资源开启保护最佳实践
SLB实例开启配置修改保护 SLB实例已经开启配置修改保护,视为“合规”。WAF防护域名指定防护功能模块开启指定防护模式 WAF防护域名指定防护功能模块开启指定防护模式,视为“合规”。WAF防护域名开启指定防护功能 WAF防护域名开启指定防护...
OceanBase集群开启数据库备份
OceanBase集群开启数据库备份,视为“合规”。应用场景 OceanBase集群开启日志备份,提升系统容灾能力,满足相关法规和安全要求。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 OceanBase集群...
UpdateConfigDeliveryChannel-修改投递渠道
关闭投递渠道后,配置审计保留最近一次投递配置,停止资源数据投递。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权...
资源配置变更历史内容示例
通过本文您可以了解配置审计的资源配置变更历史投递到日志服务SLS的内容示例和主要参数说明。内容示例 创建资源、修改资源和删除资源的配置变更历史投递到日志服务SLS的内容示例如下:创建资源 在单账号模式下,阿里云账号 110803419679*在...
PolarDB集群默认时区参数值非System
应用场景 为PolarDB集群设置明确的时区,保障数据库时区配置一致,避免因时区配置不一致带来的影响。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 PolarDB集群参数 default_time_zone 不等于...
DeleteAggregateConfigRules-删除规则
接口说明 背景信息 删除规则后,其配置信息不再保留。使用说明 本文将提供一个示例,删除账号组 ca-a4e5626622af0079*内的规则 cr-4e3d626622af0080*。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,...
OceanBase最佳实践
OceanBase集群开启数据库备份 OceanBase集群开启数据库备份,视为“合规”。OceanBase租户开启TDE加密 OceanBase租户开启TDE加密,视为“合规”。OceanBase租户IP白名单分组设置有效 OceanBase租户所有IP白名单分组都不包含0.0.0.0,视为...
删除账号组
资源目录中的管理账号或委派管理员账号可以删除账号组。删除账号组后,管理账号或委派...操作步骤 登录 配置审计控制台。在左侧导航栏,单击 账号组。在 账号组 页面,单击目标账号组对应 操作 列的 删除。在 删除账号组 对话框,单击 确定。
调用方式
配置审计接口调用是向配置审计API的服务端地址发送HTTP GET请求,并按照接口说明在请求中加入相应请求参数,调用后系统会返回处理结果。请求及返回结果都使用UTF-8字符集进行编码。请求结构 配置审计的API是RPC风格,您可以通过发送...
基于函数计算创建自定义规则
触发机制 只能选择 配置变更,当您在创建规则、修改规则和规则重新审计资源时,配置审计会将目标资源类型的所有资源配置信息逐条推送至函数计算,并触发函数对其进行评估。在 设置生效范围 页面,资源类型 选择 ECS实例,单击 下一步。说明...
自定义函数规则定义和运行原理
当您基于函数计算新建自定义规则时,如果规则被触发,配置审计会运行规则对应的函数对资源进行检测,并提供资源合规评估结果。本文通过Python示例为您介绍函数规则的函数代码和函数入参。什么是自定义函数规则 自定义函数规则是配置审计...
资源稳定性最佳实践
应用场景 基于技术经验和云服务使用规范,配置审计对客户核心资源进行静态配置合理性巡检,生成不合理配置检测结果,您可以下载检测报告并对不合理配置进行修正,例如:升级实例规格,调整配置等。静态配置即云资源配置项,例如:实例规格...
UpdateDeliveryChannel-更新投递渠道信息(不推荐)
关闭投递渠道后,配置审计保留最近一次投递配置,停止资源数据投递。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 当前API暂无授权信息透...
UpdateAggregateConfigDeliveryChannel-修改指定账号...
关闭投递渠道后,配置审计保留最近一次投递配置,停止资源数据投递。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权...
资源备份功能开启最佳实践
资源备份功能开启最佳实践检测云数据库Redis、云数据库PolarDB和云数据库RDS等云产品是否开启资源备份,如未开启建议及时发现并治理。本文为您介绍资源备份功能开启最佳实践中的默认规则。规则名称 规则描述 ECI弹性实例容器组挂载数据卷 ...
设置投递数据到对象存储OSS
重要 开通对象存储OSS不收费,配置审计将资源数据投递到对象存储OSS需要收费。具体计费标准,请参见 计费概述。背景信息 如果您不想对象存储OSS产生费用,则可以在对象存储OSS控制台删除存储空间。删除存储空间后,配置审计中的投递任务...
手动执行审计
当您修改规则或资源后,如需立刻看到审计结果,可以手动执行审计。如果不手动执行审计,只有当资源配置变更或达到规则触发周期时,您才能看到审计结果。前提条件 请您确保规则的 运行状态 为 应用中。操作步骤 登录 配置审计控制台。(可选...
下载资源清单
配置审计为您提供跨地域聚合的资源清单,您可以在控制台的资源列表中查看资源,也可以将资源清单下载到本地,便于云下分配和查看资源信息。操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行...
弹性伸缩配置中设置数据磁盘加密
弹性伸缩配置中数据磁盘均设置为加密,视为“合规”。应用场景 为弹性伸缩配置中的数据磁盘设置加密可以提高数据的安全性和可靠性,同时满足合规性要求,是一种有效的数据保护措施。风险等级 默认风险等级:中风险。当您使用该规则时,可以...
设置监控范围
关于配置审计支持的资源类型,请参见 配置审计支持的资源类型和资源关系。操作步骤 登录 配置审计控制台。在左侧导航栏,选择 设置>服务设置。在 服务设置 的 监控范围 页签,单击 修改配置。选择监控的资源类型。如果您选择 服务支持的...
MongoDB实例打开日志备份
应用场景 您可以对云数据库MongoDB数据进行备份,然后将备份文件下载至本地进行存储或恢复至自建数据库,用于业务测试或数据分析场景。风险等级 默认风险等级:低风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 MongoDB...
StartConfigurationRecorder
调用StartConfigurationRecorder接口开启配置审计服务并设置资源监控范围。使用普通账号或企业管理账号调用该接口的差异如下:如果您是普通账号,可以调用该接口为当前账号开启配置审计服务。您可以查看当前账号的资源,并管理当前账号的...
资源配置变更历史内容示例
关于配置审计支持的资源关系,请参见 配置审计支持的资源类型和资源关系。当资源无相关资源时,该参数为空。relationshipDiff 相关资源的变更项。captureTime 配置审计发现资源变更事件并生成快照的时间戳。resourceCreateTime 创建资源的...
管理委派管理员账号
应用场景 为配置审计添加委派管理员账号,可以将企业内的组织管理职能和审计管理职能从IT架构上隔离开,这对于企业云上IT的安全管理至关重要。管理账号作为企业的中心管理者默认具有超级管理员权限,在企业IT管理的最佳实践中应使管理账号...
配置审计系统权限策略参考
本文描述配置审计支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品...
概述
基于配置审计确保资源持续合规的核心理念,对于规则评估为不合规的资源进行修正,将成为保证资源持续合规的重要一环。如果您在创建规则时设置了修正,当规则检测到不合规资源时,可以执行修正,快速纠正不合规配置,确保您云上IT系统实现...
Redis实例开启TDE加密
应用场景 云数据库Redis支持透明数据加密TDE(Transparent Data Encryption),可对RDB数据文件执行加密和解密。您可以启用TDE功能,对RDB数据进行自动加密和解密,以满足提升数据安全性及合规需要。风险等级 默认风险等级:中风险。当您...
CreateConfigDeliveryChannel-创建投递渠道
如果您未设置该参数,配置审计仅投递概要信息。说明 仅支持投递渠道 SLS 和 MNS。日志服务 SLS 的投递渠道限制是 1 MB,消息服务 MNS 的投递渠道限制是 64 KB。acs:oss:cn-shanghai:100931896542*:new-bucket Description string 否 投递...
ADB集群开启SQL审计日志
应用场景 SQL审计可以实时记录数据库DML和DDL操作信息,通过SQL审计日志,您可以对数据库进行故障分析、行为分析、安全审计等,提高云原生数据仓库AnalyticDB MySQL版的安全性。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照...
SQL搜索
配置审计支持通过SQL的 Select 语句根据资源属性中的字段精确搜索资源,例如:搜索云服务器ECS实例的内存。背景信息 当您写SQL的 Select 语句时,需要从目标资源类型的属性文件中获取搜索字段及其类型。关于资源属性文件,请参见 ...
通过高级搜索下载自定义资源清单
本文为您介绍如何通过配置审计的高级搜索功能,查询并下载自定义资源清单。背景信息 上云的企业在日常内部治理和运维过程中经常需要将云上的资源数据进行导出,导出的要求包括限于指定资源类型、指定资源类型的属性等。配置审计高级搜索...
设置投递数据到日志服务SLS
当您需要将资源的配置变更历史、不合规事件和定时快照投递到日志服务SLS的指定日志库时,需要设置日志项目(Project)和日志库(Logstore)。资源数据投递到指定日志库后,您可以查询和分析日志。前提条件 请确保您已开通日志服务SLS。具体...
设置投递数据到消息服务MNS
您可以在配置审计中设置将资源配置变更历史和资源不合规事件投递到消息服务MNS的指定主题,您还可以根据所需设置该主题的推送方式和内容。前提条件 请确保您已开通消息服务MNS。具体操作,请参见 开通消息服务MNS并授权。重要 开通消息服务...
CreateDeliveryChannel-创建投递渠道(不推荐)
如果您未设置该参数,配置审计仅投递概要信息。说明 仅支持投递渠道 SLS 和 MNS。日志服务 SLS 的投递渠道限制是 1 MB,消息服务 MNS 的投递渠道限制是 64 KB。acs:oss:cn-shanghai:100931896542*:new-bucket 关于公共请求参数的详情,请...
Redis应用最佳实践
检测云数据库Redis的实例规格是否满足要求,检测审计日志开启、公网及白名单设置、多可用容灾能力、实例续费及到期、变更管理等是否存在风险,确保正确应用云数据库Redis版,保障系统稳定性和安全性。本文为您介绍Redis应用最佳实践中的...
CreateAggregateConfigDeliveryChannel-为指定账号组...
如果您未设置该参数,配置审计仅投递概要信息。说明 仅支持投递渠道 SLS 和 MNS。日志服务 SLS 的投递渠道限制是 1 MB,消息服务 MNS 的投递渠道限制是 64 KB。acs:oss:cn-shanghai:100931896542*:new-bucket Description string 否 投递...
SDK参考
配置审计SDK支持Java、TypeScript、Go、PHP、Python、C#、C++和Swift语言。SDK支持列表 编程语言 最新版SDK下载地址 SDK示例代码 SDK用户指南 Java SDK for Java SDK for Java(异步)SDK示例 SDK用户指南 TypeScript SDK for TypeScript ...
授权信息
配置审计(Config)的RAM代码(RamCode)为 config,支持的授权粒度为 OPERATION。权限策略通用结构 权限策略支持JSON格式,其通用结构如下:{"Version":"1","Statement":[{"Effect":"<Effect>","Action":"<Action>","Resource":...
查看资源合规时间线
在配置审计中,每个资源都有属于自己的合规时间线。当规则评估该资源时,产生合规评估记录,持续的合规评估形成了资源的合规时间线。背景信息 合规时间线是资源的一组合规评估记录,包括的要素如下表所示。要素 说明 合规时间线上的点 起点...
查看资源合规时间线
在配置审计中,每个资源都有属于自己的合规时间线。当规则评估该资源时,产生合规评估记录,持续的合规评估形成了资源的合规时间线。背景信息 合规时间线是资源的一组合规评估记录,包括的要素如下表所示。要素 说明 合规时间线上的点 起点...
- 产品推荐
- 这些文档可能帮助您