快速入门
如果您首次使用资源管理,建议参考本章节。它可以帮助您快速使用资源管理的主要功能。
快速入门操作流程图如下:
开启资源记录器
开启资源记录器后,当您的资源变更(被创建、修改、删除)、资源关系变更时,您均可收到通知,同时还可对您的资源变更消息和资源快照进行定期存储。
- 登录管理控制台。
- 单击页面左上角的
图标,在弹出的服务列表中,选择“管理与监管”下的“资源管理服务 RMS”。 - 单击左侧的“资源记录器”,进入“资源记录器”页面。
- 打开资源记录器开关。
图2 开启资源记录器
配置资源记录器
开启资源记录器后,在资源记录器页面开始配置资源记录器。
- 选择监控范围。
默认情况下,资源记录器的监控范围会覆盖当前所有支持的资源。您可以修改资源记录器的监控范围,选择指定的资源类型进行监控。
- 配置消息通知(SMN)主题。
选择主题所在区域和主题名,用于接收资源变更时产生的消息通知。如无SMN主题,则需先创建SMN主题,详见《消息通知服务用户指南》。
- 开启内容转储。
选择当前帐号或其他帐号下的OBS桶,用于存储资源变更消息及资源快照。如所选帐号下无OBS桶,则需先创建OBS桶,详见《对象存储服务用户指南》。
- 配置当前帐号下OBS桶:
选择您帐号下的OBS桶,用于存储资源变更消息及资源快照。如您的帐号下无OBS桶,则需先创建OBS桶,详见《对象存储服务用户指南》。
- 配置其他帐号下OBS桶:
选择“另一帐号的桶”,并输入区域ID和桶名称。需先使用其他帐号对当前帐号授予相关OBS桶的权限,具体操作请参见跨帐号授权。
- 配置当前帐号下OBS桶:
- 选择“快速授权”。
快速授权将为您快速创建一个“rms_tracker_agency”权限的委托,是可以让资源记录器正常工作的最小授权,该权限包含调用SMN消息通知服务的发送通知权限和OBS对象存储服务的写入权限。
- 单击“保存”按钮。
添加资源合规规则
- 单击左侧的“资源合规”,进入“资源合规”页面。
- 单击页面中部的“添加规则”,进入“基础配置”页面,基础配置完成后,单击页面右下角的“下一步”。
图3 添加合规规则-基础配置
相关参数配置,详见表1 基础配置参数说明。
表1 基础配置参数说明 参数
说明
策略类型
策略类型有:
- 预设策略
- 自定义策略
预设策略
预设策略即服务已开发的策略。
使用服务已开发的策略,快速完成合规规则创建。
预设策略详情见系统内置合规策略(预设策略)。
自定义策略
允许用户通过自定义策略来创建合规规则。
自定义策略详情见自定义策略。
规则名称
规则名称默认复用所选择合规策略的名称,需自行修改。
合规规则名称仅支持数字、字母、下划线和中划线。
规则简介
规则简介默认复用所选择合规策略的简介,也可自行修改。
目前对合规规则简介的内容不做限制。
FunctionGraph 函数
用户自定义策略执行函数的urn。
创建FunctionGraph函数请参见创建自定义策略的FunctionGraph函数。
仅当“策略类型”选择“自定义策略”时需配置此参数。
授权
此处的授权为委托授权,授权函数工作流(FunctionGraph)的只读权限和调用权限给RMS服务,允许自定义合规规则查询函数工作流以及将事件发送至函数工作流。
仅当“策略类型”选择“自定义策略”时需配置此参数。
说明:- 快速授权:将为您快速创建一个名为“rms_custom_policy_agency”的委托权限,该权限是可以让自定义合规规则正常工作的最小权限,包含函数工作流(FunctionGraph)的只读权限和调用权限。
- 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托权限,并进行自定义授权,但必须包含可以让自定义合规规则正常工作的最小权限(函数工作流(FunctionGraph)的只读权限和调用权限),创建委托详见《统一身份认证服务用户指南》。
- 进入“规则参数”页面,规则参数配置完成后,单击“下一步”。
图4 添加合规规则-规则参数
相关参数配置,详见表2 合规规则参数说明。
表2 合规规则参数说明 参数
说明
触发器类型
用于触发资源合规规则。
触发器类型有:
- 配置变更:在指定的云资源发生更改时触发规则评估。
- 周期执行:按照您设定的频率运行。
过滤器类型
用于指定资源类型参与规则评估。
过滤器类型分为:
- 指定资源:指定资源类型下的所有资源均参与规则评估。
- 所有资源:帐号下的所有资源均参与规则评估。
仅当“触发器类型”选择“配置变更”时需配置此参数。
指定资源范围
过滤器类型选择“指定资源”后,需选择指定资源范围。
- 服务:选择资源所属的服务;
- 资源类型:选择对应服务下的资源类型;
- 区域:选择资源所在的区域。
仅当“触发器类型”选择“配置变更”时需配置此参数。
过滤范围
使用过滤范围可指定资源类型下的某个具体资源参与规则评估。
过滤范围开启后您可通过资源ID或标签指定过滤范围。
仅当“触发器类型”选择“配置变更”时需配置此参数。
周期频率
设置触发器周期执行的频率。
仅当“触发器类型”选择“周期执行”时需配置此参数。
规则参数
此处的“规则参数”和第一步所选的“预设策略”或“自定义策略”相对应,是对第一步所选的预设策略或自定义策略进行具体参数设置。
例如:第一步预设策略选择“required-tag-check”,指定一个标签,不具有此标签的资源,视为“不合规”,则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。
有的“预设策略”需要添加规则参数,有的“预设策略”不需要添加规则参数(例如:volumes-encrypted-check:已挂载的云硬盘未进行加密,视为“不合规”)。
自定义策略的规则参数最多可以设置10个,由您自行配置。
- 进入“确认规则”页面,确认规则信息无误后,单击“提交”按钮,完成合规规则添加。
图5 添加合规规则-确认规则
图6 查看创建的合规规则
合规规则创建后会立即自动触发首次评估。
查看规则评估结果
资源合规评估结束后,可查看资源的评估结果。
- 进入“资源合规”页面。
- 单击合规规则列表下的具体规则名。
- 进入“规则详情页”,页面左边为评估结果。
合规规则的运行状态分为:
- 运行中:表示此合规规则可用。
- 已停用:表示此合规规则已停用。
- 评估中:表示正在使用此合规规则进行资源评估。
在规则评估中时,规则的运行状态显示为“评估中”,当规则评估结束后,规则的运行状态变为“运行中”,此时可查看规则评估结果。
高级查询概述
资源管理服务提供高级查询能力,通过使用ResourceQL自定义查询用户当前的单个或多个区域的资源配置状态。
高级查询支持用户自定义浏览、筛选和查询华为云云服务资源,用户可以通过ResourceQL在查询编辑器中编辑和查询。
ResourceQL是结构化的查询语言 (SQL) SELECT 语法的一部分,它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同,既可以是简单的标签或资源标识符匹配,也可以是更复杂的查询,例如查看指定具体OS版本的云服务器。
您可以使用高级查询来实现:
- 库存管理。例如检索特定规格的云服务器实例的列表。
- 安全合规检查。例如检索已启用或禁用特定配置属性(公网IP,加密磁盘)的资源的列表。
- 成本优化。例如查找未挂载到任何云服务器实例的云磁盘的列表。
资源聚合器概述
资源管理服务提供多帐号资源数据聚合能力,通过使用资源聚合器聚合其他华为云帐号或者组织成员帐号的资源配置到单个帐号中,方便统一查询。
资源聚合器提供只读视图,仅用于查看被授权过的源帐号的资源信息。资源聚合器不提供对源帐号资源数据的修改访问权限。例如,无法通过资源聚合器部署规则,也无法通过资源聚合器从源帐号提取快照文件。
