创建组织合规规则包

操作场景

如果您是组织管理员或Config服务的委托管理员，您可以添加组织类型的合规规则包，直接作用于您组织内的成员账号中。

当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行，组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。

组织合规规则包创建完成后，所部属的规则默认会执行一次评估，后续将根据规则的触发机制自动触发评估，也可以在资源合规规则列表中手动触发单个合规规则的评估。

约束与限制

• 每个账号最多可以创建50个合规规则包（包括组织合规规则包），最多可以创建500个合规规则。
• 创建或更新组织合规规则包需要开启资源记录器，具体请参见配置资源记录器。
• 非组织成员账号无法在Config控制台的“合规规则包”页面中看到“组织合规规则包”页签。

操作步骤

1. 以组织管理员账号或者Config服务的委托管理员账号登录管理控制台。
2. 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。
3. 单击页面左侧的“合规规则包”，进入“合规规则包”页面。
4. 选择“组织合规规则包”页签，单击“创建组织合规规则包”。
   图1 创建组织合规规则包
   

5. 在“选择模板”页面中，选择示例模板、上传本地模板文件或输入OBS模板URL后，单击“下一步”。
   • 示例模板：使用配置审计服务提供的合规规则包示例模板，在下拉列表中选择一个示例模板。

     关于每个示例模板包含的具体合规规则请参见：合规规则包示例模板。

   • 本地模板：从本地上传模板文件，您可以根据自身的需求编写合规规则包的模板文件，然后上传并使用。

     模板文件格式和文件内容格式均为JSON，不支持tf格式和zip格式的文件内容，该文件的后缀需为.tf.json，具体请参见：自定义合规规则包。

   • OBS存储桶：自定义合规规则包模板的OBS位置。如果您的本地模板文件大小超过50KB，请将它上传至OBS存储桶，然后输入OBS模板URL来选择并使用它。
     

     OBS模板URL指的是OBS桶内对象的URL。您将本地模板上传至OBS桶后，在桶内的对象列表中单击操作列的“更多 > 复制对象URL”，即可获取OBS模板URL。

   图2 选择模板
   

6. 进入“详细信息”页面，详细信息配置完成后，单击“下一步”。
   图3 详细信息
   

   表1 详细信息配置说明

   参数	说明
   组织合规规则包名称	组织合规规则包的名称。自定义，不可与其他组织合规规则包名称重复。 组织合规规则包名称的长度最大64字符，由英文字母、数字、下划线、中划线组成。
   组织合规规则包参数	组织合规规则包的参数配置与相对应的合规规则参数一致，具体请参见系统内置预设策略。
   目标	目标决定了此组织合规规则包配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的合规规则包时请选择“组织”。
   排除账号	输入需要排除的组织内的部分账号ID，使得该组织合规规则包不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。

7. 进入“确认配置”页面，确认合规规则包信息无误后，单击“确定”，完成合规规则包的创建。
   图4 确认配置
   
   

   组织合规规则包创建或更新后会立即自动触发首次评估。