概述 配置审计服务提供合规规则包的示例模板，帮助用户通过示例模板快速创建合规规则包，每个合规规则包的示例模板中包含都多个合规规则，也就是配置审计服务的预设策略，每个预设策略的具体说明请参见系统内置预设策略。您可以通过列举预定义合规规则包模板接口查看所有的合规规则包示例模板。 配置审计服务控制台当前提供如下合规规则包的示例模板： 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于统一身份认证服务（IAM）的最佳实践 适用于云监控服务（CES）的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器（ECS）的最佳实践 适用于弹性负载均衡（ELB）的最佳实践 适用于管理与监管服务的最佳实践 适用于云数据库（RDS）的最佳实践 适用于弹性伸缩（AS）的最佳实践 适用于云审计服务（CTS）的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 适用于空闲资产管理的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包 适用于SWIFT CSP的标准合规包 适用于德国云计算合规标准目录的标准合规包 适用于PCI-DSS的标准合规包 适用于医疗行业的合规实践 网络及数据安全最佳实践 父主题： 合规规则包示例模板

另存查询 您可以修改预设查询或已有自定义查询的名称、描述和查询语句，“另存为”后产生新的查询，以“预设查询”为例，您可按如下步骤操作。 进入“高级查询”页面，选择“预设查询”页签。 “高级查询”页面默认展示预设查询列表。 单击目标查询操作列的“使用查询”，进入“使用查询”页面。 也可以单击查询名称，进入查询概览页，再单击查询概览页右下方的“使用查询”，进入“使用查询”页面。 图2 使用预设查询 根据界面提示，在查询编辑器中修改查询语句。 详细请参见高级查询配置样例。 单击“另存为”，配置查询名称和描述。 在弹框中，单击“确定”。 通过“另存为”操作产生的新查询，将更新在自定义查询列表中。

新建查询 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“高级查询”，进入“高级查询”页面。 选择“自定义查询”页签，单击页面右上角的“新建查询”。 根据界面提示，在查询编辑器中输入查询语句。 页面左侧为高级查询使用的Schema信息，也就是查询语句中properties参数需要填写的内容，为各个云服务资源类型的详细属性。查询语句的配置样例请参见高级查询配置样例。 单击“保存查询”，输入查询名称和描述。 查询名称仅支持输入数字、英文字母、下划线和中划线。 单击“确定”，保存成功。 图1 保存查询 如果自定义查询达到限额时，您将无法单击“保存查询”，同时页面右上方提示“您创建的查询已达到上限，请删除暂不需要使用的查询。”。但此时您依然可以单击“运行”，直接运行查询并查看和导出查询结果。 单击“运行”，查看查询结果。目前只支持展示和导出前4000条查询结果。 单击“导出”，选择要导出的文件格式（CSV格式或JSON格式）。

基本概念 示例模板： 配置审计服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模版”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模版”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规；若该值为“--”，则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建与删除行为最终是通过资源栈来实现的。资源栈是资源编排服务的概念，详见资源栈。 状态： 合规规则包的部署状态。包括以下几种情况： 已部署：合规规则包已部署成功，合规规则均创建成功。 部署中：合规规则包正在部署中，合规规则正在创建中。 部署异常：合规规则包部署失败。 回滚成功：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 回滚中：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 回滚失败：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 删除中：合规规则包正在删除中，合规规则正在删除中。 删除异常：合规规则包删除失败。 更新成功：合规规则包修改并更新成功。 更新中：合规规则包修改更新中。 更新失败：合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 快速授权：快速授权将为您快速创建一个名为“rms_conformance_pack_agency”的委托，该权限是可以让合规规则包创建和删除的委托，该委托的权限包含授权资源编排服务（RFS）创建、更新和删除合规规则的权限。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

其他操作 您可以修改预设查询或已有自定义查询的名称、描述和查询语句，“另存为”后产生新的查询，具体请参考其他操作。 如果您需要查看某个查询的名称、描述和查询语句，请参考查看查询。 如果您需要修改某个自定义查询的查询语句，请参考修改查询。 如果您不需要使用某个自定义的查询，删除操作请参考删除查询。预设查询不支持删除操作。 使用资源聚合器高级查询的相关功能，必须先指定需要查询的资源聚合器，从而定义您的查询范围，对指定聚合器聚合的多个源账号下的资源进行高级查询。

概述 资源聚合器提供高级查询能力，通过使用ResourceQL自定义查询单个或多个聚合源账号的资源配置状态。 高级查询支持用户自定义查询和浏览华为云云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 您可以使用Config预设的查询语句，或根据资源配置属性自定义查询语句，查询具体的云资源配置。 ResourceQL是结构化的查询语言(SQL) SELECT语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。

使用限制 为避免单用户长时间查询占用资源，影响其他用户，对高级查询功能做以下限制： 单次查询语句的执行时长不能超过15秒，否则会返回超时错误。 单次查询语句查询大量数据，会返回查询数据量过大的报错，需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 高级查询功能依赖于资源记录器所收集的资源数据，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则高级查询语句无法查询到任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则高级查询语句仅能查询到所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则高级查询语句仅能查询到资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

新建查询 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“高级查询”，进入“高级查询”页面。 选择“自定义查询”页签，单击页面右上角的“新建查询”。 在右侧的“查询范围”页面中选择需要查询资源配置的聚合器，然后在下方输入框中输入查询语句。 页面左侧为高级查询使用的Schema信息，也就是查询语句中properties参数需要填写的内容，为各个云服务资源类型的详细属性。查询语句的配置样例请参见高级查询配置样例。 单击“保存查询”，输入查询名称和描述。 查询名称仅支持输入数字、英文字母、下划线和中划线。 单击“确定”，保存成功。 图1 保存查询 如果自定义查询达到限额时，您将无法单击“保存查询”，同时页面右上方提示“您创建的查询已达到上限，请删除暂不需要使用的查询。”。但此时您依然可以单击“运行”，直接运行查询并查看和导出查询结果。 单击“运行”，查看查询结果。目前只支持展示和导出前4000条查询结果。 单击“导出”，选择要导出的文件格式（CSV格式或JSON格式）。

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例域名均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster MapReduce服务 MRS MRS资源属于指定安全组 配置变更 mrs.mrs MRS资源属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定公网IP 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 vpcep.endpoints Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 弹性负载均衡 ELB ELB资源不具有公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性文件服务器 SFS 弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares 弹性云服务器 ECS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置秘钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加IAM委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 配置审计 Config 账号开启资源记录器 周期触发 config.trackers 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定公网IP 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查CSMS凭据轮转成功 配置变更 csms.secrets 统一身份认证服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不存在KMS的任一阻拦action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies IAM账号存在可使用的访问密钥 周期触发 iam.users IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根账号开启MFA认证 周期触发 iam.users IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定公网IP 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除的事件监控告警 周期触发 ces.alarms CES配置监控OBS桶策略变更的事件监控告警 周期触发 ces.alarms 指定的资源类型绑定指定指标CES告警 周期触发 ces.alarms 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 ces.alarms 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters 云审计服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 cts.trackers CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 cts.trackers 在指定区域创建并启用CTS追踪器 周期触发 cts.trackers 云数据库 RDS GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB NoSQL部署在单个可用区 配置变更 nosql.instances GaussDB NoSQL开启备份 配置变更 nosql.instances GaussDB NoSQL使用磁盘加密 配置变更 nosql.instances GaussDB NoSQL开启错误日志 配置变更 nosql.instances GaussDB NoSQL支持慢查询日志 配置变更 nosql.instances GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启审计日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启备份 配置变更 gaussdb.instance GaussDB for MySQL实例开启错误日志 配置变更 gaussdb.instance GaussDB for MySQL实例开启慢日志 配置变更 gaussdb.instance RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances 云搜索服务 CSS CSS集群启用认证 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群开启安全模式 配置变更 css.clusters CSS集群白名单不生效 配置变更 css.clusters CSS集群kibana白名单不生效 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列开启公网访问 配置变更 dms.kafkas 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS Reliability队列打开SSL加密访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 organizations.account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 父主题： 系统内置预设策略

评估由配置变更触发的示例函数 Config服务检测到自定义合规规则范围内的资源发生更改时，会调用函数的示例如下： import time import http.client from huaweicloudsdkcore.auth.credentials import GlobalCredentials from huaweicloudsdkcore.exceptions.exceptions import ConnectionException from huaweicloudsdkcore.exceptions.exceptions import RequestTimeoutException from huaweicloudsdkcore.exceptions.exceptions import ServiceResponseException from huaweicloudsdkconfig.v1.region.config_region import ConfigRegion from huaweicloudsdkconfig.v1.config_client import ConfigClient from huaweicloudsdkconfig.v1 import PolicyResource, PolicyStateRequestBody from huaweicloudsdkconfig.v1 import UpdatePolicyStateRequest ''' 合规规则评估逻辑: 返回“Compliant” 或 “NonCompliant” 本示例中, 当资源类型为ecs.cloudservers, 且该ecs的vpcId字段不是合规规则参数所指定的vpcId时, 会返回不合规, 否则返回合规。 ''' def evaluate_compliance(resource, parameter): if resource.get("provider") != "ecs" or resource.get("type") != "cloudservers": return "Compliant" vpc_id = resource.get("properties", {}).get("metadata", {}).get("vpcId") return "Compliant" if vpc_id == parameter.get("vpcId") else "NonCompliant" def update_policy_state(context, domain_id, evaluation): auth = GlobalCredentials(ak=context.getAccessKey(), sk=context.getSecretKey(), domain_id=domain_id) client = ConfigClient.new_builder() \ .with_credentials(credentials=auth) \ .with_region(region=ConfigRegion.value_of(region_id="cn-north-4")) \ .build() try: response = client.update_policy_state(evaluation) return 200 except ConnectionException as e: print("A connect timeout exception occurs while the Config performs some operations, exception: ", e.error_msg) return e.status_code except RequestTimeoutException as e: print("A request timeout exception occurs while the Config performs some operations, exception: ", e.error_msg) return e.status_code except ServiceResponseException as e: print("There is service error, exception: ", e.status_code, e.error_msg) return e.status_code def handler(event, context): domain_id = event.get("domain_id") resource = event.get("invoking_event", {}) parameters = event.get("rule_parameter") compliance_state = evaluate_compliance(resource, parameters) request_body = UpdatePolicyStateRequest(PolicyStateRequestBody( policy_resource = PolicyResource( resource_id = resource.get("id"), resource_name = resource.get("name"), resource_provider = resource.get("provider"), resource_type = resource.get("type"), region_id = resource.get("region_id"), domain_id = domain_id ), trigger_type = event.get("trigger_type"), compliance_state = compliance_state, policy_assignment_id = event.get("policy_assignment_id"), policy_assignment_name = event.get("policy_assignment_name"), evaluation_time = event.get("evaluation_time"), evaluation_hash = event.get("evaluation_hash") )) for retry in range(5): status_code = update_policy_state(context, domain_id, request_body) if status_code == http.client.TOO_MANY_REQUESTS: print("TOO_MANY_REQUESTS: retry again") time.sleep(1) elif status_code == http.client.OK: print("Update policyState successfully.") break else: print("Failed to update policyState.") break

规则详情 表1 规则详情 参数 说明 规则名称 elb-members-weight-check 规则展示名 ELB后端服务器权重检查 规则描述 后端服务器的权重为0，且其所属的后端服务器组的负载均衡算法不为“SOURCE_IP”时，视为“不合规”。 标签 elb 规则触发方式 配置变更 规则评估的资源类型 elb.members 规则参数 weight：后端云服务器的权重，请求将根据后端服务器组配置的负载均衡算法和后端云服务器的权重进行负载分发。 权重值越大，分发的请求越多。 取值范围：0-100。

规则详情 表1 规则详情 参数 说明 规则名称 required-tag-check 规则展示名 资源具有指定的标签 规则描述 指定一个标签，不具有此标签的资源，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 specifiedTagKey：指定的标签键，字符串类型。 specifiedTagValue：指定的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。

查看部署至成员账号中的组织合规规则包 以组织成员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 在“合规规则包”页签下，单击合规规则包列表中的某个组织合规规则包名称，进入合规规则包详情页。 在详情页中可以查看合规规则包的基本信息和配置的参数值，以及下发的合规规则列表和每条合规规则的合规评估结果。 在“规则”列表单击某个规则的“规则名称”，界面将跳转至“资源合规”的“规则详情”页面，并自动筛选出此规则评估出的不合规资源。 图2 查看部署至成员账号中的组织合规规则包 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包，系统将自动在合规规则包名称前添加“Org-”字段。 组织内的成员账号只能触发组织合规规则包部署规则的评估和查看规则评估结果以及详情，不支持删除组织合规规则包的操作。

操作场景 组织账号可以通过列表查看自己创建的组织合规规则包及其详情，并支持在列表中进行搜索过滤操作，但无法看到组织内其他账号添加的组织合规规则包。 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行，组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 本章节包含查看组织合规规则包和查看部署至成员账号中的组织合规规则包两部分内容。