通过Config实现资源的多维度合规审计
当企业进行云上资源合规落地时,通常会面临合规标准无法统一的问题,例如:
- 生产环境和测试环境的资源安全要求不同;
- 不同地区的法规不同,导致对资源的规范要求不同。
同时,企业内所有账号也需要配置统一的安全基准要求。配置审计通过丰富的托管规则,帮助企业在资源合规落地过程中针对不同场景,设置不同的合规策略。
基于资源标签
前提条件:请确保您已为目标资源绑定标签。具体操作,请参见标签设计原则和命名示例。
具体场景:根据开发环境对资源进行分类,可以实现对不同环境资源的不同审计。假设您已为生产环境中的所有资源绑定标签Env:Prod,为测试环境中的所有资源绑定标签Env:Test,标签值您可以根据实际情况自行定义,能区分不同环境中的资源即可。
操作流程:
- 登录配置审计控制台。
- 在左侧导航栏,选择资源合规。
- 在规则页面,单击“添加规则”。
- 选择您需要的预设策略,如“ECS实例的镜像名称在指定的范围”,单击“下一步”。
- 在规则参数页面,保持默认的资源范围,区域选择“全部”。
- 单击“过滤范围”,选择标签,标签键和标签值填入 Env 和 Prod。
- 完成规则创建,则合规规则只会评估生产环境中的该类型资源。
- 返回规则列表页面,查看新建合规规则的评估结果。
基于资源区域
具体场景:因为不同地区有不同的法律法规要求,假设您不希望您海外的OBS桶内的数据被公开访问,则可以按照如下操作步骤配置合规规则。
操作流程:
统一下发到组织
前提条件:请确保您的账号已经加入组织,且为组织管理员或者Config服务的委托管理员,请参考组织概述和添加、查看和取消委托管理员。
具体场景:多账号场景下,可以通过组织合规规则方式,将企业的合规要求部署到组织内的所有成员账号。下发组织合规规则的账号一般为企业的安全管理员账号,不承载具体的业务。
操作流程:
- 登录配置审计控制台。
- 在左侧导航栏,选择资源合规。
- 在组织规则页面,单击“添加规则”。
- 选择您需要的预设策略,如“IAM用户开启MFA”,单击“下一步”。
- 在规则参数页面,保持默认的资源范围,单击“下一步”,完成组织规则创建。
- 返回组织规则列表页面,查看新建的组织合规规则的部署情况。
统一查询组织成员的合规结果
前提条件:请确保您的账号已经加入组织,且为组织管理员或者Config服务的委托管理员,请参考 组织概述和添加、查看和取消委托管理员。
具体场景:企业的安全管理员,能通过聚合器的能力,查询到组织内各个成员账号部署的合规规则,并查询到各个成员账号的不合规资源情况。
操作流程:
- 登录配置审计控制台。
- 在左侧导航栏,选择资源聚合器。
- 在聚合器页面,单击“创建聚合器”。
- 勾选“允许数据复制”,命名聚合器,并选择源类型为“添加组织”,完成聚合器创建。
- 在聚合器的规则页面,选择聚合器,则可以看到聚合到的各账号的规则情况。
- 单击规则名称,则可以看到该账号的这条规则所评估的资源的合规性情况。
常见问题
控制台为什么没有组织规则的页面?
账号是组织管理员,或加入组织并成为Config服务的委托管理员,才能看到该页面。
组织规则下发后,状态为什么是部署异常?
是因为这些组织成员账号未开启资源记录器导致的部署异常。
Config服务的相关功能均依赖于资源记录器收集的资源数据,因此账号必须开启资源记录器才可正常使用合规规则和合规规则包功能。
在组织合规规则和组织合规规则包场景下,除下发规则和合规规则包的组织管理员或Config服务的委托管理员之外,所部署的组织成员账号也需要开启资源记录器,才能正常下发合规规则和合规规则包。
