更新时间:2024-03-18 GMT+08:00

添加预定义合规规则

操作场景

资源合规特性帮助您快速创建一组合规规则,用于评估您的资源是否满足合规要求。您可以选择Config提供的系统内置预设策略或自定义策略,并指定需要评估的资源范围来创建一个合规规则;合规规则创建后,有多种机制触发规则评估,然后查看合规规则的评估结果来了解资源的合规情况。

本章节指导您如何使用系统内置的预设策略来快速添加资源合规规则。

约束与限制

每个账号最多可以添加500个合规规则。

操作步骤

  1. 登录管理控制台。
  2. 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
  3. 单击左侧的“资源合规”,进入“资源合规”页面。
  4. 在“规则”页签下单击“添加规则”,进入“基础配置”页面,基础配置完成后,单击页面右下角的“下一步”。

    图1 添加合规规则-基础配置

    相关参数配置,详见表1 基础配置参数说明

    表1 基础配置参数说明

    参数

    说明

    策略类型

    策略类型有:

    • 预设策略
    • 自定义策略

    预设策略

    预设策略即服务已开发的策略。

    使用服务已开发的策略,快速完成合规规则创建。

    预设策略详情见系统内置预设策略

    自定义策略

    允许用户通过自定义策略来创建合规规则。

    自定义策略详情见添加自定义合规规则

    规则名称

    规则名称默认复用所选择预设策略的名称,不能与已存在的合规规则名称重复,如有重复需自行修改。

    合规规则名称仅支持数字、字母、下划线和中划线。

    规则简介

    规则简介默认复用所选择预设策略的简介,也可自行修改。

    目前对合规规则简介的内容不做限制。

    FunctionGraph 函数

    用户自定义策略执行函数的urn。

    创建FunctionGraph函数请参见创建FunctionGraph函数

    仅当“策略类型”选择“自定义策略”时需配置此参数。

    授权

    此处的授权为委托授权,授权函数工作流(FunctionGraph)的只读权限和调用权限给Config服务,允许自定义合规规则查询函数工作流以及将事件发送至函数工作流。

    仅当“策略类型”选择“自定义策略”时需配置此参数。

    说明:
    • 快速授权:将为您快速创建一个名为“rms_custom_policy_agency”的委托权限,该权限是可以让自定义合规规则正常工作的权限,包含函数工作流(FunctionGraph)的只读权限和调用权限。
    • 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托权限,并进行自定义授权,但必须包含可以让自定义合规规则正常工作的权限(函数工作流(FunctionGraph)的只读权限和调用权限),创建委托详见《统一身份认证服务用户指南》

  5. 进入“规则参数”页面,规则参数配置完成后,单击“下一步”。

    图2 添加合规规则-规则参数

    相关参数配置,详见表2 合规规则参数说明

    表2 合规规则参数说明

    参数

    说明

    触发类型

    用于触发资源合规规则。

    触发类型有:

    • 配置变更:在指定的云资源发生更改时触发规则评估。
    • 周期执行:按照您设定的频率运行。

    过滤器类型

    用于指定资源类型参与规则评估。

    过滤器类型分为:

    • 指定资源:指定资源类型下的所有资源均参与规则评估。
    • 所有资源:账号下的所有资源均参与规则评估。

    仅当“触发类型”为“配置变更”时需配置此参数。

    指定资源范围

    过滤器类型选择“指定资源”后,需选择指定资源范围。

    • 服务:选择资源所属的服务;
    • 资源类型:选择对应服务下的资源类型;
    • 区域:选择资源所在的区域。

    仅当“触发类型”为“配置变更”时需配置此参数。

    过滤范围

    使用过滤范围可指定资源类型下的某个具体资源参与规则评估。

    过滤范围开启后您可通过资源ID或标签指定过滤范围。

    仅当“触发类型”为“配置变更”时需配置此参数。

    周期频率

    设置合规规则周期执行的频率。

    仅当“触发类型”为“周期执行”时需配置此参数。

    规则参数

    此处的“规则参数”和第一步所选的“预设策略”或“自定义策略”相对应,是对第一步所选的预设策略或自定义策略进行具体参数设置。

    例如:第一步预设策略选择“required-tag-check”,指定一个标签,不具有此标签的资源,视为“不合规”,则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。

    有的“预设策略”需要添加规则参数,有的“预设策略”不需要添加规则参数(例如:volumes-encrypted-check:已挂载的云硬盘未进行加密,视为“不合规”)。

    自定义策略的规则参数最多可以设置10个,由您自行配置。

  6. 进入“确认规则”页面,确认规则信息无误后,单击“提交”按钮,完成合规规则添加。

    图3 添加合规规则-确认规则
    图4 查看创建的合规规则

    合规规则创建后会立即自动触发首次评估。