本文为您介绍治理成熟度检测支持的检测项,方便您查询和使用。
安全
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
主账号管理 | 主账号不启用AccessKey | 主账号AccessKey等同于主账号权限,无法进行条件限制(如访问来源IP、访问时间等),一旦泄露风险极大。存在主账号AccessKey,则存在风险。 | 暂不支持快速修复。 | 否 |
主账号管理 | 主账号不作为日常使用 | 主账号权限极大,无法进行条件限制(如访问来源IP、访问时间等),一旦泄露风险极大。当前主账号在90天内登录过,则存在风险。 | 暂不支持快速修复。 | 否 |
主账号管理 | 主账号需启用MFA功能 | 对于主账号,建议启用MFA提供更高级的安全保护。当前主账号未开启MFA,则存在风险。 | 暂不支持快速修复。 | 否 |
用户管理 | 使用RAM管理身份 | 主账号权限极大,一旦泄露风险极大。日常操作建议通过RAM身份的方式进行。当前账号下不存在任何RAM身份,则存在风险。 | 暂不支持快速修复。 | 否 |
用户管理 | RAM用户严格区分人和应用程序 | 在任何场景下,我们都推荐单一职责原则。当前账号下的RAM用户存在AccessKey并且开启了控制台登录,则存在风险。 | 暂不支持快速修复。 | 是 |
用户管理 | 启用RAM SSO方式登录控制台 | 通过单点登录(SSO)集中化管控人员身份,能够提升人员身份的管理效率,降低风险。当前账号下配置了RAM SSO,并在30天内存在SSO登录行为,则视为合规。 | 暂不支持快速修复。 | 否 |
用户管理 | 启用RAM SCIM同步用户 | 通过SCIM可以便捷地将企业内的人员身份同步到阿里云上,无需手动创建用户。当前账号下配置了SCIM同步,并且同步的用户在2个月内存在登录行为,则满足要求。 | 暂不支持快速修复。 | 否 |
人员身份管理 | 设置完全的密码强度规则 | 通过提升密码强度可以有效降低密码被撞库和暴力破解的风险。设置较强的密码强度、密码有效期和历史密码检查策略以及密码重试约束,视为合规。 | 支持快速修复。 该修复将修改访问控制(RAM)的密码强度的关键设置。其中包含密码长度大于等于8位、包含的元素大于等于3个、有效期小于90天、1小时最大重试登录小于等于5次。以上为最佳实践推荐设置,根据企业实际需求,可通过修改参数实现更严格的密码强度要求。设置成功后将适用于所有RAM用户。 | 否 |
人员身份管理 | RAM用户启用MFA功能 | MFA将为RAM用户提供更高的安全保护。RAM用户启用了控制台登录后,如果未设置MFA,则存在风险。 | 暂不支持快速修复。 | 是 |
人员身份管理 | RAM用户无闲置 | RAM用户启用控制台登录时会设置登录密码。时间越长,密码暴露的风险就越高。如果存在超过90天未登录的闲置RAM用户,则存在风险。 | 暂不支持快速修复。 | 是 |
程序身份管理 | RAM用户的AccessKey无闲置 | RAM用户AccessKey具备访问阿里云API的能力,在外部暴露的时间越长,则泄露风险越高。RAM用户的AccessKey超过90天未使用,则存在风险。 | 暂不支持快速修复。 | 是 |
程序身份管理 | AccessKey定期轮转 | 通过定期轮转,降低AccessKey暴露时长,进而降低AccessKey泄露风险。RAM用户AccessKey使用超过90天,则存在风险。 | 暂不支持快速修复。 | 否 |
程序身份管理 | RAM用户不同时启用两个AccessKey | 一个RAM用户启用两个AccessKey,会导致RAM用户丧失轮转能力,带来更大的风险。一个RAM用户存在两个AccessKey,则存在风险。 | 暂不支持快速修复。 | 否 |
程序身份管理 | AccessKey不存在泄露 | AccessKey泄露后,攻击者可以利用该AccessKey访问您的资源或数据,造成安全事故。有未处理的AccessKey泄露事件,则存在风险。 | 暂不支持快速修复。 | 否 |
程序身份管理 | 采用无AccessKey方案 | 当前账号下ECS配置了实例角色,或者ACK开启了RRSA插件,或者函数计算服务中配置了服务角色,视为合规。 | 暂不支持快速修复。 | 否 |
使用细粒度授权 | RAM身份使用细粒度授权 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过自定义策略可以对RAM身份进行精细化授权。存在RAM身份绑定了自定义策略,则视为合规。 | 暂不支持快速修复。 | 否 |
使用细粒度授权 | 对OSS、SLS的访问进行收敛 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。尤其对于数据类产品的访问,例如:OSS、SLS等,建议精细化授权,降低身份泄露导致的数据泄露风险。在当前阿里云账号下,如果RAM身份绑定了数据类产品相关的操作权限,必须进行精细化授权,请勿通过通配符*进行批量授权,则认为满足要求。 | 暂不支持快速修复。 | 否 |
使用细粒度授权 | 对可访问操作的范围进行收敛 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。在当前阿里云账号下,RAM身份绑定了某个云服务的部分操作权限,则认为满足要求。 | 暂不支持快速修复。 | 否 |
使用登录凭证报告 | 定期获取身份权限检测报告 | 在当前账号下,近90天内查看了身份权限治理报告、用户凭证报告或云治理成熟度报告任意一种报告,则认为满足要求。 | 暂不支持快速修复。 | 否 |
使用登录凭证报告 | 启用“AccessKey及权限治理最佳实践”合规包 | 启用了配置审计中“AccessKey及权限治理最佳实践”合规包,则视为合规。 | 支持快速修复。 该修复将基于“AccessKey及权限治理最佳实践”模板,为您在配置审计中创建合规包。此后可以在配置审计中查看相关的检测结果。 | 否 |
管控日志归档 | 操作审计日志设置长周期的留存 | 未创建跟踪或者创建的跟踪中未归档所有地域、未归档所有读写操作或者归档存储周期少于180天,会判定为存在风险。 | 支持快速修复。 该修复将会完善当前账号已有的跟踪设置,其中包含启用完整的管控类读写事件和所有地域事件。请选择列表中至少一个已有跟踪完善设置。在修复后新产生的读写和全地域事件将会投递到跟踪的目标存储,在存储中历史事件不受影响。 | 否 |
配置变更检测 | 启用配置审计 | 如果当前账号未开启配置审计,判定为存在风险。 | 暂不支持快速修复。 | 否 |
配置变更检测 | 开启资源投递或获取资源数据 | 配置审计未设置资源变更或快照的投递,判定为存在风险。 | 暂不支持快速修复。 | 否 |
合规检测覆盖 | 启用配置审计规则 | 如果当前账号未启用配置审计规则,判定为存在风险。 | 暂不支持快速修复。 | 否 |
合规检测覆盖 | 云上资源都设置了合理的合规检查 | 根据规则覆盖的资源比率进行评估,如果覆盖率未达100%,判定为存在风险。 | 暂不支持快速修复。 | 否 |
不合规告警响应 | 对风险操作事件设置告警规则 | 未启用任何一条操作审计事件告警里支持的账号安全相关规则或Actiontrail操作合规相关的规则,则判定为存在风险。 | 暂不支持快速修复。 | 否 |
不合规告警响应 | 定期获取合规检测数据 | 若配置审计未设置不合规事件投递或查看检测结果,则视为存在风险。 | 暂不支持快速修复。 | 否 |
告警事件处理 | 云上资源符合合规要求 | 配置审计已经启用的规则检测,如合规资源率低于100%,则视为存在风险。 | 暂不支持快速修复。 | 否 |
开启自动修正 | 采用自动化方式修正不合规问题 | 用户未启用任一规则的自动修正,会判定为存在风险。 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 避免为过多RAM身份授予Admin权限 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。Admin权限可以对账号下的任意资源执行任意操作,避免给过多的RAM身份授予Admin权限,以免身份泄露对业务造成影响。在当前阿里云账号下,拥有Admin权限的RAM身份数小于等于3个,则认为满足要求。 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 避免为过多RAM身份授予OSS、SLS高危权限 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。拥有 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 有RAM身份被授予了非Admin权限 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限,避免给所有的RAM身份都赋予Admin权限,导致身份泄露后对业务造成影响。有RAM身份被授予了非Admin权限,则认为满足要求。 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 避免为过多RAM身份授予RAM高危权限 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。具有RAM产品写权限的RAM身份,可以创建新的身份或修改已有身份的权限,造成过度授权,为账号内资源的安全性和保密性带来风险。在当前阿里云账号下,拥有 | 暂不支持快速修复。 | 否 |
避免特权滥用 | 避免为过多RAM身份授予费用中心高危权限 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。对于拥有账单和费用中心产品(BSS)写权限的RAM身份来说,可以修改订单、发票、合同、账单等信息,执行交易、提现等资金操作,管理不善可能会造成资产损失。在当前阿里云账号下,拥有 | 暂不支持快速修复。 | 否 |
授权效率与受控 | 将有Admin权限的RAM身份的授权收敛到资源组 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。在当前账号下,拥有AdministratorAccess权限的RAM身份,授权范围为资源组,则认为满足要求。 | 暂不支持快速修复。 | 否 |
授权效率与受控 | 将有服务级系统策略的RAM身份的授权收敛到资源组 | 针对RAM身份的权限管理,建议遵循最小化原则,仅授予必要的权限。通过将云上资源按照应用、环境等维度,使用资源组进行资源划分,授权时可以按照资源组进行授权,进一步缩小权限范围,避免权限过大带来的风险。在当前阿里云账号下,拥有服务级系统策略(例如:AliyunECSFullAccess等)的RAM身份,授权范围为资源组,则认为满足要求。 | 暂不支持快速修复。 | 否 |
效率
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
自动化程度 | 自动化方式实现日常资源供给 | 近1年内使用非控制台调用OpenAPI创建资源的次数比率未达到100%,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化程度 | 自动化方式实现对资源持续管理 | 近30天内使用非控制台调用OpenAPI持续管理资源的次数比率未达到100%,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化程度 | 自动化方式管控资源 | 近30天内使用SDK、Terraform、云控制API、CADT、ROS、服务目录等自动化手段调用OpenAPI的比率未达到100%,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化质量 | 资源创建接口调用成功率 | 近30天使用自动化手段(OpenAPI、云控制API、SDK、Terraform等)创建基础设施资源的成功率未达到100%,则视为存在风险。 | 暂不支持快速修复。 | 是 |
自动化质量 | 资源变更接口调用成功率 | 近30天使用自动化手段(OpenAPI、云控制API、SDK、Terraform等)变更基础设施资源的成功率未达到100%。 | 暂不支持快速修复。 | 是 |
自动化质量 | 使用诊断工具观测和诊断错误 | 近一年内,核心产品正确使用过OpenAPI门户诊断工具,则视为合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 通过配额平台自助查看配额或调整配额 | 近一年内,核心产品正确在配额平台查看配额或使用自助申请功能,则视为合规。 | 暂不支持快速修复。 | 否 |
自动化质量 | 配额平台的API速率额度饱和度 | 近7天内API调用存在流控异常问题,则视为存在风险。 | 暂不支持快速修复。 | 否 |
自动化质量 | 配额平台的资源额度饱和度 | 近7天内产品存在配额水位偏高的资源配额项,且遇到过quota_exceed报错,则视为存在风险。 | 暂不支持快速修复。 | 否 |
统一控制 | 使用资源组或标签进行财务单元分配 | 成本分摊是企业财务中成本可见、预算以及成本优化的基础。存在未关联资源组或标签的财务单元,则存在风险。 | 暂不支持快速修复。 | 否 |
统一控制 | 账号被资源目录纳管 | 相比于多账号分散管理,统一管理多账号能够给企业带来权限、安全合规、成本优化方面的价值。当前账号从属于某个资源目录,则视为合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 使用预置标签 | 预置标签是指预先创建并作用于所有地域的一种标签,使用预置标签可以在资源实施阶段方便地绑定和管理云资源。若预置标签占自定义标签的比例小于80%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 开启创建者标签 | 当企业在云上的资源规模不断扩大时,需要多人对云上资源进行管理。在成本、安全等场景下,需要有效识别资源的创建者,便于进行成本划分或者安全溯源,提高管理效率。若未开启创建者标签,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 使用自定义资源组对资源进行分组 | 通过自定义资源组,可以更灵活地控制资源的访问和使用。若归属于自定义资源组的资源占总资源的比例小于75%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 使用自定义标签对资源进行打标 | 通过自定义标签,用户能更灵活地识别、排序和组织各类资源。若打上自定义标签的资源占总资源的比例小于75%,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源分组及隔离 | 同一组织使用多账号来管理资源 | 阿里云账号有多层含义,每个云账号都是完全隔离的租户,默认在资源访问、网络部署和身份权限都是完全独立和隔离的;云账号还关联账单,可以将不同业务部署在不同的云账号,实现成本的独立核算和出账。采用多账号管理从环境隔离、安全合规、业务创新等方面都能够给企业带来收益。同一个实体下存在两个及以上阿里云账号,则满足条件。 | 暂不支持快速修复。 | 否 |
稳定
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
实例规格 | ECS使用高可用实例规格 | 使用ECS共享型或已停售的实例规格,无法保证实例计算性能的稳定。未使用已停售或者共享型的ECS规格族实例,视为合规。 | 暂不支持快速修复。 | 否 |
实例规格 | ElasticSearch使用高可用实例规格 | 1核2GB的ElasticSearch规格实例只适合于测试场景,不适用于生产环境。未使用规格为1核2GB的ElasticSearch实例,视为合规。 | 暂不支持快速修复。 | 否 |
实例规格 | RDS使用高可用实例规格 | 使用独享类型、集群版或高可用版RDS实例,视为合规。 | 暂不支持快速修复。 | 否 |
实例规格 | ACK使用高可用实例规格 | ACK Pro托管版集群相比原托管版进一步增强了集群的可靠性、安全性和调度性,适合生产环境下有着大规模业务。使用专业版的托管类型集群,视为合规。 | 暂不支持快速修复。 | 否 |
实例规格 | Redis使用高可用实例规格 | Redis企业版提供更强的性能、更多的数据结构和更灵活的存储方式。使用Redis企业版,视为合规。 | 暂不支持快速修复。 | 否 |
实例规格 | MongoDB使用高可用实例规格 | MongoDB采用单节点架构时,故障恢复时间较长且无SLA保障。使用多可用区的MongoDB实例,视为合规。 | 暂不支持快速修复。 | 否 |
实例规格 | ONS使用高可用实例规格 | 标准版RocketMQ版采用共享实例,不建议在生产环境使用。使用铂金版RocketMQ实例,视为合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ECS使用稳定版本 | ECS实例未使用停止支持的OS版本,视为合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ElasticSearch使用稳定版本 | ElasticSearch实例所使用的版本未在不推荐版本范围内,视为合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | PolarDB使用稳定版本 | PolarDB数据库小版本状态为stable,视为合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | ACK使用稳定版本 | ACK集群已升级到最新版本,视为合规。 | 暂不支持快速修复。 | 否 |
稳定版本 | Redis使用稳定版本 | Redis实例已升级至最新小版本,视为合规。 | 暂不支持快速修复。 | 否 |
到期风险 | CBWP无到期风险资源 | 共享带宽实例的到期时间距离当前时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的CBWP资源开启自动续费。 | 否 |
到期风险 | ECS无到期风险资源 | ECS预付费实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的ECS资源开启自动续费。 | 否 |
到期风险 | RDS无到期风险资源 | RDS预付费实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的RDS资源开启自动续费。 | 否 |
到期风险 | 堡垒机无到期风险资源 | 堡垒机实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的堡垒机资源开启自动续费。 | 否 |
到期风险 | SLB无到期风险资源 | SLB预付费实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的SLB资源开启自动续费。 | 否 |
到期风险 | EIP无到期风险资源 | EIP预付费实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的EIP资源开启自动续费。 | 否 |
到期风险 | ADB无到期风险资源 | ADB数仓版实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的ADB资源开启自动续费。 | 否 |
到期风险 | PolarDB无到期风险资源 | PolarDB预付费实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的PolarDB资源开启自动续费。 | 否 |
到期风险 | CEN无到期风险资源 | 云企业网带宽包的到期时间距离当前时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的CEN资源开启自动续费。 | 否 |
到期风险 | DRDS无到期风险资源 | PolarDB-X 1.0以及PolarDB-X 2.0实例的到期时间距离当前时间大于30天,视为合规。 | 暂不支持快速修复。 | 否 |
到期风险 | DDoS防护无到期风险资源 | DDoS实例的到期时间距离当前时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的DDoS资源开启自动续费。 | 否 |
到期风险 | Redis无到期风险资源 | Redis预付费实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的Redis资源开启自动续费。 | 否 |
到期风险 | MongoDB无到期风险资源 | MongoDB预付费实例到期时间距离检查时间大于30天,视为合规。 | 支持快速修复。 此修复将会为您选择的MongoDB资源开启自动续费。 | 否 |
删除保护 | ALB开启删除保护 | ALB实例开启释放保护,视为合规。 | 支持快速修复。 该修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | ECS开启删除保护 | ECS实例开启释放保护,视为合规。 | 支持快速修复。 该修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | RDS开启删除保护 | RDS实例开启释放保护,视为合规。 | 支持快速修复。 该修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | SLB开启删除保护 | SLB实例开启释放保护,视为合规。 | 支持快速修复。 该修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | EIP开启删除保护 | EIP实例开启删除保护,视为合规。 | 支持快速修复。 该修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | PolarDB开启删除保护 | PolarDB实例开启删除保护,视为合规。 | 支持快速修复。 该修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | ACK开启删除保护 | ACK集群开启删除保护,视为合规。 | 支持快速修复。 该修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需请先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | Redis开启删除保护 | Redis实例开启删除保护,视为合规。 | 支持快速修复。 该修复将会为您启用选中资源的删除保护功能,将无法通过控制台、API或命令行等方式释放。如果需要释放该实例,需先至实例详情页面关闭删除保护开关。 | 否 |
删除保护 | MongoDB开启删除保护 | MongoDB实例开启删除保护,视为合规。 | 暂不支持快速修复。 | 否 |
变更管理 | ECS设置合理可维护时间段 | ECS实例创建快照会暂时降低块存储I/O性能,自动快照策略中设置的快照创建时间点在01:00-02:00范围内,视为合规。 | 支持快速修复。 该修复将会为您统一修改选中快照策略中自动创建时间,使快照时间处于合理范围内,避免对业务产生影响。根据最佳实践已为您推荐了一个创建时间,您可以根据企业实际需求修改此参数。 | 否 |
变更管理 | RDS设置合理可维护时间段 | RDS实例的可维护时间段在02:00-06:00、 06:00-10:00范围内,视为合规。 | 支持快速修复。 该修复将会为您统一修改选中实例的可维护时间段。根据最佳实践已为您推荐了一个可维护时段建议,您可以根据企业实际需求修改此参数。 | 否 |
变更管理 | ADB设置合理可维护时间段 | ADB集群的可维护时间段在02:00-04:00、06:00-10:00范围内,视为合规。 | 支持快速修复。 该修复将会为您统一修改选中实例的可维护时间段。根据最佳实践已为您推荐了一个可维护时段建议,您可以根据企业实际需求修改此参数。 | 否 |
变更管理 | PolarDB设置合理可维护时间段 | PolarDB集群的可维护时间段在02:00-04:00、06:00-10:00范围内,视为合规。 | 支持快速修复。 该修复将会为您统一修改选中实例的可维护时间段。根据最佳实践已为您推荐了一个可维护时段建议,您可以根据企业实际需求修改此参数。 | 否 |
变更管理 | Redis设置合理可维护时间段 | Redis实例自动备份的时间段在04:00-05:00、05:00-06:00范围内,视为合规。 | 暂不支持快速修复。 | 否 |
数据备份 | ECI设置数据备份 | ECI弹性实例容器组挂载了数据卷,视为合规。 | 暂不支持快速修复。 | 否 |
数据备份 | ElasticSearch设置数据备份 | ElasticSearch实例开启了自动备份,视为合规。 | 暂不支持快速修复。 | 否 |
数据备份 | RDS启用日志备份 | RDS实例开启日志备份,则视为合规。 | 支持快速修复。 该修复将会为选中RDS实例开启日志备份,默认存储周期为7天。 | 否 |
数据备份 | AnalyticDB MySQL版启用日志备份 | ADB集群开启日志备份,视为合规。 | 支持快速修复。 该修复将会为选中AnalyticDB MySQL版集群开启日志备份,默认存储周期为7天。 | 否 |
数据备份 | PolarDB设置数据备份 | PolarDB集群开启二级备份,且保留周期大于等于30,视为合规。 | 支持快速修复。 该修复将会为选中PolarDB集群设置数据的二级备份周期和二级备份保留周期(默认为30天),如果当前未启用二级备份,将会自动开启。 | 否 |
数据备份 | Redis设置数据备份 | Tair类型的Redis实例开启增量备份,视为合规。 | 暂不支持快速修复。 | 否 |
数据备份 | OSS启用版本控制 | 如果OSS实例没有开启版本控制,会导致数据被覆盖或删除时无法恢复。OSS实例开启版本控制,则视为合规。 | 支持快速修复。 该修复将会为选中OSS实例启用版本控制。开启版本控制后,针对数据的覆盖和删除操作将会以历史版本的形式保存下来。您在错误覆盖或者删除对象(Object)后,能够将Bucket中存储的Object恢复至任意时刻的历史版本。 | 否 |
数据备份 | MongoDB启用日志备份 | MongoDB实例开启日志备份,视为合规。 | 支持快速修复。 该修复将会为选中MongoDB集群启用日志备份,默认存储周期为7天。 | 否 |
主机快照 | ECS开启主机快照 | ECS磁盘设置了自动快照策略,视为合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | ElasticSearch使用多可用区架构 | 使用多可用区的ElasticSearch实例,视为合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | RDS使用多可用区架构 | 使用多可用区的RDS实例,视为合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | SLB使用多可用区架构 | SLB实例为多可用区,并且SLB实例下所有监听使用的服务器组中添加了多个可用区的资源,视为合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | PolarDB使用多可用区架构 | PolarDB集群开启存储热备集群,数据分布在多个可用区,视为合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | Redis使用多可用区架构 | 使用多可用区的Redis实例,视为合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | OSS使用多可用区架构 | OSS存储空间开启同城冗余存储,视为合规。 | 暂不支持快速修复。 | 否 |
多可用区架构 | MongoDB使用多可用区架构 | 使用多可用区的MongoDB实例,视为合规。 | 暂不支持快速修复。 | 否 |
集群架构 | PolarbDB使用集群架构 | 使用的PolarDB产品系列为集群版或者多主架构集群版,视为合规。 | 暂不支持快速修复。 | 否 |
集群架构 | CEN使用集群架构 | 云企业网实例关联的VBR都设置了健康检查,视为合规。 | 暂不支持快速修复。 | 否 |
监控发现 | 对核心云产品的资源进行监控 | 实现资源监控全覆盖是保证业务持续性的基础与关键,为云产品资源设置报警规则是实现云产品资源监控的必要手段。如果存在云产品资源未被任何报警规则覆盖的情况,则视为不合规。 | 支持快速修复。 该修复为未配置云监控的云资源类型,自动启用基于最佳实践的报警规则。默认通知到“云账号报警联系人”类型的消息接收人,请确认设置正确。启用完成后可以在云监控的一键报警查看启用状态或更新报警参数。 | 否 |
监控发现 | 对ACK集群进行Prometheus监控 | ACK集群接入监控,可以帮助开发运维人员查看系统的运行状态,包括基础设施层、容器性能层等。对所有ACK集群,如果未配置“开启阿里云Prometheus监控”,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控发现 | 对ACK集群进行应用监控 | 针对分布式、微服务化应用,可通过接入ARMS应用实时监控服务进行全链路追踪及代码级实时性能监测,帮助运维人员随时掌握应用健康状况。对于部署在容器服务Kubernetes版中的应用,如果未接入ARMS应用实时监控服务,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控告警 | 对持续告警的报警规则进行处理 | 报警规则长期持续处于报警状态是需要关注和治理的问题。通常情况下,需要尽快排除问题让监控指标恢复正常水位,或者需要结合实际情况调整报警规则,避免因大量报警信息或者报警疲劳干扰影响正常的监控运维工作。对所有在云监控设置的报警规则,如果存在持续处于报警状态超过24小时的报警规则即视为不合规。 | 暂不支持快速修复。 | 否 |
监控告警 | 是否有配置高优告警规则 | 配置有效的告警规则可在业务系统不符合运行预期时及时收到通知,以便及时做出应急响应。如果在阿里云ARMS服务中没有配置应用监控或者Prometheus监控对应的P1等级告警规则,或没有配置对应的通知策略,则视为不合规。 | 暂不支持快速修复。 | 否 |
监控告警 | 高优告警在指定时间内(30分钟)处理比例 | MTTx(Mean time to xx,平均XX时间,如MTTR:告警平均恢复耗时)指标可作为告警处理效率的重要衡量指标,高优告警的及时响应可有效提高告警甚至是故障的恢复效率,从而提升业务系统的服务品质。如果存在30分钟内未解决(待认领、处理中、超过30分钟解决)的阿里云ARMS服务中的告警,则视为不合规。 | 暂不支持快速修复。 | 否 |
成本
分类 | 检测项 | 检测项说明 | 快速修复说明 | 是否支持辅助决策 |
资源成本优化 | 启用“资源空闲检测最佳实践”合规包 | 启用配置审计中“资源空闲检测最佳实践”合规包,则视为合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ALB无闲置资源 | 若存在闲置ALB实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | CBWP无闲置资源 | 若存在闲置共享带宽实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | CR无闲置资源 | 若存在闲置容器镜像服务ACR实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ECS无闲置资源 | 若存在闲置ECS实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | ECS Disk无闲置资源 | 若存在闲置云盘实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | EIP无闲置资源 | 若存在闲置EIP实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | NAT无闲置资源 | 若存在闲置公网NAT网关实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | VPC NAT无闲置资源 | 若存在闲置VPC NAT网关实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | NAS无闲置资源 | 若存在闲置NAS实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | SLB无闲置资源 | 若存在闲置SLB实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
资源成本优化 | VPN无闲置资源 | 若存在闲置VPN网关实例,则视为不合规。 | 暂不支持快速修复。 | 否 |
相关文档
- 本页导读 (1)