调用方式
配置审计接口调用是向配置审计API的服务端地址发送HTTP GET请求,并按照接口说明在请求中加入相应请求参数,调用后系统会返回处理结果。请求及返回结果都使用UTF-8字符集进行编码。请求结构 配置审计的API是RPC风格,您可以通过发送...
设置集成服务
配置审计支持设置 云速搭CADT(Cloud Architect Design Tool)、事件总线EventBridge和云监控CloudMonitor的投递服务状态,将资源数据投递到这些云产品进行相关处理。前提条件 请确保您已开通云速搭CADT。当您首次使用云速搭CADT时,需要...
集成概览
本文为您介绍配置审计OpenAPI的基本信息。关于如何使用阿里云OpenAPI,请参见 使用OpenAPI。版本说明 版本号 说明 2020-09-07 推荐使用 接入点说明 配置审计的接入地址(Endpoint)与地域无关,完全取决于您当前账号的归属站点,具体如下表...
设置投递数据到对象存储OSS
关于配置审计支持的资源类型,请参见 配置审计支持的资源类型和资源关系。每日投递时间 资源定时快照的每日投递时间。说明 如果您不设置该参数,则默认每天00:00:00和12:00:00投递资源数据。单击 确认。(可选)在 确认操作 对话框,单击 ...
通过MNS通知机制实现不合规资源的自动修复
当配置审计发现资源配置有变更且不合规时,以事件通知的形式将告警推送到您指定的消息服务MNS主题。当您收到不合规告警时,通过函数计算实现不合规资源的自动修复。前提条件 请确保您已使用规则模板创建规则。具体操作,请参见 授权服务 和...
资源不合规事件内容示例
通过本文您可以了解配置审计的资源不合规事件投递到日志服务SLS的内容示例和主要参数说明。内容示例 在单账号模式下,阿里云账号 120886317861*中对象存储OSS的北京地域的存储空间 test_bucket 的不合规事件投递到日志服务SLS,内容示例...
通过配置审计实现资源的多环境合规审计
当企业进行云上资源合规落地时,通常会面临合规标准无法统一的问题,例如:生产环境和测试环境的资源安全要求不同,不同部门对资源的规范要求不同,不同法规对相同资源的审计标准不同。配置审计通过丰富的托管规则,帮助企业在资源合规落地...
GetConfigurationRecorder-查询服务启用状态和资源...
操作 访问级别 资源类型 条件关键字 关联操作 config:GetConfigurationRecorder Read 全部资源*无 无 请求参数 名称 类型 必填 描述 示例值 当前API无需请求参数 返回参数 名称 类型 描述 示例值 object RequestId string 请求 ID。...
资源不合规事件内容示例
通过本文您可以了解配置审计的资源不合规事件投递到消息服务MNS的内容示例和主要参数说明。内容示例 在单账号模式下,阿里云账号 120886317861*中云服务器ECS的北京地域的实例 test_Instance 的不合规事件投递到消息服务MNS,内容示例如下...
配置审计服务关联角色
配置审计服务关联角色(AliyunServiceRoleForConfig)是在某些场景下,为了完成配置审计的某个功能,需要获取其他云服务的访问权限而提供的RAM角色。说明 更多关于服务关联角色的信息,请参见 服务关联角色。应用场景 当配置审计调用各...
DescribeEvaluationResults
您可以通过GetSupportedResourceTypes接口获取配置审计支持的资源类型列表。更多信息,请参见 GetSupportedResourceTypes。说明 资源类型(ResourceType)和规则ID(ConfigRuleId)二选一。ResourceId String 否 i-bp151g9tpto890zr*资源ID...
应用场景
当您在使用大规模资源时,配置审计服务可以帮助您自动监管资源配置的合规性。配置审计服务可以在以下场景帮助您监管资源。集中管理和跟踪资源配置 管理不同云产品跨地域部署的资源时非常不便,配置审计高效的对云产品各地域的资源进行了...
通过高级搜索下载自定义资源清单
本文为您介绍如何通过配置审计的高级搜索功能,查询并下载自定义资源清单。背景信息 上云的企业在日常内部治理和运维过程中经常需要将云上的资源数据进行导出,导出的要求包括限于指定资源类型、指定资源类型的属性等。配置审计高级搜索...
配置审计系统权限策略参考
本文描述配置审计支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品...
ListConfigRuleEvaluationResults-查询评估列表
配置审计的服务角色不存在。404 AccountNotExisted Your account does not exist.您的账号不存在。503 ServiceUnavailable The request has failed due to a temporary failure of the server.服务不可用。访问 错误中心 查看更多错误码。
SQL搜索
配置审计支持通过SQL的 Select 语句根据资源属性中的字段精确搜索资源,例如:搜索云服务器ECS实例的内存。背景信息 当您写SQL的 Select 语句时,需要从目标资源类型的属性文件中获取搜索字段及其类型。关于资源属性文件,请参见 ...
公告:企业版配置审计升级为账号组
同时账号组又提供了等同于企业版配置审计的功能。本次账号组功能发布对您无影响。控制台的变更 配置审计基于账号组提供面向企业内企业管理账号和所有成员账号的合规管理能力。账号组相比于企业版配置审计的升级点在于:企业版配置审计:...
设置投递数据到消息服务MNS
您可以在配置审计中设置将资源配置变更历史和资源不合规事件投递到消息服务MNS的指定主题,您还可以根据所需设置该主题的推送方式和内容。前提条件 请确保您已开通消息服务MNS。具体操作,请参见 开通消息服务MNS并授权。重要 开通消息服务...
查看资源清单
背景信息 资源清单中仅展示已支持配置审计的云服务和资源类型。更多信息,请参见 配置审计支持的资源类型和资源关系。操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。在多账号模式下,资源目录的管理账号需要执行该操作。...
设置投递数据到日志服务SLS
关于配置审计支持的资源类型,请参见 配置审计支持的资源类型和资源关系。每日投递时间 资源定时快照的每日投递时间。说明 如果您不设置该参数,则默认每天00:00:00和12:00:00投递资源数据。大文件接收地址 配置审计向日志服务SLS投递的大...
删除账号组
资源目录中的管理账号或委派管理员账号可以删除账号组。删除账号组后,管理账号或委派...操作步骤 登录 配置审计控制台。在左侧导航栏,单击 账号组。在 账号组 页面,单击目标账号组对应 操作 列的 删除。在 删除账号组 对话框,单击 确定。
概述
针对该变更配置审计不做任何处理。移除成员账号 配置审计感知该变更。当您将某个成员账号移除资源目录时,企业管理账号失去对该成员账号的管理权限,该成员账号自动从所有账号组移除。成员账号被加入账号组前后和被移除账号组的功能变化 ...
基本概念
本文解释了配置审计的基本概念,帮助您正确理解和使用配置审计。概念 说明 资源类型 资源类型是一组实体资源的归类。例如:云服务器ECS实例的资源类型为ECS实例。资源可以分为以下几类:计算实例、存储实例等实体资源。工作组、工作流等...
Python SDK调用示例
本文以Python SDK为例,为您介绍如何通过OpenAPI调用ListDiscovereesources接口查询配置审计资源列表。步骤一:查看OpenAPI文档 通过阅读 API概览 得知,查询配置审计资源列表的OpenAPI为 ListDiscovereesources。请您根据文档,了解调用该...
概述
基于配置审计确保资源持续合规的核心理念,对于规则评估为不合规的资源进行修正,将成为保证资源持续合规的重要一环。如果您在创建规则时设置了修正,当规则检测到不合规资源时,可以执行修正,快速纠正不合规配置,确保您云上IT系统实现...
StopConfigurationRecorder-停用配置审计服务
关闭配置审计服务。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用,...
单账号和多账号模式下各账号的使用差异
配置审计服务关联角色 授权配置审计服务时,自动新建配置审计服务关联角色。如果成员未新建配置审计服务关联角色,则在管理账号新建账号组时,自动为账号组内的成员新建配置审计服务关联角色。授权配置审计服务时,自动新建配置审计服务...
存在所有指定标签
目标资源绑定规则中指定的所有标签,视为“合规”。应用场景 在云上IT管理中,要求云上的IT资源必须具备某个或某些标签,在后续的权限隔离...在 配置审计控制台 为资源绑定规则中指定的标签。具体操作,请参见 设置自动修正 或 设置手动修正。
UpdateCompliancePack-修改合规包信息
配置审计根据托管规则标识自动创建规则,并将该规则加入到当前合规包中。ManagedRuleIdentifier 和 ConfigRuleId 二选一,当两个参数都设置时,以 ConfigRuleId 为准确。关于如何获取托管规则标识,请参见 ListCompliancePackTemplates。...
为什么执行自定义规则后评估结果仍然是无数据?
自定义规则被触发后,函数计算中的函数对资源进行评估,并调用配置审计的PutEvaluations接口,将评估结果返回给配置审计。当您执行自定义规则后,评估结果仍然显示为“无数据”的排查方法如下:通过操作审计排查 通过 操作审计控制台 的 ...
CreateAggregateCompliancePack-创建账号组合规包
配置审计根据托管规则标识自动创建规则,并将该规则加入到当前合规包中。ManagedRuleIdentifier 和 ConfigRuleId 二选一,当两个参数都设置时,以 ConfigRuleId 为准确。关于如何获取托管规则标识,请参见 ListCompliancePackTemplates。...
概述
配置审计持续且自动为您评估云上IT资源的合规性,您可以设置将资源数据投递到对应云服务,便于您对资源数据执行相关操作。计费说明 配置审计的投递服务不收费,当资源数据投递到对应云服务时,该云服务需要收费。计费标准如下:关于日志...
UpdateAggregateCompliancePack-修正账号组合规包信息
配置审计根据托管规则标识自动创建规则,并将该规则加入到当前合规包中。ManagedRuleIdentifier 和 ConfigRuleId 二选一,当两个参数都设置时,以 ConfigRuleId 为准确。关于如何获取托管规则标识,请参见 ListCompliancePackTemplates。...
自定义函数规则定义和运行原理
当您基于函数计算新建自定义规则时,如果规则被触发,配置审计会运行规则对应的函数对资源进行检测,并提供资源合规评估结果。本文通过Python示例为您介绍函数规则的函数代码和函数入参。什么是自定义函数规则 自定义函数规则是配置审计...
更新账号组的配置
如果成员未新建配置审计服务关联角色,则会自动新建。成员已有的规则和合规包会被保留。成员已设置的资源投递和资源事件通知自动被清空且剥夺设置权限,只能遵从管理账号或委派管理员账号的设置。成员在 概览、资源、合规包 和 规则 菜单,...
使用限制
本文列举了配置审计的使用限制。限制项 最大值 一个账号允许新建的规则数目 200条 一个账号允许新建投递任务的数目 5个 一个管理账号允许新建的账号组数目 5个 一个账号组下允许新建投递任务的数目 5个 一个账号组内允许包含的成员数目 200...
设置自定义修正
当您确保本次修正不会对业务造成影响时,可以选择 触发方式 为 自动触发,当配置审计检测到不合规资源时,会自动执行修正。单击 前往创建新的函数,在函数计算控制台上创建服务和函数。具体操作,请参见 快速创建函数。创建函数时,函数...
通过EventBridge将MNS投递事件发送至钉钉
本文为您介绍如何通过事件总线EventBridge的投递功能,将配置审计投递至消息服务MNS的投递事件发送至钉钉。前提条件 请确保您已开通事件总线EventBridge。具体操作,请参见 开通事件总线EventBridge并授权。请确保您已开通消息服务MNS。...
UpdateConfigDeliveryChannel-修改投递渠道
关闭投递渠道后,配置审计保留最近一次投递配置,停止资源数据投递。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权...
管理委派管理员账号
应用场景 为配置审计添加委派管理员账号,可以将企业内的组织管理职能和审计管理职能从IT架构上隔离开,这对于企业云上IT的安全管理至关重要。管理账号作为企业的中心管理者默认具有超级管理员权限,在企业IT管理的最佳实践中应使管理账号...
- 产品推荐
- 这些文档可能帮助您