华为云用户手册

由周期执行触发的评估的示例事件 Config以您指定的频率（如每24小时）评估您的账号时，它会发布一个事件。 下面的示例事件演示自定义组织合规规则被周期执行所触发。 { "domain_id": "domain_id", "policy_assignment_id": "637c6b2e6b647c4d313d9719", "policy_assignment_name": "period-policy-assignment", "function_urn": "urn:fss:region_1:123456789:function:default:test-custom-policyassignment:latest", "trigger_type": "period", "evaluation_time": 1669098286719, "evaluation_hash": "3bf8ecaeb0864feb98639080aea5c7d9", "rule_parameter": {}, "invoking_event": { "id": "domain_id", "name": "Account", "provider": null, "type": null, "tags": null, "created": null, "updated": null, "properties": null, "ep_id": null, "project_id": null, "region_id": "global", "provisioning_state": null } }

操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时，您可以通过编写函数代码，添加组织类型的自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在 函数工作流 （FunctionGraph）上的函数。将合规规则和函数相关联，函数接收Config发布的事件，从事件中接收到规则参数和Config服务收集到的资源属性；函数评估该规则下资源的合规性并通过Config的Open API回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。添加组织类型的自定义合规规则还需通过 RAM 服务将FunctionGraph函数共享给组织成员账号。 本章节指导您如何通过自定义策略来添加组织类型的合规规则，主要包含如下步骤： 创建FunctionGraph函数； 共享FunctionGraph函数； 添加自定义组织合规规则； 触发规则评估。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织内账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 组织合规规则仅会下发至账号状态为“正常”的组织成员账号中，且组织成员账号需开启资源记录器，否则将导致部署异常。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

添加自定义组织合规规则 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击“添加规则”，进入“基础配置”页面。 “策略类型”选择“自定义策略”，配置相关参数后单击“下一步”。 图4 基础配置 表1 基础配置参数说明 参数 说明 策略类型 策略类型选择“自定义策略”。 允许用户通过自定义策略来创建合规规则。 规则名称 合规规则的名称，不能与已存在的合规规则名称重复。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 合规规则的简介，目前对合规规则简介的内容不做限制。 FunctionGraph函数 用户自定义策略执行函数的URN。 创建FunctionGraph函数请参见创建FunctionGraph函数。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图5 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”选择“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 自定义策略的规则参数最多可以设置10个，由您自行配置。 目标 目标决定了此组织合规规则配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID，使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成自定义组织合规规则的创建。

操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，在规则列表中单击操作列的“删除”。 在“删除规则”弹窗中，单击“确定”。 组织合规规则删除后，此组织合规规则在每个成员账号下所部署的合规规则将同时自动删除。 图1 删除组织合规规则 单击规则列表下的具体规则名，进入“规则详情”页面，在页面右上角单击“编辑规则”和“删除规则”按钮，也可以对此规则进行编辑和删除操作。

操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，在规则列表中单击操作列的“编辑”。 图1 编辑组织合规规则 进入“编辑规则”页面，修改“规则名称”和“规则简介”后，单击“下一步”。 修改“规则参数”后，单击“下一步”。 确认规则修改无误后，单击“提交”。

组织合规规则的部署状态 表1 组织合规规则的部署状态 取值 状态 状态说明 CREATE_IN_PROGRESS 部署中 正在创建组织合规规则。 UPDATE_IN_PROGRESS 更新中 正在更新组织合规规则。 DELETE_IN_PROGRESS 删除中 正在删除组织合规规则。 CREATE_FAILED 部署异常 组织合规规则在该组织内的一个或多个成员账号中创建失败。 UPDATE_FAILED 更新失败 组织合规规则在该组织内的一个或多个成员账号中更新失败。 DELETE_FAILED 删除异常 组织合规规则在该组织内的一个或多个成员账号中删除失败。 CREATE_SUC CES SFUL 已部署 组织合规规则在该组织内的所有成员账号中创建成功。 UPDATE_SUCCESSFUL 更新成功 组织合规规则在该组织内的所有成员账号中更新成功。

查看部署至成员账号中的组织合规规则 当组织资源合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则。且该组织合规规则的修改和删除操作只能由创建规则的组织账号进行，组织内的其他账号只能触发规则评估和查看规则评估结果以及详情。 以组织成员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下，单击合规规则列表中的某个具体组织合规规则名称，进入“规则详情页”。 页面左侧为合规规则评估结果，页面左侧为合规规则详情。 图2 查看部署至成员账号中的组织合规规则 当组织合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则，系统将自动在此规则名称前添加“Org-”字段用于标识。 组织内的成员账号只能触发此规则的评估和查看规则评估结果以及详情，不支持修改、停用和删除规则的操作。

查看组织合规规则 组织合规规则添加完成后，您可以查看该组织合规规则的详情。 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击规则列表下的具体规则名。 图1 查看组织合规规则 进入“规则详情页”，页面左侧显示此组织合规规则部署的成员账号列表及其相关信息和排除账号列表，页面右侧显示合规规则详情。 创建组织合规规则的组织账号只能看到自己添加的组织合规规则，无法看到组织内其他账号添加的组织合规规则。

操作步骤 以组织管理员账号或者Config服务的委托管理员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击“添加规则”，进入“基础配置”页面，基础配置完成后，单击“下一步”。 图1 基础配置 表1 基础配置参数说明 参数 说明 策略类型 选择“预设策略”。 预设策略即服务已开发的策略，在下方的预设策略列表中直接选择所需预设策略，快速完成规则创建。支持输入策略名称或标签进行搜索。 预设策略详情见系统内置预设策略。 规则名称 规则名称默认复用所选择预设策略的名称，不能与已存在的合规规则名称重复，如有重复需自行修改。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 规则简介默认复用所选择预设策略的简介，也可自行修改。 目前对合规规则简介的内容不做限制。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图2 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”选择“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 此处的“规则参数”和第一步所选的“预设策略”相对应，是对第一步所选的预设策略进行具体参数设置。 例如：第一步预设策略选择“资源具有指定的标签”，指定一个标签，不具有此标签的资源，视为“不合规”，则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数，有的“预设策略”不需要添加规则参数。例如：已挂载的云硬盘开启加密（volumes-encrypted-check）。 目标 目标决定了此组织合规规则配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID，使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成预定义组织合规规则的创建。 图3 确认规则 合规规则创建后会立即自动触发首次评估。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织内账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 组织合规规则仅会下发至账号状态为“正常”的组织成员账号中，且组织成员账号需开启资源记录器，否则将导致部署异常。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

操作场景 在使用资源合规时，如果您是组织管理员或Config服务的委托管理员，您可以添加组织类型的资源合规规则，直接作用于您组织内账号状态为“正常”的成员账号中。 当组织资源合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则。且该组织合规规则的修改和删除操作只能由创建规则的组织账号进行，组织内的其他账号只能触发规则评估和查看规则评估结果以及详情。 您可以选择Config提供的系统内置预设策略或者自定义策略来创建组织类型的资源合规规则，本章节指导您如何使用系统内置的预设策略来快速添加组织合规规则。

规则详情 表1 规则详情 参数 说明 规则名称 pca-algorithm-check 规则展示名 私有证书管理服务算法检查 规则描述 私有证书管理服务使用了禁止的密钥算法或签名哈希算法，视为“不合规”。 标签 pca 规则触发方式 配置变更 规则评估的资源类型 pca.ca、pca.cert 规则参数 blockedKeyAlgorithm：禁止使用的密钥算法列表，数组类型，如 ["SM2", "RSA2048", "EC256"]。 blockedSignatureAlgorithm：禁止使用的签名算法，数组类型，如 ["SHA256"]。

资源合规事件监控 事件监控提供事件类型数据上报、查询和告警的功能。方便您将资源的合规性事件收集到 云监控服务 ，并在事件发生时进行告警。 事件监控默认开通，您可以在事件监控中查看系统事件的监控详情，事件监控的相关操作请参见：查看事件监控数据和创建事件监控的告警通知。 当前Config对接 云监控 服务的事件监控能力仅支持华北-北京四区域。 资源合规目前支持的系统事件如下表所示： 表1 资源合规事件监控支持的配置审计（Config）事件 事件来源 事件名称 事件级别 事件说明 处理建议 事件影响 SYS. RMS 配置不合规通知 重要 审计规则执行结果为不合规 修改资源不合规的配置项，使其合规。 无 SYS.RMS 配置合规通知 提示 审计规则执行结果变为合规 无 无 资源记录器支持的配置审计（Config）事件请参见：资源记录器事件监控。 父主题： 资源合规

应用场景 检查FunctionGraph函数的运行时、执行超时时间、内存规格限制的正确性至关重要，因为这些配置直接影响函数的性能、成本和可靠性。以下是具体原因： 运行时决定了函数运行的环境（如 Python、Node.js、Java 等），必须与代码语言匹配，否则函数无法执行。 不同运行时版本可能支持不同的语言特性或库，选择错误的版本可能导致代码无法运行或行为异常。 旧版本运行时可能存在安全漏洞，选择最新版本可以避免潜在风险。 执行超时时间决定了函数允许的最长执行时间。如果设置过短，函数可能未完成执行就被强制终止。如果设置过长，可能导致资源浪费或费用增加。 内存不足可能导致函数执行缓慢或失败，而内存过多则可能浪费资源。

规则详情 表1 规则详情 参数 说明 规则名称 function-graph-settings-check 规则展示名 检查函数工作流参数设置 规则描述 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规”。 标签 fgs 规则触发方式 配置变更 规则评估的资源类型 fgs.functions 规则参数 runtimeList：允许的运行时列表，当前支持的运行时请参见函数管理，例如“Python3.6”。 timout：执行超时时间，单位为秒。 memorySize：函数实例内存规格限制，单位为MB。

应用场景 函数的网络访问有如下的控制维度： 允许函数访问公网（不推荐）：函数创建成功后，默认开启此功能，将使用默认网卡访问公网，访问带宽为用户间共享。 允许函数访问VPC内资源：开启此功能，函数将禁用默认网卡并使用VPC绑定的网卡，是否允许公网访问由配置的VPC决定，开关“允许函数访问公网”将不生效。 仅允许指定的VPC调用函数：开启此功能，将仅允许通过指定的VPC调用函数，并禁止通过公网调用函数。 开启“允许函数访问VPC内资源”后，函数不再具有默认的公网访问权限，如果需要访问公网，可通过在VPC内配置公网NAT网关绑定EIP的方式实现，详见配置函数访问公网或VPC网络。 如果不开启“允许函数访问VPC内资源”，则函数运行在公共网络中，可能增加安全风险；可能导致网络延迟增加，影响性能。

规则详情 表1 规则详情 参数 说明 规则名称 function-graph-concurrency-check 规则展示名 函数工作流的函数并发数在指定范围内 规则描述 FunctionGraph函数的并发数不在指定的范围内，视为“不合规”。 标签 fgs 规则触发方式 配置变更 规则评估的资源类型 fgs.functions 规则参数 concurrencyLimitLow： 最小并发数，整数类型。 concurrencyLimitHigh：最高并发数，整数类型。

应用场景 云服务器绑定多张网卡可能带来以下问题，因此通常不建议这样做： 网络复杂性增加：多张网卡可能导致路由配置复杂，容易引发冲突，影响网络通信。多网卡配置增加了网络管理的复杂性，提升了故障排查的难度。 性能问题：多张网卡会占用更多系统资源，如 CPU 和内存，可能影响服务器性能。不当的带宽分配可能导致某些网卡过载，而其他网卡闲置，影响整体性能。 安全隐患：多张网卡增加了潜在的攻击面，提升了安全风险。复杂的网络配置容易出错，可能导致安全漏洞。 成本增加：多张网卡通常会增加云服务费用，尤其是按流量或带宽计费时。如果多张网卡未充分利用，可能导致资源浪费，增加不必要的成本。

应用场景 密钥对包含一个公钥和一个私钥，公钥自动保存在KPS（Key Pair Service）中，私钥由用户保存在本地。若用户将公钥配置在Linux云服务器中，则可以使用私钥登录Linux云服务器，而不需要输入密码。使用密钥对方式登录有如下优势： 防止凭证泄露：通过配置密钥对并禁用密码登录，可以防止暴力破解攻击，因为私钥通常比密码更难被猜测或破解。 加密通信：密钥对使用非对称加密技术，确保 SSH 通信的安全性，防止中间人攻击。

应用场景 虚拟私有云为弹性云服务器构建了一个逻辑上完全隔离的专有区域，您可以在自己的逻辑隔离区域中定义虚拟网络，为弹性云服务器构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 虚拟私有云更多信息，详见虚拟私有云产品介绍。

规则详情 表1 规则详情 参数 说明 规则名称 ecs-in-allowed-security-groups 规则展示名 绑定指定标签的E CS 关联在指定安全组ID列表内 规则描述 指定高危安全组ID列表，未绑定指定标签的ECS资源关联其中任意安全组，视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 specifiedECSTagKey：指定的ECS的标签键，字符串类型。 specifiedECSTagValue：指定的ECS的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。 specifiedSecurityGroupIds：指定的高危安全组的ID列表，数组类型，最多包含10个元素。

应用场景 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护，详见安全组概述。 通过安全组，可以控制进出 云服务器ECS 的网络流量，包括如下维度： 流量过滤：安全组可以设置规则来允许或拒绝来自特定IP地址或IP地址范围的流量。这有助于阻止来自已知恶意IP地址的流量。 端口控制：通过指定允许访问的端口，安全组可以帮助防止对未使用的或不安全的服务的访问。例如，如果一个服务器不需要对外提供HTTP服务，那么可以通过安全组规则禁止80端口的外部访问。 协议限制：安全组还可以根据不同的网络协议（如TCP、UDP）来控制流量。这对于确保只允许必要的通信类型是非常有用的。 入站与出站规则：入站规则控制哪些流量可以进入服务器，而出站规则则控制服务器可以向哪里发送数据。这种双向控制提供了更全面的安全保障。

应用场景 镜像是一个包含了软件及必要配置的弹性云服务器模板，至少包含操作系统，还可以包含应用软件（例如，数据库软件）和私有软件。通过镜像，您可以创建弹性云服务器。镜像分为公共镜像、私有镜像、共享镜像、市场镜像。公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，共享镜像为其他用户共享的私有镜像。详见镜像概述。 企业应当使用统一的镜像，这将会带来如下好处： 环境统一：统一镜像确保所有服务器运行相同的操作系统和软件版本，减少因环境差异导致的问题。 标准化部署：统一的配置和设置简化了部署流程，提升效率。 集中管理：统一镜像便于集中更新和维护，降低管理复杂性。 统一安全策略：统一镜像便于实施一致的安全策略和补丁管理，降低安全风险。 满足法规：统一镜像有助于确保所有服务器符合行业法规和内部政策。 减少维护成本：统一镜像降低了维护和管理的复杂性，减少了相关成本。

规则详情 表1 规则详情 参数 说明 规则名称 approved-ims-by-tag 规则展示名 ECS的镜像在指定Tag的IMS的范围内 规则描述 ECS云主机的镜像不在指定Tag的IMS镜像的范围内，视为“不合规”。 标签 ecs、ims 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 specifiedIMSTagKey：指定的IMS镜像的标签键，字符串类型。 specifiedIMSTagValue：指定的IMS镜像的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。

应用场景 镜像是一个包含了软件及必要配置的弹性云服务器模板，至少包含操作系统，还可以包含应用软件（例如，数据库软件）和私有软件。通过镜像，您可以创建弹性云服务器。镜像分为公共镜像、私有镜像、共享镜像、市场镜像。公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，共享镜像为其他用户共享的私有镜像。详见镜像概述。 企业应当使用统一的镜像，这将会带来如下好处： 环境统一：统一镜像确保所有服务器运行相同的操作系统和软件版本，减少因环境差异导致的问题。 标准化部署：统一的配置和设置简化了部署流程，提升效率。 集中管理：统一镜像便于集中更新和维护，降低管理复杂性。 统一安全策略：统一镜像便于实施一致的安全策略和补丁管理，降低安全风险。 满足法规：统一镜像有助于确保所有服务器符合行业法规和内部政策。 减少维护成本：统一镜像降低了维护和管理的复杂性，减少了相关成本。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-images-by-id 规则展示名 ECS实例的镜像ID在指定的范围 规则描述 指定允许的镜像ID列表，ECS实例的镜像ID不在指定的范围内，视为“不合规”。 标签 ecs、ims 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 listOfAllowedImages：允许的镜像ID列表，数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-ecs-flavors 规则展示名 ECS资源规格在指定的范围 规则描述 ECS资源的规格不在指定的范围内，视为“不合规”。 标签 ecs 规则触发方式 配置变更 规则评估的资源类型 ecs.cloudservers 规则参数 listOfAllowedFlavors：允许的ECS资源的规格列表，数组类型，最多包含10个元素。字段可选值查询ECS文档获取，例如：s6.small.1、s6.xlarge.2、m7.large.8、t6.small.1。

应用场景 弹性负载均衡健康检查，是指根据ELB对云服务器的健康检查结果进行的检查。仅当伸缩组使用弹性负载均衡器时，可以选择“弹性负载均衡健康检查”方式来做健康检查。 如果您将多个负载均衡器添加到伸缩组，则只有在所有负载均衡器均检测到云服务器状态为正常的情况下，才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常，伸缩组会将该弹性云服务器移出伸缩组。详见弹性伸缩健康检查。 建议您仅在已使用负载均衡的场景才配置该合规规则。

应用场景 当伸缩组选择了两个及两个以上的可用区时，需要配置“多可用区扩展策略”（“均衡分布”或“选择优先”）： EQUILIBRIUM_DISTRIBUTE（默认）：均衡分布，虚拟机扩缩容时优先保证available_zones列表中各AZ下虚拟机数量均衡，当无法在目标AZ下完成虚拟机扩容时，按照PICK_FIRST原则选择其他可用AZ。 PICK_FIRST：选择优先，虚拟机扩缩容时目标AZ的选择按照available_zones列表的顺序进行优先级排序。 详情请参考多规格伸缩配置创建实例的选择的规格顺序是什么。使用均衡分布有助于提高系统的高可用性和容错能力。