AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 配置审计 操作指南 合规审计 规则 规则介绍 规则模板 规则模板列表

规则模板列表

更新时间:
产品详情
我的收藏

当您在配置审计控制台新建规则时,可以直接选用规则模板。

模板说明

  • 规则模板是配置审计已在函数计算中构建的规则函数。您可以通过规则模板快速创建规则,对目标资源进行审计。

  • 配置审计支持的规则模板如下表所示,按照云产品及其产品类别进行分类,方便您快速查找和使用。

  • 如果您需要其他规则模板,可以提交工单。阿里云评估后会酌情支持,并将具备普遍适用性的规则实现为规则模板。

计算

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

云服务器ECS

ECS实例付费类型为包年包月

ECS预付费实例到期检查

ECS包年包月实例开启自动续费

ECS实例状态不是已停止状态

按量付费的ECS已停机实例使用节省停机模式

后付费ECS实例长时间运行检查

ECS固定公网IP实例按固定带宽计费

不存在闲置的ECS数据磁盘

云盘闲置检测

ECS实例未被锁定

ECS实例开启释放保护

ACS-ECS-BulkyEnableDeletionProtection

ECS实例CPU核数满足最低要求

ECS实例GPU核数满足最低要求

指定操作系统类型的系统盘容量大于等于指定值

未使用不推荐的ECS规格族实例

ECS实例使用指定版本的操作系统

ECS实例规格符合标准要求

使用专有网络类型的ECS实例

运行中的ECS实例在专有网络

ACS-ECS-BulkyStopClassicInstances

ECS实例未绑定公网地址

运行中的ECS实例未绑定公网地址

ACS-ECS-BulkyStopInstancesWithPublicIp

分配了公网IP地址的ECS实例公网出带宽最大值小于指定值

运行中的ECS实例开启云安全中心防护

ECS实例在指定安全组下

安全组入网设置有效

安全组不允许对全部网段开启风险端口

安全组指定协议不允许对全部网段开启风险端口

安全组入网设置中不能有对所有端口开放的访问规则

安全组入网设置不能有对所有协议开放的访问规则

安全组出方向未设置为全通

安全组非白名单端口入网设置有效

安全组入网设置允许的来源IP不包含公网IP

安全组描述信息不能为空

检查闲置安全组

使用企业类型安全组

ECS启动模板配置不应设置公网访问

ECS使用指定镜像实例

ECS实例的镜像来源满足指定要求

ECS实例使用指定账号共享的镜像

ECS实例使用指定有效期内的镜像

ECS启动模板版本中使用指定来源的镜像

ECS启动模板版本中设置加入的安全组

ECS启动模板版本中设置数据磁盘加密

ECS启动模板版本中设置系统磁盘加密

ECS实例被授予实例RAM角色

ECS实例未绑定SSH密钥对

使用密钥对登录Linux主机

ECS实例系统盘开启加密

ECS数据磁盘开启加密

ECS实例内存满足最低要求

待挂载的ECS数据磁盘开启加密

使用中的ECS数据磁盘开启加密

ECS磁盘开启KMS加密

ECS磁盘设置自动快照策略

为自动快照策略设置合理的创建时间点

ECS自动快照保留天数满足指定要求

ECS数据磁盘释放时保留自动快照

ECS磁盘未被锁定

ECS实例云盘自动快照策略或云备份的整机备份功能

ECS实例云盘开启自动快照策略的跨地域复制或云备份的整机备份异地复制功能

ECS实例开启文件备份库跨地域复制

ECS实例备份数据保护评分检测

ECS实例运行了指定名称的进程

ECS实例禁用指定名称的进程

ECS实例安装了指定名称的软件

运行中的ECS实例无待修复漏洞

运行中的ECS实例安装了云监控插件

访问ECS实例元数据时强制使用加固模式

云助手命令内容检查

ECS实例创建防暴力破解规则

使用日志服务进行业务日志统一收集和监控

使用应用负载均衡搭建高可用应用架构

ECS实例仅绑定一个弹性网卡

ECS实例可用区数量不平衡

使用同城冗余类型的ESSD数据盘

ECS DDoS防护状态检测

ECS实例CPU使用率空闲检测

ECS实例内存使用率空闲检测

ECS实例磁盘使用率空闲检测

ECS实例应用清单检测

弹性伸缩组开启ECS实例健康检查

专有宿主机DDH

专有宿主机CPU核数满足最低要求

专有宿主机内存大小满足最低要求

专有宿主机Socket数量满足最低要求

弹性伸缩

弹性伸缩配置中为实例设置关联安全组

ESS伸缩组配置的安全组不应设置为0.0.0.0/0

弹性伸缩配置中设置数据磁盘加密

弹性伸缩配置中设置系统磁盘加密

弹性伸缩配置中使用指定来源的镜像

弹性伸缩配置镜像检测

弹性伸缩组关联负载均衡存在性检测

函数计算

函数服务设置为仅允许指定VPC调用

函数计算服务禁止访问公网

函数计算服务允许访问公网且绑定到自定义域名

函数HTTP触发器设置为需要身份验证

函数计算函数绑定到自定义域名且开启TLS指定版本

函数计算函数绑定到自定义域名且上传证书

函数计算函数绑定到自定义域名且开启HTTPS

函数计算服务启用链路追踪

函数计算服务启用日志功能

函数计算服务配置了服务角色

FC未使用废弃的运行时

函数计算中函数设置满足参数指定要求

容器

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

容器服务Kubernetes

ACK集群建议开启释放保护

使用专业版的托管类型ACK集群

ACK集群已升级至最新版本

使用维护中的ACK版本

ACK集群开启节点池托管功能

ACK集群节点池开启节点自动伸缩

ACK集群节点池伸缩配置可用性检测

ACK集群节点池安全组可用性检测

ACK集群节点池交换机可用性检测

ACK集群节点池伸缩组可用性检测

ACK集群未设置公网连接端点

ACK集群使用Terway网络插件

使用区域级多可用区ACS集群

使用区域级多可用区ACK集群

ACK集群启用RRSA功能

ACK集群安装ack-ram-authenticator组件基于RAM进行请求认证

ACK集群开启并配置容器安全策略

ACK集群配置Secret的落盘加密

ACK集群节点安装云监控插件

ACK集群运行中节点安装云监控插件

ACK集群控制平面组件日志开启检测

ACK集群安装了审计日志插件

ACK集群启用APIServer审计功能

ACK集群安装容器内部操作审计组件进行执行命令审计

ACK集群巡检CoreDNS服务后端服务器数不为0

ACK集群CoreDNS副本数量检测

ACK集群CoreDNSPod状态检测

ACK集群APIServerCLB后端状态检测

ACK集群巡检APIServer绑定的CLB实例存在

ACK集群巡检APIServer绑定的CLB实例状态正常

ACK集群巡检APIServer绑定的CLB端口监听配置正常

ACK集群APIService可用性检测

ACK集群弹性组件状态检测

ACK集群安装配置巡检组件检查Workload安全隐患

ACK集群巡检中危风险项检测

ACK集群启用智能运维配置巡检功能

ACK集群安装成本洞察组件

ACK集群节点Kubelet版本一致性检测

ACK集群LoadBalancerService证书ID一致性检测

ACK集群LoadBalancerService付费模式一致性检测

容器镜像服务ACR

容器镜像服务镜像仓库类型为私有

容器镜像服务镜像版本为不可变

容器镜像服务实例白名单检测

容器镜像服务实例未打开公网访问入口

容器镜像实例闲置检测

容器镜像仓库中镜像版本在指定时间内进行更新

为容器镜像实例开启安全扫描

使用维护中的ACK版本

关联同城冗余的OSS桶的容器镜像实例

弹性容器实例

ECI弹性实例容器组挂载数据卷

ECI弹性容器组环境变量不包含敏感信息

运行中的弹性容器实例无待修复漏洞

运行中的弹性容器组开启云安全中心防护

存储

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

对象存储OSS

OSS存储空间ACL禁止公共读

ACS-OSS-PutBucketAcl

OSS存储空间ACL禁止公共读写

ACS-OSS-PutBucketAcl

OSS存储空间权限策略设置安全访问

OSS存储空间不能为匿名账号授予任何权限

OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限

OSS存储空间授权策略设置IP限制

Bucket策略组织外授权检测

OSS存储桶策略未包含参数指定的授权内容

OSS存储空间开启服务端KMS加密

OSS存储空间开启服务端默认加密

ACS-OSS-PutBucketEncryption

OSS存储空间使用自定义KMS密钥加密

OSS存储空间开启版本控制

ACS-OSS-PutBucketVersioning

OSS存储空间开启同城冗余存储

ACS-OSS-EnableBucketZRS

OSS桶开启云备份

OSS桶开启跨地域复制

OSS桶备份库开启跨地域复制

OSS桶备份数据保护评分检测

OSS存储空间开启日志存储

ACS-OSS-BulkyPutBucketLogging

OSS存储空间开启日志存储前缀匹配

对象存储开启实时日志

为指定的地域设置OOS执行记录投递

OSS存储空间开启防盗链

OSS存储空间Referer在指定的防盗链白名单中

ACS-OSS-PutBucketReferer

OSS 存储桶自定义域名开启检测

OSS存储桶TLS版本检测

OSS存储空间名称符合正则表达式

文件存储NAS

NAS文件系统设置了加密

NAS文件系统满足指定状态

NAS文件系统闲置检测

NAS权限组规则授权对象未设置为全网段

NAS文件系统使用的权限组未对所有来源开放

NAS文件存储接入点启用RAM策略

NAS文件存储接入点根目录未设置为默认目录

NAS文件系统开启回收站

ACS-NAS-BulkyEnableRecycleBin

NAS文件系统创建备份计划

NAS备份库开启跨地域复制

NAS备份库数据保护评分检测

ACS-NAS-BulkyEnableRecycleBin

表格存储

表格存储实例网络类型设置为限定VPC或控制台访问

ACS-Config-OTS-RemovePublicAccess

表格存储实例中所有数据表都设置加密

使用同城冗余的ots实例

Tablestore实例开启云备份

Tablestore备份库开启了云备份的跨地域备份

Tablestore实例数据保护评分检测

日志服务

日志服务日志库设置数据加密

日志服务日志库加密使用的主密钥材料来源为用户自行导入

SLS日志库开启智能冷热分层存储

使用同城冗余的日志项目

云存储网关

使用跨可用区高可用云存储网关

网络与CDN

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

传统型负载均衡CLB

SLB实例开启释放保护

ACS-SLB-BulkySetLoadBalancerDeleteProtection

SLB实例开启配置修改保护

ACS-SLB-BulkySetLoadBalancerModificationProtection

SLB预付费实例到期检查

ACS-BssOpenApi-SetRenewal

ACS-BssOpenApi-EnableAutoRenewal

SLB预付费实例开启自动续费

负载均衡预付费实例闲置检测

SLB负载均衡闲置检测

SLB实例状态为运行中

使用专有网络类型的SLB实例

SLB实例未绑定公网IP

SLB访问控制列表不允许配置所有地址段

SLB实例所有运行中的监听都设置访问控制

SLB实例访问控制白名单包含指定的IP地址或网段

SLB实例访问控制白名单不包含指定的IP或网段

SLB实例监听端口不包含指定端口

SLB DDoS防护状态检测

SLB实例的未配置HTTP类型监听

SLB开启HTTPS监听

SLB实例的HTTPS监听使用指定的安全策略套件

SLB使用证书为阿里云签发

SLB服务器证书在有效期内

SLB证书到期检查

使用多可用区的SLB实例

使用多可用区SLB实例并为服务器组配置多个可用区资源

SLB负载均衡的所有监听都至少添加了指定数量的后端服务器

SLB实例默认服务器组包含至少两台服务器

SLB负载均衡默认服务器组添加多个可用区资源

SLB负载均衡主备服务器组添加多个可用区资源

SLB负载均衡的虚拟服务器组添加多个可用区资源

SLB实例为性能保障型实例

SLB实例满足指定带宽要求

SLB实例规格满足要求

SLB实例最大连接数使用率平均率检测

SLB实例新建连接数平均使用率检测

SLB实例网络流出带宽平均使用率检测

SLB负载均衡的所有监听都设置了健康检查

SLB实例服务器负载权重不为0

SLB实例开启访问日志

CLB实例处理不存在水位异常

应用型负载均衡ALB

ALB实例开启释放保护

ALB负载均衡闲置检测

ALB实例关联共享带宽流出带宽使用率检测

ALB关联EIP流出带宽使用率检测

ALB实例网络类型为私网

ALB实例所有运行中的监听都设置访问控制

ALB访问控制列表不允许配置所有地址段

ALB实例访问控制白名单不包含指定的IP地址或网段

ALB实例访问控制白名单包含指定的IP地址或网段

ALB实例HTTP监听设置移除Header的转发功能

使用多可用区的ALB实例

ALB服务器组包含至少两台服务器

ALB负载均衡服务器组添加多个可用区资源

ALB负载均衡的所有监听和转发规则都设置了健康检查

ALB负载均衡所有监听的默认转发规则都至少添加了指定数量的服务器

ALB实例运行中监听关联的SSL证书到期检测

ALB实例开启Web应用防火墙防护

ALB实例连接失败率检查

ALB实例4xx错误率检测

ALB实例5xx错误率检测

ALB实例TLS握手失败率检测

ALB实例虚拟IP处理不存在水位异常

网络型负载均衡NLB

使用多可用区的网络负载均衡实例

为网络负载均衡服务器组添加多个可用区的资源

NLB实例虚拟IP处理不存在水位异常

NLB实例监听使用指定的安全策略

网关型负载均衡GWLB

使用多可用区的网关型负载均衡实例

GWLB服务器组的服务器为多可用区

弹性公网IP

预付费弹性公网IP到期检查

检测闲置弹性公网IP

EIP闲置检测

弹性公网IP开启删除保护

弹性公网IP实例业务状态正常

弹性IP实例带宽满足最低要求

弹性公网IP实例带宽不存在水位异常

EIP开启云防火墙防护

EIP DDoS防护状态检测

弹性伸缩配置中未设置分配公网IPv4地址

弹性伸缩组设置关联负载均衡

弹性伸缩组关联至少两个交换机

EIP继承关联的资源的标签检测

ACS-TAG-TagResourcesIgnoreCaseSensitive

共享带宽CBWP

共享带宽实例到期检查

共享带宽闲置检测

专有网络VPC

VPC自定义网段已设置路由

VPC自定义路由目标网段未设置为全部网段

同地域内所有交换机不存在重复的IP地址段

专有网络交换机可用IP数量大于指定值

专有网络ACL未开放风险端口

专有网络ACL不为空

专有网络ACL绑定至少一个资源

VPC开启流日志记录

IPsecVPN连接正常

IPsecVPN开启健康检查

为终端节点服务配置多个可用区

高速通道路由器接口对端账号ID检测

NAT网关

NAT网关不允许映射指定的风险端口

ACS-VPC-BulkyDeleteForwardEntry

公网NAT网关创建在指定专有网络内

私网NAT网关创建在指定专有网络内

未使用指定网络类型的NAT网关

NAT网关中SNATDNAT未使用同一个EIP

SNAT条目绑定多个EIP时带宽峰值设置一致

NAT网关启用释放保护

NAT网关闲置检测

VPC私网网关闲置检测

NAT网关不存在处理水位异常

NAT网关可用区独立性

NAT网关状态检测

云企业网CEN

云企业网带宽包到期检查

ACS-BssOpenApi-SetRenewal

ACS-BssOpenApi-EnableAutoRenewal

CEN实例中的跨地域连接带宽分配满足指定要求

CEN实例中的VBR连接都设置了健康检查

为转发路由器VPC连接设置多个可用区

跨地域带宽不存在水位异常

TR配置路由条目数量不存在超限风险

VPN网关

未开通VPN网关

VPN网关闲置检测

VPN实例到期检查巡检

ACS-BssOpenApi-EnableAutoRenewal

VPN连接使用的加密算法不为None

使用多可用区的VPN网关

VPN网关状态正常

双隧道VPN网关主备隧道都已建立连接

VPN网关流入带宽使用率检测

VPN网关流出带宽使用率检测

VPN网关服务不存在水位异常

高速通道

使用高可靠模式的高速通道

边界路由器VBR实例配置健康检查

VBR实例不存在冗余缺失

VBR实例的BGP连接状态不存在异常

物理专线不存在端口异常

物理专线网关存在多个有效路由

CDN

CDN域名开启HTTPS加密

CDN使用的SSL证书未过期

CDN域名开启HTTP-HTTPS强制跳转

CDN域名开启Referer防盗链

CDN域名开启URL鉴权

CDN域名开启ocsp-stapling

CDN域名开启TLS13版本检测

为域名设置CDN缓存

CDN域名开启Gzip压缩

CDN域名开启Brotli压缩

CDN域名开启Range回源

CDN域名开启忽略参数

使用CDN进行OSS数据传输优化

CDN配置的源站信息不应指向不存在的OSS

CDN域名OSS类型的源站配置一致

CDN域名配置多个源站

CDN域名开启IPv6访问

边缘安全加速

DCDN域名配置多个源站

安全

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

DDoS 防护

DDoS实例到期检测

使用DDoS防护防止DDoS攻击风险

DDoS高防实例高防IP状态检测

Web应用防火墙

使用Web防火墙对网站或App进行安全防护

API网关中API分组绑定域名接入WAF

WAF防护域名开启指定防护功能

WAF防护域名的指定防护功能开启指定防护模式

WAF3实例开启指定防护规则

WAF实例开启日志采集

ACS-WAF-BulkyModifyLogServiceStatus

WAF3防护对象开启日志检测

云防火墙

云防火墙中不存在未开启防护的资产

云防火墙中不存在匹配指定条件的控制策略

云防火墙中存在匹配指定条件的控制策略

云防火墙中资产开启保护

云防火墙IPS已开启基础防御

ACS-Cloudfw-ModifyIPSConfig

云防火墙IPS已开启威胁情报

ACS-Cloudfw-ModifyIPSConfig

云防火墙IPS已开启虚拟补丁

ACS-Cloudfw-ModifyIPSConfig

云防火墙IPS已开启拦截模式

ACS-Cloudfw-ModifyIPSConfig

使用云防火墙对网络边界进行安全防护

云安全中心

使用云安全中心企业版

账号下所有ECS实例已安装云安全中心代理

云安全中心通知项目已设置通知方式

所有ECS实例漏洞都已修复

云安全中心无待修复的镜像漏洞

在云安全中心设置指定等级的漏洞扫描

云安全中心未发现已泄露的AccessKey

云安全中心未发现高危风险弱口令资产

在云安全中心开启指定类型的主动防御

在云安全中心开启指定类型的资产指纹采集

数字证书管理服务(SSL证书)

SSL证书到期检测

密钥管理服务

KMS主密钥开启删除保护

ACS-KMS-BulkySetDeletionProtection

KMS主密钥未设置为待删除

密钥管理服务设置主密钥自动轮转

ACS-KMS-BulkyUpdateRotationPolicy

密钥管理服务设置凭据自动轮转

KMS凭据成功轮转

不使用外部来源KMS主密钥

使用多可用区的KMS实例

KMS实例到期检测

ACS-BssOpenApi-EnableAutoRenewal

数据安全中心

未开启数据安全中心敏感数据识别

堡垒机

堡垒机实例到期检查

使用多可用区部署的堡垒机版本

中间件

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

微服务引擎MSE

MSE集群开放公网访问且开启鉴权

MSE集群公网检测

使用高可用版本的MSE注册配置中心

MSE注册配置中心多节点检测

MSE注册配置中心引擎版本检测

MSE注册配置中心容量检测

MSE云原生网关多节点检测

MSE云原生网关部署在多可用区

MSE云原生网关版本检测

企业级分布式应用服务EDAS

EDAS未配置日志收集

云消息队列RocketMQ

使用多可用区的消息队列 RocketMQ 5.0 版实例

使用铂金版RocketMQ实例

消息队列Kafka

Kafka实例公网IP白名单未设置为对所有IP开放

使用多可用区的消息队列Kafka版实例

轻量消息队列

MNS消息队列禁用公网访问

API网关

API网关中的API设置为私有

API网关实例开启IPv4访问控制并设置有效名单

API网关实例开启IPv6访问控制并设置有效名单

API网关中开启公网访问的API请求方式为HTTPS

ACS-ApiGateway-BulkyModifyApiGroupNetworkPolicy

API网关中API分组的HTTPS安全策略满足要求

API网关中API分组绑定自定义域名

API网关中API分组的自定义域名设置了SSL证书

API分组绑定独立域名并开启HTTPS强制跳转

API网关中API安全认证设置为JWT方式

API网关中配置API安全认证

API分组设置调用日志存储

API网关中API分组绑定域名接入WAF或者WAF3.0

API分组配置链路追踪功能

使用多可用区的API网关实例

数据库

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

云原生数据库PolarDB

PolarDB预付费集群到期检查

PolarDB-X1实例到期检测

PolarDB-X2实例到期检测

PolarDB集群开启删除保护

PolarDB集群设置合理的维护时间段

PolarDB集群日志备份保留周期满足指定要求

PolarDB集群数据二级备份保留周期满足指定要求

PolarDB集群的数据一级备份保留周期满足指定要求

推荐使用专有网络类型的PolarDB实例

使用独享型的PolarDB实例

PolarDB产品系列为集群版

使用多可用区的PolarDB-X2实例

使用稳定内核版本的PolarDB集群

PolarDB数据库小版本状态为stable

PolarDB实例IP白名单不能设置为全网段

PolarDB集群的所有连接地址都未开启公网

PolarDB实例未开启公网或IP白名单未设置为全网段

PolarDB的集群连接地址连接类型设置为指定的值

PolarDB的集群连接地址读写模式设置为可读可写

PolarDB的集群连接地址的会话一致性级别设置为指定的值

PolarDB集群的集群地址连接格式满足要求

PolarDB集群主地址连接格式满足要求

PolarDB集群只读地址连接格式满足要求

PolarDB集群开启热备集群

PolarDB集群只读地址关闭新节点自动加入

PolarDB的集群连接地址开启新节点自动加入

PolarDB的集群连接地址设置为主库接受读

PolarDB的集群连接地址设置事务拆分状态为已关闭

PolarDB集群开启TDE

PolarDB集群设置SSL加密

PolarDB集群开启SQL审计

PolarDB集群默认时区参数值非System

PolarDB集群中所有账号备注信息不为空

云数据库RDS

RDS预付费实例到期检查

后付费RDS实例长时间运行检查

RDS实例开启删除保护

RDS实例未开公网或IP白名单未设置为全网段

RDS实例未开公网链接且IP白名单未设置为全网段

未使用版本过低的RDS实例

RDS实例类型满足指定要求

RDS实例CPU核数满足最低要求

RDS实例内存满足最低要求

RDS实例存储空间满足最低要求

RDS实例读写频率满足最低要求

RDS实例平均连接数使用率检测

RDS实例CPU平均使用率检测

RDS实例IOPS平均使用率检测

RDS实例内存平均使用率检测

RDS实例CPU使用率空闲检测

RDS实例磁盘使用率空闲检测

RDS实例内存使用率空闲检测

RDS实例剩余空间容量检测

使用独享型的RDS实例

使用集群系列的RDS实例

使用专有网络类型的RDS实例

RDS实例网络类型为专有网络

RDS实例未申请外网地址

ACS-RDS-ReleaseInstancePublicConnection

RDS实例正确开启白名单

ACS-RDS-BulkyModifySecurityIpsByInstanceIPArray

RDS实例IP白名单不包含公网

RDS实例使用高安全白名单模式

ACS-RDS-BulkyMigrateSecurityIPMode

RDS实例使用SSL证书

RDS实例开启SSL并使用指定的TLS版本

使用数据库代理模式访问SQL Server

使用高可用的RDS实例

使用多可用区的RDS实例

RDS实例主备自动切换配置检测

ACS-RDS-BulkyModifyHASwitchConfig

RDS实例数据复制方式非异步同步

RDS创建灾备实例

RDS读写实例延迟检查

RDS集群的主备节点配置CPU和内存大小不一致

RDS集群的主备节点未配置为相同的实例类型

RDS实例开启TDE加密

RDS实例使用自定义密钥开启TDE

RDS实例开启云盘加密

RDS PostgreSQL数据持久性检查

ACS-RDS-BulkyModifyParameter

RDS实例开启日志备份

RDS实例开启跨地域备份

RDS实例存储空间自动扩展检测

ACS-RDS-BulkyModifyDasInstanceConfig

RDS实例自动扩缩容开启检测

RDS实例开启SQL审计

ACS-RDS-BulkyModifySQLCollectorPolicy

RDS实例SQL审计日志保留天数满足指定要求

ACS-RDS-BulkyModifySQLCollectorRetention

RDS实例开启历史事件

ACS-RDS-BulkyModifyActionEventPolicy

RDS实例慢SQL检测

RDS实例开启自动升级小版本

ACS-RDS-BulkyModifyDBInstanceAutoUpgradeMinorVersion

RDS实例设置合理的可维护时间段

RDS监控采集粒度设置满足要求

RDS实例创建动态RDS凭据

PostgreSQL数据库参数log_connections设置为on

PostgreSQL数据库参数log_disconnections设置为on

PostgreSQL数据库参数log_duration设置为on

数据库实例开启安全审计

数据库实例开启DAS开启SQL审计日志

云数据库Tair(兼容 Redis)

Redis预付费实例到期检查

Redis实例开启释放保护

Redis实例设置合理的备份时间段

Redis实例开启增量备份

Redis实例升级至最新小版本

Redis实例满足指定QPS要求

Redis实例满足指定带宽要求

Redis实例满足指定内存容量要求

Redis实例连接数平均使用率检测

Redis实例CPU平均使用率检测

Redis实例内存平均使用率检测

使用专有网络类型的Redis实例

Redis实例未设置公网IP

ACS-Redis-ReleaseInstancePublicConnection

Redis实例IP白名单不设置为全网段

ACS-Redis-BulkyDeleteSecurityIpFromInstanceIPArray

Redis实例未开启公网或安全白名单未设置为允许任意来源访问

Redis实例开启密码认证

Redis实例设置SSL加密

Redis实例开启SSL并使用指定的TLS版本

使用集群版的Redis实例

Redis实例为多可用区实例

Redis实例节点类型为双副本

使用实例类型为企业版的Redis实例

Redis实例开启TDE加密

Redis实例使用自定义密钥开启TDE加密

Tair类型的Redis实例关闭AOF落盘

Redis实例开启审计日志

ACS-REDIS-BulkyModifyAuditLogConfig

Redis实例审计日志保留天数满足指定要求

ACS-REDIS-BulkyModifyAuditLogConfig

Redis实例禁用高风险命令

ACS-Redis-BulkyModifyInstanceConfig

使用DTS数据同步实时构建缓存一致性

云原生多模数据库Lindorm

使用多可用区的云原生多模数据库Lindorm实例

Lindorm实例未开启公网访问

云数据库MongoDB

MongoDB预付费集群到期检查

MongoDB实例开启释放保护

MongoDB实例未被锁定

MongoDB集群开启审计日志

MongoDB实例打开日志备份

MongoDB实例满足指定读写次数要求

MongoDB满足指定连接数要求

MongoDB使用独享型或专属型规格实例

使用专有网络类型的MongoDB实例

MongoDB实例IP白名单不设置为全网段

MongoDB实例未开启公网或安全白名单未设置为允许任意来源访问

MongoDB实例开启SSL加密

使用多节点的MongoDB实例

使用多可用区MongoDB实例

使用自定义密钥为MongoDB设置透明数据加密TDE

云原生数据仓库AnalyticDB MySQL

ADB集群未开启公网

ADB集群部署模式为多可用区

ADB集群开启SQL审计日志

ADB集群开启日志备份

ADB集群设置合理的可维护时间段

ADB数仓版实例到期检测

云原生数据仓库AnalyticDB PostgreSQL

使用多可用区的云原生数据仓库 AnalyticDB实例

PostgreSQL实例开启云盘加密

PostgreSQL实例开启SSL加密

AnalyticDB PostgreSQL可用数据备份检测

云数据库ClickHouse

使用多可用区的ClickHouse集群实例

时序时空数据库TSDB

TSDB实例未开启公网

TSDB实例安全白名单检测

云数据库HBase

HBase集群类型为集群版

使用专有网络类型的HBase集群

HBase集群未开启公网地址

HBase集群配置为高可用

使用多可用区的HBase集群

HBase集群开启删除保护

HBase预付费集群到期检查

云数据库OceanBase

OceanBase集群开启SSL加密

OceanBase租户IP白名单分组设置有效

Oceanbase租户未开启公网或安全白名单未设置为允许任意来源访问

OceanBase租户开启TDE加密

OceanBase集群开启数据库备份

OceanBase集群开启SQL诊断功能

数据管理DMS

DMS实例稳定变更开启检查

数据库实例开通敏感数据保护

数据传输服务DTS

DTS迁移任务源库和目标库使用SSL安全链接

DTS订阅任务源库使用SSL安全链接

DTS同步任务源库和目标库使用SSL安全链接

数据库实例开启DTS同步异地容灾

大数据计算

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

云原生大数据计算服务

MaxCompute项目开启加密

MaxCompute项目启用IP白名单

MaxCompute项目使用同城容灾架构

实时数仓Hologres

Hologram实例有远程备份数据

实时计算Flink

使用多可用区的Flink实例

检索分析服务Elasticsearch

使用专有网络服务的Elasticsearch实例

Elasticsearch实例未开启Kibana公网访问

Elasticsearch实例未开启公网访问

Elasticsearch实例未开启公网或不允许任意IP访问

Elasticsearch实例数据节点开启云盘加密

Elasticsearch实例弹性数据节点开启磁盘加密

Elasticsearch实例冷数据节点开启磁盘加密

Elasticsearch实例使用HTTPS传输协议

使用多可用区Elasticsearch实例

Elasticsearch实例开启自动备份

未使用不推荐的Elasticsearch实例

未使用不推荐的Elasticsearch实例版本

开源大数据平台E-MapReduce

EMR集群Master节点公网开启检测

EMR集群安全组任意白名单检测

迁移与运维管理

云服务

规则模板

支持修正设置的OOS模板ID

是否支持预检

访问控制RAM

阿里云账号不存在AccessKey

阿里云账号下未创建RAM用户

阿里云账号开启MFA

可用额度预警开启检测

ACS-Config-BSS-ModifyAlarm

检测您账号下账户密码策略

阿里云账号下存在匹配指定名称的资源

阿里云账号下存在满足指定要求的日志服务加工任务

RAM用户登录检查

RAM用户在指定时间内有登录行为

RAM用户的AccessKey在指定时间内轮换

RAM用户的AccessKey在指定时间内轮换

RAM用户不存在激活状态的密钥

RAM用户不存在闲置AccessKey

RAM用户下不存在已禁用的AccessKey

RAM用户及所属用户组未绑定指定条件的权限策略

RAM用户未绑定指定的高危权限

RAM用户存在有效AccessKey不超过1

检测RAM用户不能同时开启控制台访问和API调用访问

RAM用户密码策略符合要求

ACS-RAM-SetPasswordPolicy

RAM用户密码策略中设置密码复杂度满足要求

RAM用户密码策略中设置最大重试次数满足要求

RAM用户密码策略中设置密码有效期满足要求

高权限的RAM用户开启MFA

RAM用户开启MFA

ACS-ECS-BulkyUpdateLoginProfile

检测RAM用户是否开通MFA二次验证登录

不直接授权给RAM用户

RAM用户归属用户组

RAM用户组非空

不存在超级管理员

RAM用户及所属用户组无超级管理员或某个云产品管理员权限

RAM用户绑定了参数指定条件的权限策略

自定义RAM策略未包含参数指定的权限配置

不存在闲置的RAM权限策略

不存在闲置的RAM用户组

阿里云账号拥有指定名称的角色

RAM用户定义的角色不包括产品管理权限

RAM角色无超级管理员或某个云产品管理员权限

RAM用户未绑定指定的高危权限

开启角色SSO

RAM用户开启SSO

SSO SAML签名证书过期检查

SSO SCIM密钥过期检查

资源管理

资源归属指定区域范围

资源名称符合指定正则要求

ECS关联资源所属资源组继承自ECS实例

ACS-Config-ResourceManager-BulkyMoveResources

相关资源继承ECS磁盘归属的资源组

ACS-Config-ResourceManager-BulkyMoveResources

相关资源继承ECS网卡归属的资源组

ACS-Config-ResourceManager-BulkyMoveResources

相关资源继承NAT网关归属的资源组

ACS-Config-ResourceManager-BulkyMoveResources

相关资源继承负载均衡实例归属的资源组

ACS-Config-ResourceManager-BulkyMoveResources

资源关联的资源组不是默认资源组

资源继承资源组上的指定标签

ACS-TAG-TagResourcesIgnoreCaseSensitive

继承磁盘标签的资源检测

ACS-TAG-TagResourcesIgnoreCaseSensitive

继承自ECS实例标签的资源评估

资源管理账号类型检测

标签

说明

支持标签的云服务,请参见支持标签的云服务

存在所有指定标签

ACS-TAG-TagResources

至少存在一个指定标签

满足多标签值的一种枚举

匹配所有指定标签

资源标签信息不为空

资源标签匹配指定正则表达式

ACS-TAG-TagResources

操作审计

操作审计开启跟踪状态

操作审计开启全量日志跟踪

云监控

为指定云产品设置云监控报警规则

在云监控设置指定名称的事件报警规则

上一篇:规则模板下一篇:云服务器ECS