| CDN | CDN域名开启HTTPS加密 | 无 | 否 |
| 为域名设置CDN缓存 | 无 | 否 |
| CDN域名OSS类型的源站配置一致 | 无 | 否 |
| 操作审计 | 操作审计开启跟踪状态 | 无 | 否 |
| 操作审计开启全量日志跟踪 | 无 | 否 |
| 云服务器ECS | ECS数据磁盘开启加密 | 无 | 是 |
| ECS预付费实例到期检查 | 无 | 否 |
| 使用专有网络类型的ECS实例 | 无 | 否 |
| ECS实例CPU核数满足最低要求 | 无 | 否 |
| ECS实例规格符合标准要求 | 无 | 否 |
| ECS实例GPU核数满足最低要求 | 无 | 否 |
| ECS实例内存满足最低要求 | 无 | 是 |
| 不存在闲置的ECS数据磁盘 | 无 | 否 |
| ECS实例未绑定公网地址 | 无 | 是 |
| 检测闲置弹性公网IP | 无 | 否 |
| ECS使用指定镜像实例 | 无 | 是 |
| ECS实例在指定安全组下 | 无 | 是 |
| ECS实例开启释放保护 | ACS-ECS-BulkyEnableDeletionProtection | 是 |
| 云助手命令内容检查 | 无 | 否 |
| ECS实例状态不是已停止状态 | 无 | 否 |
| 安全组入网设置有效 | 无 | 是 |
| 安全组不允许对全部网段开启风险端口 | 无 | 是 |
| ECS实例未被锁定 | 无 | 否 |
| 弹性伸缩组开启ECS实例健康检查 | 无 | 否 |
| ECS磁盘设置自动快照策略 | 无 | 是 |
| ECS磁盘未被锁定 | 无 | 否 |
| ECS数据磁盘释放时保留自动快照 | 无 | 是 |
| ECS自动快照保留天数满足指定要求 | 无 | 否 |
| ECS实例付费类型为包年包月 | 无 | 是 |
| 检查闲置安全组 | 无 | 否 |
| 使用密钥对登录Linux主机 | 无 | 是 |
| ECS固定公网IP实例按固定带宽计费 | 无 | 否 |
| 分配了公网IP地址的ECS实例公网出带宽最大值小于指定值 | 无 | 否 |
| ECS实例运行了指定名称的进程 | 无 | 否 |
| ECS实例安装了指定名称的软件 | 无 | 否 |
| 待挂载的ECS数据磁盘开启加密 | 无 | 否 |
| 使用中的ECS数据磁盘开启加密 | 无 | 否 |
| ECS实例的镜像来源满足指定要求 | 无 | 否 |
| ECS实例系统盘开启加密 | 无 | 否 |
| ECS包年包月实例开启自动续费 | 无 | 否 |
| 指定操作系统类型的系统盘容量大于等于指定值 | 无 | 否 |
| 运行中的ECS实例开启云安全中心防护 | 无 | 否 |
| 安全组描述信息不能为空 | 无 | 是 |
| 运行中的ECS实例无待修复漏洞 | 无 | 否 |
| 运行中的ECS实例安装了云监控插件 | 无 | 否 |
| 访问ECS实例元数据时强制使用加固模式 | 无 | 否 |
| 安全组入网设置中不能有对所有端口开放的访问规则 | 无 | 是 |
| 安全组入网设置不能有对所有协议开放的访问规则 | 无 | 是 |
| 安全组入网设置允许的来源IP不包含公网IP | 无 | 是 |
| 安全组非白名单端口入网设置有效 | 无 | 是 |
| 安全组指定协议不允许对全部网段开启风险端口 | 无 | 否 |
| 运行中的ECS实例在专有网络 | ACS-ECS-BulkyStopClassicInstances | 否 |
| 运行中的ECS实例未绑定公网地址 | ACS-ECS-BulkyStopInstancesWithPublicIp | 否 |
| 继承自ECS实例标签的资源评估 | 无 | 否 |
| ECS实例禁用指定名称的进程 | 无 | 否 |
| 按量付费的ECS已停机实例使用节省停机模式 | 无 | 否 |
| 为ECS实例创建防暴力破解规则 | 无 | 否 |
| ECS实例使用指定版本的操作系统 | 无 | 是 |
| 为自动快照策略设置合理的创建时间点 | 无 | 否 |
| 专有宿主机DDH | 专有宿主机CPU核数满足最低要求 | 无 | 否 |
| 专有宿主机内存大小满足最低要求 | 无 | 否 |
| 专有宿主机Socket数量满足最低要求 | 无 | 否 |
| 弹性公网IP | 弹性IP实例带宽满足最低要求 | 无 | 否 |
| 预付费弹性公网IP到期检查 | 无 | 否 |
| 弹性伸缩配置中未设置分配公网IPv4地址 | 无 | 否 |
| 弹性伸缩组设置关联负载均衡 | 无 | 否 |
| 弹性伸缩组关联至少两个交换机 | 无 | 否 |
| 云数据库RDS | RDS实例读写频率满足最低要求 | 无 | 否 |
| RDS实例类型满足指定要求 | 无 | 否 |
| 使用专有网络类型的RDS实例 | 无 | 否 |
| RDS实例内存满足最低要求 | 无 | 是 |
| RDS实例CPU核数满足最低要求 | 无 | 否 |
| RDS实例存储空间满足最低要求 | 无 | 否 |
| 使用高可用的RDS实例 | 无 | 否 |
| 使用多可用区的RDS实例 | 无 | 否 |
| RDS实例未申请外网地址 | ACS-RDS-ReleaseInstancePublicConnection | 否 |
| RDS实例使用SSL证书 | 无 | 否 |
| RDS实例开启TDE加密 | 无 | 否 |
| RDS实例正确开启白名单 | ACS-RDS-BulkyModifySecurityIpsByInstanceIPArray | 是 |
| RDS实例网络类型为专有网络 | 无 | 否 |
| 使用数据库代理模式访问SQL Server | 无 | 否 |
| RDS实例开启SQL审计 | ACS-RDS-BulkyModifySQLCollectorPolicy | 否 |
| RDS实例SQL审计日志保留天数满足指定要求 | ACS-RDS-BulkyModifySQLCollectorRetention | 否 |
| PostgreSQL数据库参数log_connections设置为on | 无 | 否 |
| PostgreSQL数据库参数log_disconnections设置为on | 无 | 否 |
| PostgreSQL数据库参数log_duration设置为on | 无 | 否 |
| RDS实例开启历史事件 | ACS-RDS-BulkyModifyActionEventPolicy | 否 |
| RDS预付费实例到期检查 | 无 | 是 |
| RDS实例开启日志备份 | 无 | 否 |
| RDS实例开启云盘加密 | 无 | 否 |
| RDS实例使用自定义密钥开启TDE | 无 | 否 |
| RDS实例开启删除保护 | 无 | 否 |
| 为RDS实例创建动态RDS凭据 | 无 | 否 |
| 为RDS实例设置合理的可维护时间段 | 无 | 否 |
| RDS实例未开公网或IP白名单未设置为全网段 | 无 | 否 |
| 使用独享型的RDS实例 | 无 | 否 |
| RDS监控采集粒度设置满足要求 | 无 | 否 |
| 云数据库Redis | Redis实例满足指定QPS要求 | 无 | 否 |
| Redis实例满足指定带宽要求 | 无 | 否 |
| Redis实例满足指定内存容量要求 | 无 | 否 |
| 使用专有网络类型的Redis实例 | 无 | 否 |
| Redis实例IP白名单不设置为全网段 | ACS-Redis-BulkyDeleteSecurityIpFromInstanceIPArray | 是 |
| 使用集群版的Redis实例 | 无 | 否 |
| Redis实例开启释放保护 | 无 | 否 |
| Redis实例禁用高风险命令 | ACS-Redis-BulkyModifyInstanceConfig | 否 |
| Redis预付费实例到期检查 | 无 | 否 |
| Redis实例开启审计日志 | ACS-REDIS-BulkyModifyAuditLogConfig | 否 |
| Redis实例审计日志保留天数满足指定要求 | ACS-REDIS-BulkyModifyAuditLogConfig | 否 |
| Redis实例开启TDE加密 | 无 | 否 |
| Redis实例开启密码认证 | 无 | 否 |
| Redis实例为多可用区实例 | 无 | 否 |
| Redis实例未设置公网IP | ACS-Redis-ReleaseInstancePublicConnection | 否 |
| Redis实例设置SSL加密 | 无 | 否 |
| Redis实例使用自定义密钥开启TDE加密 | 无 | 否 |
| Redis实例节点类型为双副本 | 无 | 否 |
| Redis实例未开启公网或安全白名单未设置为允许任意来源访问 | 无 | 否 |
| 为Redis实例设置合理的备份时间段 | 无 | 否 |
| 云数据库MongoDB | 使用专有网络类型的MongoDB实例 | 无 | 否 |
| MongoDB实例IP白名单不设置为全网段 | 无 | 否 |
| MongoDB实例满足指定读写次数要求 | 无 | 否 |
| MongoDB满足指定连接数要求 | 无 | 否 |
| MongoDB实例开启释放保护 | 无 | 否 |
| MongoDB实例未被锁定 | 无 | 否 |
| MongoDB集群开启审计日志 | 无 | 否 |
| MongoDB预付费集群到期检查 | 无 | 否 |
| MongoDB实例未开启公网或安全白名单未设置为允许任意来源访问 | 无 | 否 |
| MongoDB使用独享型或专属型规格实例 | 无 | 否 |
| MongoDB实例打开日志备份 | 无 | 否 |
| 云数据库PolarDB | 推荐使用专有网络类型的PolarDB实例 | 无 | 否 |
| PolarDB实例IP白名单不能设置为全网段 | 无 | 是 |
| PolarDB产品系列为集群版 | 无 | 否 |
| PolarDB预付费集群到期检查 | 无 | 否 |
| PolarDB数据库小版本状态为stable | 无 | 否 |
| PolarDB集群开启TDE | 无 | 否 |
| PolarDB集群设置SSL加密 | 无 | 否 |
| PolarDB集群开启SQL审计 | 无 | 否 |
| PolarDB集群默认时区参数值非System | 无 | 否 |
| PolarDB集群只读地址关闭新节点自动加入 | 无 | 否 |
| PolarDB集群日志备份保留周期满足指定要求 | 无 | 否 |
| PolarDB集群数据二级备份保留周期满足指定要求 | 无 | 否 |
| PolarDB集群的数据一级备份保留周期满足指定要求 | 无 | 否 |
| PolarDB集群中所有账号备注信息不为空 | 无 | 否 |
| PolarDB的集群连接地址连接类型设置为指定的值 | 无 | 否 |
| PolarDB的集群连接地址的会话一致性级别设置为指定的值 | 无 | 否 |
| PolarDB的集群连接地址读写模式设置为可读可写 | 无 | 否 |
| PolarDB的集群连接地址开启新节点自动加入 | 无 | 否 |
| PolarDB集群的所有连接地址都未开启公网 | 无 | 否 |
| PolarDB集群开启删除保护 | 无 | 否 |
| 为PolarDB集群设置合理的维护时间段 | 无 | 否 |
| PolarDB实例未开启公网或IP白名单未设置为全网段 | 无 | 否 |
| 使用独享型的PolarDB实例 | 无 | 否 |
| 对象存储OSS | OSS存储空间ACL禁止公共读 | ACS-OSS-PutBucketAcl | 否 |
| OSS存储空间ACL禁止公共读写 | ACS-OSS-PutBucketAcl | 是 |
| OSS存储空间开启同城冗余存储 | 无 | 否 |
| OSS存储空间开启版本控制 | 无 | 否 |
| OSS存储空间开启日志存储 | 无 | 是 |
| OSS存储空间开启服务端KMS加密 | 无 | 否 |
| OSS存储空间开启服务端默认加密 | ACS-OSS-PutBucketEncryption | 否 |
| OSS存储空间名称符合正则表达式 | 无 | 否 |
| OSS存储空间开启防盗链 | 无 | 否 |
| OSS存储空间Referer在指定的防盗链白名单中 | ACS-OSS-PutBucketReferer | 否 |
| OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限 | 无 | 否 |
| OSS存储空间权限策略设置安全访问 | 无 | 否 |
| OSS存储空间授权策略设置IP限制 | 无 | 否 |
| OSS存储空间不能为匿名账号授予任何权限 | 无 | 是 |
| OSS存储空间使用自定义KMS密钥加密 | 无 | 否 |
| OSS存储空间开启日志存储前缀匹配 | 无 | 是 |
| 访问控制RAM | RAM用户登录检查 | 无 | 否 |
| RAM用户密码策略符合要求 | ACS-RAM-SetPasswordPolicy | 否 |
| 不存在闲置的RAM权限策略 | 无 | 否 |
| 高权限的RAM用户开启MFA | 无 | 否 |
| RAM用户组非空 | 无 | 否 |
| 不存在超级管理员 | 无 | 否 |
| 不直接授权给RAM用户 | 无 | 否 |
| RAM用户归属用户组 | 无 | 否 |
| RAM用户在指定时间内有登录行为 | 无 | 否 |
| RAM用户开启MFA | ACS-ECS-BulkyUpdateLoginProfile | 否 |
| RAM用户的AccessKey在指定时间内轮换 | 无 | 否 |
| RAM用户不存在闲置AccessKey | 无 | 否 |
| RAM用户下不存在已禁用的AccessKey | 无 | 否 |
| 阿里云账号不存在AccessKey | 无 | 否 |
| 阿里云账号开启MFA | 无 | 否 |
| RAM用户未绑定指定的高危权限 | 无 | 否 |
| RAM用户不存在激活状态的密钥 | 无 | 否 |
| RAM用户及所属用户组无超级管理员或某个云产品管理员权限 | 无 | 否 |
| RAM角色无超级管理员或某个云产品管理员权限 | 无 | 否 |
| 不存在闲置的RAM用户组 | 无 | 否 |
| 阿里云账号拥有指定名称的角色 | 无 | 否 |
| RAM用户绑定了参数指定条件的权限策略 | 无 | 否 |
| RAM角色绑定了参数指定条件的权限策略 | 无 | 否 |
| RAM用户开启SSO | 无 | 否 |
| RAM用户及所属用户组未绑定指定条件的权限策略 | 无 | 否 |
| 标签 | 存在所有指定标签 | ACS-TAG-TagResources | 否 |
| 至少存在一个指定标签 | 无 | 否 |
| 满足多标签值的一种枚举 | 无 | 否 |
| 匹配所有指定标签 | 无 | 否 |
| 资源标签信息不为空 | 无 | 否 |
| 专有网络VPC | IPsecVPN连接正常 | 无 | 否 |
| IPsecVPN开启健康检查 | 无 | 否 |
| VPC开启流日志记录 | 无 | 否 |
| VPC自定义网段已设置路由 | 无 | 否 |
| 专有网络交换机可用IP数量大于指定值 | 无 | 否 |
| 同地域内所有交换机不存在重复的IP地址段 | 无 | 否 |
| 负载均衡SLB | SLB实例满足指定带宽要求 | 无 | 是 |
| SLB禁止开启全网段访问 | 无 | 否 |
| SLB使用证书为阿里云签发 | 无 | 否 |
| SLB开启HTTPS监听 | 无 | 是 |
| SLB实例未绑定公网IP | 无 | 是 |
| SLB实例开启释放保护 | ACS-SLB-BulkySetLoadBalancerDeleteProtection | 是 |
| 使用专有网络类型的SLB实例 | 无 | 是 |
| SLB实例状态为运行中 | 无 | 否 |
| SLB实例开启配置修改保护 | ACS-SLB-BulkySetLoadBalancerModificationProtection | 是 |
| SLB证书到期检查 | 无 | 否 |
| SLB预付费实例到期检查 | 无 | 否 |
| SLB预付费实例开启自动续费 | 无 | 是 |
| SLB实例为性能保障型实例 | 无 | 是 |
| SLB实例服务器负载权重不为0 | 无 | 否 |
| SLB实例访问控制白名单包含指定的IP地址或网段 | 无 | 否 |
| SLB实例监听端口不包含指定端口 | 无 | 是 |
| SLB实例访问控制白名单不包含指定的IP或网段 | 无 | 否 |
| SLB实例规格满足要求 | 无 | 是 |
| SLB实例所有运行中的监听都设置访问控制 | 无 | 否 |
| SLB负载均衡的所有监听都设置了健康检查 | 无 | 否 |
| 使用多可用区的SLB实例 | 无 | 是 |
| 容器服务Kubernetes版 | ACK集群未设置公网连接端点 | 无 | 否 |
| ACK集群建议开启释放保护 | 无 | 否 |
| ACK集群使用Terway网络插件 | 无 | 否 |
| ACK集群节点安装云监控插件 | 无 | 否 |
| 资源管理 | 资源归属指定区域范围 | 无 | 否 |
| 资源继承资源组上的指定标签 | ACS-TAG-TagResourcesIgnoreCaseSensitive | 否 |
| 资源名称符合指定正则要求 | 无 | 否 |
| 云安全中心 | 使用云安全中心企业版 | 无 | 否 |
| 云安全中心通知项目已设置通知方式 | 无 | 否 |
| 账号下所有ECS实例已安装云安全中心代理 | 无 | 否 |
| 所有ECS实例漏洞都已修复 | 无 | 否 |
| 云安全中心未发现已泄露的AccessKey | 无 | 否 |
| 云安全中心无待修复的镜像漏洞 | 无 | 否 |
| 云安全中心未发现高危风险弱口令资产 | 无 | 否 |
| 在云安全中心设置指定等级的漏洞扫描 | 无 | 否 |
| 在云安全中心开启指定类型的主动防御 | 无 | 否 |
| 云数据库HBase | HBase集群类型为集群版 | 无 | 否 |
| 使用专有网络类型的HBase集群 | 无 | 否 |
| HBase集群配置为高可用 | 无 | 否 |
| HBase集群开启删除保护 | 无 | 否 |
| HBase预付费集群到期检查 | 无 | 否 |
| Web应用防火墙 | WAF实例开启日志采集 | ACS-WAF-BulkyModifyLogServiceStatus | 否 |
| WAF防护域名开启指定防护功能 | 无 | 否 |
| WAF防护域名的指定防护功能开启指定防护模式 | 无 | 否 |
| API网关中API分组绑定域名接入WAF | 无 | 否 |
| 密钥管理服务 | KMS主密钥开启删除保护 | ACS-KMS-BulkySetDeletionProtection | 否 |
| 密钥管理服务设置主密钥自动轮转 | ACS-KMS-BulkyUpdateRotationPolicy | 否 |
| 密钥管理服务设置凭据自动轮转 | 无 | 否 |
| KMS主密钥未设置为待删除 | 无 | 否 |
| NAT网关 | NAT网关不允许映射指定的风险端口 | ACS-VPC-BulkyDeleteForwardEntry | 否 |
| NAT网关启用释放保护 | 无 | 否 |
| 公网NAT网关创建在指定专有网络内 | 无 | 否 |
| 私网NAT网关创建在指定专有网络内 | 无 | 否 |
| 未使用指定网络类型的NAT网关 | 无 | 否 |
| NAT网关中SNAT和DNAT未使用同一个EIP | 无 | 否 |
| SNAT条目绑定多个EIP时带宽峰值设置一致 | 无 | 否 |
| 文件存储NAS | NAS文件系统满足指定状态 | 无 | 否 |
| NAS文件系统设置了加密 | 无 | 是 |
| NAS权限组规则授权对象未设置为全网段 | 无 | 否 |
| NAS文件系统开启回收站 | 无 | 否 |
| 为NAS文件系统创建备份计划 | 无 | 否 |
| NAS文件系统使用的权限组未对所有来源开放 | 无 | 否 |
| 云企业网CEN | 云企业网带宽包到期检查 | 无 | 否 |
| CEN实例中的跨地域连接带宽分配满足指定要求 | 无 | 否 |
| CEN实例中的VBR连接都设置了健康检查 | 无 | 否 |
| 共享带宽CBWP | 共享带宽实例到期检查 | 无 | 是 |
| 堡垒机 | 堡垒机实例到期检查 | 无 | 否 |
| API网关 | API网关中的API设置为私有 | 无 | 否 |
| API网关中开启公网访问的API请求方式为HTTPS | ACS-ApiGateway-BulkyModifyApiGroupNetworkPolicy | 否 |
| API网关中API分组的HTTPS安全策略满足要求 | 无 | 否 |
| API网关中API分组绑定自定义域名 | 无 | 否 |
| API网关中API分组的自定义域名设置了SSL证书 | 无 | 否 |
| API网关中API安全认证设置为JWT方式 | 无 | 否 |
| API网关中配置API安全认证 | 无 | 否 |
| 函数计算 | 函数服务设置为仅允许指定VPC调用 | 无 | 否 |
| 函数HTTP触发器设置为需要身份验证 | 无 | 否 |
| 函数计算服务启用链路追踪 | 无 | 否 |
| 函数计算函数绑定到自定义域名且开启TLS指定版本 | 无 | 否 |
| 函数计算函数绑定到自定义域名且上传证书 | 无 | 否 |
| 函数计算函数绑定到自定义域名且开启HTTPS | 无 | 否 |
| 函数计算服务允许访问公网且绑定到自定义域名 | 无 | 否 |
| 函数计算服务禁止访问公网 | 无 | 否 |
| 检索分析服务Elasticsearch版 | 使用专有网络服务的Elasticsearch实例 | 无 | 否 |
| Elasticsearch实例未开启Kibana公网访问 | 无 | 是 |
| Elasticsearch实例数据节点开启云盘加密 | 无 | 否 |
| Elasticsearch实例未开启公网访问 | 无 | 是 |
| Elasticsearch实例未开启公网或不允许任意IP访问 | 无 | 否 |
| 云防火墙 | 云防火墙中不存在未开启防护的资产 | 无 | 否 |
| 云防火墙中不存在匹配指定条件的控制策略 | 无 | 否 |
| 云防火墙中存在匹配指定条件的控制策略 | 无 | 否 |
| 日志服务 | 日志服务日志库设置数据加密 | 无 | 否 |
| 云数据库OceanBase | OceanBase集群开启SSL加密 | 无 | 否 |
| OceanBase租户IP白名单分组设置有效 | 无 | 否 |
| OceanBase租户开启TDE加密 | 无 | 否 |
| OceanBase集群开启数据库备份 | 无 | 否 |
| OceanBase集群开启SQL诊断功能 | 无 | 否 |
| Oceanbase租户未开启公网或安全白名单未设置为允许任意来源访问 | 无 | 否 |
| 容器镜像服务ACR | 容器镜像服务镜像仓库类型为私有 | 无 | 是 |
| 容器镜像服务镜像版本为不可变 | 无 | 否 |
| 容器镜像服务实例白名单检测 | 无 | 否 |
| 容器镜像服务实例未打开公网访问入口 | 无 | 否 |
| 表格存储 | 表格存储实例网络类型设置为限定VPC或控制台访问 | 无 | 是 |
| 表格存储实例中所有数据表都设置加密 | 无 | 否 |
| 负载均衡ALB | ALB实例开启释放保护 | 无 | 否 |
| ALB实例网络类型为私网 | 无 | 否 |
| ALB实例所有运行中的监听都设置访问控制 | 无 | 否 |
| ALB访问控制列表不允许配置所有地址段 | 无 | 否 |
| ALB实例访问控制白名单不包含指定的IP地址或网段 | 无 | 否 |
| ALB实例访问控制白名单包含指定的IP地址或网段 | 无 | 否 |
| 使用多可用区的ALB实例 | 无 | 否 |
| ALB服务器组包含至少两台服务器 | 无 | 否 |
| ALB负载均衡的所有监听和转发规则都设置了健康检查 | 无 | 否 |
| 云解析DNS | 云解析域名格式匹配指定正则表达式 | 无 | 否 |
| 微服务引擎MSE | MSE集群开放公网访问且开启鉴权 | 无 | 否 |
| 云原生数据仓库AnalyticDB MySQL版 | ADB集群未开启公网 | 无 | 否 |
| 为ADB集群设置合理的可维护时间段 | 无 | 否 |
| ADB集群开启SQL审计日志 | 无 | 否 |
| ADB集群开启日志备份 | 无 | 否 |
| 时间序列数据库TSDB | TSDB实例未开启公网 | 无 | 否 |
| TSDB实例安全白名单检测 | 无 | 否 |
| 云监控 | 为指定云产品设置云监控报警规则 | 无 | 否 |
| 消息队列Kafka版 | Kafka实例公网IP白名单未设置为对所有IP开放 | 无 | 否 |
| 弹性公网IP | 弹性公网IP开启删除保护 | 无 | 否 |
| VPN网关 | 未开通VPN网关 | 无 | 否 |
| VPN连接使用的加密算法不为None | 无 | 否 |