配置审计 Config-组织合规规则:添加组织合规规则
添加组织合规规则
- 登录管理控制台。
- 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”。
- 单击左侧的“资源合规”,进入“资源合规”页面。
- 选择“组织规则”页签,单击页面中部的“添加规则”,进入“基础配置”页面,基础配置完成后,单击页面右下角的“下一步”。
图1 基础配置
相关参数配置,详见表1 基础配置参数说明。
- 进入“规则参数”页面,规则参数配置完成后,单击“下一步”。
图2 规则参数
相关参数配置,详见表2 合规规则参数说明。
表2 合规规则参数说明 参数
说明
触发器类型
用于触发资源合规规则。
触发器类型有:
- 配置变更:在指定的云资源发生更改时触发规则评估。
- 周期执行:按照您设定的频率运行。
过滤器类型
用于指定资源类型参与规则评估。
过滤器类型分为:
- 指定资源:指定资源类型下的所有资源均参与规则评估。
- 所有资源:帐号下的所有资源均参与规则评估。
仅当“触发器类型”选择“配置变更”时需配置此参数。
指定资源范围
过滤器类型选择“指定资源”后,需选择指定资源范围。
- 服务:选择资源所属的服务;
- 资源类型:选择对应服务下的资源类型;
- 区域:选择资源所在的区域。
仅当“触发器类型”选择“配置变更”时需配置此参数。
过滤范围
使用过滤范围可指定资源类型下的某个具体资源参与规则评估。
过滤范围开启后您可通过资源ID或标签指定过滤范围。
仅当“触发器类型”选择“配置变更”时需配置此参数。
周期频率
设置触发器周期执行的频率。
仅当“触发器类型”选择“周期执行”时需配置此参数。
规则参数
此处的“规则参数”和第一步所选的“预设策略”相对应,是对第一步所选的预设策略进行具体参数设置。
例如:第一步预设策略选择“required-tag-check”,指定一个标签,不具有此标签的资源,视为“不合规”,则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。
有的“预设策略”需要添加规则参数,有的“预设策略”不需要添加规则参数(例如:volumes-encrypted-check:已挂载的云硬盘未进行加密,视为“不合规”)。
目标
目标决定了此规则配置的部署位置。
- 组织:将策略部署到您组织内的所有成员帐号中。
- 当前帐号:将策略部署到当前登录的帐号中。
创建组织类型的资源合规规则时请选择“组织”。
排除帐号
输入需要排除的组织内的部分帐号ID,使得该组织合规规则不在排除的帐号中部署。
仅当“目标”选择“组织”时可配置此参数。
- 进入“确认规则”页面,确认规则信息无误后,单击“提交”按钮,完成合规规则添加。
图3 确认规则
图4 查看创建的组织合规规则
合规规则创建后会立即自动触发首次评估。