无 |
否 |
| Web应用防火墙 |
WAF实例开启日志采集 |
ACS-WAF-BulkyModifyLogServiceStatus |
否 |
| WAF防护域名开启指定防护功能 |
无 |
否 |
| WAF防护域名的指定防护功能开启指定防护模式 |
无 |
否 |
| API网关中API分组绑定域名接入WAF |
无 |
否 |
| 密钥管理服务 |
KMS主密钥开启删除保护 |
ACS-KMS-BulkySetDeletionProtection |
否 |
| 密钥管理服务设置主密钥自动轮转 |
ACS-KMS-BulkyUpdateRotationPolicy |
否 |
| 密钥管理服务设置凭据自动轮转 |
无 |
否 |
| KMS主密钥未设置为待删除 |
无 |
否 |
| NAT网关 |
NAT网关不允许映射指定的风险端口 |
ACS-VPC-BulkyDeleteForwardEntry |
否 |
| NAT网关启用释放保护 |
无 |
否 |
| 公网NAT网关创建在指定专有网络内 |
无 |
否 |
| 私网NAT网关创建在指定专有网络内 |
无 |
否 |
| 未使用指定网络类型的NAT网关 |
无 |
否 |
| 文件存储NAS |
NAS文件系统满足指定状态 |
无 |
否 |
| NAS文件系统设置了加密 |
无 |
是 |
| NAS权限组规则授权对象未设置为全网段 |
无 |
否 |
| 云企业网CEN |
云企业网带宽包到期检查 |
无 |
否 |
| CEN实例中的跨地域连接带宽分配满足指定要求 |
无 |
否 |
| CEN实例中的VBR连接都设置了健康检查 |
无 |
否 |
| 共享带宽CBWP |
共享带宽实例到期检查 |
无 |
是 |
| 堡垒机 |
堡垒机实例到期检查 |
无 |
否 |
| API网关 |
API网关中的API设置为私有 |
无 |
否 |
| API网关中开启公网访问的API请求方式为HTTPS |
ACS-ApiGateway-BulkyModifyApiGroupNetworkPolicy |
否 |
| API网关中API分组的HTTPS安全策略满足要求 |
无 |
否 |
| API网关中API分组绑定自定义域名 |
无 |
否 |
| API网关中API分组的自定义域名设置了SSL证书 |
无 |
否 |
| API网关中API安全认证设置为JWT方式 |
无 |
否 |
| API网关中配置API安全认证 |
无 |
否 |
| 函数计算 |
函数服务设置为仅允许指定VPC调用 |
无 |
否 |
| 函数HTTP触发器设置为需要身份验证 |
无 |
否 |
| 检索分析服务Elasticsearch版 |
使用专有网络服务的Elasticsearch实例 |
无 |
否 |
| Elasticsearch实例未开启Kibana公网访问 |
无 |
是 |
| Elasticsearch实例未开启公网访问 |
无 |
是 |
| 云防火墙 |
云防火墙中不存在未开启防护的资产 |
无 |
否 |
| 云防火墙中不存在匹配指定条件的控制策略 |
无 |
否 |
| 云防火墙中存在匹配指定条件的控制策略 |
无 |
否 |
| 日志服务 |
日志服务日志库设置数据加密 |
无 |
否 |
| 云数据库OceanBase |
OceanBase集群开启SSL加密 |
无 |
否 |
| OceanBase租户IP白名单分组设置有效 |
无 |
否 |
| OceanBase租户开启TDE加密 |
无 |
否 |
| OceanBase集群开启数据库备份 |
无 |
否 |
| OceanBase集群开启SQL诊断功能 |
无 |
否 |
| 容器镜像服务ACR |
容器镜像服务镜像仓库类型为私有 |
无 |
是 |
| 表格存储 |
表格存储实例网络类型设置为限定VPC或控制台访问 |
无 |
是 |
| 负载均衡ALB |
ALB实例开启释放保护 |
无 |
否 |
| ALB实例网络类型为私网 |
无 |
否 |