合规规则包概述
功能概述
合规规则包是配置审计服务合规规则的集合,通过使用合规规则包可以批量部署合规规则,并统一查看合规性数据。
当合规规则包部署成功后,会在资源合规规则列表创建出一条或多条合规规则,且这些合规规则无法更新、停用和删除,只能通过合规规则包进行删除。
如果您是组织管理员或Config服务的委托管理员,您还可以添加组织类型的合规规则包,直接作用于您组织内账号状态为“正常”的成员账号中。
约束与限制
- 每个账号最多可以创建50个合规规则包(包括组织合规规则包),最多可以创建500个合规规则。
- 创建合规规则包(包括组织合规规则包)需要开启资源记录器,仅被资源记录器收集的资源可参与资源评估。
- 组织合规规则包仅会下发至账号状态为“正常”的组织成员账号中,且组织成员账号需开启资源记录器,否则将导致部署异常。
基本概念
示例模板:
配置审计服务提供给用户的合规规则包模板,合规规则包示例模板旨在帮助用户快速创建合规规则包,其中包含适合用户场景的合规规则和输入参数。
预定义合规规则包:
通过“示例模板”创建的合规规则包,用户只需要填入所需的规则参数即可完成合规规则包的部署流程。
自定义合规规则包:
用户根据自身需求编写合规规则包的模板文件,在模板文件中填入适合自身使用场景的预设规则或自定义规则,然后通过“上传模板”或“OBS存储桶”方式完成合规规则包的部署流程。自定义模板文件格式和文件内容格式均为JSON,不支持tf格式和zip格式的文件内容。
合规性数据:
一个合规规则包包含一个或多个合规规则,而每一条合规规则会评估一个或多个资源的合规结果,配置审计服务提供了如下的合规性数据,供您了解合规规则包的评估结果概览:
- 合规规则包的合规性评估:代表合规规则包中的所有合规规则是否评估到不合规的资源。若存在不合规资源,则合规评估结果为“不合规”;若不存在不合规资源,则合规评估结果为“合规”。
- 合规规则的合规性评估:代表合规规则包中的单个合规规则是否评估到不合规的资源。若存在不合规资源,则合规评估结果为“不合规”;若不存在不合规资源,则合规评估结果为“合规”。
- 合规规则包的合规分数:代表合规规则包中所有规则的合规资源数之和与所有规则的评估资源数之和的百分比。若该值为100,则代表合规规则包中所有的合规评估结果均为合规;若该值为0,则代表合规规则包中所有的合规评估结果均为不合规;若该值为“--”,则代表合规规则包未评估到任何资源。
图1 合规分数计算公式
资源栈:
合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。资源栈是资源编排服务的概念,详见资源栈。
状态:
|
取值 |
状态 |
状态说明 |
|---|---|---|
|
CREATE_SUCCESSFUL |
已部署 |
合规规则包已部署成功,合规规则均创建成功。 |
|
CREATE_IN_PROGRESS |
部署中 |
合规规则包正在部署中,合规规则正在创建中。 |
|
CREATE_FAILED |
部署异常 |
合规规则包部署失败。 |
|
DELETE_IN_PROGRESS |
删除中 |
合规规则包正在删除中,合规规则正在删除中。 |
|
DELETE_FAILED |
删除异常 |
合规规则包删除失败。 |
|
ROLLBACK_SUCCESSFUL |
回滚成功 |
合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,已创建的合规规则删除成功。 |
|
ROLLBACK_IN_PROGRESS |
回滚中 |
合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,已创建的合规规则正在删除中。 |
|
ROLLBACK_FAILED |
回滚失败 |
合规规则包下发的合规规则创建失败,触发合规规则的回滚行为,回滚行为失败,需在RFS服务查看失败原因。 |
|
UPDATE_SUCCESSFUL |
更新成功 |
合规规则包修改并更新成功。 |
|
UPDATE_IN_PROGRESS |
更新中 |
合规规则包修改更新中。 |
|
UPDATE_FAILED |
更新失败 |
合规规则包修改更新失败。 |
合规规则包的授权:
通过资源编排服务(RFS)的资源栈创建和删除合规规则时,需要拥有合规规则的创建和删除的权限。因此,部署合规规则包时,需要提供一个具有相应权限的委托,供配置审计服务的合规规则包下发时使用。
当您不选择进行自定义授权时,Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围,可选择进行自定义授权,提前在统一身份认证服务(IAM)中创建委托,并进行自定义授权,但必须包含可以让合规规则包正常工作的权限(授权资源编排服务创建、更新和删除合规规则的权限),创建委托详见创建委托(委托方操作)。
