资源合规常见问题

添加合规规则时，规则参数指的是什么？

规则参数和合规策略是对应的，例如：您选择了“资源具有指定的标签”预设策略，则需要配置该预设策略对应的规则参数“key”和“value”的具体值。

预设策略的规则参数无法增删，但是您可以根据需要为其设置不同的参数值，将合规策略重用于不同的方案。

自定义策略的规则参数由您自行配置，您可以根据需要为自定义策略添加不同的规则参数，最多可添加10个。

图1 规则参数赋值

添加“iam-password-policy”、“iam-user-mfa-enabled”等合规规则后，为什么没有合规评估结果？

资源合规的数据来源于Config服务在资源清单页面所收集到的全部资源。请检查相关资源在资源清单页面中是否正常展示，如未正常展示，可能是由于您没有开启资源记录器导致未收集到相应的资源数据。

如果您需要使用这些合规规则，请开启资源记录器并收集相关的资源数据；如不需要使用这些规则，请停用未收集资源数据对应的合规规则，避免造成混淆或产生不必要的费用。

组织合规规则和组织合规包创建完成后，为什么会在部分组织成员账号中部署异常，且提示“tracker-config needs to be enabled”？

是因为这些组织成员账号未开启资源记录器导致的部署异常。

Config服务的相关功能均依赖于资源记录器收集的资源数据，因此账号必须开启资源记录器才可正常使用合规规则和合规规则包功能。

在组织合规规则和组织合规规则包场景下，除下发规则和合规规则包的组织管理员或Config服务的委托管理员之外，所部署的组织成员账号也需要开启资源记录器，才能正常下发合规规则和合规规则包。

选择预设策略后，触发类型为灰色不可修改，是什么原因？

预定义合规规则的触发类型由系统预设策略定义，不支持用户自行修改。不同预设策略固定为配置变更或周期执行，属于产品正常约束。

资源记录器仅监控部分资源，对合规评估有何影响？

合规规则仅评估资源记录器已采集的资源。未纳入监控范围的资源不会被检测，这可能导致评估结果不完整。建议开启全量资源监控。

自定义策略的规则参数最多可以设置多少个？

10个。

超出此限制将无法提交。请精简参数数量，合并冗余配置后重新保存。

单个账号最多支持创建多少条合规规则？

500条。

如需新增，需先删除闲置规则以释放配额，再重新创建。

规则运行状态长时间显示为“评估中”，无法完成评估并展示结果，应如何处理？

可能由于资源量较大导致评估耗时较长，或存在函数执行阻塞、资源记录器数据未同步完成的情况。建议等待一段时间后刷新；若问题持续存在，可单击“触发规则评估”重新执行一次评估。

手动触发立即评估时按钮置灰，无法单击，应如何处理？

• 先确认资源记录器处于开启状态，关闭状态下不支持触发评估。
• 同时检查规则是否处于已停用状态，启用后即可正常触发评估。

关闭资源记录器后，仍能看到历史评估结果，这是否会影响新评估？

历史评估结果将被保留，但在关闭资源记录器后，将无法进行任何新的评估。如需重新评估，必须先开启资源记录器，并确保资源已被采集。

合规规则删除失败，应如何排查和处理？

在删除前，必须先停用规则；如果该规则绑定了修正配置，则需先删除修正配置，然后才能执行删除操作。

组织创建的托管规则需修改却无权限，应如何处理？

此类规则仅允许组织管理员账号在组织端进行修改或删除，成员账号无操作权限，需联系组织管理员处理。

控制台看不到 “组织规则” 页签，无法创建组织合规规则，应如何处理？

• 仅组织内账号可见该页签。若需创建组织合规规则，必须使用组织管理员账号或Config委托管理员账号登录。
• 非组织内账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。

预定义组织规则的触发类型无法修改，是什么原因？

预定义策略的触发类型为系统固定配置，不支持修改。

为什么成员账号无法编辑或删除自定义组织合规规则？

组织合规规则为托管规则，成员账号仅可查看和触发评估，管理权限仅归属组织管理员账号。

组织规则部署状态长时间显示为“部署中”，未更新为“已部署”，是什么原因？

规则下发是一个异步过程，当资源量多或成员账号数量较大时，可能需要较长时间；如果超过1小时仍无变化，可以重新编辑并提交规则以重新触发组织规则的部署。

当部署状态显示“部署异常”或“更新失败”时，应如何定位问题原因？

这通常是由于部分成员账号未开启资源记录器、权限不足、函数未共享或配额不足导致的。您可以在成员账号侧检查资源记录器的状态和权限配置。

修改组织合规规则时 “编辑” 按钮置灰无法单击，应如何处理？

请确认使用创建该规则的组织管理员账号登录，仅原创建账号可编辑，其他组织管理员无编辑权限。同时需确保资源记录器已开启。

资源记录器关闭时，能否修改组织合规规则？

不可以。

资源记录器关闭时，组织合规规则仅支持查看和删除操作，修改、启用、触发评估等操作均被限制。

修改预定义组织规则时，部分参数无法编辑，是什么原因？

预定义组织规则的触发类型、过滤器类型、资源范围等为系统预设，仅支持修改规则名称、简介、规则参数的值，不支持修改基础策略逻辑。

删除组织合规规则时 “删除” 按钮置灰无法单击，应如何处理？

请确认使用创建该规则的组织账号登录，其他账号无删除权限。同时，需检查规则是否处于部署中或更新中状态，需等待任务完成后方可删除。

删除组织规则后，相关的评估历史数据是否会一同被清除？

不会。

历史审计快照数据按资源记录器保留周期继续留存。规则删除后，成员账号中对应的托管规则及实时评估结果将被清除。

创建修正配置时找不到 “修正管理” 页签或入口置灰，是什么原因？

仅自行创建的规则支持修正配置。组织合规规则和规则包托管规则不支持修正配置，同时需确保资源记录器已开启，并且规则处于启用状态。

重试时间和重试次数是否有数值限制？

重试时间必须在60–43200秒之间，重试次数必须在1–25次之间。超出此范围将无法保存，请根据约束调整数值。

修正执行后资源仍不合规，并被加入修正例外，是什么原因？

若在设定的重试时间内达到最大重试次数仍未成功修正，系统自动加入例外避免循环执行。请检查修正模板逻辑、权限及资源实际状态。

修正状态显示 “修正失败”，如何查看失败原因？

在规则详情的修正管理页签，单击对应资源的失败状态，即可查看具体报错信息；常见原因包括权限不足、模板或函数异常、资源状态不支持修正。

手动添加的修正例外资源数量达上限后，应如何处理？

单个规则手动添加的修正例外最多支持100个，超出后需先删除部分例外资源，再添加新资源。

自动因超次加入例外的资源，是否会占用手动的100个配额？

不占用。

自动添加的修正例外不受配额限制，仅手动添加的受100个上限约束。

删除修正配置后，仍然能看到修正的相关记录，这是否正常？

属于正常现象。

删除配置仅取消后续的修正能力，历史修正记录和修正例外列表将被保留，不影响已修正的资源。

删除修正配置后，不合规资源还会被自动修正吗？

不会。

修正配置删除后，自动和手动修正功能均失效，资源仅保留合规评估结果，不再执行修正操作。

删除修正配置是否会同时删除修正例外？

不会。

删除修正配置仅移除修正逻辑，不会影响修正例外的资源。重新创建修正配置后，仍会对修正例外的资源生效。

合规规则包创建成功，但规则处于托管状态，无法编辑，这是否正常？

正常。

合规规则包中的规则为托管规则，只能通过更新规则包来修改，不能单独编辑。

进入合规规则包列表后，看不到已创建的规则包，应如何处理？

请确认当前登录账号与创建规则包的账号一致；检查列表上方是否配置了名称、状态等筛选条件导致数据被过滤；刷新页面或重新登录后再次查看。

当资源记录器关闭时，是否可以修改合规规则包？

不可以。

当资源记录器关闭时，规则包仅支持查看和删除的操作，无法创建与修改。

修改后部分规则丢失或变为不合规，是否正常？

正常。

参数修改会改变合规判定逻辑，同时更新会重新触发全量评估，从而导致结果变化。

删除合规规则包后，评估结果仍然可见，这是否正常？

正常。

历史评估结果将被短暂缓存，规则彻底清理后，这些数据将同步消失，不会影响新的评估。

误删合规规则包后，是否支持恢复？

不支持。

合规规则包一旦删除将无法恢复，如需再次使用，需重新创建并部署。

删除合规规则包后，是否会影响已修正的资源？

不会。

删除合规规则包仅移除规则与评估能力，已修正的资源配置保持不变，不会对任何业务产生影响。

控制台看不到 “组织合规规则包” 页签，无法创建，应如何处理？

仅组织管理员或Config委托管理员可见该页签；非组织账号及普通成员账号则无此入口。

当资源记录器关闭时，是否可以创建组织合规规则包？

不可以。

当资源记录器关闭时仅支持查看和删除组织合规规则包，若要创建或修改，则需先开启资源记录器。

修改组织合规规则包时 “编辑” 按钮置灰无法单击，应如何处理？

• 需要使用创建该组织合规规则包的组织账号进行登录。
• 确保资源记录器已开启，并且组织合规规则包不得处于部署、更新或删除过程中。

删除组织合规规则包时 “删除” 按钮置灰无法单击，应如何处理？

必须使用创建该规则包的组织账号登录；若规则包处于部署、更新或删除过程中，需等待任务完成后再进行删除。

新建自定义查询时，“保存查询” 按钮置灰无法单击，应如何处理？

按钮置灰说明已达到自定义查询数量的上限，需要先删除一些不常用的自定义查询再进行保存；或者可以直接单击“运行”来执行查询，无需保存。

查询结果只显示部分数据，未展示全部资源，是什么原因？

高级查询仅返回前4000条结果，超出部分将不显示； 若要获取全部数据，建议通过增加WHERE条件来缩小查询范围，进行分段查询。

误删自定义查询后，是否可以恢复？

不支持恢复。

删除查询语句后，该语句将被永久清除。如需再次使用，需重新编写并保存。

能否批量删除多个自定义查询？

当前控制台仅支持逐条删除，不支持批量删除操作。

删除自定义查询后，历史执行记录是否会一并清除？

是的。

删除查询后，对应的历史执行记录也将被同步清除，无法再次查看或运行。