概述
基于配置审计确保资源持续合规的核心理念,对于规则评估为不合规的资源进行修正,将成为保证资源持续合规的重要一环。如果您在创建规则时设置了修正,当规则检测到不合规资源时,可以执行修正,快速纠正不合规配置,确保您云上IT系统实现...
自定义规则的数据结构是什么?
当配置审计执行自定义规则中的函数时,默认传入函数计算的数据结构,请参见 函数入参。
配置审计自定义权限策略参考
{"Version":"1","Statement":[{"Effect":"Allow","Action":"config:ListResourcesByAdvancedSearch","Resource":"*"}]} 授权信息参考 使用自定义权限策略,您需要了解业务的权限管控需求,并了解配置审计的授权信息。详细内容请参见 授权...
自定义条件规则的定义和运行原理
什么是自定义条件规则 自定义条件规则是配置审计提供的一种简化的自定义规则方式。区别于通过函数计算自定义规则,需要上传完整的代码。条件规则与编程语言无关,仅需要指定三个条件元素(资源特征、操作符 和 预期值)即可完成,同时集成...
开通配置审计服务
在您使用配置审计之前,必须先开通配置审计服务,才能获取跨地域的资源清单,并对资源进行合规审计。背景信息 开通配置审计服务仅获取您当前账号下资源配置的只读权限,不会影响云服务的正常运行。操作步骤 登录 配置审计控制台。单击 立即...
概述
如果 监控范围 选择 自定义资源类型,您可以自定义资源类型,配置审计只能监控自定义的资源类型。监控状态 配置审计的监控状态如下:暂停监控 当资源类型在监控范围中时,您可以在资源列表中查看该资源类型的资源。当资源类型移出监控范围...
如何配置自定义规则?
关于如何配置自定义规则,请参见 配置与开发自定义规则。
如何删除配置审计服务关联角色?
具体操作,请参见 关闭配置审计服务。普通账号删除配置审计服务关联角色。具体操作,请参见 删除RAM角色。管理账号或委派管理员账号 管理账号或委派管理员账号关闭配置审计服务。具体操作,请参见 关闭配置审计服务。说明 如果管理账号或...
RAM鉴权
config 配置审计服务名称。地域信息。配置审计统一使用通配符星号(*)来代替。{AccountId} 阿里云账号ID,例如:171322098523*。具体的资源描述。配置审计统一使用通配符星号(*)来代替。RAM鉴权说明 配置审计所有API中可授权的操作...
新建账号组
配置审计自动为每个成员构建资源列表,大约需要2~10分钟时间,请您耐心等待。配置审计支持的账号组类型如下表所示。账号组类型 说明 全局账号组 全局账号组包含的成员将自动与资源目录保持一致。管理账号或委派管理员账号选中全局账号组...
关闭配置审计服务
当您不再需要配置审计服务检测资源合规性时,可以对其执行关闭操作。重要 当您关闭配置审计服务后,配置审计中存储的资源配置数据、已创建的规则和合规结果将自动被清空且不可恢复,请您慎重操作。前提条件 如果管理账号下有账号组,则需要...
查看操作事件详情
您可以查看当前阿里云账号及其所有RAM用户最近90天在配置审计服务中进行的管控操作,包括访问配置审计控制台和OpenAPI。背景信息 操作事件的参数含义,请参见 管控事件结构定义。配置审计支持的API接口,请参见 API概览。操作步骤 登录 ...
PutEvaluations-提交自定义函数规则评估结果
当配置审计触发自定义函数计算规则评估时,会将令牌信息作为参数传递给函数计算,用于提交评估结果时输入回调令牌。lAUbfkWp7GL9AFoQEIStinqBMc4FC8sHvip/1F1npkWUDNS2GEm6xwL6Zl/fSr0bbkWY+aiCLjTJxnp4H/yp/8p/Q8VCAtqG5uhRii4sfnYRnTPnE*...
合规库
您可以通过合规库集中查看配置审计支持的合规包模板、规则模板和修正模板,并执行相关操作。操作步骤 登录 配置审计控制台。在左上角选择目标账号组。在左侧导航栏,选择 合规审计>合规库。在 合规库 页面,您可以查看 合规包模板库、规则...
查看资源配置时间线
配置审计记录资源的每一次配置变更和资源关系变更,并整理为配置时间线。您授权配置审计服务后,配置审计开始记录资源的配置变更和资源关系变更历史,并默认保存10年。背景信息 配置时间线是资源的一组配置变更和资源关系变更记录,包括的...
自定义条件规则的基本元素说明
配置审计使用自定义条件规则作为规则部署实施的方式之一,自定义条件规则由资源(Resource)、条件(Condition)、调试(DryRun)等基本元素组成。条件(Condition)是自定义条件规则的重点元素,由条件子句构成,多个子句之间可以通过逻辑...
设置集成服务
配置审计支持设置 云速搭CADT(Cloud Architect Design Tool)、事件总线EventBridge和云监控CloudMonitor的投递服务状态,将资源数据投递到这些云产品进行相关处理。前提条件 请确保您已开通云速搭CADT。当您首次使用云速搭CADT时,需要...
设置投递数据到消息服务MNS
您可以在配置审计中设置将资源配置变更历史和资源不合规事件投递到消息服务MNS的指定主题,您还可以根据所需设置该主题的推送方式和内容。前提条件 请确保您已开通消息服务MNS。具体操作,请参见 开通消息服务MNS并授权。重要 开通消息服务...
StopConfigurationRecorder-停用配置审计服务
关闭配置审计服务。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,...
设置投递数据到日志服务SLS
如果您设置了该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,该文件自动转存到对象存储OSS的目标存储空间。如果您未设置该参数,当配置审计向日志服务SLS投递的文件超过1 MB时,直接丢弃,不进行投递。单击 确认。(可选)在 确认...
管理委派管理员账号
应用场景 为配置审计添加委派管理员账号,可以将企业内的组织管理职能和审计管理职能从IT架构上隔离开,这对于企业云上IT的安全管理至关重要。管理账号作为企业的中心管理者默认具有超级管理员权限,在企业IT管理的最佳实践中应使管理账号...
应用场景
当您在使用大规模资源时,配置审计服务可以帮助您自动监管资源配置的合规性。配置审计服务可以在以下场景帮助您监管资源。集中管理和跟踪资源配置 管理不同云产品跨地域部署的资源时非常不便,配置审计高效的对云产品各地域的资源进行了...
StartConfigurationRecorder-开启配置审计服务
开启配置审计服务并设置资源监控范围为全部。接口说明 本文将提供一个示例,为当前账号启用配置审计服务。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。...
下载应用架构图
您可以在配置审计中下载云速搭CADT的应用架构图。前提条件 请确保您已在云速搭CADT控制台创建应用架构。具体操作,请参见 构建自定义应用架构 或 基于模板库新建。操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。在多账号...
什么是配置审计
配置审计(Cloud Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。面对大量资源,帮您轻松实现基础设施的自主监管,确保持续性合规。产品架构 配置审计的实现原理如下图所示。功能特性 功能 描述 管理...
查看应用架构关联的资源
您开通配置审计和云速搭CADT(Cloud Architect Design Tool)后,配置审计可以实时获取云速搭CADT的应用架构。您可以在配置审计中查看云速搭CADT的所有应用架构及其关联的资源。前提条件 请您确保已在云速搭CADT控制台创建应用架构。具体...
为什么执行自定义规则后评估结果仍然是无数据?
自定义规则被触发后,函数计算中的函数对资源进行评估,并调用配置审计的PutEvaluations接口,将评估结果返回给配置审计。当您执行自定义规则后,评估结果仍然显示为“无数据”的排查方法如下:通过操作审计排查 通过 操作审计控制台 的 ...
概述
授权配置审计服务后,您可以获得跨地域聚合的资源清单,并在配置审计控制台对资源进行管理。应用场景 当您在阿里云多个地域部署资源时,跨地域管理资源非常不便,配置审计为您提供跨地域聚合的资源清单,便于您快速检索到目标资源,查看该...
规则的定义及运行原理
合规评估的结果 配置审计将获取的变更结果作为入参传入规则函数,规则函数返回合规结果给配置审计,在配置审计控制台以各种方式为您呈现和统计,请参见 查看资源的评估结果。您可以在函数计算服务中自定义规则函数,请参见 自定义规则函数...
为什么自定义规则函数未被触发?
当您新建自定义规则或重新执行自定义规则时,为什么自定义规则中的函数未被触发?操作步骤 启用函数的日志功能,便于您查看函数的执行日志。关于如何启用函数的日志功能,请参见 配置日志。在 调用日志 页签中,查看是否存在调用记录。是:...
计费说明
配置审计的功能 计费的云服务 相关文档 使用自定义规则新建规则 函数计算FC 函数计算FC计费说明 设置投递数据到日志服务SLS 日志服务SLS 日志服务SLS计费说明 设置投递数据到对象存储OSS 对象存储OSS 对象存储OSS计费说明 设置投递数据到...
手动执行审计
操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。在左侧导航栏,选择 合规审计>规则。在 规则 页面,先单击目标规则对应 操作 列的 图标,再单击 重新审计。...
Python SDK调用示例
说明 配置审计的系统权限策略如下:AliyunConfigFullAccess:管理配置审计(Config)的权限。AliyunConfigReadOnlyAccess:只读访问配置审计(Config)的权限。关于如何创建自定义权限,请参见 创建自定义权限策略 和 授权信息。单击 确定...
SQL搜索
配置审计支持通过SQL的 Select 语句根据资源属性中的字段精确搜索资源,例如:搜索云服务器ECS实例的内存。背景信息 当您写SQL的 Select 语句时,需要从目标资源类型的属性文件中获取搜索字段及其类型。关于资源属性文件,请参见 ...
基于条件创建自定义规则
当配置审计预置的规则模板不能满足需求时,您可以通过可视化设置条件规则的三要素(资源特征、操作符和预期值),快速创建自定义规则,对目标资源进行审计。背景信息 关于自定义条件规则的概念、应用场景和核心特性,请参见 自定义条件规则...
设置监控范围
关于配置审计支持的资源类型,请参见 配置审计支持的资源类型和资源关系。操作步骤 登录 配置审计控制台。在左侧导航栏,选择 设置>服务设置。在 服务设置 的 监控范围 页签,单击 修改配置。选择监控的资源类型。如果您选择 服务支持的...
配置审计服务关联角色
配置审计服务关联角色(AliyunServiceRoleForConfig)是在某些场景下,为了完成配置审计的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。说明 更多关于服务关联角色的信息,请参见 服务关联角色。应用场景 当配置审计调用各...
设置自定义修正
当您选择从模板创建规则或自定义创建规则时,均可以设置自定义修正,通过函数计算FC修正不合规资源。当该条规则绑定的资源被判定为 不合规 时,可以执行修正,快速修正不合规资源。前提条件 请确保您已开通函数计算FC。具体操作,请参见 ...
通过高级搜索下载自定义资源清单
本文为您介绍如何通过配置审计的高级搜索功能,查询并下载自定义资源清单。背景信息 上云的企业在日常内部治理和运维过程中经常需要将云上的资源数据进行导出,导出的要求包括限于指定资源类型、指定资源类型的属性等。配置审计高级搜索...
调用方式
配置审计接口调用是向配置审计API的服务端地址发送HTTP GET请求,并按照接口说明在请求中加入相应请求参数,调用后系统会返回处理结果。请求及返回结果都使用UTF-8字符集进行编码。请求结构 配置审计的API是RPC风格,您可以通过发送...
- 产品推荐
- 这些文档可能帮助您