添加预定义合规规则
操作场景
本章节指导您如何使用系统内置的预设策略来快速添加资源合规规则。
约束与限制
- 每个账号最多可以添加500个合规规则。
- 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。
仅被资源记录器收集的资源可参与资源评估,为保证资源合规规则的评估结果符合预期,强烈建议您保持资源记录器的开启状态,不同场景的说明如下:
- 如您未开启资源记录器,则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。
- 如您已开启资源记录器,但仅在资源记录器监控范围内勾选部分资源,则资源合规规则仅会评估所选择的资源数据。
关于如何开启并配置资源记录器请参见:配置资源记录器。
操作步骤
- 登录管理控制台。
- 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
- 单击左侧的“资源合规”,进入“资源合规”页面。
- 在“规则”页签下单击“添加规则”,进入“基础配置”页面。
- 基础配置完成后,单击页面右下角的“下一步”。
图1 基础配置
表1 基础配置参数说明 参数
说明
策略类型
选择“预设策略”。
预设策略即服务已开发的策略,在下方的预设策略列表中直接选择所需预设策略,快速完成规则创建。支持输入策略名称或标签进行搜索。
预设策略详见系统内置预设策略。
规则名称
规则名称默认复用所选择预设策略的名称,不能与已存在的合规规则名称重复,如有重复需自行修改。
合规规则名称仅支持数字、字母、下划线和中划线,最大长度64个字符。
规则简介
规则简介默认复用所选择预设策略的简介,也可自行修改。
目前对规则简介内容的字符类型不做限制,最大长度512个字符。
- 进入“规则参数”页面,规则参数配置完成后,单击“下一步”。
图2 规则参数
表2 合规规则参数说明 参数
说明
触发类型
用于触发资源合规规则。
触发类型有:
- 配置变更:在指定的云资源发生更改时触发规则评估。
- 周期执行:按照您设定的频率运行。
说明:
预设策略的触发类型不支持修改,不同预设策略支持的触发类型不同。
过滤器类型
用于指定资源类型参与规则评估。
过滤器类型分为:
- 指定资源:指定资源类型下的所有资源均参与规则评估。
- 所有资源:账号下的所有资源均参与规则评估。
仅当“触发类型”为“配置变更”时需配置此参数。
指定资源范围
过滤器类型选择“指定资源”后,需选择指定资源范围。
- 服务:选择资源所属的服务;
- 资源类型:选择对应服务下的资源类型;
- 区域:选择资源所在的区域。
说明:- 仅当“触发类型”为“配置变更”时支持指定服务和资源类型。
- 当预设策略的“触发类型”为“周期执行”,且规则评估的资源类型非“account”时,支持指定资源所在的“区域”进行过滤。具体请以控制台显示为准或参见预设策略列表。
过滤范围(可选)
使用过滤范围可指定资源类型下的某个具体资源参与规则评估。
过滤范围开启后您可通过资源ID或标签指定过滤范围。
当“触发类型”为“配置变更”时,您可以根据需要选择配置此参数。
周期频率
设置合规规则周期执行的频率。
可选项:1小时、3小时、6小时、12小时、24小时。
仅当“触发类型”为“周期执行”时需配置此参数。
规则参数
此处的“规则参数”和第一步所选的“预设策略”相对应,是对第一步所选的预设策略进行具体参数设置。
例如:第一步预设策略选择“资源具有指定的标签”,指定一个标签,不具有此标签的资源,视为“不合规”,则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。
有的“预设策略”需要添加规则参数,有的“预设策略”不需要添加规则参数。例如:已挂载的云硬盘开启加密(volumes-encrypted-check)。
标签
单击“添加新标签”,输入标签键和标签值,为合规规则添加标签。每个合规规则最多可以添加20个标签。
- 标签键不能为空,可以包含任意语种的字母、数字和空格,以及_.:=+-@字符,但首尾不能包含空格,且不能以_sys_开头。长度不超过128个字符。
- 标签值可以为空,可以包含任意语种的字母、数字和空格,以及_.:=+-@字符,但首尾不能包含空格。长度不超过255个字符。
- 进入“确认规则”页面,确认规则信息无误后,单击“提交”按钮,完成合规规则添加。
图3 添加合规规则-确认规则
合规规则创建后会立即自动触发首次评估。