SCM支持 云审计 的操作列表 云审计服务记录SSL证书管理相关的操作事件，如表1所示。 表1 云审计服务支持的SCM操作列表 操作名称 资源类型 事件名称 修改证书 scm modifyScmCert 新建证书订单 scm createScmNewCert 购买证书 scm purchaseScmCert 上传用户认证信息 scm uploadScmUserMessage 补全证书信息 scm completeScmCert 下载证书 scm downloadScmCert 删除证书 scm deleteScmCert 取消证书审核 scm cancelScmCert 吊销证书 scm revokeScmCert 上传证书 scm uploadScmCert 推送证书到ELB scm pushScmCertToELB 父主题： SCM关键操作审计管理

支持审计的关键操作列表 表1 云审计服务支持的AppStage服务操作列表 操作名称 资源类型 事件名称 订单支付完成回调 wiseOrder orderPayCompleted 订购下单 wiseOrder subscribeOrder 变更资源状态 wiseOrder changeResourceStatus 证书授权 wiseCredential authorizeCredential 关联组织 wiseOrg associateOrg 清理资源 rosCleanup cleanupResources 创建委托 wiseAgency createAgency

支持审计的关键操作列表 表1 云审计服务支持的AppStage服务操作列表 操作名称 资源类型 事件名称 订单支付完成回调 wiseOrder orderPayCompleted 订购下单 wiseOrder subscribeOrder 变更资源状态 wiseOrder changeResourceStatus 证书授权 wiseCredential authorizeCredential 关联组织 wiseOrg associateOrg 清理资源 rosCleanup cleanupResources 创建委托 wiseAgency createAgency

规则详情 表1 规则详情 参数 说明 规则名称 iam-customer-policy-blocked-kms-actions 规则展示名 IAM 策略中不授权KMS的禁止的action 规则描述 IAM策略中授权KMS的任一阻拦action，视为“不合规”。 标签 iam、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns：KMS的阻拦action列表，数组类型。

操作场景 资源合规规则添加完成后，您可以在规则列表中查看所有已添加的合规规则，进入规则详情页可查看规则的评估结果、标签和规则详情配置等信息。 规则的评估结果数据支持全部导出；在规则详情页的右上角，您可以进行触发规则评估（立即评估）、修改规则（编辑规则）、停用/启用规则、删除规则操作；在标签页签您还可以查看和编辑合规规则的标签。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的列表中，可查看所有已添加的合规规则以及其运行状态、合规评估结果等信息。 在规则列表中单击合规规则的规则名称，进入规则详情的“基本信息”页。 “基本信息”页签左侧展示合规规则评估结果的详细信息，右侧展示合规规则的配置详情。左侧的评估结果列表默认展示合规评估结果为“不合规”的资源，您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索，还支持导出全部评估结果数据。 “修正管理”页签展示此合规规则的修正配置详细信息，并支持编辑、删除修正配置，以及执行修正、添加/删除修正例外等操作。 “标签”页签展示此合规规则的标签信息，且支持编辑标签。 图1 合规规则详情 合规规则的运行状态分为： 已启用：表示此合规规则可用。 已停用：表示此合规规则已停用。 评估中：表示正在使用此合规规则进行资源评估。 提交中：表示自定义合规规则正在提交评估任务给FunctionGraph函数。 当规则评估正在进行中时，规则的运行状态显示为“评估中”，当规则评估结束后，规则的运行状态变为“已启用”，此时可查看规则评估结果。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-cce-flavors 规则展示名 CCE集群规格在指定的范围 规则描述 CCE集群的规格不在指定的范围内，视为“不合规”。 标签 cce 规则触发方式 配置变更 规则评估的资源类型 cce.clusters 规则参数 listOfAllowedFlavors：指定的CCE规格列表，枚举值请参见flavor字段当前所支持的值，例如“cce.s1.small”。

规则详情 表1 规则详情 参数 说明 规则名称 function-graph-settings-check 规则展示名 检查 函数工作流 参数设置 规则描述 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规”。 标签 fgs 规则触发方式 配置变更 规则评估的资源类型 fgs.functions 规则参数 runtimeList：允许的运行时列表，当前支持的运行时请参见函数管理，例如“Python3.6”。 timout：执行超时时间，单位为秒。 memorySize：函数实例内存规格限制，单位为MB。

操作场景 资源合规规则添加完成后，您可以随时对其进行修改、停用、启用、删除操作。 您可以在规则列表的操作列或规则详情页中进行这些操作，本章节以规则列表的操作为例进行说明，包含如下内容： 停用合规规则 启用合规规则 修改合规规则 删除合规规则 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 托管合规规则不支持进行修改、停用、启用、删除操作，托管合规规则是由组织合规规则或合规规则包创建的，由组织合规规则创建的托管规则只能由创建规则的组织账号进行修改和删除操作，由合规规则包创建的托管规则可以通过更新合规规则包进行参数修改，且只能通过删除相应合规规则包来进行删除。具体请参见组织合规规则和合规规则包。

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计 支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例 域名 均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster CodeArts编译构建下的项目未设置参数加密 配置变更 codeartsbuild.CloudBuildServer MapReduce服务 MRS MRS资源属于指定安全组 配置变更 mrs.mrs MRS资源属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定公网IP 配置变更 mrs.mrs MRS集群开启KMS加密 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 account Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 启用WAF实例域名防护 周期触发 account 启用WAF防护策略地理位置访问控制规则 周期触发 account WAF实例启用拦截模式防护策略 配置变更 waf.instance 弹性负载均衡 ELB ELB资源不具有公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 监听器资源HTTPS重定向检查 配置变更 elb.listeners ELB资源使用多AZ部署 配置变更 elb.loadbalancers 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性伸缩组未配置IPv6带宽 配置变更 as.scalingGroups 弹性伸缩组VPC检查 配置变更 as.scalingGroups 高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares SFS Turbo资源在备份存储库中 配置变更 sfsturbo.shares SFS Turbo资源的备份时间检查 周期触发 sfsturbo.shares 弹性云服务器 E CS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置密钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加IAM委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers ECS资源在备份存储库中 配置变更 ecs.cloudservers ECS云服务器 的备份时间检查 周期触发 ecs.cloudservers ECS资源绑定服务主机代理防护 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 函数工作流的函数启用日志配置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定公网IP 配置变更 dws.clusters DWS集群运维时间窗检查 配置变更 dws.clusters DWS集群VPC检查 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密 服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查C SMS 凭据轮转成功 配置变更 csms.secrets 统一身份认证 服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不授权KMS的禁止的action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies IAM账号存在可使用的访问密钥 周期触发 account IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根账号开启MFA认证 周期触发 account IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users IAM委托绑定策略检查 配置变更 iam.agencies 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定公网IP 配置变更 dds.instances DDS实例端口检查 配置变更 dds.instances DDS实例数据库版本检查 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知 服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 安全组连接到弹性网络接口 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警 周期触发 account 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 account 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters CCE集群VPC检查 配置变更 cce.clusters 云审计服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 account CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 account 在指定区域创建并启用CTS追踪器 周期触发 account CTS追踪器符合安全最佳实践 周期触发 account 云数据库 RDS RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances RDS实例启用SSL加密通讯 配置变更 rds.instances RDS实例默认端口检查 配置变更 rds.instances RDS实例数据库引擎版本检查 配置变更 rds.instances RDS实例启用审计日志 配置变更 rds.instances 云数据库 GaussDB GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB实例EIP检查 配置变更 gaussdb.instance GaussDB实例跨AZ部署检查 配置变更 gaussdb.instance GaussDB实例开启传输数据加密 配置变更 gaussdb.instance 云数据库 GaussDB(for MySQL) GaussDB(for MySQL)实例开启审计日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启备份 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启错误日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启慢日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启传输数据加密 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例跨AZ部署检查 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例EIP检查 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例VPC检查 配置变更 gaussdbformysql.instance 云数据库 GeminiDB GeminiDB部署在单个可用区 配置变更 nosql.instances GeminiDB开启备份 配置变更 nosql.instances GeminiDB使用磁盘加密 配置变更 nosql.instances GeminiDB开启错误日志 配置变更 nosql.instances GeminiDB支持慢查询日志 配置变更 nosql.instances 云搜索服务 CSS CSS集群启用认证 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群开启安全模式 配置变更 css.clusters CSS集群白名单不生效 配置变更 css.clusters CSS集群kibana白名单不生效 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes EVS资源在备份存储库保护中 配置变更 evs.volumes EVS资源的备份时间检查 周期触发 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 检查私有根CA是否停用 周期触发 pca.ca 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列开启公网访问 配置变更 dms.kafkas 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS Reliability队列打开SSL加密访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 云备份 CBR CBR备份被加密 配置变更 cbr.backup CBR备份策略执行频率检查 配置变更 cbr.policy CBR存储库最低保留天数 配置变更 cbr.vault 对象存储服务 OBS OBS桶策略中不授权禁止的Action 配置变更 obs.buckets OBS桶策略中授权检查 配置变更 obs.buckets OBS桶策略授权约束 配置变更 obs.buckets OBS桶禁止公开读 配置变更 obs.buckets OBS桶禁止公开写 配置变更 obs.buckets OBS桶策略授权行为使用SSL加密 配置变更 obs.buckets 镜像服务 IMS 私有镜像开启加密 配置变更 ims.images 裸金属服务器 BMS BMS资源使用密钥对登录 配置变更 bms.servers 父主题： 系统内置预设策略

规则详情 表1 规则详情 参数 说明 规则名称 iam-agencies-managed-policy-check 规则展示名 IAM委托绑定策略检查 规则描述 IAM委托未绑定指定的策略或权限，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.agencies 规则参数 roleIdList：指定允许的权限ID列表，不支持系统权限。 policyIdList：指定允许的策略ID列表，不支持系统身份策略。

操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时，您可以通过编写函数代码，添加自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流（FunctionGraph）上的函数。将合规规则和函数相关联，函数接收Config发布的事件，从事件中接收到规则参数和Config服务收集到的资源属性；函数评估该规则下资源的合规性并通过Config的OpenAPI回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。要了解如何使用FunctionGraph函数以及如何开发它们，请参阅《FunctionGraph用户指南》。 本章节指导您如何通过自定义策略来添加资源合规规则，主要包含如下步骤： 创建FunctionGraph函数； 添加自定义合规规则。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

资源变更消息和资源快照转储至OBS加密桶 使用SSE-OBS方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储至使用SSE-OBS方式加密的OBS桶，无需其他操作，只需选择对应OBS桶进行存储即可。 使用SSE-KMS默认密钥方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储至使用SSE-KMS默认密钥方式加密的OBS桶，则需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator）。 使用SSE-KMS自定义密钥方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储使用SSE-KMS自定义密钥方式加密的OBS桶，则需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator）。 另外，如果您选择将资源变更消息和资源快照存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶，则除了需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator），还需要在被存储的OBS桶的密钥中设置密钥的跨账号权限。具体可参考以下步骤： 用授权账号登录管理控制台，进入数据加密服务的“密钥管理”界面。 单击目标自定义密钥的别名，进入密钥详细信息的授权页面。 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。 “被授权对象”选择“账号”，并输入待授权账号的账号ID。 “授权操作”勾选“创建数据密钥”、“查询密钥信息”和“解密数据密钥”。

跨账号授权 跨账号授予SMN主题发送通知的权限 用授权账号登录管理控制台，进入对应区域的SMN服务控制台。 参考设置主题策略对待授权账号授予相关SMN主题的权限。 跨账号授予OBS桶存储文件的权限 用授权账号登录管理控制台，进入OBS管理控制台。 参考自定义创建桶策略（JSON视图）对待授权账号授予相关OBS桶的权限。 桶策略的示例如下，配置该桶策略，将允许被授权账号的资源记录器将转储文件存放至本OBS桶的指定路径内，以下参数需要您根据实际使用场景手动替换： ${account_id}：需要被授权的账号的domain_id； ${agency_name}：被授权的委托名称，如果您使用快速授权方式，则该值为“rms_tracker_agency”； ${bucket_name}：用于存储文件的OBS桶的桶名； ${folder_name}：用于存储文件的OBS桶内文件夹的名称。如果您未设置OBS桶内文件夹，则需删除“/${folder_name}”。 { "Statement": [ { "Sid": "org-bucket-policy", "Effect": "Allow", "Principal": { "ID": [ "domain/${account_id}:agency/${agency_name}" ] }, "Action": [ "PutObject" ], "Resource": [ "${bucket_name}/${folder_name}/ RMS Logs/*/Snapshot/*", "${bucket_name}/${folder_name}/RMSLogs/*/Notification/*" ] } ] }