阿里云2026云上安全健康体检报告修复建议

存在待处理的账号安全管控事件

风险项名称：存在待处理的账号安全管控事件
修复建议：
治理步骤

1. 查看待处理管控事件（https://yundun.console.aliyun.com/?p=screw#/sc/event/accounts）。

2. 根据页面建议及时处理。

存在待处理的违规管控事件

风险项名称：存在待处理的违规管控事件
修复建议：
治理步骤

1. 查看待处理管控事件（https://yundun.console.aliyun.com/?p=scnew#/sc/event/resources）。

2. 根据页面建议及时处理。

存在待处理的攻击入侵事件

风险项名称：存在待处理的攻击入侵事件
修复建议：
治理步骤

1. 查看待处理管控事件（https://yundun.console.aliyun.com/?p=scnew#/sc/event/resources）。

2. 根据页面建议及时处理。

存在待处理的云资源高危漏洞

风险项名称：存在待处理的云资源高危漏洞
修复建议：
治理步骤

1. 查看待处理管控事件（https://yundun.console.aliyun.com/?p=scnew#/sc/event/resources）。

2. 根据页面建议及时处理。

存在 ECS 实例未开启安全防护

风险项名称：存在 ECS 实例未开启安全防护
修复建议：
治理步骤

1. 参考文档（https://help.aliyun.com/security-center/user-guide/install-the-security-center-agent）安装云安全中心客户端。

2. 免费激活或购买安全防护产品。

未正确设置安全联系方式

风险项名称：未正确设置安全联系方式
修复建议：
治理步骤

1. 新增安全联系人（https://yundun.console.aliyun.com/?p=screw#/overview）。

2. 完成邮箱和手机号认证。

3. 订阅安全消息。

4. 确认联系人有效。

主账号存在启用的 AccessKey

风险项名称：主账号存在启用的 AccessKey
费用说明：此项修复不涉及费用。
影响范围：此项修复将会禁用选中的主账号 AccessKey，禁用后该主账号 AccessKey 将无法正常使用，请确保选中的 AccessKey 未在任何程序或应用中使用。
修复建议：
情况一：针对「从未使用」的主账号AccessKey
建议进行禁用，禁用 3 个月后，如果期间没有发生和该 AccessKey 相关的问题，则删除。

情况二：针对「90天及以上未使用」的主账号 AccessKey
首先确认该 AccessKey 是否仍存在程序代码中或者某些应用当中。如果确认已经不再使用，则建议禁用该 AccessKey，禁用 3 个月后，如果期间没有出现问题，则删除该 AccessKey。如果仍旧存在于代码或者程序中，则该 AccessKey 仍旧有被调用的可能，因此需要进行腾挪。

情况三：针对「90天内使用中的 AccessKey」
需进行腾挪操作，步骤如下：

1. 进入 RAM 控制台，「身份管理」-「用户」，单击「创建用户」

2. 填写「登录名称」，下方「访问方式」，勾选 Open API 调用访问

3. 创建成功后，保存该 RAM 用户的 AccessKey，勾选该 RAM 用户，单击「添加权限」，在弹出的侧边栏中，添加 AdministratorAccess权限；

4. 在程序中将主账号 AccessKey 替换为上步骤中创建的 RAM 用户 AccessKey，在相应的测试环境中验证程序逻辑是否正常

5. 如果验证通过，将程序发布到生产环境，并将主账号 AccessKey 禁用，观察应用是否正常

6. 如果应用正常，则等待一定时间（如 3 个月），将禁用的主账号 AccessKey 删除

存在闲置的 AccessKey

风险项名称：存在闲置的 AccessKey。
费用说明：此项修复不涉及费用。
影响范围：此项修复将修改 RAM 全局安全控制中的 AccessKey 最大闲置时间设置，设置后超过最大闲置时间的 AccessKey 将在次日自动禁用控制台登录配置，禁用后该 AccessKey 将无法正常使用，请确保超过设定闲置时间的 AccessKey 未在任何程序或应用中使用。
修复建议：
情况一：针对「从未使用」的RAM用户 AccessKey
建议您直接禁用该 AccessKey。禁用 90 天后，如果没有发生与该 AccessKey 相关的问题，则可以直接删除该 AccessKey。具体操作，请参见禁用RAM用户的AccessKey（https://help.aliyun.com/ram/user-guide/disable-an-accesskey-pair-of-a-ram-user）和删除RAM用户的AccessKey（https://help.aliyun.com/ram/user-guide/delete-an-accesskey-pair-of-a-ram-user）。

情况二：针对「90天及以上未使用」的 RAM 用户 AccessKey
您需要确认该 AccessKey 是否在程序或应用中存在：

1. 如果确认不存在，建议您直接禁用该 AccessKey。禁用 90 天后，如果没有发生与该 AccessKey相关的问题，则可以直接删除该 AccessKey。具体操作，请参见禁用RAM用户的AccessKey（https://help.aliyun.com/ram/user-guide/disable-an-accesskey-pair-of-a-ram-user）和删除RAM用户的AccessKey（https://help.aliyun.com/ram/user-guide/delete-an-accesskey-pair-of-a-ram-user）。

2. 如果确认存在，则该 AccessKey 仍旧有被调用的可能，建议轮转 AccessKey。具体操作，请参见轮转RAM用户的AccessKey（https://help.aliyun.com/ram/user-guide/rotate-accesskey-pairs-of-ram-users）。

主账号未开启多因素认证 MFA

风险项名称：主账号未开启多因素认证 MFA
修复建议：
第一步：查看治理项文档
主账号默认使用用户名和密码登录，当用户名和密码不慎泄露后，攻击者有可能登录到控制台进行一些风险操作。详细文档链接（https://help.aliyun.com/account/user-guide/how-to-enable-the-mfa）

第二步：治理步骤
为主账号启用 MFA

存在未启用 MFA 的 RAM 用户

风险项名称：存在未启用 MFA 的 RAM 用户
修复建议：
第一步：查看治理项文档
RAM 用户默认使用用户名/密码登录，当用户名/密码不慎泄露后，攻击者即有可能登录到控制台进行一些风险操作。详细文档链接（https://help.aliyun.com/ram/user-guide/bind-an-mfa-device-to-a-ram-user）

第二步：治理步骤
为 RAM 用户设置 MFA

OSS Bucket 开启了公共写

风险项名称：OSS Bucket 开启了公共写
修复建议：
阻止OSS Bucket的公共访问
参考该文档（https://help.aliyun.com/oss/user-guide/block-public-access）阻止OSS Bucket的公共访问

OSS Bucket 开启了公共读

风险项名称：OSS Bucket 开启了公共读
修复建议：
阻止OSS Bucket的公共访问。
参考该文档（https://help.aliyun.com/oss/user-guide/block-public-access）阻止OSS Bucket的公共访问。

安全组对公网开放了高危端口（22/3389/……）

风险项名称：安全组对公网开放了高危端口（22/3389/……）
修复建议：
通过公网远程登录ECS实例
如需通过公网远程登录ECS实例，则需要明确访问来源的IP地址或地址段，修改该安全组规则，将授权对象修改为信任的公网IP地址或地址段，操作步骤请参考文档（https://help.aliyun.com/ecs/user-guide/modify-a-security-group-rule）。

不存在必须通过指定的远程访问方式登录ECS实例的场景。
如果不存在必须通过指定的远程访问方式登录ECS实例的场景，则建议通过ECS Workbench，从内网访问ECS实例，相关文档请参考文档（https://help.aliyun.com/ecs/user-guide/connect-to-an-instance-by-using-workbench）。

需要登录大量ECS实例的场景，建议通过堡垒机安全访问ECS实例，相关文档请参考文档（https://help.aliyun.com/bh/bastionhost/getting-started/overview）。需要注意的是，使用堡垒机会产生一定费用。

RDS 实例未开启日志备份

风险项名称：RDS 实例未开启日志备份
费用说明：实例有备份空间免费额度，若备份集存储量未超过免费额度，备份不收费；超过后将收取备份存储费用。免费额度以及计费标准详情，请参见备份费用
影响范围：此治理会为RDS实例开启自动备份功能，建议在业务低峰期执行备份，以减少因备份操作所引起的资源消耗
修复建议：
第一步：查看治理项文档
基于数据备份，您可以恢复数据到备份保留时间内的任意时间点或版本。如果没有开启数据备份，当本地数据丢失时，如果错误覆盖或者删除，将会出现无法恢复数据的风险。详细文档（https://help.aliyun.com/rds/apsaradb-rds-for-sql-server/back-up-an-apsaradb-rds-for-sql-server-instance）

第二步：治理步骤

1. 访问RDS实例列表，在上方选择地域，然后单击目标实例ID

2. 在左侧导航栏单击备份恢复

3. 在备份恢复页面中选择备份设置页签，单击编辑

4. 设置保留天数、备份周期等参数，然后单击保存

ECS 磁盘未设置自动快照策略

风险项名称：ECS 磁盘未设置自动快照策略
费用说明：开启自动快照策略将收取额外费用，具体请参考快照计费文档。
影响范围：应用快照策略后，ECS磁盘将会在预设的时间点周期性地创建快照，请确保时间段设置在业务低峰期
修复建议：
第一步：查看治理项文档
自动快照策略可以在预设的时间点周期性地创建快照，保护云盘数据，是系统安全性和容错率的重要保障。当您在ECS实例上部署的个人网站或者数据库等应用出现系统安全攻击或者触发系统漏洞时，您可能来不及手动创建快照。这时您可以使用最临近的自动快照回滚云盘，降低损失。详细文档（https://help.aliyun.com/ecs/user-guide/enable-or-disable-an-automatic-snapshot-policy）

第二步：治理步骤

1. 登录ECS管理控制台

2. 在左侧导航栏，选择存储与快照 > 快照

3. 在顶部菜单栏左上角处，选择地域

4. 在快照页面，单击自动快照策略页签

5. 在自动快照策略页面，找到需要修改的策略，在操作列单击设置云盘

6. 在设置云盘对话框，执行自动快照策略

存在泄露且未处理的 AccessKey

风险项名称：存在泄露且未处理的 AccessKey
费用说明：此项修复不涉及费用
影响范围：此项修复将在云安全中心中将泄露 AccessKey 事件设置为已处理，在修复前请确保已正确处理好泄露的 AccessKey
修复建议：
情况一：针对 AccessKey 不再使用
如果 AccessKey 不再使用，则建议禁用该 AccessKey。禁用 90 天后，如果期间未出现与该 AccessKey 相关的问题，则可以删除该 AccessKey。具体操作，请参见禁用RAM用户的AccessKey（https://help.aliyun.com/ram/user-guide/disable-an-accesskey-pair-of-a-ram-user）和删除RAM用户的AccessKey（https://help.aliyun.com/ram/user-guide/delete-an-accesskey-pair-of-a-ram-use）r）

情况二：针对 AccesKey 仍在使用
如果该 AccessKey 仍旧存在于代码或者程序中，则这些 AccessKey 仍旧有被调用的可能，因此需要将 AccessKey 腾挪到新的 RAM 用户下。操作步骤参考轮转RAM用户的Accesskey（https://help.aliyun.com/ram/user-guide/rotate-accesskey-pairs-of-ram-users）

存在过多 RAM 身份被授予 Admin 权限

风险项名称：存在过多 RAM 身份被授予 Admin 权限
费用说明：此项修复不涉及费用
影响范围：修复时将使用PowerUserAccess替换AdministratorAccess，替换后的身份提供对阿里云服务和资源的完全访问权限，但不允许管理 RAM 身份及其权限，管理资源目录和资源共享关系，或是修改资金账号信息。
修复建议：
通过访问分析器治理

1. 查看检测结果中的资源列表，点击操作列中的修复按钮，前往 RAM 控制台对应资源的分析结果页面

2. 在分析结果详情页，点击操作列的治理建议页签。

3. 在治理建议面板中，找到将权限替换为系统管理员（PowerUserAccess）的建议。

4. 根据资源所有者的不同，执行相应操作：如果是当前账号，直接点击应用建议。系统将自动为目标身份附加 PowerUserAccess 策略，然后分离 AdministratorAccess 策略；如果是跨账号，系统不支持自动应用。请点击复制URL，然后登录到目标资源所在的账号，访问该URL并手动完成权限替换。

5. 如果分析器没有给出治理建议，可以参考：为何治理建议会显示为空？（https://help.aliyun.com/ram/user-guide/managing-over-privileged-identities-with-access-analyzer?#96b43ac830kir）

存在启用控制台登录同时又保有 AccessKey 的 RAM 用户

风险项名称：存在启用控制台登录同时又保有 AccessKey 的 RAM 用户
费用说明：此项修复不涉及费用
影响范围：此项修复将禁用选中的 RAM 用户的控制台登录配置，禁用后该 RAM 用户将无法正常通过控制台登录，请确保选中的 RAM 用户不再需要登录
修复建议：
情况一：针对人员无登录控制台需求的情况
确认使用该 RAM 用户（以下称混用 RAM 用户 A）的人员是否有登录控制台的需求，如果没有，则修改该混用 RAM 用户 A 的登录设置，禁用控制台访问。

情况二：针对人员有登录控制台需求的情况
如果使用该混用 RAM 用户 A 的人员仍旧需要访问控制台，则为该人员创建新的 RAM 用户（以下称 RAM 用户 B），进行身份腾挪，操作步骤如下：

1. 打开 RAM 控制台，找到该混用 RAM 用户 A，确认其权限策略

2. 创建新的 RAM 用户，「登录名称」建议为使用该 RAM 用户的人员姓名拼音或者员工账号等，「显示名称」建议使用该人员姓名或员工工号等，「访问方式」勾选控制台访问，推荐开启「MFA 多因素认证」。

3. 创建成功后，勾选该用户，单击「添加权限」按钮，为该 RAM 用户 B 添加第一步中混用 RAM 用户 A 的权限点

4. 返回 RAM 控制台「身份管理」-「用户」，找到混用 RAM 用户 A，单击用户名进入用户详情，单击「修改登录设置」，在弹出的侧边栏，「控制台访问」改为禁用，单击「确认」

存在闲置的 RAM 用户

风险项名称：存在闲置的 RAM 用户
费用说明：此项修复不涉及费用
影响范围：此项修复将修改 RAM 全局安全控制中的 RAM 用户最大闲置时间设置，设置后超过最大闲置时间的 RAM 用户将在次日自动禁用控制台登录配置，禁用后 RAM 用户将无法正通过登录配置正常登录控制台。
修复建议：
情况一：针对无登录控制台需求的情况
对于确定没有登录控制台需求的闲置 RAM 用户，禁用控制台访问方式。具体操作，请参见修改控制台登录设置（https://help.aliyun.com/ram/user-guide/manage-console-logon-settings-for-a-ram-user-1#section-xhr-6rv-o2a）。

情况二：针对确定不再使用的情况
如果闲置 RAM 用户没有 AccessKey，且能够确定该 RAM 用户不再被任何人使用，且没有在一些云服务中作为特定身份使用，则在禁用控制台登录方式一定时间后（例如：3个月），将该 RAM 用户删除。需要确认的场景如下：

1. 容器镜像服务 ACR 中用于镜像拉取的 RAM 用户

2. DataWorks 中用于特定计算任务的 RAM 用户

3. 其他 PaaS、SaaS 类产品：云效、云呼叫中心、企业级分布式应用服务 EDAS 或数据管理 DMS 等

OSS Bucket 存在匿名账号访问规则

风险项名称：OSS Bucket 存在匿名账号访问规则
修复建议：
Bucket 授权策略
进入对应Bucket详情，选择权限控制 > Bucket 授权策略

Bucket Policy 授权策略
在Bucket授权策略列表，找到“效力”为允许，且“授权用户”包含其他云账号UID或其他云账号中的RAM用户ARN等授权对象的策略，单击策略后面的编辑按钮，在“授权用户”中取消选择“所有用户”。Bucket Policy相关操作可以参考该文档（https://help.aliyun.com/oss/user-guide/use-bucket-policy-to-grant-permission-to-access-oss/）

SLB 服务器证书存在到期风险

风险项名称：SLB 服务器证书存在到期风险
修复建议：
对于从阿里云数字证书管理服务中购买的证书
参考该文档（https://help.aliyun.com/ssl-certificate/user-guide/functions-and-features）购买新的SSL证书，并通过云产品托管部署的方式部署到SLB上，可以参考该文档（https://help.aliyun.com/ssl-certificate/user-guide/deploy-ssl-certificates-to-alibaba-cloud-services）。

对于自行购买和管理的证书
请自行申请新的证书后，再参考对应的负载均衡操作文档替换证书。比如针对传统型负载均衡CLB，可以参考该文档（https://help.aliyun.com/slb/classic-load-balancer/user-guide/replace-a-certificate）。

CDN 使用的 SSL 证书临近过期

风险项名称：CDN 使用的 SSL 证书临近过期
修复建议：
方法一：续费
到证书购买平台续费证书。

方法二：更换证书

1. 登录CDN控制台。

2. 在左侧导航栏，单击域名管理。

3. 在域名管理页面，找到目标域名，单击操作列的管理。

4. 在指定域名的左侧导航栏，单击HTTPS配置。

5. 在HTTPS证书区域，单击修改配置。

6. 在HTTPS设置界面，打开HTTPS安全加速开关，并配置证书相关参数。

SSL 证书管理服务中的证书存在到期风险

风险项名称：SSL 证书管理服务中的证书存在到期风险
修复建议：
对于从阿里云数字证书管理服务中购买的证书
参考该文档（https://help.aliyun.com/ssl-certificate/user-guide/functions-and-features）购买新的SSL证书。

对于已经过期的证书，可以直接删除
操作文档可以参考该文档（https://help.aliyun.com/ssl-certificate/user-guide/revoke-and-delete-a-certificate）。

对于自行购买的证书
请自行申请新的证书后上传到数字证书管理服务，操作文档请参考该文档（https://help.aliyun.com/ssl-certificate/user-guide/upload-an-ssl-certificate）。

CDN 域名未配置 HTTP 强制跳转到 HTTPS

风险项名称：CDN 域名未配置 HTTP 强制跳转到 HTTPS
修复建议：
为CDN域名配置HTTPS
如果该CDN域名还未配置HTTPS，可以参考该文档（https://help.aliyun.com/cdn/user-guide/configure-an-ssl-certificate）为CDN域名配置HTTPS。

为CDN域名配置强制跳转，请参考该文档（https://help.aliyun.com/cdn/user-guide/configure-url-redirection）

Elasticsearch 实例未使用 HTTPS 传输协议

风险项名称：Elasticsearch 实例未使用 HTTPS 传输协议
修复建议：
为Elasticsearch配置HTTPS协议
参考该文档（https://help.aliyun.com/es/user-guide/enable-https）为Elasticsearch配置HTTPS协议。

PolarDB 集群未开启 TDE 数据加密

风险项名称：PolarDB 集群未开启 TDE 数据加密
修复建议：

1. 登录PolarDB控制台。

2. 在左上角，选择集群所在地域。

3. 找到目标集群，单击集群ID。

4. 在左侧导航栏单击配置与管理 > 安全管理。

5. 在TDE配置页签，打开TDE状态开关。

6. 在设置TDE对话框中，选择使用服务密钥（阿里云自动生成）或使用已有自定义密钥。

详情请参见设置透明数据加密TDE（https://help.aliyun.com/polardb/polardb-for-mysql/user-guide/configure-tde-for-a-polardb-for-mysql-cluster）。

RDS 实例未开启 TDE 数据加密

风险项名称：RDS 实例未开启 TDE 数据加密
修复建议：

1. 访问RDS实例列表，在上方选择地域，然后单击目标实例ID。

2. 在左侧导航栏单击数据安全性。

3. 在TDE页签单击开通TDE功能。

4. 选择需要使用的密钥类型。

5. 单击确定，开通TDE功能。

详情请参见设置透明数据加密TDE（https://help.aliyun.com/rds/apsaradb-rds-for-mysql/configure-tde-for-an-apsaradb-rds-for-mysql-instance）。

数据安全中心未开启敏感数据识别

风险项名称：数据安全中心未开启敏感数据识别
修复建议：

1. 在识别模型页签，单击添加模型。

2. 在添加模型面板，配置模型参数，然后单击确定。

详情请参见查看和配置识别模板（https://help.aliyun.com/dsc/data-security-center/user-guide/configure-identification-templates）。

ECS 实例未禁止绑定公网地址

风险项名称：ECS 实例未禁止绑定公网地址
修复建议：
确认该公网IP是否用于对外提供服务
如果该ECS实例内的服务需要暴露到公网，建议使用负载均衡暴露实例内的服务。请参考该文档（https://help.aliyun.com/slb/product-overview/slb-overview），根据业务特点选择合适的负载均衡服务。

确认该公网IP是否用于实例内部的公网访问
如果该ECS需要访问公网，建议在VPC内创建NAT 网关，并配置SNAT规则用于公网访问。因为该ECS实例已经分配了固定公网IP，这台ECS实例会优先通过固定公网IP访问互联网，请参考该文档（https://help.aliyun.com/nat-gateway/use-cases/unified-public-network-export-ips）将该实例的公网访问切换到NAT网关上，实现公网出口IP不变。如果当前公网IP需要保留（如用于第三方服务白名单情况），可以将该公网IP切换为弹性IP后绑定到NAT网关上，实现公网出口IP不变。

完成切换后，验证业务是否正常
建议通过云监控等监控机制，观察该公网IP是否有流量。

确认当前公网IP的类型
如果是固定公网IP类型，请先切换为弹性公网IP。切换方法请参考该文档（https://help.aliyun.com/ecs/user-guide/convert-the-public-ip-address-of-an-instance-in-a-vpc-to-an-eip）。

释放该弹性公网IP
将该弹性公网IP释放，请参考该文档（https://help.aliyun.com/ecs/user-guide/associate-or-disassociate-an-eip）。

安全组入网规则设置了 0.0.0.0/0 和任意端口

风险项名称：安全组入网规则设置了 0.0.0.0/0 和任意端口
修复建议：
根据实例需要开放的端口和授权对象（IP地址）新建安全组入向规则
如果确认当前安全组下的实例不存在需要全部开放的情况，则可以根据这些实例需要开放的端口和授权对象（IP地址），新建相应的安全组入向规则，操作步骤请参考文档（https://help.aliyun.com/zh/ecs/user-guide/manage-security-group-rules）。

删除安全组入向规则
完成创建后，删除全部开放的入向规则，操作步骤参考文档（https://help.aliyun.com/zh/ecs/user-guide/manage-security-group-rules）

表格存储 Tablestore 实例开启了公网访问和经典网络访问

风险项名称：表格存储 Tablestore 实例开启了公网访问和经典网络访问
修复建议：
确认应用程序或客户端是否有使用该实例的公网域名。如有，请先替换为VPC域名。
确认无公网域名依赖后，修改该实例的服务地址，选择“限定控制台或VPC访问”或“限定绑定VPC访问”。操作步骤可以参考文档（https://help.aliyun.com/tablestore/network-security-management）

PolarDB 集群设置了公网连接地址

风险项名称：PolarDB 集群设置了公网连接地址
费用说明：此项修复不涉及费用
影响范围：此项修复将删除PolarDB实例下IP白名单内所有的0.0.0.0/0规则，如果白名单分组下仅包含0.0.0.0/0分组，那么该分组也将被删除。在修复前请注意业务未通过0.0.0.0/0规则访问对应的PolarDB实例，以免对业务产生影响
修复建议：
确认应用程序或客户端是否有使用该实例的公网地址
如有，请先替换为私网地址。

确认无公网地址依赖后，释放该实例的公网连接地址
操作步骤可以参考该文档（https://help.aliyun.com/polardb/polardb-for-mysql/user-guide/apply-for-a-cluster-endpoint-or-a-primary-endpoint）

RDS 实例开启了公网访问地址且未设置白名单

风险项名称：RDS 实例开启了公网访问地址且未设置白名单
费用说明：当前操作不产生额外费用
影响范围：此项修复将删除RDS IP白名单内的0.0.0.0/0规则，在修复前请注意业务未通过0.0.0.0/0规则访问对应的RDS实例，以免对业务产生影响
修复建议：
确认应用程序或客户端是否有使用该实例的外网地址
确认应用程序或客户端是否有使用该实例的外网地址。如有，请先替换为内网地址。

释放该实例的外网连接地址
确认无外网地址依赖后，释放该实例的外网连接地址。操作步骤可以参考文档（https://help.aliyun.com/rds/apsaradb-rds-for-mysql/apply-for-or-release-a-public-endpoint-for-an-apsaradb-rds-for-mysql-instance）。

Redis 实例设置了公网连接地址

风险项名称：Redis 实例设置了公网连接地址
费用说明：此项修复不涉及费用
影响范围：此项修复将删除Redis实例下IP白名单内所有的0.0.0.0/0规则，如果白名单分组下仅包含0.0.0.0/0分组，那么该分组也将被删除。在修复前请注意业务未通过0.0.0.0/0规则访问对应的Redis实例，以免对业务产生影响
修复建议：
确认应用程序或客户端是否有使用该实例的公网地址
如有，请先替换为私网地址。

确认无公网地址依赖后，释放该实例的公网连接地址
操作步骤可以参考该文档（https://help.aliyun.com/redis/user-guide/release-a-public-endpoint-for-an-apsaradb-for-redis-instance）。

MongoDB 实例开启了公网访问地址且未设置白名单

风险项名称：MongoDB 实例开启了公网访问地址且未设置白名单
费用说明：此项修复不涉及费用
影响范围：此项修复将删除MongoDB实例下IP白名单内所有的0.0.0.0/0规则，如果白名单分组下仅包含0.0.0.0/0分组，那么该分组也将被删除。在修复前请注意业务未通过0.0.0.0/0规则访问对应的MongoDB实例，以免对业务产生影响
修复建议：
确认应用程序或客户端是否有使用该实例的公网地址
如有，请先替换为私网地址。

确认无公网地址依赖后，释放该实例的公网连接地址
操作步骤可以参考该文档（https://help.aliyun.com/mongodb/user-guide/release-a-public-endpoint）。

Elasticsearch 实例开启了公网访问地址且未设置白名单

风险项名称：Elasticsearch 实例开启了公网访问地址且未设置白名单
修复建议：
关闭Elasticsearch公网访问开关
参考该文档（https://help.aliyun.com/es/user-guide/configure-a-public-or-private-ip-address-whitelist-for-an-elasticsearch-cluster）关闭Elasticsearch公网访问开关。

Elasticsearch 实例的 Kibana 服务开启了公网访问地址且未设置白名单

风险项名称：Elasticsearch 实例的 Kibana 服务开启了公网访问地址且未设置白名单
费用说明：当前操作不产生额外费用
影响范围：此项修复将删除ElasticSearch实例下Kibana IP白名单内所有的0.0.0.0/0规则，如果白名单分组下仅包含0.0.0.0/0分组，那么该分组也将被删除。在修复前请注意业务未通过0.0.0.0/0规则访问对应的ElasticSearch实例的Kibana服务，以免对业务产生影响
修复建议：
关闭和启用公网访问
参考该文档（https://help.aliyun.com/es/user-guide/configure-a-public-or-private-ip-address-whitelist-for-kibana）关闭公网访问，启用私网访问。

云防火墙 IPS 未开启基础防御

风险项名称：云防火墙 IPS 未开启基础防御
费用说明：当前操作不产生额外费用
影响范围：开启后云防火墙将提供基本的入侵防御能力，包括拦截命令执行漏洞和管理被感染设备连接到命令控制（C&C）服务器等行为
修复建议：
第一步
登录云防火墙控制台。在左侧导航栏，选择攻击防护 > 防护配置。

第二步
在高级设置区域，开启基础防御开关。

NAT 网关实例未完全接入 NAT 边界防火墙防护

风险项名称：NAT 网关实例未完全接入 NAT 边界防火墙防护
修复建议：
步骤一：准备

1. 已开通云防火墙服务，并且购买了足够数量的NAT边界防火墙授权数。

2. 已创建公网NAT网关。

步骤二：创建
参考文档（https://www.alibabacloud.com/help/cloud-firewall/cloudfirewall/user-guide/nat-firewalls）创建NAT边界防火墙。

步骤三：使用
创建NAT防火墙后，您可以为NAT防火墙设置访问控制策略等，以便您更好地管控私网资产和互联网之间的流量访问。

DDoS 高防遭遇的攻击超出防御阈值

风险项名称：DDoS 高防遭遇的攻击超出防御阈值
修复建议：
步骤一：登录DDoS高防控制台

1. 进入DDoS高防控制台。

2. 在顶部导航栏，选择服务所在地域（如中国内地或非中国内地）。

步骤二：进入防护设置页面

1. 在左侧导航栏，选择“防护设置 > 通用防护策略”。

2. 在基础设施DDoS防护页签下，从左侧实例列表中选择需要处理的DDoS高防实例。可以通过实例ID或备注快速搜索目标实例。

步骤三：执行黑洞解封

1. 定位到黑洞解封区域，检查当前实例状态。

2. 如果实例处于黑洞状态且不希望等待自动解封，单击“解封”按钮，并耐心等待黑洞状态解除。

3. 如果实例为正常状态，则无需操作，解封按钮不可用 。

步骤四：升级防护配置
如果频繁进入黑洞，建议提升防护能力：

1. 增加弹性防护带宽，确保覆盖潜在攻击流量。

2. 升级至高级防护套餐，以支持更高防护水位和更多高级防护次数。

3. 根据业务需求调整防护策略，例如启用智能AI防护或配置流量调度器联动规则。

NAS 文件系统数据备份策略存在风险

风险项名称：NAS 文件系统数据备份策略存在风险 费用说明：回收站功能本身不收取任何费用，但是暂存在回收站中的文件将按照删除前的存储类型收取存储费用。为节省不必要的存储费用，请您合理配置文件保留时间。计费详情，请参见回收站、通用型NAS计费和通用型NAS计费
影响范围：开启回收站后，被删除的文件将自动进入回收站，并在规定的保留时间之后彻底删除。
修复建议：
NAS回收站
此项检查您是否开启NAS文件系统回收站功能。
修复方案：进入文件存储 NAS控制台。在左侧导航栏，选择文件系统>文件系统列表。在顶部菜单栏，选择地域。在文件系统列表页面，单击目标文件系统名称。在文件系统详情页，选择回收站页签，单击开启回收站。在开启回收站对话框，选择文件保留时间天数。单击确定。

NAS备份
此项检查您是否使用云备份的NAS备份功能。
修复方案：进入云备份控制台。在左侧导航栏，选择备份 >NAS备份，点击创建备份计划，根据提示完成备份设置。

NAS备份库跨地域复制
此项检查您使用云备份的NAS备份库是否开启跨地域备份。
修复方案：进入云备份控制台。在左侧导航栏，单击存储库管理，选择需要操作的备份库，在操作中点击跨地域备份，选择需要复制到的目标地域，完成备份库跨地域配置。
详细文档请参考检查文件存储 NAS资源（https://help.aliyun.com/bdrc/user-guide/nas-files）。

OSS Bucket 数据备份策略存在风险

风险项名称：OSS Bucket 数据备份策略存在风险
费用说明：版本控制功能本身不收取任何费用，但对当前版本和所有历史版本的文件都会收取存储费用，详见计费概述
影响范围：此治理会为OSS Bucket开启版本控制功能，存在部分功能互斥，具体影响请参考版本控制
修复建议：
OSS版本控制
此项检查您是否已启用OSS Bucket的版本控制功能。
修复方案：进入对象存储OSS控制台，Bucket列表->选择对应Bucket->数据安全->版本控制，启用版本控制。

OSS跨地域复制
此项检查您是否开启OSS Bucket跨地域复制功能。
修复方案：进入对象存储OSS控制台，Bucket列表->选择对应Bucket->数据管理->跨区域复制或者同区域复制。

OSS备份
此项检查您是否使用云备份的OSS备份功能。
修复方案：进入云备份控制台。在左侧导航栏，选择备份->OSS备份，点击创建备份计划，根据提示完成备份设置。

OSS备份库跨地域复制
此项检查您使用云备份的OSS备份库是否开启跨地域备份。
修复方案：进入云备份控制台。在左侧导航栏，单击存储库管理，选择需要操作的备份库，在操作中点击跨地域备份，选择需要复制到的目标地域，完成备份库跨地域配置。
详细文档请参考检查对象存储OSS资源（https://help.aliyun.com/bdrc/user-guide/oss-buckets）。

表格存储 Tablestore 实例数据备份策略存在风险

风险项名称：表格存储 Tablestore 实例数据备份策略存在风险
修复建议：
进入云备份控制台。在左侧导航栏，选择备份 >Tablestore备份，在需要备份的Tablestore实例上点击备份，创建备份计划，根据提示完成备份设置。

Tablestore备份库跨地域复制
此项检查您使用云备份的Tablestore备份库是否开启跨地域备份。
修复方案：进入云备份控制台。在左侧导航栏，单击存储库管理，选择需要操作的备份库，在操作中点击跨地域备份，选择需要复制到的目标地域，完成备份库跨地域配置。
详细文档请参考检查表格存储Tablestore资源（https://help.aliyun.com/bdrc/user-guide/tablestore-instances）。

RDS 实例存在单可用区部署风险

风险项名称：RDS 实例存在单可用区部署风险
修复建议：
第一步：查看治理项文档
单可用区实例仅可以承受服务器和机架级别的故障，而多可用区实例可以承受机房级别的故障。对于核心系统最好是选择多可用实例。如果只选择了一个可用区，当这个可用区出现故障时，会影响对应实例资源，进而影响业务稳定性。详细文档（https://help.aliyun.com/rds/apsaradb-rds-for-mysql/migrate-an-apsaradb-rds-for-mysql-instance-across-zones-in-the-same-region）

第二步：治理步骤
建议从单可用区迁移至多可用区，具体可参考官方链接

SLB 实例以及监听的服务器组存在单点部署风险

风险项名称：SLB 实例以及监听的服务器组存在单点部署风险
修复建议：
第一步：查看治理项文档
单可用区实例仅可以承受服务器和机架级别的故障，而多可用区实例可以承受机房级别的故障。对于核心系统最好是选择多可用实例。如果只选择了一个可用区，当这个可用区出现故障时，会影响对应实例资源，进而影响业务稳定性。详细文档（https://help.aliyun.com/document_detail/27543.html#section-kc4-kx4-tdb）

第二步：治理步骤
建议从单可用区迁移至多可用区，具体可参考官方链接

Redis 实例存在单可用区部署风险

风险项名称：Redis 实例存在单可用区部署风险
修复建议：
第一步：查看治理项文档
单可用区实例仅可以承受服务器和机架级别的故障，而多可用区实例可以承受机房级别的故障。对于核心系统最好是选择多可用实例。如果只选择了一个可用区，当这个可用区出现故障时，会影响对应实例资源，进而影响业务稳定性。详细文档（https://help.aliyun.com/redis/user-guide/migrate-an-instance-across-zones）

第二步：治理步骤
建议从单可用区迁移至多可用区，具体可参考官方链接

OSS Bucket 未开启同城冗余存储

风险项名称：OSS Bucket 未开启同城冗余存储
修复建议：
第一步：查看治理项文档
单可用区实例仅可以承受服务器和机架级别的故障，而多可用区实例可以承受机房级别的故障。对于核心系统最好是选择多可用实例。如果只选择了一个可用区，当这个可用区出现故障时，会影响对应实例资源，进而影响业务稳定性。详细文档（https://help.aliyun.com/oss/user-guide/zrs）

第二步：治理步骤
建议OSS存储空间开启同城冗余存储，具体可参考官方链接

MongoDB 实例存在单可用区部署风险

风险项名称：MongoDB 实例存在单可用区部署风险
修复建议：
第一步：查看治理项文档
单可用区实例仅可以承受服务器和机架级别的故障，而多可用区实例可以承受机房级别的故障。对于核心系统最好是选择多可用实例。如果只选择了一个可用区，当这个可用区出现故障时，会影响对应实例资源，进而影响业务稳定性。详细文档（https://help.aliyun.com/mongodb/user-guide/zone-disaster-restoration-solution/）

第二步：治理步骤
建议从单可用区迁移至多可用区，具体可参考官方链接

PolarDB 集群未开启存储热备集群

风险项名称：PolarDB 集群未开启存储热备集群
修复建议：
第一步：查看治理项文档
单可用区实例仅可以承受服务器和机架级别的故障，而多可用区实例可以承受机房级别的故障。对于核心系统最好是选择多可用实例。如果只选择了一个可用区，当这个可用区出现故障时，会影响对应实例资源，进而影响业务稳定性。详细文档（https://help.aliyun.com/polardb/polardb-for-mysql/user-guide/cluster-hot-standby）

第二步：治理步骤
建议从单可用区迁移至多可用区，具体可参考官方链接

MSE 相关组件存在单可用区部署风险

风险项名称：MSE 相关组件存在单可用区部署风险
修复建议：
方法一：MSE-ZK版本升级。
MSE ZooKeeper专业版在开源ZooKeeper的基础上提供多项优化和能力保障，使得服务更加稳定。支持多AZ部署等特性。对于MSE ZooKeeper基础版的存量用户可通过官方升级文档（https://help.aliyun.com/mse/user-guide/upgrade-a-zookeeper-version）来完成多可用区升级。

方法二：MSE-Nacos-Ans版本升级。
MSE注册配置中心的产品版本分为专业版和开发版，同时Nacos有自身的引擎版本。MSE基于开源核心版本进行优化后，提供的能力更强并且可以实现快速迭代的版本。具体升级操作，请参见升级引擎版本（https://help.aliyun.com/mse/user-guide/update-a-nacos-version）。

MSE 网关存在单可用区部署风险

风险项名称：MSE 网关存在单可用区部署风险
修复建议：
若业务系统大量使用了像WebSocket或gRPC等长连接形态，建议您选择业务低峰期执行此操作。具体网关Ingress版本说明请参见官方文档（https://help.aliyun.com/mse/product-overview/mse-ingress-change-record）。

转发路由器存在单可用区部署风险

风险项名称：转发路由器存在单可用区部署风险
修复建议：
使用企业版转发路由器创建VPC连接
具体可以查看官方操作手册（https://help.aliyun.com/cen/user-guide/connect-vpcs）

NLB 实例存在单可用区部署风险

风险项名称：NLB 实例存在单可用区部署风险
修复建议：
变更可用区状态
支持变更NLB实例对应的可用区及摘除某个可用区DNS。具体可以查看官方文档（https://help.aliyun.com/slb/network-load-balancer/user-guide/modify-the-configurations-of-an-nlb-instance）

Flink 实例未使用跨可用区 CU 类型

风险项名称：Flink 实例未使用跨可用区 CU 类型
修复建议：
方法一：添加跨可用区CU并创建跨可用区类型项目空间
具体可以查看官方操作手册（https://help.aliyun.com/zh/flink/user-guide/high-availability-zone-disaster-recovery#45a7587bf7byn）

方法二：单可用区CU的项目空间开启同城高可用
具体可以查看官方操作手册（https://help.aliyun.com/zh/flink/user-guide/high-availability-zone-disaster-recovery#45a7587bf7byn）

ACK 集群存在单可用区部署风险

风险项名称：ACK 集群存在单可用区部署风险
修复建议：
治理步骤

1. 登录容器服务管理控制台（https://cs.console.aliyun.com/），在左侧导航栏选择集群。

2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择节点管理 > 节点池。

3. 在节点池列表页面中，单击目标节点池所在行操作列的编辑。

4. 在编辑节点池页面，编辑节点池的配置项。

5. 单击显示高级选项，配置高级选项。

6. 单击确认。在节点池页面，如果节点池状态显示更新中，则说明节点池在变更中。变更完成后，状态显示为已激活。

具体操作可参考文档（https://help.aliyun.com/ack/ack-managed-and-ack-dedicated/user-guide/create-and-manage-node-pools）。

Privatelink 终端节点服务存在单可用区部署风险

风险项名称：Privatelink 终端节点服务存在单可用区部署风险
修复建议：
步骤一：登录终端节点服务控制台（https://vpc.console.aliyun.com/endpointservice/cn-hangzhou/endpointservices）。 步骤二：在顶部菜单栏处，选择终端节点服务的地域。
步骤三：在终端节点服务页面，找到目标终端节点服务，单击终端节点服务的实例ID。
步骤四：在终端节点服务详情页面，单击添加服务资源。
步骤五：在添加服务资源对话框，选择要承载流量的负载均衡部署的可用区，然后添加服务资源，并单击确定。
具体操作可参考文档（https://help.aliyun.com/privatelink/user-guide/add-and-manage-service-resources）。

NLB 服务器组挂载的资源都在单一可用区

风险项名称：NLB 服务器组挂载的资源都在单一可用区
修复建议：
治理步骤
步骤一：登录网络型负载均衡NLB控制台。

步骤二：在顶部菜单栏，选择NLB实例所属的地域。

步骤三：在左侧导航栏，选择网络型负载均衡 NLB > 服务器组。

步骤四：在服务器组页面，单击创建服务器组。

步骤五：在创建服务器组对话框，完成配置，建议为网络负载均衡服务器组添加多个可用区的资源，然后单击创建。

具体操作可参考文档（https://help.aliyun.com/slb/network-load-balancer/user-guide/create-and-manage-a-server-group）。

ALB 实例存在单可用区部署风险

风险项名称：ALB 实例存在单可用区部署风险
修复建议：
步骤一：登录应用型负载均衡ALB控制台（https://slb.console.aliyun.com/alb/cn-hangzhou/albs）。 步骤二：在实例页面，单击创建应用型负载均衡。
步骤三：在应用型负载均衡（按量付费）购买页面，根据需要配置实例。至少选择2个可用区。例如：选择上海 可用区E及该可用区下的交换机VSW1，上海 可用区G及该可用区下的交换机VSW2。
步骤四：单击立即购买，根据控制台提示完成实例开通。
步骤五：返回实例页面，选择对应的地域即可看到新建的实例。
具体操作可参考文档（https://help.aliyun.com/slb/application-load-balancer/getting-started/use-an-alb-instance-to-provide-ipv4-services）。

消息队列 Kafka 版实例存在单可用区部署风险

风险项名称：消息队列 Kafka 版实例存在单可用区部署风险
修复建议：
治理步骤
步骤一：登录云消息队列 Kafka 版控制台（https://kafka.console.aliyun.com/），在概览页面的资源分布区域，选择地域。

步骤二：在实例列表页面，单击目标实例名称。

步骤三：在实例详情页面的配置信息区域，单击备用可用区右侧的编辑，设置对应的备用可用区和执行时间。

步骤四：在升级可用区说明对话框，阅读并确认升级可用区风险，然后单击确认。

具体操作可参考文档（https://help.aliyun.com/apsaramq-for-kafka/cloud-message-queue-for-kafka/user-guide/upgrade-to-multi-zone-deployment）。

ALB 服务器组挂载的资源都在单一可用区

风险项名称：ALB 服务器组挂载的资源都在单一可用区
修复建议：
步骤一：登录应用型负载均衡ALB控制台（https://slb.console.aliyun.com/alb/cn-hangzhou/albs）。 步骤二：在顶部菜单栏处，选择后端服务器组所属的地域。 步骤三：在左侧导航栏，选择应用型负载均衡ALB > 服务器组。
步骤四：在服务器组页面，单击创建服务器组。
步骤五：在创建服务器组对话框，完成配置，然后单击创建。选择是否开启跨AZ负载均衡，默认开启。ALB在同地域跨可用区的后端服务之间分配流量。
具体操作可参考文档（https://help.aliyun.com/slb/application-load-balancer/user-guide/create-and-manage-a-server-group）。

API 网关实例存在单可用区部署风险

风险项名称：API 网关实例存在单可用区部署风险
修复建议：
步骤一：登录云原生API网关控制台（https://apigw.console.aliyun.com/#/）。如果您是首次使用云原生API网关，您需要进行如下操作： a.在页面中单击立即授权，并在弹出的提示框中单击确定完成创建。 b.单击立即体验云原生API网关进入控制台。
步骤二：在左侧导航栏，选择实例，并在顶部菜单栏选择地域，单击创建实例。
步骤三：在云原生API网关购买页面中选择相关配置，然后单击立即购买。选择一个交换机，系统会自动分配2个可用区部署网关节点。也可以手动选择部署网关节点的可用区和交换机。
步骤四：在确认订单页面中，勾选服务协议我已阅读并同意云原生API网关（按量付费）服务协议，单击立即开通。
步骤五：单击管理控制台，并选择返回实例页面，查看创建的网关信息和状态。当网关信息和创建时一致，且状态为运行中，则表示网关创建成功。
具体操作可参考文档（https://help.aliyun.com/api-gateway/cloud-native-api-gateway/user-guide/create-gateway）。

ACR 关联的 OSS Bucket 未开启同城冗余存储

风险项名称：ACR 关联的 OSS Bucket 未开启同城冗余存储
修复建议：
转换Bucket存储冗余类型
参考操作手册（https://help.aliyun.com/oss/user-guide/converting-storage-redundancy-types）

ECS 实例在地域内可用区分布不均衡

风险项名称：ECS 实例在地域内可用区分布不均衡
修复建议：

1. 访问ECS控制台-实例。

2. 在页面左侧顶部，选择目标资源所在的资源组和地域。

3. 单击目标实例ID进入实例详情页，单击全部操作展开所有操作面板，然后搜索并单击购买相同配置。

4. 确认自动选择的配置。可以在自动选择的配置的基础上修改配置。如需修改，请单击去售卖页调整配置。

5. 配置系统配置区域的登录凭证。

6. 登录凭证用于安全地登录ECS实例。

7. 根据实例付费类型设置使用时间选项并购买实例。

MongoDB 实例存在到期风险

风险项名称：MongoDB 实例存在到期风险
费用说明：续费MongoDB实例所带来的费用，请参考计费概览
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/mongodb/user-guide/manually-renew-an-apsaradb-for-mongodb-subscription-instance）

第二步：治理步骤

1. 登录MongoDB管理控制台

2. 根据实例类型，在左侧导航栏，单击副本集实例列表、分片集群实例列表或Serverless实例列表

3. 在页面左上角，选择实例所在的资源组和地域

4. 单击目标实例所在行操作列的续费

5. 在续费页面，选择购买时长

6. 阅读并勾选服务协议，单击立即购买

Redis 实例存在到期风险

风险项名称：Redis 实例存在到期风险
费用说明：续费Reids实例所带来的费用，请参考计费概览
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/redis/product-overview/renewal）

第二步：治理步骤

1. 访问Redis实例列表，在上方选择地域

2. 在目标实例的操作列，单击续费

3. 在跳转到的续费页面，选择续费时长

4. 阅读并选中服务协议，单击去支付

5. 根据提示完成支付流程

DDoS 高防实例存在到期风险

风险项名称：DDoS 高防实例存在到期风险
费用说明：续费DDoS实例所带来的费用，请参考计费概览
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/document_detail/63653.html#section-wnr-2v3-5fn）

第二步：治理步骤

1. 登录流量安全产品控制台

2. 在左侧导航栏，选择网络安全 > DDoS原生防护 > 实例管理

3. 在顶部菜单栏左上角处，选择地域

4. 在实例管理页面，定位到要操作的实例，完成续费或者设置自动续费

PolarDB-X 实例存在到期风险

风险项名称：PolarDB-X 实例存在到期风险
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/mongodb/user-guide/manually-renew-an-apsaradb-for-mongodb-subscription-instance）

第二步：治理步骤

1. 登录PolarDB分布式版控制台

2. 在页面左上角选择目标实例所在地域

3. 在实例列表页，单击PolarDB-X 1.0/2.0页签

4. 在目标实例右侧的操作栏中，单击续费

5. 在续费页面中，选择购买时长

6. 选中服务协议，单击立即购买

7. 在支付页面，确认待支付订单和支付方式，单击支付

云企业网 CEN 带宽包存在到期风险

风险项名称：云企业网 CEN 带宽包存在到期风险
费用说明：续费云企业网带宽包所带来的费用，请参考计费说明
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/cen/product-overview/renew-a-bandwidth-plan-1）

第二步：治理步骤

1. 登录云企业网管理控制台

2. 在云企业网实例页面，找到目标云企业网实例，单击目标实例ID

3. 在云企业网实例详情页面，选择基本信息 > 带宽包管理页签，找到目标带宽包，在操作列单击续费

4. 在续费页面，设置购买时长

5. 在服务协议区域，查阅并选中相关服务协议，然后单击立即购买并完成支付

PolarDB 集群存在到期风险

风险项名称：PolarDB 集群存在到期风险
费用说明：续费PolarDB实例所带来的费用，请参考产品计费
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/polardb/polardb-for-mysql/manual-renewal-1）

第二步：治理步骤

1. 登录PolarDB控制台

2. 在控制台左上角，选择集群所在地域

3. 在目标集群右侧的操作栏中，选择更多 > 续费

4. 在续费页面，选择购买时长并选中服务协议，单击立即购买

5. 在支付页面，确认未支付订单信息和支付方式，单击支付即可

AnalyticDB MySQL版数仓版实例存在到期风险

风险项名称：AnalyticDB MySQL版数仓版实例存在到期风险
费用说明：续费AnalyticDB实例所带来的费用，请参考计费概览
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/analyticdb/manually-renew-databases）

第二步：治理步骤

1. 登录AnalyticDB 控制台

2. 在控制台左上方选择AnalyticDB所属地域

3. 在数据库列表中找到目标数据库，单击右侧的续费

4. 在续费页面，设置续费时长

5. 勾选《分析型数据库（包年包月）服务协议》，单击去支付，完成支付即可

EIP 实例存在到期风险

风险项名称：EIP 实例存在到期风险
费用说明：续费EIP实例所带来的费用，请参考计费概述
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/eip/product-overview/renewal）

第二步：治理步骤

1. 登录弹性公网IP管理控制台

2. 在顶部菜单栏处，选择EIP的地域

3. 在弹性公网IP页面，找到目标EIP实例，然后在操作列选择更多操作 > 续费

4. 在续费页面，设置购买时长，选中服务协议，然后单击立即购买并完成支付

SLB 实例存在到期风险

风险项名称：SLB 实例存在到期风险
费用说明：续费SLB实例所带来的费用，请参考CLB计费概述
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/slb/classic-load-balancer/product-overview/package-year-and-month-stop-new-purchase）

第二步：治理步骤

1. 登录传统型负载均衡CLB控制台

2. 在顶部菜单栏，选择实例所属的地域

3. 在实例管理页面，单击右上角的设置图标，选中续费状态复选框，然后单击确定

4. 在实例管理页面，找到目标包年包月实例，在续费状态列单击续费管理

5. 在续费管理页面，选择手动续费或自动续费执行续费操作

堡垒机实例存在到期风险

风险项名称：堡垒机实例存在到期风险
费用说明：续费堡垒机实例所带来的费用，请参考计费方式
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/bh/bastionhost/product-overview/manually-renew-bastion-hosts）

第二步：治理步骤

1. 登录云盾堡垒机控制台

2. 在堡垒机实例列表中，定位到您要升级的实例，单击续费按钮

3. 在续费页面，选择购买时长

4. 单击堡垒机服务协议，详细阅读后，返回变配页面，勾选堡垒机服务协议

5. 确认选择无误后，单击立即购买

6. 完成支付，即可延长您的堡垒机实例的服务周期

RDS 实例存在到期风险

风险项名称：RDS 实例存在到期风险
费用说明：续费RDS实例所带来的费用，请参考手动续费
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/rds/apsaradb-rds-for-mysql/manually-renew-an-apsaradb-rds-for-mysql-instance）

第二步：治理步骤

1. 访问RDS实例列表，在上方选择地域，然后单击目标实例ID。

2. 在运行状态区域右侧单击续费。

3. 在续费页面中，选择续费时长。时间越长，折扣越多。

4. 勾选服务协议，单击去支付，完成支付即可。

ECS 实例存在到期风险

风险项名称：ECS 实例存在到期风险
费用说明：续费ECS实例所带来的费用，请参考计费概述
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/ecs/manually-renew-an-instance-1）

第二步：治理步骤

1. 登录ECS管理控制台

2. 在左侧导航栏，选择实例与镜像 > 实例

3. 在顶部菜单栏左上角处，选择地域

4. 找到待续费的ECS实例，在操作列中，单击续费

5. 选择续费时长

6. 选中《云服务器ECS服务条款》，然后单击确认订单

7. 按页面提示完成支付

共享带宽实例存在到期风险

风险项名称：共享带宽实例存在到期风险
费用说明：续费共享带宽实例所带来的费用，请参考产品计费
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况
修复建议：
第一步：查看治理项文档
包年包月实例到期后会影响实例正常运行。如果您想继续使用实例，需要在指定时间内为实例续费，否则相关资源会自动释放，数据永久丢失，直接影响业务稳定性。详细文档（https://help.aliyun.com/internet-shared-bandwidth/product-overview/renewal）

第二步：治理步骤

1. 登录共享带宽管理控制台

2. 在顶部菜单栏处，选择共享带宽实例的地域

3. 在共享带宽页面，找到目标共享带宽实例，然后在操作列选择更多操作 > 续费

4. 在续费页面，选择续费时长，并选中服务协议，然后单击立即购买并完成支付

VPN 网关存在到期风险

风险项名称：VPN 网关存在到期风险
费用说明：续费VPN实例所带来的费用，请参考VPN网关产品计费
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：

1. 登录VPN网关管理控制台。

2. 在顶部菜单栏，选择VPN网关实例的地域。

3. 在VPN网关页面，找到目标VPN网关实例，在操作列单击续费。

4. 在续费页面，选择续费时长。

5. 在服务协议区域，查阅并选中相关服务协议，然后单击立即购买并完成支付。

KMS 实例存在到期风险

风险项名称：KMS 实例存在到期风险
费用说明：续费 KMS 实例所带来的费用，请参考产品计费
影响范围：资源开启自动续费在续费时将会产生费用，请确认资源的使用计划和账户资费情况。
修复建议：

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击资源 > 实例管理。

2. 单击软件密钥管理页签或硬件密钥管理页签，定位到要续费的实例，单击操作列的续费。

3. 在续费页面，设置购买时长，仔细阅读协议后选中服务协议。

4. 单击立即购买并完成支付。

ACK 集群未配置 Prometheus 监控

风险项名称：ACK 集群未配置 Prometheus 监控
修复建议：
治理项中将会列出您没有启用阿里云Prometheus监控的ACK集群，您可以通过以下两种方式接入：

1. 在阿里云ACK控制台（https://cs.console.aliyun.com/#/k8s/cluster/list）的集群 > 运维管理 > Prometheus监控页面进行开启并接入。

2. 在阿里云Prometheus控制台的实例列表页面（https://arms.console.aliyun.com/#/prom/cn-hangzhou）创建容器服务类型的实例并选择需要安装的对应ACK集群。

ACK 集群巡检节点池安全组不可用

风险项名称：ACK 集群巡检节点池安全组不可用
修复建议：
您可以参考文档管理安全组（https://help.aliyun.com/ecs/user-guide/manage-security-groups）检查安全组状态，并通过编辑节点池将节点池与正确的安全组关联。

ACK 集群巡检节点池交换机不可用

风险项名称：ACK 集群巡检节点池交换机不可用
修复建议：
您可以参考文档创建和管理节点池（https://help.aliyun.com/ack/ack-managed-and-ack-dedicated/user-guide/create-and-manage-node-pools）编辑节点池调整节点池交换机配置。

存在因欠费或因安全封禁被关机的 ECS 实例

风险项名称：存在因欠费或因安全封禁被关机的 ECS 实例
修复建议：
欠费结清和安全解禁被关停的ECS实例
1、对于因欠费被关停的ECS实例，请前往用户中心进行充值（https://usercenter2.aliyun.com/finance/fund-management/recharge），结清欠费账单，然后对ECS实例重开机。
2、对于因安全封禁被关停的ECS实例，请前往云安全中心（https://yundun.console.aliyun.com/?p=sas#/overview/home/cn-hangzhou）控制台查看安全检测风险并处理，申请解禁后再开机。

最佳实践文档参考
1、ECS欠费说明（https://help.aliyun.com/document_detail/333532.html）；
2、查看和处理告警事件（https://help.aliyun.com/security-center/user-guide/view-and-handle-alert-events）；
3、如何给Windows系统的ECS实例增加安全加（固（https://help.aliyun.com/ecs/best-security-practices）；
4、如何提高ECS实例的安全性防止攻击和入侵（等（https://help.aliyun.com/ecs/use-cases/make-ecs-instances-more-secur）e）；
5、如何通过云防火墙控制ECS实例间访（问（https://help.aliyun.com/ecs/user-guide/security-groups-for-different-use-case）s）。

ECS 实例存在待处理的运维事件

风险项名称：ECS 实例存在待处理的运维事件
修复建议：
业务风险规避
请根据业务需要，查看并响应ECS系统事件，并设置事件驱动的自动化响应，及时规避业务风险。具体操作：

1、登录ECS控制台的事件（https://ecs.console.aliyun.com/events/systemEvents/server）页面，查看并响应ECS系统事件。
2、设置事件驱动的自动化响应（https://ecs.console.aliyun.com/events/systemEvents/server）。

最佳实践文档参考
1、查询和响应ECS系统事件（https://help.aliyun.com/ecs/user-guide/query-and-handle-ecs-system-events）。
2、设置事件通知（https://help.aliyun.com/document_detail/116341.html）。

VPC 实例中可用 IP 数量不足

风险项名称：VPC 实例中可用 IP 数量不足
修复建议：

1. 登录专有网络管理控制台。

2. 在左侧导航栏，单击交换机。选择要创建交换机的VPC所属的地域。在交换机页面，单击创建交换机。

3. 按需填写IPv4网段以保证合理的IP数量。

ALB 连接失败率过高

风险项名称：ALB 连接失败率过高
修复建议：

1. 登录应用型负载均衡ALB控制台。

2. 在顶部菜单栏，选择实例所属的地域。

3. 在实例页面，找到目标实例，在实例诊断列单击发起诊断。

4. 在实例健康诊断面板，查看实例的诊断进度、诊断结果统计以及具体的诊断项详情。

Redis 实例连接数使用率过高

风险项名称：Redis 实例连接数使用率过高
修复建议：
访问实例列表，在上方选择地域，然后单击目标实例ID。

1. 在左侧导航栏，单击CloudDBA > 诊断报告。

2. 单击发起诊断。

3. 等待诊断分析完成后（可刷新该页面查看分析进度），单击操作列的查看报告。

CDN 域名中 OSS 源站域名配置异常

风险项名称：CDN 域名中 OSS 源站域名配置异常
修复建议：

1. 登录CDN控制台，在左侧导航栏，进入域名管理页面；

2. 在域名管理页面，找到目标域名，单击操作栏中的管理按钮，进入域名详情页；

3. 在源站信息区域，根据业务需求，选择新增或修改源站配置；

4. 在已有源站信息内找到存在问题的OSS源站类型，点击操作栏的编辑按钮；

5. 修改OSS域名的源站信息，修改为实际存在的OSS域名。

DSW 实例 SSH 未配置 VPC 内访问

风险项名称：DSW 实例 SSH 未配置 VPC 内访问
修复建议：
进入人工智能平台PAI控制台，模型开发与训练->交互式建模->选择目标实例->变更配置->访问配置->启用SSH->访问配置，检查配置的SSH访问方式是否满足要求。

DSW 自定义服务未配置 VPC 内访问

风险项名称：DSW 自定义服务未配置 VPC 内访问
修复建议：
进入人工智能平台PAI控制台，模型开发与训练->交互式建模->选择目标实例->变更配置->访问配置->自定义服务，检查配置的服务访问方式是否满足要求。

DSW 实例未配置专有网关访问

风险项名称：DSW 实例未配置专有网关访问
修复建议：
进入人工智能平台PAI控制台，模型开发与训练->交互式建模->选择目标实例->变更配置->网络信息，检查配置的公网访问网关是否满足要求。

存在过多成员被授予管理员权限

风险项名称：存在过多成员被授予管理员权限
修复建议：
进入人工智能平台PAI控制台，工作空间详情->选择成员与角色配置->工作空间成员，检查配置的角色是否满足要求。

公网白名单规则包含 0.0.0.0

风险项名称：公网白名单规则包含 0.0.0.0
修复建议：
进入人工智能平台PAI控制台，工作空间详情->模型部署->模型在线服务（EAS）->专属网关->选择目标网关->网关详情->公网，检查配置的白名单是否满足要求。

未启用服务操作保护

风险项名称：未启用服务操作保护
修复建议：
进入人工智能平台PAI控制台，工作空间详情->模型部署->模型在线服务（EAS）->推理服务->选择目标服务->更多->操作保护，检查配置的操作保护是否满足要求。

模型训练数据集不良信息比率超标

风险项名称：模型训练数据集不良信息比率超标
修复建议：
调整训练数据集，接入内容合规检测工具，直到数据集检测结果达到标准

AI 生成内容未开启敏感内容检测

风险项名称：AI 生成内容未开启敏感内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->AI生成内容安全检测管理->确保敏感内容状态为开启。

百炼输入内容未开启提示词攻击检测

风险项名称：百炼输入内容未开启提示词攻击检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->bl_query_guard管理->确保“提示词攻击”状态为开启。

百炼输入内容_pro 未开启提示词攻击检测

风险项名称：百炼输入内容_pro 未开启提示词攻击检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->bl_query_guard_pro-管理->确保“提示词攻击”状态为开启。

训练数据敏感内容检测配置开启率不足

风险项名称：训练数据敏感内容检测配置开启率不足
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->train_data_security_check-管理->确保“敏感内容”状态为开启。

AI 输入内容未开启提示词攻击检测

风险项名称：AI 输入内容未开启提示词攻击检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->AI输入内容安全检测-管理->确保“提示词攻击”状态为开启。

百炼输出内容未开启敏感内容检测

风险项名称：百炼输出内容未开启敏感内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏-管理->确保“敏感内容”状态为开启。

百炼输出内容_pro 未开启敏感内容检测

风险项名称：百炼输出内容_pro 未开启敏感内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏_pro-管理->确保“敏感内容”状态为开启。

AI 输出内容未开启色情内容检测

风险项名称：AI 输出内容未开启色情内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->AI生成内容安全检测-管理->内容合规->配置管理->色情内容检测中细分场景配置开启。

百炼输出内容未开启色情内容检测

风险项名称：百炼输出内容未开启色情内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏-管理->内容合规->配置管理->色情内容检测中细分场景配置开启。

百炼输出内容_pro 未开启色情内容检测

风险项名称：百炼输出内容_pro 未开启色情内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏_pro-管理->内容合规->配置管理->色情内容检测中细分场景配置开启。

AI 输出内容未开启违禁内容检测

风险项名称：AI 输出内容未开启违禁内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->AI生成内容安全检测-管理->内容合规->配置管理->违禁内容检测中细分场景配置开启。

百炼输出内容未开启违禁内容检测

风险项名称：百炼输出内容未开启违禁内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏-管理->内容合规->配置管理->违禁内容检测中细分场景配置开启。

百炼输出内容_pro 未开启违禁内容检测

风险项名称：百炼输出内容_pro 未开启违禁内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏_pro管理->内容合规->配置管理->违禁内容检测中细分场景配置开启。

AI 输出内容未开启不良内容检测

风险项名称：AI 输出内容未开启不良内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->AI生成内容安全检测-管理->内容合规->配置管理->不良内容检测细分场景配置开启。

百炼输出内容未开启不良内容检测

风险项名称：百炼输出内容未开启不良内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏-管理->内容合规->配置管理->不良内容检测中细分场景配置开启。

百炼输出内容_pro 未开启不良内容检测

风险项名称：百炼输出内容_pro 未开启不良内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏_pro管理->内容合规->配置管理->不良内容检测中细分场景配置开启。

AI 输出内容未开启暴恐内容检测

风险项名称：AI 输出内容未开启暴恐内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->AI生成内容安全检测-管理->内容合规->配置管理->暴恐内容检测中细分场景配置开启。

百炼输出内容未开启暴恐内容检测

风险项名称：百炼输出内容未开启暴恐内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏-管理->内容合规->配置管理->暴恐内容检测中细分场景配置开启。

百炼输出内容_pro 未开启暴恐内容检测

风险项名称：百炼输出内容_pro 未开启暴恐内容检测
修复建议：
进入AI安全护栏产品控制台，点击防护设置->检测项配置->百炼输出内容安全护栏_pro管理->内容合规->配置管理->暴恐内容检测中细分场景配置开启。

百炼输出内容_pro 合规率低于 90%

风险项名称：百炼输出内容_pro 合规率低于 90%
修复建议：
重新训练模型，接入内容合规检测工具，直到模型输出内容检测结果达到标准。

AI 输出内容合规率低于 90%

风险项名称：AI 输出内容合规率低于 90%
修复建议：
调整训练数据集，接入内容合规检测工具，直到数据集检测结果达到标准

模型训练数据内容合格率低于 96%

风险项名称：模型训练数据内容合格率低于 96%
修复建议：
调整训练数据集，接入内容合规检测工具，直到数据集检测结果达到标准

百炼输出内容合规率低于 90%

风险项名称：百炼输出内容合规率低于 90%
修复建议：
重新训练模型，接入内容合规检测工具，直到模型输出内容检测结果达到标准