CDN | CDN域名开启HTTPS加密 | 无 | 否 |
为域名设置CDN缓存 | 无 | 否 |
CDN域名OSS类型的源站配置一致 | 无 | 否 |
操作审计 | 操作审计开启跟踪状态 | 无 | 否 |
操作审计开启全量日志跟踪 | 无 | 否 |
云服务器ECS | ECS数据磁盘开启加密 | 无 | 是 |
ECS预付费实例到期检查 | 无 | 否 |
使用专有网络类型的ECS实例 | 无 | 否 |
ECS实例CPU核数满足最低要求 | 无 | 否 |
ECS实例规格符合标准要求 | 无 | 否 |
ECS实例GPU核数满足最低要求 | 无 | 否 |
ECS实例内存满足最低要求 | 无 | 是 |
不存在闲置的ECS数据磁盘 | 无 | 否 |
ECS实例未绑定公网地址 | 无 | 是 |
检测闲置弹性公网IP | 无 | 否 |
ECS使用指定镜像实例 | 无 | 是 |
ECS实例在指定安全组下 | 无 | 是 |
ECS实例开启释放保护 | ACS-ECS-BulkyEnableDeletionProtection | 是 |
云助手命令内容检查 | 无 | 否 |
ECS实例状态不是已停止状态 | 无 | 否 |
安全组入网设置有效 | 无 | 是 |
安全组不允许对全部网段开启风险端口 | 无 | 是 |
ECS实例未被锁定 | 无 | 否 |
弹性伸缩组开启ECS实例健康检查 | 无 | 否 |
ECS磁盘设置自动快照策略 | 无 | 是 |
ECS磁盘未被锁定 | 无 | 否 |
ECS数据磁盘释放时保留自动快照 | 无 | 是 |
ECS自动快照保留天数满足指定要求 | 无 | 否 |
ECS实例付费类型为包年包月 | 无 | 是 |
检查闲置安全组 | 无 | 否 |
使用密钥对登录Linux主机 | 无 | 是 |
ECS固定公网IP实例按固定带宽计费 | 无 | 否 |
分配了公网IP地址的ECS实例公网出带宽最大值小于指定值 | 无 | 否 |
ECS实例运行了指定名称的进程 | 无 | 否 |
ECS实例安装了指定名称的软件 | 无 | 否 |
待挂载的ECS数据磁盘开启加密 | 无 | 否 |
使用中的ECS数据磁盘开启加密 | 无 | 否 |
ECS实例的镜像来源满足指定要求 | 无 | 否 |
ECS实例系统盘开启加密 | 无 | 否 |
ECS包年包月实例开启自动续费 | 无 | 否 |
指定操作系统类型的系统盘容量大于等于指定值 | 无 | 否 |
运行中的ECS实例开启云安全中心防护 | 无 | 否 |
安全组描述信息不能为空 | 无 | 是 |
运行中的ECS实例无待修复漏洞 | 无 | 否 |
运行中的ECS实例安装了云监控插件 | 无 | 否 |
访问ECS实例元数据时强制使用加固模式 | 无 | 否 |
安全组入网设置中不能有对所有端口开放的访问规则 | 无 | 是 |
安全组入网设置不能有对所有协议开放的访问规则 | 无 | 是 |
安全组入网设置允许的来源IP不包含公网IP | 无 | 是 |
安全组非白名单端口入网设置有效 | 无 | 是 |
安全组指定协议不允许对全部网段开启风险端口 | 无 | 否 |
运行中的ECS实例在专有网络 | ACS-ECS-BulkyStopClassicInstances | 否 |
运行中的ECS实例未绑定公网地址 | ACS-ECS-BulkyStopInstancesWithPublicIp | 否 |
继承自ECS实例标签的资源评估 | 无 | 否 |
ECS实例禁用指定名称的进程 | 无 | 否 |
按量付费的ECS已停机实例使用节省停机模式 | 无 | 否 |
为ECS实例创建防暴力破解规则 | 无 | 否 |
ECS实例使用指定版本的操作系统 | 无 | 是 |
为自动快照策略设置合理的创建时间点 | 无 | 否 |
专有宿主机DDH | 专有宿主机CPU核数满足最低要求 | 无 | 否 |
专有宿主机内存大小满足最低要求 | 无 | 否 |
专有宿主机Socket数量满足最低要求 | 无 | 否 |
弹性公网IP | 弹性IP实例带宽满足最低要求 | 无 | 否 |
预付费弹性公网IP到期检查 | 无 | 否 |
弹性伸缩配置中未设置分配公网IPv4地址 | 无 | 否 |
弹性伸缩组设置关联负载均衡 | 无 | 否 |
弹性伸缩组关联至少两个交换机 | 无 | 否 |
云数据库RDS | RDS实例读写频率满足最低要求 | 无 | 否 |
RDS实例类型满足指定要求 | 无 | 否 |
使用专有网络类型的RDS实例 | 无 | 否 |
RDS实例内存满足最低要求 | 无 | 是 |
RDS实例CPU核数满足最低要求 | 无 | 否 |
RDS实例存储空间满足最低要求 | 无 | 否 |
使用高可用的RDS实例 | 无 | 否 |
使用多可用区的RDS实例 | 无 | 否 |
RDS实例未申请外网地址 | ACS-RDS-ReleaseInstancePublicConnection | 否 |
RDS实例使用SSL证书 | 无 | 否 |
RDS实例开启TDE加密 | 无 | 否 |
RDS实例正确开启白名单 | ACS-RDS-BulkyModifySecurityIpsByInstanceIPArray | 是 |
RDS实例网络类型为专有网络 | 无 | 否 |
使用数据库代理模式访问SQL Server | 无 | 否 |
RDS实例开启SQL审计 | ACS-RDS-BulkyModifySQLCollectorPolicy | 否 |
RDS实例SQL审计日志保留天数满足指定要求 | ACS-RDS-BulkyModifySQLCollectorRetention | 否 |
PostgreSQL数据库参数log_connections设置为on | 无 | 否 |
PostgreSQL数据库参数log_disconnections设置为on | 无 | 否 |
PostgreSQL数据库参数log_duration设置为on | 无 | 否 |
RDS实例开启历史事件 | ACS-RDS-BulkyModifyActionEventPolicy | 否 |
RDS预付费实例到期检查 | 无 | 是 |
RDS实例开启日志备份 | 无 | 否 |
RDS实例开启云盘加密 | 无 | 否 |
RDS实例使用自定义密钥开启TDE | 无 | 否 |
RDS实例开启删除保护 | 无 | 否 |
为RDS实例创建动态RDS凭据 | 无 | 否 |
为RDS实例设置合理的可维护时间段 | 无 | 否 |
RDS实例未开公网或IP白名单未设置为全网段 | 无 | 否 |
使用独享型的RDS实例 | 无 | 否 |
RDS监控采集粒度设置满足要求 | 无 | 否 |
云数据库Redis | Redis实例满足指定QPS要求 | 无 | 否 |
Redis实例满足指定带宽要求 | 无 | 否 |
Redis实例满足指定内存容量要求 | 无 | 否 |
使用专有网络类型的Redis实例 | 无 | 否 |
Redis实例IP白名单不设置为全网段 | ACS-Redis-BulkyDeleteSecurityIpFromInstanceIPArray | 是 |
使用集群版的Redis实例 | 无 | 否 |
Redis实例开启释放保护 | 无 | 否 |
Redis实例禁用高风险命令 | ACS-Redis-BulkyModifyInstanceConfig | 否 |
Redis预付费实例到期检查 | 无 | 否 |
Redis实例开启审计日志 | ACS-REDIS-BulkyModifyAuditLogConfig | 否 |
Redis实例审计日志保留天数满足指定要求 | ACS-REDIS-BulkyModifyAuditLogConfig | 否 |
Redis实例开启TDE加密 | 无 | 否 |
Redis实例开启密码认证 | 无 | 否 |
Redis实例为多可用区实例 | 无 | 否 |
Redis实例未设置公网IP | ACS-Redis-ReleaseInstancePublicConnection | 否 |
Redis实例设置SSL加密 | 无 | 否 |
Redis实例使用自定义密钥开启TDE加密 | 无 | 否 |
Redis实例节点类型为双副本 | 无 | 否 |
Redis实例未开启公网或安全白名单未设置为允许任意来源访问 | 无 | 否 |
为Redis实例设置合理的备份时间段 | 无 | 否 |
云数据库MongoDB | 使用专有网络类型的MongoDB实例 | 无 | 否 |
MongoDB实例IP白名单不设置为全网段 | 无 | 否 |
MongoDB实例满足指定读写次数要求 | 无 | 否 |
MongoDB满足指定连接数要求 | 无 | 否 |
MongoDB实例开启释放保护 | 无 | 否 |
MongoDB实例未被锁定 | 无 | 否 |
MongoDB集群开启审计日志 | 无 | 否 |
MongoDB预付费集群到期检查 | 无 | 否 |
MongoDB实例未开启公网或安全白名单未设置为允许任意来源访问 | 无 | 否 |
MongoDB使用独享型或专属型规格实例 | 无 | 否 |
MongoDB实例打开日志备份 | 无 | 否 |
云数据库PolarDB | 推荐使用专有网络类型的PolarDB实例 | 无 | 否 |
PolarDB实例IP白名单不能设置为全网段 | 无 | 是 |
PolarDB产品系列为集群版 | 无 | 否 |
PolarDB预付费集群到期检查 | 无 | 否 |
PolarDB数据库小版本状态为stable | 无 | 否 |
PolarDB集群开启TDE | 无 | 否 |
PolarDB集群设置SSL加密 | 无 | 否 |
PolarDB集群开启SQL审计 | 无 | 否 |
PolarDB集群默认时区参数值非System | 无 | 否 |
PolarDB集群只读地址关闭新节点自动加入 | 无 | 否 |
PolarDB集群日志备份保留周期满足指定要求 | 无 | 否 |
PolarDB集群数据二级备份保留周期满足指定要求 | 无 | 否 |
PolarDB集群的数据一级备份保留周期满足指定要求 | 无 | 否 |
PolarDB集群中所有账号备注信息不为空 | 无 | 否 |
PolarDB的集群连接地址连接类型设置为指定的值 | 无 | 否 |
PolarDB的集群连接地址的会话一致性级别设置为指定的值 | 无 | 否 |
PolarDB的集群连接地址读写模式设置为可读可写 | 无 | 否 |
PolarDB的集群连接地址开启新节点自动加入 | 无 | 否 |
PolarDB集群的所有连接地址都未开启公网 | 无 | 否 |
PolarDB集群开启删除保护 | 无 | 否 |
为PolarDB集群设置合理的维护时间段 | 无 | 否 |
PolarDB实例未开启公网或IP白名单未设置为全网段 | 无 | 否 |
使用独享型的PolarDB实例 | 无 | 否 |
对象存储OSS | OSS存储空间ACL禁止公共读 | ACS-OSS-PutBucketAcl | 否 |
OSS存储空间ACL禁止公共读写 | ACS-OSS-PutBucketAcl | 是 |
OSS存储空间开启同城冗余存储 | 无 | 否 |
OSS存储空间开启版本控制 | 无 | 否 |
OSS存储空间开启日志存储 | 无 | 是 |
OSS存储空间开启服务端KMS加密 | 无 | 否 |
OSS存储空间开启服务端默认加密 | ACS-OSS-PutBucketEncryption | 否 |
OSS存储空间名称符合正则表达式 | 无 | 否 |
OSS存储空间开启防盗链 | 无 | 否 |
OSS存储空间Referer在指定的防盗链白名单中 | ACS-OSS-PutBucketReferer | 否 |
OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限 | 无 | 否 |
OSS存储空间权限策略设置安全访问 | 无 | 否 |
OSS存储空间授权策略设置IP限制 | 无 | 否 |
OSS存储空间不能为匿名账号授予任何权限 | 无 | 是 |
OSS存储空间使用自定义KMS密钥加密 | 无 | 否 |
OSS存储空间开启日志存储前缀匹配 | 无 | 是 |
访问控制RAM | RAM用户登录检查 | 无 | 否 |
RAM用户密码策略符合要求 | ACS-RAM-SetPasswordPolicy | 否 |
不存在闲置的RAM权限策略 | 无 | 否 |
高权限的RAM用户开启MFA | 无 | 否 |
RAM用户组非空 | 无 | 否 |
不存在超级管理员 | 无 | 否 |
不直接授权给RAM用户 | 无 | 否 |
RAM用户归属用户组 | 无 | 否 |
RAM用户在指定时间内有登录行为 | 无 | 否 |
RAM用户开启MFA | ACS-ECS-BulkyUpdateLoginProfile | 否 |
RAM用户的AccessKey在指定时间内轮换 | 无 | 否 |
RAM用户不存在闲置AccessKey | 无 | 否 |
RAM用户下不存在已禁用的AccessKey | 无 | 否 |
阿里云账号不存在AccessKey | 无 | 否 |
阿里云账号开启MFA | 无 | 否 |
RAM用户未绑定指定的高危权限 | 无 | 否 |
RAM用户不存在激活状态的密钥 | 无 | 否 |
RAM用户及所属用户组无超级管理员或某个云产品管理员权限 | 无 | 否 |
RAM角色无超级管理员或某个云产品管理员权限 | 无 | 否 |
不存在闲置的RAM用户组 | 无 | 否 |
阿里云账号拥有指定名称的角色 | 无 | 否 |
RAM用户绑定了参数指定条件的权限策略 | 无 | 否 |
RAM角色绑定了参数指定条件的权限策略 | 无 | 否 |
RAM用户开启SSO | 无 | 否 |
RAM用户及所属用户组未绑定指定条件的权限策略 | 无 | 否 |
标签 | 存在所有指定标签 | ACS-TAG-TagResources | 否 |
至少存在一个指定标签 | 无 | 否 |
满足多标签值的一种枚举 | 无 | 否 |
匹配所有指定标签 | 无 | 否 |
资源标签信息不为空 | 无 | 否 |
专有网络VPC | IPsecVPN连接正常 | 无 | 否 |
IPsecVPN开启健康检查 | 无 | 否 |
VPC开启流日志记录 | 无 | 否 |
VPC自定义网段已设置路由 | 无 | 否 |
专有网络交换机可用IP数量大于指定值 | 无 | 否 |
同地域内所有交换机不存在重复的IP地址段 | 无 | 否 |
负载均衡SLB | SLB实例满足指定带宽要求 | 无 | 是 |
SLB禁止开启全网段访问 | 无 | 否 |
SLB使用证书为阿里云签发 | 无 | 否 |
SLB开启HTTPS监听 | 无 | 是 |
SLB实例未绑定公网IP | 无 | 是 |
SLB实例开启释放保护 | ACS-SLB-BulkySetLoadBalancerDeleteProtection | 是 |
使用专有网络类型的SLB实例 | 无 | 是 |
SLB实例状态为运行中 | 无 | 否 |
SLB实例开启配置修改保护 | ACS-SLB-BulkySetLoadBalancerModificationProtection | 是 |
SLB证书到期检查 | 无 | 否 |
SLB预付费实例到期检查 | 无 | 否 |
SLB预付费实例开启自动续费 | 无 | 是 |
SLB实例为性能保障型实例 | 无 | 是 |
SLB实例服务器负载权重不为0 | 无 | 否 |
SLB实例访问控制白名单包含指定的IP地址或网段 | 无 | 否 |
SLB实例监听端口不包含指定端口 | 无 | 是 |
SLB实例访问控制白名单不包含指定的IP或网段 | 无 | 否 |
SLB实例规格满足要求 | 无 | 是 |
SLB实例所有运行中的监听都设置访问控制 | 无 | 否 |
SLB负载均衡的所有监听都设置了健康检查 | 无 | 否 |
使用多可用区的SLB实例 | 无 | 是 |
容器服务Kubernetes版 | ACK集群未设置公网连接端点 | 无 | 否 |
ACK集群建议开启释放保护 | 无 | 否 |
ACK集群使用Terway网络插件 | 无 | 否 |
ACK集群节点安装云监控插件 | 无 | 否 |
资源管理 | 资源归属指定区域范围 | 无 | 否 |
资源继承资源组上的指定标签 | ACS-TAG-TagResourcesIgnoreCaseSensitive | 否 |
资源名称符合指定正则要求 | 无 | 否 |
云安全中心 | 使用云安全中心企业版 | 无 | 否 |
云安全中心通知项目已设置通知方式 | 无 | 否 |
账号下所有ECS实例已安装云安全中心代理 | 无 | 否 |
所有ECS实例漏洞都已修复 | 无 | 否 |
云安全中心未发现已泄露的AccessKey | 无 | 否 |
云安全中心无待修复的镜像漏洞 | 无 | 否 |
云安全中心未发现高危风险弱口令资产 | 无 | 否 |
在云安全中心设置指定等级的漏洞扫描 | 无 | 否 |
在云安全中心开启指定类型的主动防御 | 无 | 否 |
云数据库HBase | HBase集群类型为集群版 | 无 | 否 |
使用专有网络类型的HBase集群 | 无 | 否 |
HBase集群配置为高可用 | 无 | 否 |
HBase集群开启删除保护 | 无 | 否 |
HBase预付费集群到期检查 | 无 | 否 |
Web应用防火墙 | WAF实例开启日志采集 | ACS-WAF-BulkyModifyLogServiceStatus | 否 |
WAF防护域名开启指定防护功能 | 无 | 否 |
WAF防护域名的指定防护功能开启指定防护模式 | 无 | 否 |
API网关中API分组绑定域名接入WAF | 无 | 否 |
密钥管理服务 | KMS主密钥开启删除保护 | ACS-KMS-BulkySetDeletionProtection | 否 |
密钥管理服务设置主密钥自动轮转 | ACS-KMS-BulkyUpdateRotationPolicy | 否 |
密钥管理服务设置凭据自动轮转 | 无 | 否 |
KMS主密钥未设置为待删除 | 无 | 否 |
NAT网关 | NAT网关不允许映射指定的风险端口 | ACS-VPC-BulkyDeleteForwardEntry | 否 |
NAT网关启用释放保护 | 无 | 否 |
公网NAT网关创建在指定专有网络内 | 无 | 否 |
私网NAT网关创建在指定专有网络内 | 无 | 否 |
未使用指定网络类型的NAT网关 | 无 | 否 |
NAT网关中SNAT和DNAT未使用同一个EIP | 无 | 否 |
SNAT条目绑定多个EIP时带宽峰值设置一致 | 无 | 否 |
文件存储NAS | NAS文件系统满足指定状态 | 无 | 否 |
NAS文件系统设置了加密 | 无 | 是 |
NAS权限组规则授权对象未设置为全网段 | 无 | 否 |
NAS文件系统开启回收站 | 无 | 否 |
为NAS文件系统创建备份计划 | 无 | 否 |
NAS文件系统使用的权限组未对所有来源开放 | 无 | 否 |
云企业网CEN | 云企业网带宽包到期检查 | 无 | 否 |
CEN实例中的跨地域连接带宽分配满足指定要求 | 无 | 否 |
CEN实例中的VBR连接都设置了健康检查 | 无 | 否 |
共享带宽CBWP | 共享带宽实例到期检查 | 无 | 是 |
堡垒机 | 堡垒机实例到期检查 | 无 | 否 |
API网关 | API网关中的API设置为私有 | 无 | 否 |
API网关中开启公网访问的API请求方式为HTTPS | ACS-ApiGateway-BulkyModifyApiGroupNetworkPolicy | 否 |
API网关中API分组的HTTPS安全策略满足要求 | 无 | 否 |
API网关中API分组绑定自定义域名 | 无 | 否 |
API网关中API分组的自定义域名设置了SSL证书 | 无 | 否 |
API网关中API安全认证设置为JWT方式 | 无 | 否 |
API网关中配置API安全认证 | 无 | 否 |
函数计算 | 函数服务设置为仅允许指定VPC调用 | 无 | 否 |
函数HTTP触发器设置为需要身份验证 | 无 | 否 |
函数计算服务启用链路追踪 | 无 | 否 |
函数计算函数绑定到自定义域名且开启TLS指定版本 | 无 | 否 |
函数计算函数绑定到自定义域名且上传证书 | 无 | 否 |
函数计算函数绑定到自定义域名且开启HTTPS | 无 | 否 |
函数计算服务允许访问公网且绑定到自定义域名 | 无 | 否 |
函数计算服务禁止访问公网 | 无 | 否 |
检索分析服务Elasticsearch版 | 使用专有网络服务的Elasticsearch实例 | 无 | 否 |
Elasticsearch实例未开启Kibana公网访问 | 无 | 是 |
Elasticsearch实例数据节点开启云盘加密 | 无 | 否 |
Elasticsearch实例未开启公网访问 | 无 | 是 |
Elasticsearch实例未开启公网或不允许任意IP访问 | 无 | 否 |
云防火墙 | 云防火墙中不存在未开启防护的资产 | 无 | 否 |
云防火墙中不存在匹配指定条件的控制策略 | 无 | 否 |
云防火墙中存在匹配指定条件的控制策略 | 无 | 否 |
日志服务 | 日志服务日志库设置数据加密 | 无 | 否 |
云数据库OceanBase | OceanBase集群开启SSL加密 | 无 | 否 |
OceanBase租户IP白名单分组设置有效 | 无 | 否 |
OceanBase租户开启TDE加密 | 无 | 否 |
OceanBase集群开启数据库备份 | 无 | 否 |
OceanBase集群开启SQL诊断功能 | 无 | 否 |
Oceanbase租户未开启公网或安全白名单未设置为允许任意来源访问 | 无 | 否 |
容器镜像服务ACR | 容器镜像服务镜像仓库类型为私有 | 无 | 是 |
容器镜像服务镜像版本为不可变 | 无 | 否 |
容器镜像服务实例白名单检测 | 无 | 否 |
容器镜像服务实例未打开公网访问入口 | 无 | 否 |
表格存储 | 表格存储实例网络类型设置为限定VPC或控制台访问 | 无 | 是 |
表格存储实例中所有数据表都设置加密 | 无 | 否 |
负载均衡ALB | ALB实例开启释放保护 | 无 | 否 |
ALB实例网络类型为私网 | 无 | 否 |
ALB实例所有运行中的监听都设置访问控制 | 无 | 否 |
ALB访问控制列表不允许配置所有地址段 | 无 | 否 |
ALB实例访问控制白名单不包含指定的IP地址或网段 | 无 | 否 |
ALB实例访问控制白名单包含指定的IP地址或网段 | 无 | 否 |
使用多可用区的ALB实例 | 无 | 否 |
ALB服务器组包含至少两台服务器 | 无 | 否 |
ALB负载均衡的所有监听和转发规则都设置了健康检查 | 无 | 否 |
云解析DNS | 云解析域名格式匹配指定正则表达式 | 无 | 否 |
微服务引擎MSE | MSE集群开放公网访问且开启鉴权 | 无 | 否 |
云原生数据仓库AnalyticDB MySQL版 | ADB集群未开启公网 | 无 | 否 |
为ADB集群设置合理的可维护时间段 | 无 | 否 |
ADB集群开启SQL审计日志 | 无 | 否 |
ADB集群开启日志备份 | 无 | 否 |
时间序列数据库TSDB | TSDB实例未开启公网 | 无 | 否 |
TSDB实例安全白名单检测 | 无 | 否 |
云监控 | 为指定云产品设置云监控报警规则 | 无 | 否 |
消息队列Kafka版 | Kafka实例公网IP白名单未设置为对所有IP开放 | 无 | 否 |
弹性公网IP | 弹性公网IP开启删除保护 | 无 | 否 |
VPN网关 | 未开通VPN网关 | 无 | 否 |
VPN连接使用的加密算法不为None | 无 | 否 |