华为云用户手册

默认规则 此表中的建议项编号对应GB/T 22239-2019中参考文档的章节编号，供您查阅参考。 表1 建议项编号 建议项说明 华为云合规规则 指导 8.1.2.1 b）应保证网络各个部分的带宽满足业务高峰期需要。 eip-bandwidth-limit 确保带宽满足业务高峰期需要。 8.1.2.1 c）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。 dcs-redis-in-vpc 确保分布式缓存服务（D CS ）所有流量都安全地保留在虚拟私有云（VPC）中。 8.1.2.1 c）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 8.1.2.1 c）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。 rds-instances-in-vpc 确保关系型数据库（RDS）所有流量都安全地保留在虚拟私有云（VPC）中。 8.1.2.1 d）应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 dcs-redis-in-vpc 确保分布式缓存服务（DCS）所有流量都安全地保留在虚拟私有云（VPC）中。 8.1.2.1 d）应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 ecs-instance-in-vpc 确保弹性云服务器（ECS）所有流量都安全地保留在虚拟私有云（VPC）中。 8.1.2.1 d）应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 rds-instances-in-vpc 确保关系型数据库（RDS）所有流量都安全地保留在虚拟私有云（VPC）中。 8.1.3.1 b）应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息，确保华为云ecs实例无法公开访问来管理对华为云的访问。 8.1.3.1 b）应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 elb-loadbalancers-no-public-ip 确保弹性负载均衡（ELB）无法公网访问，管理对华为云中资源的访问。 8.1.3.1 b）应能够对非授权设备私自连接到内部网络的行为进行限制或检查。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 8.1.3.2 a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。 ecs-instance-no-public-ip 由于华为云ecs实例可能包含敏感信息，确保华为云ecs实例无法公开访问来管理对华为云的访问。 8.1.3.2 a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。 elb-loadbalancers-no-public-ip 确保弹性负载均衡（ELB）无法公网访问，管理对华为云中资源的访问。 8.1.3.2 a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信。 rds-instance-no-public-ip 确保云数据库（RDS）无法公网访问，管理对华为云中资源的访问。华为云RDS数据库实例可能包含敏感信息，此类账号需要原则和访问控制。 8.1.3.5 c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 cts-tracker-exists 确保账号已经创建了 CTS 追踪器， 云审计 服务（CTS）用于记录华为云管理控制台操作。 8.1.4.1 d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。 iam-user-mfa-enabled 确保为所有 IAM 用户通过MFA方式进行多因素认证。MFA在用户名和密码的基础上增加了一层额外的保护，通过要求对用户进行MFA来减少账号被盗用的事件。 8.1.4.7 a）应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 elb-tls-https-listeners-only 确保弹性负载均衡的监听器已配置HTTPS监听协议。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 8.1.4.7 b）应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 volumes-encrypted-check 由于敏感数据可能存在，为了帮助保护静态数据，确保已挂载的云硬盘已进行加密。 8.1.4.9 c）应提供重要数据处理系统的热冗余，保证系统的高可用性。 rds-instance-multi-az-support 华为云RDS中的多可用区支持为数据库实例提供了增强的可用性和持久性。当您预置多可用区数据库实例时，华为云 RDS会自动创建主数据库实例，并将数据同步复制到不同可用区中的备用实例。每个可用区都在其物理上不同的独立基础设施上运行，并且经过精心设计，高度可靠。如果发生基础设施故障，华为云 RDS 会自动故障转移到备用数据库，以便您可以在故障转移完成后立即恢复数据库操作。

示例模板概述 配置审计 服务提供合规规则包的示例模板，帮助用户通过示例模板快速创建合规规则包，每个合规规则包的示例模板中包含都多个合规规则，也就是配置审计服务的预设策略，每个预设策略的具体说明请参见系统内置预设策略。您可以通过列举预定义合规规则包模板接口查看所有的合规规则包示例模板。 配置审计服务控制台当前提供如下合规规则包的示例模板： 等保三级2.0规范检查的标准合规包 适用于金融行业的合规实践 华为云网络安全合规实践 适用于 统一身份认证 服务（IAM）的最佳实践 适用于 云监控服务 （ CES ）的最佳实践 适用于计算服务的最佳实践 适用于弹性云服务器（ECS）的最佳实践 适用于弹性负载均衡（ELB）的最佳实践 适用于管理与监管服务的最佳实践 适用于云数据库（RDS）的最佳实践 适用于弹性伸缩（AS）的最佳实践 适用于云审计服务（CTS）的最佳实践 适用于人工智能与机器学习场景的合规实践 适用于自动驾驶场景的合规实践 资源开启公网访问最佳实践 适用于日志和监控的最佳实践 华为云架构可靠性最佳实践 适用于中国香港金融管理局的标准合规包 适用于中小企业的ENISA的标准合规包 适用于SWIFT CSP的标准合规包 适用于德国云计算合规标准目录的标准合规包 适用于PCI-DSS的标准合规包 适用于医疗行业的合规实践 网络及数据安全最佳实践 适用于Landing Zone基础场景的最佳实践 架构安全支柱运营最佳实践 网络和内容交付服务运营最佳实践 适用于空闲资产管理的最佳实践 多可用区架构最佳实践 资源稳定性最佳实践 适用于API网关（APIG）的最佳实践 适用于云容器引擎（CCE）的最佳实践 适用于内容分发网络（CDN）的最佳实践 适用于 函数工作流 （FunctionGraph）的最佳实践 适用于云数据库（ GaussDB ）的最佳实践 适用于云数据库（GeminiDB）的最佳实践 适用于 MapReduce服务 （ MRS ）的最佳实践 NIST审计标准最佳实践 新加坡金融行业的最佳实践 安全身份和合规性运营最佳实践 华为 云安全 配置基线指南的标准合规包（level 1） 华为云安全配置基线指南的标准合规包（level 2） 静态 数据加密 最佳实践 数据传输加密最佳实践 适用于云备份（CBR）的最佳实践 适用于 云搜索服务 （ CSS ）的最佳实践 适用于分布式缓存服务（DCS）的最佳实践 适用于分布式消息服务（DMS）的最佳实践 适用于 数据仓库 服务（DWS）的最佳实践 适用于云数据库（TaurusDB）的最佳实践 适用于 对象存储服务 （OBS）的最佳实践 适用于VPC安全组的最佳实践 适用于 Web应用防火墙 （WAF）的最佳实践 GDPR标准检查的合规包 父主题： 合规规则包示例模板

概念介绍 Resource：Resource是模板中最重要的元素，通过关键字 "resource" 进行声明。当前"resource"中只支持"huaweicloud_rms_policy_assignment"一种资源，在其中指定具体的合规规则（支持预定义合规规则与自定义合规规则）的名称等配置信息。 变量：输入变量可以理解为模板的参数，通过关键字 "variable" 进行声明。通过定义输入变量，我们可以无需变更模板的源代码就能灵活修改配置。当没有变量时，不需要声明关键字 "variable" 。 Provider: Provider代表服务提供商，通过关键字 "terraform" 进行声明，详细定义请参见Provider。自定义合规规则包的格式为： "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.66.2" } } } 其中version必须选择1.66.2或者更高的版本，支持的版本见支持Provider版本列表。

合规规则包示例文件： example-conformance-pack.tf.json { "resource": { "huaweicloud_rms_policy_assignment": { "AccessKeysRotated": { "name": "access-keys-rotated", "description": "An IAM users is noncompliant if the access keys have not been rotated for more than maxAccessKeyAge number of days.", "policy_definition_id": "2a2938894ae786dc306a647a", "period": "TwentyFour_Hours", "parameters": { "maxAccessKeyAge": "${jsonencode(var.maxAccessKeyAge)}" } }, "IamGroupHasUsersCheck": { "name": "iam-group-has-users-check", "description": "An IAM groups is noncompliant if it does not add any IAM user.", "policy_definition_id": "f7dd9c02266297f6e8c8445e", "policy_filter": { "resource_provider": "iam", "resource_type": "groups" }, "parameters": {} }, "IamPasswordPolicy": { "name": "iam-password-policy", "description": "An IAM users is noncompliant if password policy for IAM users matches the specified password strength.", "policy_definition_id": "2d8d3502539a623ba1907644", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": { "pwdStrength": "${jsonencode(var.pwdStrength)}" } }, "IamRootAccessKeyCheck": { "name": "iam-root-access-key-check", "description": "An account is noncompliant if the the root iam user have active access key.", "policy_definition_id": "66cac2ddc17b6a25ad077253", "period": "TwentyFour_Hours", "parameters": {} }, "IamUserConsoleAndApiAccessAtCreation": { "name": "iam-user-console-and-api-access-at-creation", "description": "An IAM user with console access is noncompliant if access keys are setup during the initial user setup.", "policy_definition_id": "a5f29eb45cddce8e6baa033d", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "IamUserGroupMembershipCheck": { "name": "iam-user-group-membership-check", "description": "An IAM user is noncompliant if it does not belong to any IAM user group.", "policy_definition_id": "846f5708463c1490c4eebd60", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": { "groupIds": "${jsonencode(var.groupIds)}" } }, "IamUserLastLoginCheck": { "name": "iam-user-last-login-check", "description": "An IAM user is noncompliant if it has never signed in within the allowed number of days.", "policy_definition_id": "6e4bf7ee7053b683f28d7f57", "period": "TwentyFour_Hours", "parameters": { "allowedInactivePeriod": "${jsonencode(var.allowedInactivePeriod)}" } }, "IamUserMfaEnabled": { "name": "iam-user-mfa-enabled", "description": "An IAM user is noncompliant if it does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "b92372b5eb51330306cec9c2", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "IamUserSingleAccessKey": { "name": "iam-user-single-access-key", "description": "An IAM user with console access is noncompliant if iam user have multiple active access keys.", "policy_definition_id": "6deae3856c41b240b3c0bf8d", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "MfaEnabledForIamConsoleAccess": { "name": "mfa-enabled-for-iam-console-access", "description": "An IAM user is noncompliant if it uses a console password and does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "63f8301e47b122062a68b868", "policy_filter": { "resource_provider": "iam", "resource_type": "users" }, "parameters": {} }, "RootAccountMfaEnabled": { "name": "root-account-mfa-enabled", "description": "An account is noncompliant if the the root iam user does not have multi-factor authentication (MFA) enabled.", "policy_definition_id": "61d787a75cf7f5965da5d647", "period": "TwentyFour_Hours", "parameters": {} } } }, "variable": { "maxAccessKeyAge": { "description": "The maximum number of days without rotation. ", "type": "string", "default": "90" }, "pwdStrength": { "description": "The requirements of password strength. The parameter value can only be 'Strong', 'Medium', or 'Low'.", "type": "string", "default": "Strong" }, "groupIds": { "description": "The list of allowed IAM　group IDs. If the list is empty, all values are allowed.", "type": "list(string)", "default": [] }, "allowedInactivePeriod": { "description": "Maximum number of days without login.", "type": "number", "default": 90 } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.66.2" } } } }

合规规则包示例文件： example-conformance-pack-with-custom-policy.tf.json { "resource": { "huaweicloud_rms_policy_assignment": { "CustomPolicyAssignment": { "name": "customPolicy${var.name_suffix}", "description": "合规包自定义合规规则，所有资源都是不合规的", "policy_filter": { "resource_provider": "obs", "resource_type": "buckets" }, "parameters": {}, "custom_policy": { "function_urn": "${var.function_urn}", "auth_type": "agency", "auth_value": { "agency_name": "\"config_custom_policy_agency\"" } } } } }, "variable": { "name_suffix": { "description": "", "type": "string" }, "function_urn": { "description": "", "type": "string" } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.66.2" } } } }

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 在列表中可查看所有已创建的合规规则包，还可以查看合规规则包的合规评估结果、合规分数和状态等信息。 在列表中单击需要查看的合规规则包名称，进入合规规则包详情页，查看该合规规则包的详细信息。 在详情页中可以查看合规规则包的基本信息和配置的参数值，以及下发的合规规则列表和每条合规规则的合规评估结果。 在“规则”列表单击某个规则的“规则名称”，界面将跳转至“资源合规”的“规则详情”页面，并自动筛选出此规则评估出的不合规资源。 图1 查看合规规则包详情 表1 合规规则包的部署状态 取值 状态 状态说明 CREATE_SUCCESSFUL 已部署 合规规则包已部署成功，合规规则均创建成功。 CREATE_IN_PROGRESS 部署中 合规规则包正在部署中，合规规则正在创建中。 CREATE_FAILED 部署异常 合规规则包部署失败。 DELETE_IN_PROGRESS 删除中 合规规则包正在删除中，合规规则正在删除中。 DELETE_FAILED 删除异常 合规规则包删除失败。 ROLLBACK_SUCCESSFUL 回滚成功 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 ROLLBACK_IN_PROGRESS 回滚中 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 ROLLBACK_FAILED 回滚失败 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在 RFS 服务查看失败原因。 UPDATE_SUCCESSFUL 更新成功 合规规则包修改并更新成功。 UPDATE_IN_PROGRESS 更新中 合规规则包修改更新中。 UPDATE_FAILED 更新失败 合规规则包修改更新失败。

操作步骤 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 选择“组织合规规则包”页签，在组织合规规则包列表中单击操作列的“删除”。 在弹出的确认框中单击“确定”，完成组织合规规则包的删除。 组织合规规则包删除后，此组织合规规则包部署的成员账号的合规规则包列表中也将自动删除此合规规则包。 图1 删除组织合规规则包

基本概念 示例模板： 配置审计服务提供给用户的合规规则包模板，合规规则包示例模板旨在帮助用户快速创建合规规则包，其中包含适合用户场景的合规规则和输入参数。 预定义合规规则包： 通过“示例模板”创建的合规规则包，用户只需要填入所需的规则参数即可完成合规规则包的部署流程。 自定义合规规则包： 用户根据自身需求编写合规规则包的模板文件，在模板文件中填入适合自身使用场景的预设规则或自定义规则，然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容。 合规性数据： 一个合规规则包包含一个或多个合规规则，而每一条合规规则会评估一个或多个资源的合规结果，配置审计服务提供了如下的合规性数据，供您了解合规规则包的评估结果概览： 合规规则包的合规性评估：代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则的合规性评估：代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源，则合规评估结果为“不合规”；若不存在不合规资源，则合规评估结果为“合规”。 合规规则包的合规分数：代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100，则代表合规规则包中所有的合规评估结果均为合规；若该值为0，则代表合规规则包中所有的合规评估结果均为不合规；若该值为“--”，则代表合规规则包未评估到任何资源。 图1 合规分数计算公式 资源栈： 合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。资源栈是 资源编排 服务的概念，详见资源栈。 状态： 表1 合规规则包的部署状态 取值 状态 状态说明 CREATE_SUCCESSFUL 已部署 合规规则包已部署成功，合规规则均创建成功。 CREATE_IN_PROGRESS 部署中 合规规则包正在部署中，合规规则正在创建中。 CREATE_FAILED 部署异常 合规规则包部署失败。 DELETE_IN_PROGRESS 删除中 合规规则包正在删除中，合规规则正在删除中。 DELETE_FAILED 删除异常 合规规则包删除失败。 ROLLBACK_SUCCESSFUL 回滚成功 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 ROLLBACK_IN_PROGRESS 回滚中 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 ROLLBACK_FAILED 回滚失败 合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 UPDATE_SUCCESSFUL 更新成功 合规规则包修改并更新成功。 UPDATE_IN_PROGRESS 更新中 合规规则包修改更新中。 UPDATE_FAILED 更新失败 合规规则包修改更新失败。 合规规则包的授权： 通过资源编排服务（RFS）的资源栈创建和删除合规规则时，需要拥有合规规则的创建和删除的权限。因此，部署合规规则包时，需要提供一个具有相应权限的委托，供配置审计服务的合规规则包下发时使用。 当您不选择进行自定义授权时，Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围，可选择进行自定义授权，提前在统一身份认证服务（IAM）中创建委托，并进行自定义授权，但必须包含可以让合规规则包正常工作的权限（授权资源编排服务创建、更新和删除合规规则的权限），创建委托详见创建委托（委托方操作）。 如果您通过存储在OBS桶中的合规规则包模板创建合规规则包，请配置合适的IAM策略和OBS桶策略，以确保模板内容可以正常获取，详情请参考OBS和RFS的文档。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“规则”，进入“规则”页面。 在页面左上角选择需要查看的资源聚合器，列表中将展示此聚合器聚合的全部合规性数据。 在列表中单击需要查看的规则名称，即可查看此合规规则的详细信息。 在页面上方的搜索框中可使用规则名称、合规评估结果和账号ID，进一步对聚合的合规性数据进行筛选。 图1 查看聚合的合规规则

操作场景 您可以在规则列表中查看资源聚合器聚合的全部合规性数据。该列表可帮助您筛选不同资源聚合器聚合的合规性数据，且支持通过规则名称、合规评估结果和账号ID进一步筛选，还可以查看每个合规规则的详情。 查看组织资源聚合器聚合的合规性数据依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:delegatedAdministrators:list organizations:trustedServices:list

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“资源”，进入“资源”页面。 在页面左上角选择需要查看的资源聚合器，列表中将展示此聚合器聚合的全部资源及其相关信息，并支持导出全部资源数据。 在页面上方的搜索框中可使用资源名称、资源ID、账号ID和资源类型，进一步对聚合的资源进行筛选。 在资源列表中单击需要查看的资源名称，即可查看此资源的详细信息。 图1 查看聚合的资源

操作场景 您可以在资源列表中查看资源聚合器聚合的全部资源。该列表可帮助您筛选不同资源聚合器聚合的资源，且支持通过资源名称、账号ID和资源类型进一步筛选，还可以查看每个资源的详情。 查看组织资源聚合器聚合的资源信息依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:delegatedAdministrators:list organizations:trustedServices:list

接受授权 当资源聚合器需要聚合您账号中的资源数据时，您会在“待授权”页签收到聚合器账号发送的授权请求，确认授权后，资源聚合器才可以聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 选择“待授权”页签，在列表中选择待处理的授权请求，单击操作列的“授权”。 在弹出的确认框中单击“确定”，完成授权。 接受授权请求后，此授权记录将在“已授权”列表中显示。 图2 接受授权

删除授权 如需取消对某个资源聚合器账号的授权，您可以删除授权。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 选择“已授权”页签，在列表中选择待删除的授权请求，单击操作列的“删除”。 在弹出的确认框中单击“确定”，此授权记录将移至“待授权”列表，授权状态变为“待授权”。 此时聚合器账号已无权聚合您账号中的资源数据，如需再次授权，您可以在“待授权”页签中单击此授权记录操作列的“授权”并确认，聚合器账号将再次获得您的授权。 图3 删除授权 如需彻底删除此授权记录，需在“待授权”列表中的操作列单击“删除”并确认，此授权记录彻底删除。 在“待授权”列表中删除授权请求后，如需再次授权，请重新向聚合器账号授权，具体请参见添加授权。

添加授权 您可以通过“添加授权”功能向聚合器账号授权，授权完成后，资源聚合器聚合您账号中的资源数据时，无需再次向您发送授权请求，即可聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 单击页面右上角的“添加授权”。 在弹出的“添加授权”页面中，输入要添加授权的聚合器账号ID。 图1 添加授权 单击“确定”，完成授权。 授权完成后，“已授权”列表中将显示此授权记录。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 在资源聚合器列表中选择需要删除的聚合器，单击“操作”列的“删除”按钮。 在资源聚合器详情页中的右上角单击“删除”按钮，也可以进行删除操作。 在弹出的确认框中单击“确定”，完成资源聚合器的删除。 图1 删除资源聚合器

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 在资源聚合器列表中选择需要修改的聚合器，单击“操作”列的“编辑”按钮。 在资源聚合器详情页中的右上角单击“编辑”按钮，也可以跳转至“编辑聚合器”页面进行修改操作。 图1 修改资源聚合器 进入“编辑聚合器”页面，修改聚合器名称和源账号。 修改完成后，单击“确定”。

操作场景 资源聚合器创建完成后，您可以根据需要随时修改账号类型资源聚合器的名称和源账号，组织类型的资源聚合器仅支持修改聚合器名称。 如下步骤以修改账号类型的聚合器为例进行说明。 修改组织类型的资源聚合器依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:accounts:list organizations:delegatedAdministrators:list organizations:trustedServices:enable organizations:trustedServices:list

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 在列表中可查看所有已创建的资源聚合器。 您可以通过页面右上方的过滤器搜索出需要查看的资源聚合器，支持根据完整的聚合器名称精确搜索。 在列表中单击需要查看的聚合器名称，进入资源聚合器详情页，查看该资源聚合器的详细信息。 在详情页的“资源计数”列表中单击某个“资源类型”，界面将跳转至“资源”页面并自动筛选出此聚合器中某一资源类型包含的全部资源。 在详情页的“按资源计数排序的账号”列表单击某个“账号ID”，界面将跳转至“资源”页面并自动筛选出此聚合器中某一账号包含的全部资源。 在详情页的“不合规规则”列表单击某个“规则名称”，界面将显示此合规规则的详细信息。 图1 资源聚合器详情页

操作场景 您可以通过资源聚合器列表查看所有已创建的资源聚合器及其详情，并支持在列表中进行搜索操作。 查看组织资源聚合器聚合的资源信息和合规性数据依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:delegatedAdministrators:list organizations:trustedServices:list

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 单击页面右上角的“创建聚合器”。 在创建聚合器页面，先勾选“允许数据复制”确认框，然后配置聚合器名称和源账号信息。 如果源类型选择“添加账号”，则输入华为云账号ID，多个账号之间以逗号分隔；如果源类型选择“添加组织”，资源聚合器将直接聚合此组织下账号状态为“正常”的成员账号的数据，无需输入账号ID。 图1 创建聚合器 账号类型的资源聚合器仅支持聚合华为云账号下的资源，因此源账号ID需输入华为云账号ID（domain_id）。如何获取账号ID请参见获取账号ID。 创建组织类型资源聚合器的账号需开通组织服务，且必须为组织的管理账号或Config服务的委托管理员账号，具体请参见添加、查看和取消委托管理员。如果创建组织类型资源聚合器的账号为组织管理账号，Config服务会调用enableTrustedService接口启用Config与Organizations之间的集成；如果创建组织类型资源聚合器的账号为Config服务的委托管理员账号，Config服务会调用ListDelegatedAdministrators接口用于验证调用者是否为有效的委托管理员。 单击“确定”，完成资源聚合器创建。

操作场景 您可以创建账号类型或组织类型的资源聚合器。 账号类型的资源聚合器必须获得源账号的授权才能聚合数据，具体请参见授权资源聚合器账号。 创建组织类型的资源聚合器依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:accounts:list organizations:delegatedAdministrators:list organizations:trustedServices:enable organizations:trustedServices:list

其他操作 您可以修改预设查询或已有自定义查询的名称、描述和查询语句，“另存为”后产生新的查询，具体请参考基于预设查询创建自定义查询。 如果您需要查看某个查询的名称、描述和查询语句，请参考查看查询。 如果您需要修改某个自定义查询的查询语句，请参考修改查询。 如果您不需要使用某个自定义的查询，删除操作请参考删除查询。预设查询不支持删除操作。 使用资源聚合器高级查询的相关功能，必须先指定需要查询的资源聚合器，从而定义您的查询范围，对指定聚合器聚合的多个源账号下的资源进行高级查询。

概述 资源聚合器提供高级查询能力，通过使用ResourceQL自定义查询单个或多个聚合源账号的资源配置状态。 高级查询支持用户自定义查询和浏览华为云云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 您可以使用Config预设的查询语句，或根据资源配置属性自定义查询语句，查询具体的云资源配置。 ResourceQL是结构化的查询语言(SQL)SELECT语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。

新建查询 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“高级查询”，进入“高级查询”页面。 选择“自定义查询”页签，单击页面右上角的“新建查询”。 在右侧的“查询范围”处选择需要查询资源配置的聚合器，然后在下方输入框中输入查询语句。 页面左侧为高级查询使用的Schema信息，也就是查询语句中properties参数需要填写的内容，为各个云服务资源类型的详细属性。查询语句的配置样例请参见高级查询配置样例。 单击“保存查询”，输入查询名称和描述。 查询名称仅支持输入数字、英文字母、下划线和中划线，最大长度64个字符。 单击“确定”，保存成功。 图1 保存查询 如果自定义查询达到限额时，您将无法单击“保存查询”，同时页面右上方提示“您创建的查询已达到上限，请删除暂不需要使用的查询”。但此时您依然可以单击“运行”，直接运行查询并查看和导出查询结果。 单击“运行”，查看查询结果。目前只支持展示和导出前4000条查询结果。 单击查询结果列表上方的“导出”，选择要导出的文件格式（CSV格式或JSON格式），可导出查询结果。 单击“历史执行记录”，可查看该查询历史执行的时间和查询语句等信息。 您可以基于历史执行记录进行如下操作： 再次运行：直接基于历史查询语句再次运行查询。 复制：复制历史查询语句。 保存：直接将历史查询语句保存为新的自定义查询。 当您关闭浏览器窗口或登出账号后，高级查询的历史执行记录将被清除。 图2 历史执行记录

使用限制 为避免单用户长时间查询占用资源，影响其他用户，对高级查询功能做以下限制： 单次查询语句的执行时长不能超过15秒，否则会返回超时错误。 单次查询语句查询大量数据，会返回查询数据量过大的报错，需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 资源聚合器的高级查询能力暂时不支持 checksum 和 provisioning_state 两个属性。 高级查询功能依赖于资源记录器所收集的资源数据，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则高级查询语句无法查询到任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则高级查询语句仅能查询到所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则高级查询语句仅能查询到资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

基本概念 源账号 源账号是配置审计服务需要聚合资源配置和合规性数据的账号。源账号可以是华为云账号或组织。 资源聚合器 资源聚合器是配置审计服务中的一种新的功能，可以从多个源账号收集资源配置和合规性数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器，必须获得源账号的授权才能聚合数据；源类型为组织的资源聚合器，则无需授权即可聚合整个组织中所有成员账号的数据。

功能概述 配置审计服务提供多账号资源数据聚合能力，通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中，方便统一查询。 资源聚合器提供只读视图，仅用于查看聚合的源账号的资源信息和合规性数据。资源聚合器不提供对源账号资源数据的修改访问权限。例如，无法通过资源聚合器部署规则，也无法通过资源聚合器从源账号提取快照文件。 资源聚合器仅支持用户查询和浏览源账号中的云服务资源信息，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。

约束与限制 资源聚合器的使用限制如下： 单个账号最多能创建30个账号类型的资源聚合器。 单个账号类型资源聚合器最多能聚合30个源账号的数据。 单个账号类型资源聚合器每7天添加、更新和删除的最大源账号数量为1000个。 单个账号最多能创建1个组织类型的资源聚合器。 单个账号24小时内最多只能创建1次组织类型资源聚合器，创建的组织类型资源聚合器被删除后在24小时内无法再次创建。 资源聚合器聚合的源账号必须开启资源记录器，资源聚合器才会动态收集源账号的资源配置，源账号的资源发生变更后会同步更新数据至资源聚合器。 组织类型的资源聚合器仅会聚合组织下账号状态为“正常”的成员账号的数据。 资源聚合器聚合的源账号只有开启资源记录器后，源账号的资源信息和合规性数据才会聚合到资源聚合器，不同场景的说明如下： 如源账号从未开启过资源记录器，则资源聚合器无法聚合此源账号的资源信息和合规性数据。 如源账号已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源聚合器会聚合源账号所选择的资源信息以及全部合规性数据。 如源账号开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则资源聚合器会删除收集到的资源信息和合规性数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

高级查询使用限制 为避免单用户长时间查询占用资源，影响其他用户，对高级查询功能做以下限制： 单次查询语句的执行时长不能超过15秒，否则会返回超时错误。 单次查询语句查询大量数据，会返回查询数据量过大的报错，需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 高级查询功能依赖于资源记录器所收集的资源数据，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则高级查询语句无法查询到任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则高级查询语句仅能查询到所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则高级查询语句仅能查询到资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。 父主题： 高级查询