更新时间:2024-10-15 GMT+08:00

资源合规概述

概述

资源合规特性帮助您快速创建一组合规规则,用于评估您的资源是否满足合规要求。您可以选择Config提供的系统内置预设策略或自定义策略,并指定需要评估的资源范围来创建一个合规规则;合规规则创建后,有多种机制触发规则评估,然后查看合规规则的评估结果来了解资源的合规情况。

在使用资源合规时,如果您是组织管理员或Config服务的委托管理员,您还可以添加组织类型的资源合规规则,直接作用于您组织内的所有成员账号中。

针对合规规则评估出的不合规资源,合规修正功能可以帮助您设置基于合规规则的修正配置,通过关联RFS服务的私有模板或FunctionGraph服务的函数实例,按照您自定义的修正逻辑对不合规资源进行快速修正,确保您的云上资源持续合规。

约束与限制

  • 每个账号最多可以添加500个合规规则(包括由组织合规规则和合规规则包创建的托管规则)。
  • 添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。

    托管合规规则不支持进行修改、停用、启用、删除操作,托管合规规则是由组织合规规则或合规规则包创建的,由组织合规规则创建的托管规则只能由创建规则的组织账号进行修改和删除操作,由合规规则包创建的托管规则可以通过更新合规规则包进行参数修改,且只能通过删除相应合规规则包来进行删除。具体请参见组织合规规则合规规则包

  • 添加、修改组织合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,组织合规规则仅支持查看和删除操作。
  • 非组织成员账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。
  • 当前仅用户自行创建的预定义或自定义合规规则支持修正配置,通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。
  • 基于RFS服务私有模板执行修正的场景下,Config当前仅默认支持使用香港一(ap-southeast-1)区域的私有模板创建资源栈,且对应区域的资源栈应至少预留5个配额,否则执行修正可能会因配额不足导致失败。
  • 一个合规规则上只能创建一个修正配置。
  • 当合规规则存在修正配置,则必须删除修正配置并且停用规则后,才可删除此合规规则。
  • 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源,基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。

仅被资源记录器收集的资源可参与资源评估,为保证资源合规规则的评估结果符合预期,强烈建议您保持资源记录器的开启状态,不同场景的说明如下:

  • 如您未开启资源记录器,则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。
  • 如您已开启资源记录器,但仅在资源记录器监控范围内勾选部分资源,则资源合规规则仅会评估所选择的资源数据。

关于如何开启并配置资源记录器请参见:配置资源记录器