调用方式
配置审计接口调用是向配置审计API的服务端地址发送HTTP GET请求,并按照接口说明在请求中加入相应请求参数,调用后系统会返回处理结果。请求及返回结果都使用UTF-8字符集进行编码。请求结构 配置审计的API是RPC风格,您可以通过发送...
配置审计系统权限策略参考
本策略定义了管理配置审计(Config)的权限。查看策略详情 AliyunConfigReadOnlyAccess 您可以将 AliyunConfigReadOnlyAccess 策略授权给RAM身份。本策略定义了只读访问配置审计(Config)的权限。查看策略详情 服务关联角色策略 ...
通过EventBridge将MNS投递事件发送至钉钉
本文为您介绍如何通过事件总线EventBridge的投递功能,将配置审计投递至消息服务MNS的投递事件发送至钉钉。前提条件 请确保您已开通事件总线EventBridge。具体操作,请参见 开通事件总线EventBridge并授权。请确保您已开通消息服务MNS。...
新功能发布记录
2023-09-19 全部地域 自定义条件规则的定义和运行原理 基于条件创建自定义规则 2023年05月 功能名称 功能描述 发布时间 发布地域 相关文档 合规库 通过合规库集中查看配置审计支持的合规包模板、规则模板和修正模板,并执行启用操作。...
授权信息
本文为您介绍 配置审计(Config)为RAM权限策略定义的操作(Action)、资源(Resource)和条件(Condition)。配置审计(Config)的RAM代码(RamCode)为 config,支持的授权粒度为 OPERATION。权限策略通用结构 权限策略支持JSON格式,其...
导出和导入合规包
具体操作,请参见 开通配置审计服务 和 新建合规包。请您确保阿里云账号B已开通配置审计。具体操作,请参见 开通配置审计服务。背景信息 您还可以根据规则模板和自定义条件规则编写合规包模板,更加高效地定制符合自身业务场景的各种合规...
Redis实例使用自定义密钥开启TDE加密
Redis实例使用自定义密钥开启TDE加密,视为“合规”。应用场景 使用自定义密钥对数据进行加密,满足相关法规要求,提升数据的安全性。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 Redis实例...
VPC自定义网段已设置路由
应用场景 确保自定义网段有实际应用,及时发现无效的自定义网段并进行清理,避免无效配置带来的管理成本。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 VPC自定义网段在关联路由表中存在至少...
API网关中API分组的自定义域名设置了SSL证书
API网关中的API分组绑定自定义域名,且设置了SSL证书,视为“合规”。应用场景 为自定义域名设置SSL证书,对信息和数据进行加密,用来保证数据传输的安全。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级...
基本概念
本文解释了配置审计的基本概念,帮助您正确理解和使用配置审计。概念 说明 资源类型 资源类型是一组实体资源的归类。例如:云服务器ECS实例的资源类型为ECS实例。资源可以分为以下几类:计算实例、存储实例等实体资源。工作组、工作流等...
概述
针对该变更配置审计不做任何处理。移除成员账号 配置审计感知该变更。当您将某个成员账号移除资源目录时,企业管理账号失去对该成员账号的管理权限,该成员账号自动从所有账号组移除。成员账号被加入账号组前后和被移除账号组的功能变化 ...
集成概览
本文为您介绍配置审计OpenAPI的基本信息。关于如何使用阿里云OpenAPI,请参见 使用OpenAPI。版本说明 版本号 说明 2020-09-07 推荐使用 接入点说明 配置审计的接入地址(Endpoint)与地域无关,完全取决于您当前账号的归属站点,具体如下表...
设置投递数据到对象存储OSS
关于配置审计支持的资源类型,请参见 配置审计支持的资源类型和资源关系。每日投递时间 资源定时快照的每日投递时间。说明 如果您不设置该参数,则默认每天00:00:00和12:00:00投递资源数据。单击 确认。(可选)在 确认操作 对话框,单击 ...
通过云监控实现不合规事件的报警通知
当资源配置不合规时,配置审计会将不合规事件自动投递到云监控。您可以在云监控中查看不合规事件,还可以基于云监控的事件报警功能触发报警通知。应用场景 您在配置审计控制台通过规则模板“ECS实例开启释放保护”创建一条风险等级为“高...
通过配置审计实现标签自动化管理
本文为您介绍配置审计中与标签相关的规则模板,以及结合实际使用场景介绍如何对资源关联的标签进行审计和自动修正。背景信息 云上企业往往会通过标签来对资源进行分类,用于分权、分账和审计等业务进行管理,如何通过有效的方式为资源绑定...
基于函数计算创建自定义规则
背景信息 关于自定义函数规则的概念、应用场景、运行原理等,请参见 自定义函数规则定义和运行原理。操作步骤 本文通过编写函数代码检测ECS实例中的CPU核数为例,当CPU核数小于或等于2时,ECS实例合规;反之,ECS实例不合规。创建服务。...
API网关中配置API安全认证
API网关中配置API安全认证为阿里云APP或使用指定的插件类型,视为“合规”。应用场景 API网关中配置合适的API安全认证方式,降低业务安全风险。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 ...
自定义函数规则定义和运行原理
当您基于函数计算新建自定义规则时,如果规则被触发,配置审计会运行规则对应的函数对资源进行检测,并提供资源合规评估结果。本文通过Python示例为您介绍函数规则的函数代码和函数入参。什么是自定义函数规则 自定义函数规则是配置审计...
编写配置化合规包模板
配置化合规包模板功能为您提供了强大的合规管理能力,允许您定义和导入导出符合自身业务需求的官方规则模板集和灵活的自定义条件规则集,来满足业务合规性要求。通过深入理解合规包模板结构和字段含义,您可以更加高效地定制符合自身业务...
RDS实例使用自定义密钥开启TDE
RDS实例的自定义密钥开启TDE(Transparent Data Encryption),视为“合规”。应用场景 RDS实例使用自定义密钥对数据进行加密,满足相关法规要求,提升数据的安全性。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求...
基于模板创建规则
规则模板是配置审计已在函数计算中构建的规则函数。您可以通过规则模板快速创建规则,对目标资源进行审计。操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。...
函数计算函数绑定到自定义域名且开启TLS指定版本
函数计算中函数绑定的自定义域名能够访问公网且开启TLS指定版本,视为“合规”。应用场景 函数配置指定的TLS协议版本,能够有效提升数据安全性。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑...
概述
配置审计持续且自动为您评估云上IT资源的合规性,您可以设置将资源数据投递到对应云服务,便于您对资源数据执行相关操作。计费说明 配置审计的投递服务不收费,当资源数据投递到对应云服务时,该云服务需要收费。计费标准如下:关于日志...
检测多账号的资源合规性
请确保您已开通配置审计服务。具体操作,请参见 开通配置审计服务。请确保您已开通日志服务SLS。具体操作,请参见 开通日志服务。重要 开通日志服务SLS不收费,配置审计将资源数据投递到日志服务SLS,并使用其查询和分析功能需要收费。具体...
通过合规包的导入和导出功能实现在多账号之间共享合规...
为了确保CDN域名的安全性、稳定性和低成本等,客户需要使用配置审计的CDN相关合规包。这个合规包由客户自定义的CDN相关规则和CDN合规管理最佳实践合规包模板中的规则组成,可以用来检测和管理CDN配置的合规性。假设公司A已成功配置并达到了...
RAM用户开启SSO
应用场景 用户SSO适用于以下场景:您希望从阿里云的登录页面开始发起登录,而非直接访问您IdP的登录页面。您需要使用的云产品中有部分暂时不支持角色访问。支持角色访问(即通过STS访问)的云产品请参见 支持STS的云服务。您的IdP不支持...
API概览
本产品(配置审计/2020-09-07)的OpenAPI采用 RPC 签名风格,签名细节参见 签名机制说明。我们已经为开发者封装了常见编程语言的SDK,开发者可通过 下载SDK 直接调用本产品OpenAPI而无需关心技术细节。如果现有SDK不能满足使用需求,可通过...
企业多账号场景下实现不合规资源自动修正
背景信息 配置审计可以通过运行规则检测不合规资源,并且设置自定义修正将不合规资源进行修正。当企业在多账号场景下需要跨账号的对不合规资源进行修正时,可以结合 资源目录 提供多级账号和资源关系管理能力来实现。本文以 ECS实例是否...
API概览
配置审计提供以下API。资源 API 描述 GetDiscoveredResourceCounts 调用GetDiscoveredResourceCounts接口查询资源数量。GetSupportedResourceTypes 调用GetSupportedResourceTypes接口查询配置审计支持的资源类型列表。...
API网关中API分组绑定自定义域名
API网关中的API分组绑定自定义域名,视为“合规”。应用场景 为API设置合适的自定义域名,满足业务规范和管控要求。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 API网关中的API分组绑定...
修改规则
操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。在左侧导航栏,选择 合规审计>规则。在 规则 页面,单击目标规则对应 操作 列的 修改配置。在 设置基本属性...
自定义RAM策略未包含参数指定的权限配置
自定义RAM策略未包含参数指定的授权内容,视为“合规”。应用场景 检查自定义RAM策略的授权内容,避免非必要的权限分配为安全生产带来隐患。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 ...
查看规则详情
操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。在左侧导航栏,选择 合规审计>规则。在 规则 页面,通过筛选或搜索功能找到目标规则。搜索:您可以通过规则...
函数计算服务允许访问公网且绑定到自定义域名
应用场景 通过固定域名访问应用,不影响应用迁移或更改应用访问地址后带来的用户访问问题。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 函数计算服务中的函数允许访问公网且绑定到自定义...
函数计算函数绑定到自定义域名且上传证书
函数计算中函数绑定的自定义域名能够访问公网且已上传证书,视为“合规”。应用场景 函数计算中的函数开启HTTPS,上传SSL证书能对网站传输的数据进行加密,有效提升数据安全性。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照...
函数计算函数绑定到自定义域名且开启HTTPS
函数计算中函数绑定的自定义域名能够访问公网且开启HTTPS,视为“合规”。应用场景 函数计算中函数开启HTTPS能对网站传输的数据进行加密,有效提升数据安全性。风险等级 默认风险等级:中风险。...具体操作,请参见 配置自定义域名。
企业多账号场景下订阅资源的配置变更事件
企业通过资源目录对多个账号中的资源进行统一管理后,可以通过配置审计将资源的配置变更事件投递到事件总线EventBridge,还可以通过函数计算中的触发器将事件总线EventBridge中的资源配置变更事件投递到函数计算。应用场景 某企业统一管理...
规则模板列表
当您在配置审计控制台新建规则时,可以直接选用规则模板。如果您需要其他规则模板,可以 提交工单。阿里云评估后会酌情支持,并将具备普遍适用性的规则实现为规则模板。配置审计支持的规则模板如下表所示。云服务 规则模板 支持修正设置的...
如何确认自定义函数是否执行成功?
当自定义函数被触发执行后,您需要确认自定义函数是否执行成功?操作步骤 您可以在函数计算控制台为目标函数开启任务模式。在任务模式下,函数计算会记录您的每个任务在各个阶段的执行状态,并提供任务状态查询、任务排队数指标、任务去重...
OSS存储空间使用自定义KMS密钥加密
OSS存储空间使用了自定义的KMS密钥加密,视为“合规”。应用场景 因安全合规要求,OSS存储空间需要使用自定义KMS密钥加密,保证业务数据的存储安全。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测...
- 产品推荐
- 这些文档可能帮助您