与其他服务的关系
配置审计服务与周边服务的关系如下表所示。
服务名称 |
说明 |
交互功能 |
相关内容 |
---|---|---|---|
消息通知服务(SMN) |
在配置资源记录器时,可以根据需要选择配置消息通知主题。
说明:
如您先配置了资源存储(OBS桶),则SMN主题可以不配置。 |
Config支持服务的资源发生变更时,向用户发送消息通知。 |
|
对象存储服务(OBS) |
在配置资源记录器时,可以根据需要选择配置资源存储(OBS桶)。
说明:
如您先配置了SMN主题,则资源存储(OBS桶)可以不配置。 |
资源记录器会定期(6小时)将资源变更的消息存储到您配置的OBS桶中(同时需配置SMN主题)。 |
|
资源记录器会定期(24小时)将资源快照文件存储到您配置的OBS桶中。 |
|||
统一身份认证服务(IAM) |
在配置资源记录器时,需要委托授权。 |
快速授权包含授予Config调用SMN发送通知权限,以及OBS的写入权限。如需控制权限范围,请使用自定义授权。 |
|
创建合规规则包时,可根据需要进行自定义委托授权。 |
创建合规规则包时,当您不选择自定义授权时,Config将通过服务关联委托的方式自动获取RFS的相关权限。如您需要自行控制委托权限的范围,可选择进行自定义授权,提前在统一身份认证服务(IAM)中创建委托,并进行自定义授权,但必须包含可以让合规规则包正常工作的权限(授权资源编排服务创建、更新和删除合规规则的权限)。 |
||
通过IAM控制用户访问Config的权限。 |
通过IAM服务为用户授予不同的Config系统权限或自定义策略,以控制用户在Config中可执行的操作。 |
||
云审计服务(CTS) |
记录和查看Config相关的关键操作事件。 |
通过云审计服务,可以记录与配置审计服务相关的操作事件,便于日后的查询、审计和回溯。 |
|
函数工作流(FunctionGraph) |
通过发布在FunctionGraph上的函数,执行用户自定义的资源合规评估逻辑。 |
添加自定义合规规则时,将合规规则和FunctionGraph函数相关联,函数接收Config发布的事件,从事件中接收到规则参数和Config服务收集到的资源属性;函数评估该规则下资源的合规性并通过Config的OpenAPI回传Config服务合规评估结果。 |
|
合规修正配置功能通过关联FunctionGraph服务的函数实例,对不合规资源进行快速修正。 |
为合规规则创建修正配置,通过关联FunctionGraph服务的函数实例,按照您在函数中自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 |
||
资源编排服务(RFS) |
合规规则包下发的合规规则的创建、更新和删除行为最终是通过RFS服务的资源栈来实现的。 |
合规规则包是多个合规规则的集合,其下发的合规规则是基于RFS服务的资源栈统一进行创建、更新和删除操作。 |
|
合规修正配置功能通过关联RFS服务的私有模板,对不合规资源进行快速修正。 |
为合规规则创建修正配置,通过关联RFS服务的私有模板,按照您在私有模板中自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 |
||
资源访问管理(RAM) |
添加组织自定义合规规则时,需通过RAM服务将FunctionGraph函数共享给组织成员账号。 |
自定义策略是一个用户开发并发布在FunctionGraph上的函数,当创建组织类型的自定义合规规则时,需要通过RAM服务将FunctionGraph函数共享给组织成员账号,用于在组织成员账号下部署规则和执行合规评估。 |
|
组织 Organizations |
Config支持基于组织创建合规规则、合规规则包、资源聚合器等功能,组织管理员或Config服务的委托管理员可以统一进行配置并直接作用于组织内账号状态为“正常”的所有成员账号中。 |
组织管理账号在组织中开启Config为可信服务后,Config可以获取组织中的组织单元及成员账号信息,并基于此信息使用组织级的相关能力。 |
|
云监控服务(CES) |
通过CES的事件监控能力,可将Config的相关事件数据收集到云监控服务,并在事件发生时进行告警。 |
您可以在CES服务查看Config的系统事件监控数据,用于了解用户在什么时间对Config进行了什么操作;还可以创建事件监控的告警通知,在相关事件发生时进行告警通知。 |