评估资源合规性
操作场景
资源合规特性帮助您快速创建一组合规规则,用于评估您的资源是否满足合规要求。您可以选择Config提供的系统内置预设策略或自定义策略,并指定需要评估的资源范围来创建一个合规规则;合规规则创建后,有多种机制触发规则评估,然后查看合规规则的评估结果来了解资源的合规情况。
本章节以添加预设策略“IAM用户在指定时间内有登录行为”为例,用于及时发现账号下不活跃的IAM用户,减少闲置用户或降低密码泄露的风险,提升账号安全。
准备工作
- 如果您已有一个华为账号,请忽略此步骤。如果您还没有华为账号,请参考以下步骤创建。
- 打开华为云官网,单击“注册”。
- 根据提示信息完成注册,详细操作请参见“注册华为账号并开通华为云”。
注册成功后,系统会自动跳转至您的个人信息界面。
- 参考个人账号如何完成实名认证或企业账号如何完成实名认证,完成个人或企业账号实名认证。
- 为账号充值。
配置审计服务本身为免费服务,但使用资源记录器时资源转储OBS桶和消息通知SMN主题至少需要配置一个,因此资源记录器使用的消息通知服务(SMN)或对象存储服务(OBS)可能会产生相应的费用,具体请参见SMN计费说明和OBS计费说明。
您需要确保账号有足够的余额,避免因账号余额不足或欠费导致资源记录器的相关功能无法使用,从而影响Config的其他功能也无法使用。如何充值请参见账户充值。
- 开启并配置资源记录器。
添加、修改、启用合规规则和触发规则评估需要开启资源记录器,资源记录器处于关闭状态时,合规规则仅支持查看、停用和删除操作。且仅被资源记录器收集的资源可参与资源评估,为保证资源合规规则的评估结果符合预期,建议您配置资源记录器时选择监控全部资源。
步骤一:添加合规规则
如下步骤仅针对示例进行参数设置和介绍,其他参数的详细说明请参见添加预定义合规规则。
- 登录管理控制台。
- 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”。
- 单击左侧导航栏的“资源合规”,进入“资源合规”页面。
- 在“规则”页签下单击“添加规则”。
- 进入“基础配置”页面,选择预设策略“IAM用户在指定时间内有登录行为”,单击“下一步”。
- 进入“规则参数”页面,根据如下说明配置完成后,单击“下一步”。
参数
示例
说明
周期频率
24小时
设置合规规则周期执行的频率。
系统将按照您设定的频率,周期性的触发此规则的评估任务。
可选项:1小时、3小时、6小时、12小时、24小时。
指定资源范围
全部
指定待评估资源所在的区域。
合规规则将仅评估您指定区域下的相关资源。
规则参数
90
指定IAM用户未登录的天数,默认值为90。
若IAM用户在指定时间内没有登录行为,视为“不合规”。
- 进入“确认规则”页面,确认规则信息无误后,单击“提交”按钮。
合规规则创建后会立即自动触发首次评估。
步骤二:查看规则评估结果
- 在“规则”页签下的列表中,单击上一步骤添加的合规规则的规则名称。
- 进入规则详情的“基本信息”页。
左侧的评估结果列表默认展示合规评估结果为“不合规”的资源,您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索,还支持导出全部评估结果数据。
此合规规则的评估结果列表中展示的不合规资源,为超过90天未登录过管理控制台的IAM用户,您可以根据合规评估结果对这些闲置IAM用户进行处理。
相关信息
当您完成添加合规规则、查看规则评估结果等基本操作后,您还可以结合业务情况使用以下功能,满足不同资源合规审计场景的需求。