规则详情 表1 规则详情 参数 说明 规则名称 iam-customer-policy-blocked-kms-actions 规则展示名 IAM 策略中不授权KMS的禁止的action 规则描述 IAM策略中授权KMS的任一阻拦action，视为“不合规”。 标签 iam、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns：KMS的阻拦action列表，数组类型。

操作场景 资源合规规则添加完成后，您可以在规则列表中查看所有已添加的合规规则，进入规则详情页可查看规则的评估结果、标签和规则详情配置等信息。 规则的评估结果数据支持全部导出；在规则详情页的右上角，您可以进行触发规则评估（立即评估）、修改规则（编辑规则）、停用/启用规则、删除规则操作；在标签页签您还可以查看和编辑合规规则的标签。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的列表中，可查看所有已添加的合规规则以及其运行状态、合规评估结果等信息。 在规则列表中单击合规规则的规则名称，进入规则详情的“基本信息”页。 “基本信息”页签左侧展示合规规则评估结果的详细信息，右侧展示合规规则的配置详情。左侧的评估结果列表默认展示合规评估结果为“不合规”的资源，您可以在列表上方的筛选框中通过合规评估结果、资源名称或资源ID对评估结果进行筛选检索，还支持导出全部评估结果数据。 “修正管理”页签展示此合规规则的修正配置详细信息，并支持编辑、删除修正配置，以及执行修正、添加/删除修正例外等操作。 “标签”页签展示此合规规则的标签信息，且支持编辑标签。 图1 合规规则详情 合规规则的运行状态分为： 已启用：表示此合规规则可用。 已停用：表示此合规规则已停用。 评估中：表示正在使用此合规规则进行资源评估。 提交中：表示自定义合规规则正在提交评估任务给FunctionGraph函数。 当规则评估正在进行中时，规则的运行状态显示为“评估中”，当规则评估结束后，规则的运行状态变为“已启用”，此时可查看规则评估结果。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-cce-flavors 规则展示名 CCE集群规格在指定的范围 规则描述 CCE集群的规格不在指定的范围内，视为“不合规”。 标签 cce 规则触发方式 配置变更 规则评估的资源类型 cce.clusters 规则参数 listOfAllowedFlavors：指定的CCE规格列表，枚举值请参见flavor字段当前所支持的值，例如“cce.s1.small”。

规则详情 表1 规则详情 参数 说明 规则名称 function-graph-settings-check 规则展示名 检查 函数工作流 参数设置 规则描述 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规”。 标签 fgs 规则触发方式 配置变更 规则评估的资源类型 fgs.functions 规则参数 runtimeList：允许的运行时列表，当前支持的运行时请参见函数管理，例如“Python3.6”。 timout：执行超时时间，单位为秒。 memorySize：函数实例内存规格限制，单位为MB。

操作场景 资源合规规则添加完成后，您可以随时对其进行修改、停用、启用、删除操作。 您可以在规则列表的操作列或规则详情页中进行这些操作，本章节以规则列表的操作为例进行说明，包含如下内容： 停用合规规则 启用合规规则 修改合规规则 删除合规规则 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 托管合规规则不支持进行修改、停用、启用、删除操作，托管合规规则是由组织合规规则或合规规则包创建的，由组织合规规则创建的托管规则只能由创建规则的组织账号进行修改和删除操作，由合规规则包创建的托管规则可以通过更新合规规则包进行参数修改，且只能通过删除相应合规规则包来进行删除。具体请参见组织合规规则和合规规则包。

预设策略列表 当您在配置审计控制台添加合规规则时，可以直接选用系统内置的预设合规策略。 当前配置审计服务支持的预设策略如下表所示。 表1 配置审计 支持的预设策略 云服务 预设策略 触发方式 评估资源 公共可用预设策略 资源名称满足正则表达式 配置变更 全部资源 资源具有所有指定的标签键 配置变更 支持标签的云服务和资源类型 资源存在任一指定的标签 配置变更 支持标签的云服务和资源类型 资源具有指定前后缀的标签键 配置变更 支持标签的云服务和资源类型 资源标签非空 配置变更 支持标签的云服务和资源类型 资源具有指定的标签 配置变更 支持标签的云服务和资源类型 资源属于指定企业项目ID 配置变更 全部资源 资源在指定区域内 配置变更 全部资源 资源在指定类型内 配置变更 全部资源 不允许的资源类型 配置变更 全部资源 API网关 APIG APIG专享版实例配置安全认证类型 配置变更 apig.instances APIG专享版实例配置访问日志 配置变更 apig.instances APIG专享版实例 域名 均关联SSL证书 配置变更 apig.instances 部署 CodeArts Deploy CodeArts项目下的主机集群为可用状态 配置变更 codeartsdeploy.host-cluster CodeArts编译构建下的项目未设置参数加密 配置变更 codeartsbuild.CloudBuildServer MapReduce服务 MRS MRS资源属于指定安全组 配置变更 mrs.mrs MRS资源属于指定VPC 配置变更 mrs.mrs MRS集群开启kerberos认证 配置变更 mrs.mrs MRS集群使用多AZ部署 配置变更 mrs.mrs MRS集群未绑定公网IP 配置变更 mrs.mrs MRS集群开启KMS加密 配置变更 mrs.mrs NAT网关 NAT NAT私网网关绑定指定VPC资源 配置变更 nat.privateNatGateways VPC终端节点 VPCEP 创建了指定服务名的终端节点 周期触发 account Web应用防火墙 WAF WAF防护域名配置防护策略 配置变更 waf.instance WAF防护策略配置防护规则 配置变更 waf.policy 启用WAF实例域名防护 周期触发 account 启用WAF防护策略地理位置访问控制规则 周期触发 account WAF实例启用拦截模式防护策略 配置变更 waf.instance 弹性负载均衡 ELB ELB资源不具有公网IP 配置变更 elb.loadbalancers ELB监听器配置指定预定义安全策略 配置变更 elb.loadbalancers ELB监听器配置HTTPS监听协议 配置变更 elb.loadbalancers ELB后端服务器权重检查 配置变更 elb.members 监听器资源HTTPS重定向检查 配置变更 elb.listeners ELB资源使用多AZ部署 配置变更 elb.loadbalancers 弹性公网IP EIP EIP带宽限制 配置变更 vpc.publicips 弹性公网IP未进行任何绑定 配置变更 vpc.publicips EIP在指定天数内绑定到资源实例 周期触发 vpc.publicips 弹性伸缩 AS 弹性伸缩组均衡扩容 配置变更 as.scalingGroups 弹性伸缩组使用弹性负载均衡健康检查 配置变更 as.scalingGroups 弹性伸缩组启用多AZ部署 配置变更 as.scalingGroups 弹性伸缩组未配置IPv6带宽 配置变更 as.scalingGroups 弹性伸缩组VPC检查 配置变更 as.scalingGroups 高性能弹性文件服务 SFS Turbo 高性能弹性文件服务通过KMS进行加密 配置变更 sfsturbo.shares SFS Turbo资源在备份存储库中 配置变更 sfsturbo.shares SFS Turbo资源的备份时间检查 周期触发 sfsturbo.shares 弹性云服务器 E CS ECS资源规格在指定的范围 配置变更 ecs.cloudservers ECS实例的镜像ID在指定的范围 配置变更 ecs.cloudservers ECS的镜像在指定Tag的IMS的范围内 配置变更 ecs.cloudservers 绑定指定标签的ECS关联在指定安全组ID列表内 配置变更 ecs.cloudservers ECS资源属于指定虚拟私有云ID 配置变更 ecs.cloudservers ECS资源配置密钥对 配置变更 ecs.cloudservers ECS资源不能公网访问 配置变更 ecs.cloudservers 检查ECS资源是否具有多个公网IP 配置变更 ecs.cloudservers 关机状态的ECS未进行任意操作的时间检查 周期触发 ecs.cloudservers ECS资源附加IAM委托 配置变更 ecs.cloudservers ECS实例的镜像名称在指定的范围 配置变更 ecs.cloudservers ECS资源在备份存储库中 配置变更 ecs.cloudservers ECS云服务器 的备份时间检查 周期触发 ecs.cloudservers ECS资源绑定服务主机代理防护 配置变更 ecs.cloudservers 分布式缓存服务 DCS DCS Memcached资源支持SSL 配置变更 dcs.memcached DCS Memcached资源属于指定虚拟私有云ID 配置变更 dcs.memcached DCS Memcached资源不存在公网IP 配置变更 dcs.memcached DCS Memcached资源需要密码访问 配置变更 dcs.memcached DCS Redis实例支持SSL 配置变更 dcs.redis DCS Redis实例高可用 配置变更 dcs.redis DCS Redis实例属于指定虚拟私有云ID 配置变更 dcs.redis DCS Redis实例不存在公网IP 配置变更 dcs.redis DCS Redis实例需要密码访问 配置变更 dcs.redis 函数工作流 FunctionGraph 函数工作流的函数并发数在指定范围内 配置变更 fgs.functions 函数工作流使用指定VPC 配置变更 fgs.functions 函数工作流的函数不允许访问公网 配置变更 fgs.functions 检查函数工作流参数设置 配置变更 fgs.functions 函数工作流的函数启用日志配置 配置变更 fgs.functions 内容分发网络 CDN CDN使用HTTPS证书 配置变更 cdn.domains CDN回源方式使用HTTPS 配置变更 cdn.domains CDN安全策略检查 配置变更 cdn.domains CDN使用自有证书 配置变更 cdn.domains 数据仓库服务 DWS DWS集群启用KMS加密 配置变更 dws.clusters DWS集群启用日志转储 配置变更 dws.clusters DWS集群启用自动快照 配置变更 dws.clusters DWS集群启用SSL加密连接 配置变更 dws.clusters DWS集群未绑定公网IP 配置变更 dws.clusters DWS集群运维时间窗检查 配置变更 dws.clusters DWS集群VPC检查 配置变更 dws.clusters 数据复制服务 DRS 数据复制服务实时灾备任务不使用公网网络 配置变更 drs.dataGuardJob 数据复制服务实时迁移任务不使用公网网络 配置变更 drs.migrationJob 数据复制服务实时同步任务不使用公网网络 配置变更 drs.synchronizationJob 数据加密 服务 DEW KMS密钥不处于“计划删除”状态 配置变更 kms.keys KMS密钥启用密钥轮换 配置变更 kms.keys 检查C SMS 凭据轮转成功 配置变更 csms.secrets 统一身份认证 服务 IAM IAM用户的AccessKey在指定时间内轮换 周期触发 iam.users IAM策略中不授权KMS的禁止的action 配置变更 iam.roles&iam.policies IAM用户组添加了IAM用户 配置变更 iam.groups IAM用户密码策略符合要求 配置变更 iam.users IAM策略黑名单检查 配置变更 iam.users、iam.groups、iam.agencies IAM策略不具备Admin权限 配置变更 iam.roles、iam.policies IAM自定义策略具备所有权限 配置变更 iam.roles、iam.policies IAM账号存在可使用的访问密钥 周期触发 account IAM用户访问模式 配置变更 iam.users IAM用户创建时设置AccessKey 配置变更 iam.users IAM用户归属用户组 配置变更 iam.users IAM用户在指定时间内有登录行为 周期触发 iam.users IAM用户开启MFA 配置变更 iam.users IAM用户单访问密钥 配置变更 iam.users Console侧密码登录的IAM用户开启MFA认证 配置变更 iam.users 根账号开启MFA认证 周期触发 account IAM策略使用中 配置变更 iam.policies IAM权限使用中 配置变更 iam.roles IAM用户开启登录保护 周期触发 iam.users IAM委托绑定策略检查 配置变更 iam.agencies 文档数据库服务 DDS DDS实例开启SSL 配置变更 dds.instances DDS实例属于指定实例类型 配置变更 dds.instances DDS实例未绑定公网IP 配置变更 dds.instances DDS实例端口检查 配置变更 dds.instances DDS实例数据库版本检查 配置变更 dds.instances DDS实例属于指定虚拟私有云ID 配置变更 dds.instances 消息通知 服务 SMN SMN主题配置访问日志 配置变更 smn.topic 虚拟私有云 VPC 未与子网关联的网络ACL 配置变更 vpc.firewallGroups 默认安全组关闭出、入方向流量 配置变更 vpc.securityGroups VPC启用流日志 配置变更 vpc.vpcs 安全组端口检查 配置变更 vpc.securityGroups 安全组入站流量限制指定端口 配置变更 vpc.securityGroups 安全组入站流量限制SSH端口 配置变更 vpc.securityGroups 安全组非白名单端口检查 配置变更 vpc.securityGroups 安全组连接到弹性网络接口 配置变更 vpc.securityGroups 虚拟专用网络 VPN VPN连接状态为“正常” 配置变更 vpnaas.vpnConnections、vpnaas.ipsec-site-connections 云监控服务 CES CES启用告警操作 配置变更 ces.alarms CES配置监控KMS禁用或计划删除的事件监控告警 周期触发 account CES配置监控OBS桶策略变更的事件监控告警 周期触发 account 指定的资源类型绑定指定指标CES告警 周期触发 account 检查特定指标的CES告警进行特定配置 配置变更 ces.alarms CES配置监控VPC变更的事件监控告警 周期触发 account 云容器引擎 CCE CCE集群版本为处于维护的版本 配置变更 cce.clusters CCE集群运行的非受支持的最旧版本 配置变更 cce.clusters CCE集群资源不具有公网IP 配置变更 cce.clusters CCE集群规格在指定的范围 配置变更 cce.clusters CCE集群VPC检查 配置变更 cce.clusters 云审计 服务 CTS CTS追踪器通过KMS进行加密 配置变更 cts.trackers CTS追踪器启用事件分析 配置变更 cts.trackers CTS追踪器追踪指定的OBS桶 周期触发 account CTS追踪器打开事件文件校验 配置变更 cts.trackers 创建并启用CTS追踪器 周期触发 account 在指定区域创建并启用CTS追踪器 周期触发 account CTS追踪器符合安全最佳实践 周期触发 account 云数据库 RDS RDS实例开启备份 配置变更 rds.instances RDS实例开启错误日志 配置变更 rds.instances RDS实例开启慢日志 配置变更 rds.instances RDS实例支持多可用区 配置变更 rds.instances RDS实例不具有公网IP 配置变更 rds.instances RDS实例开启存储加密 配置变更 rds.instances RDS实例属于指定虚拟私有云ID 配置变更 rds.instances RDS实例配备日志 配置变更 rds.instances RDS实例规格在指定的范围 配置变更 rds.instances RDS实例启用SSL加密通讯 配置变更 rds.instances RDS实例默认端口检查 配置变更 rds.instances RDS实例数据库引擎版本检查 配置变更 rds.instances RDS实例启用审计日志 配置变更 rds.instances 云数据库 GaussDB GaussDB资源属于指定虚拟私有云ID 配置变更 gaussdb.instance GaussDB实例开启审计日志 配置变更 gaussdb.instance GaussDB实例开启自动备份 配置变更 gaussdb.instance GaussDB实例开启错误日志 配置变更 gaussdb.instance GaussDB实例开启慢日志 配置变更 gaussdb.instance GaussDB实例EIP检查 配置变更 gaussdb.instance GaussDB实例跨AZ部署检查 配置变更 gaussdb.instance GaussDB实例开启传输数据加密 配置变更 gaussdb.instance 云数据库 GaussDB(for MySQL) GaussDB(for MySQL)实例开启审计日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启备份 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启错误日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启慢日志 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例开启传输数据加密 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例跨AZ部署检查 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例EIP检查 配置变更 gaussdbformysql.instance GaussDB(for MySQL)实例VPC检查 配置变更 gaussdbformysql.instance 云数据库 GeminiDB GeminiDB部署在单个可用区 配置变更 nosql.instances GeminiDB开启备份 配置变更 nosql.instances GeminiDB使用磁盘加密 配置变更 nosql.instances GeminiDB开启错误日志 配置变更 nosql.instances GeminiDB支持慢查询日志 配置变更 nosql.instances 云搜索服务 CSS CSS集群启用认证 配置变更 css.clusters CSS集群启用快照 配置变更 css.clusters CSS集群开启磁盘加密 配置变更 css.clusters CSS集群启用HTTPS 配置变更 css.clusters CSS集群绑定指定VPC资源 配置变更 css.clusters CSS集群具备多AZ容灾 配置变更 css.clusters CSS集群具备多实例容灾 配置变更 css.clusters CSS集群不能公网访问 配置变更 css.clusters CSS集群开启安全模式 配置变更 css.clusters CSS集群白名单不生效 配置变更 css.clusters CSS集群kibana白名单不生效 配置变更 css.clusters 云硬盘 EVS 云硬盘的类型在指定的范围内 配置变更 evs.volumes 云硬盘创建后在指定天数内绑定资源实例 周期触发 evs.volumes 云硬盘闲置检测 配置变更 evs.volumes 已挂载的云硬盘开启加密 配置变更 evs.volumes 云硬盘开启加密 配置变更 evs.volumes EVS资源在备份存储库保护中 配置变更 evs.volumes EVS资源的备份时间检查 周期触发 evs.volumes 云证书管理服务 CCM 检查私有CA是否过期 周期触发 pca.ca 检查私有证书是否过期 周期触发 pca.cert 检查私有根CA是否停用 周期触发 pca.ca 分布式消息服务Kafka版 DMS Kafka队列打开内网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列打开公网SSL加密访问 配置变更 dms.kafkas DMS Kafka队列开启公网访问 配置变更 dms.kafkas 分布式消息服务RabbitMQ版 DMS RabbitMq队列打开SSL加密访问 配置变更 dms.rabbitmqs 分布式消息服务RocketMQ版 DMS Reliability队列打开SSL加密访问 配置变更 dms.reliabilitys 组织 Organizations 账号加入组织 周期触发 account 云防火墙 CFW CFW防火墙配置防护策略 配置变更 cfw.cfw_instance 云备份 CBR CBR备份被加密 配置变更 cbr.backup CBR备份策略执行频率检查 配置变更 cbr.policy CBR存储库最低保留天数 配置变更 cbr.vault 对象存储服务 OBS OBS桶策略中不授权禁止的Action 配置变更 obs.buckets OBS桶策略中授权检查 配置变更 obs.buckets OBS桶策略授权约束 配置变更 obs.buckets OBS桶禁止公开读 配置变更 obs.buckets OBS桶禁止公开写 配置变更 obs.buckets OBS桶策略授权行为使用SSL加密 配置变更 obs.buckets 镜像服务 IMS 私有镜像开启加密 配置变更 ims.images 裸金属服务器 BMS BMS资源使用密钥对登录 配置变更 bms.servers 父主题： 系统内置预设策略

规则详情 表1 规则详情 参数 说明 规则名称 iam-agencies-managed-policy-check 规则展示名 IAM委托绑定策略检查 规则描述 IAM委托未绑定指定的策略或权限，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.agencies 规则参数 roleIdList：指定允许的权限ID列表，不支持系统权限。 policyIdList：指定允许的策略ID列表，不支持系统身份策略。

操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时，您可以通过编写函数代码，添加自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流（FunctionGraph）上的函数。将合规规则和函数相关联，函数接收Config发布的事件，从事件中接收到规则参数和Config服务收集到的资源属性；函数评估该规则下资源的合规性并通过Config的OpenAPI回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。要了解如何使用FunctionGraph函数以及如何开发它们，请参阅《FunctionGraph用户指南》。 本章节指导您如何通过自定义策略来添加资源合规规则，主要包含如下步骤： 创建FunctionGraph函数； 添加自定义合规规则。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

资源变更消息和资源快照转储至OBS加密桶 使用SSE-OBS方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储至使用SSE-OBS方式加密的OBS桶，无需其他操作，只需选择对应OBS桶进行存储即可。 使用SSE-KMS默认密钥方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储至使用SSE-KMS默认密钥方式加密的OBS桶，则需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator）。 使用SSE-KMS自定义密钥方式加密的OBS桶 如果您需要将资源变更消息和资源快照存储使用SSE-KMS自定义密钥方式加密的OBS桶，则需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator）。 另外，如果您选择将资源变更消息和资源快照存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶，则除了需要在对资源记录器的委托中新增KMS的管理员权限（KMS Administrator），还需要在被存储的OBS桶的密钥中设置密钥的跨账号权限。具体可参考以下步骤： 用授权账号登录管理控制台，进入数据加密服务的“密钥管理”界面。 单击目标自定义密钥的别名，进入密钥详细信息的授权页面。 参考创建授权对待授权账号授予其使用相关自定义密钥的权限。 “被授权对象”选择“账号”，并输入待授权账号的账号ID。 “授权操作”勾选“创建数据密钥”、“查询密钥信息”和“解密数据密钥”。

跨账号授权 跨账号授予SMN主题发送通知的权限 用授权账号登录管理控制台，进入对应区域的SMN服务控制台。 参考设置主题策略对待授权账号授予相关SMN主题的权限。 跨账号授予OBS桶存储文件的权限 用授权账号登录管理控制台，进入OBS管理控制台。 参考自定义创建桶策略（JSON视图）对待授权账号授予相关OBS桶的权限。 桶策略的示例如下，配置该桶策略，将允许被授权账号的资源记录器将转储文件存放至本OBS桶的指定路径内，以下参数需要您根据实际使用场景手动替换： ${account_id}：需要被授权的账号的domain_id； ${agency_name}：被授权的委托名称，如果您使用快速授权方式，则该值为“rms_tracker_agency”； ${bucket_name}：用于存储文件的OBS桶的桶名； ${folder_name}：用于存储文件的OBS桶内文件夹的名称。如果您未设置OBS桶内文件夹，则需删除“/${folder_name}”。 { "Statement": [ { "Sid": "org-bucket-policy", "Effect": "Allow", "Principal": { "ID": [ "domain/${account_id}:agency/${agency_name}" ] }, "Action": [ "PutObject" ], "Resource": [ "${bucket_name}/${folder_name}/ RMS Logs/*/Snapshot/*", "${bucket_name}/${folder_name}/RMSLogs/*/Notification/*" ] } ] }

开启并配置资源记录器 开启并配置资源记录器的资源转储和主题功能后，当对接服务上报Config的资源变更（被创建、修改、删除等）、资源关系变更时，您均可收到通知，同时还可对您的资源变更消息和资源快照进行定期存储。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源记录器”，进入“资源记录器”页面。 打开资源记录器开关，在弹出的确认框中单击“是”，资源记录器开启成功。 图1 开启资源记录器 选择资源的监控范围。 默认情况下，资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以修改资源记录器的监控范围，选择指定的资源类型进行监控。 资源记录器默认收集Config服务的所有资源数据。 图2 选择监控范围 配置资源转储。 选择OBS桶，用于存储资源变更消息及资源快照。 如果您先配置了SMN主题，则也可以不配置资源转储（OBS桶）。 配置当前账号下OBS桶： 选择“您账号的桶”，然后在下拉列表中选择您账号下的OBS桶，用于存储资源变更消息及资源快照。如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下，则在选择OBS桶后，还需输入“桶前缀”，该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶，则需先创建OBS桶，详见创建桶。 配置其他账号下OBS桶： 选择“另一账号的桶”，并输入区域ID和桶名称，如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下，则还需输入“桶前缀”，该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限，具体操作请参见跨账号授权。 开启资源记录器时，如果指定了当前账号或其他账号下的OBS桶，Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件，此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时，如何处理请参见为什么开启并配置资源记录器后，将数据转储至当前账号或其他账号的OBS桶时报错？。 图3 配置资源转储 配置数据保留周期。 资源记录器收集到的资源配置信息数据默认保留7年（2557天），您可以将配置信息数据设置自定义保留周期，自定义数据保留周期的可设置范围为最短30天，最长7年（2557天）。 虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照，但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config，不会对SMN和OBS存储的数据产生影响。 当您配置数据保留周期后，Config会在指定周期内保留您的资源历史数据，超出指定周期的数据将会被删除。 图4 配置数据保留周期 （可选）开启并配置消息通知（SMN）主题。 打开主题开关，选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。 配置当前账号下消息通知主题： 选择“您自己的主题”，并选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见创建主题。 配置其他账号下消息通知主题： 选择“另一账号的主题”，并输入主题URN，关于主题URN的详细信息请参见基本概念。需先使用其他账号对当前账号授予相关SMN主题的权限，具体操作请参见跨账号授权。 创建SMN主题后，还需执行“添加订阅”和“请求订阅”操作，消息通知才会生效。 图5 配置SMN主题 进行授权，选择“快速授权”或“自定义授权”。 快速授权：将为您快速创建一个名为“rms_tracker_agency”的委托权限，该权限是可以让资源记录器正常工作的权限，包含调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限（例如SMN Administrator和OBS OperateAccess权限）。由于快速授权的委托中并不包含KMS的相关权限，因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要，您可以在委托中添加对应权限（KMS Administrator）或使用自定义授权，具体请参见资源变更消息和资源快照转储至OBS加密桶。 如何为委托添加权限请参见删除或修改委托。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，授权对象为云服务Config，但必须包含可以让资源记录器正常工作的权限（调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限至少包含一个）。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中，还需要添加KMS的密钥管理员权限（KMS Administrator），具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见委托其他云服务管理资源。 图6 授权 配置完成后，单击“保存”。 在弹出的确认框中单击“是”，资源记录器配置成功。

开启并配置资源记录器 开启并配置资源记录器的资源转储和主题功能后，当对接服务上报Config的资源变更（被创建、修改、删除等）、资源关系变更时，您均可收到通知，同时还可对您的资源变更消息和资源快照进行定期存储。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源记录器”，进入“资源记录器”页面。 打开资源记录器开关，在弹出的确认框中单击“是”，资源记录器开启成功。 图2 开启资源记录器 选择资源的监控范围。 默认情况下，资源记录器的监控范围会覆盖当前Config支持的全部资源。您可以修改资源记录器的监控范围，选择指定的资源类型进行监控。 资源记录器默认收集Config服务的所有资源数据。 图3 选择监控范围 配置资源转储。 选择OBS桶，用于存储资源变更消息及资源快照。 如果您先配置了SMN主题，则也可以不配置资源转储（OBS桶）。 配置当前账号下OBS桶： 选择“您账号的桶”，然后在下拉列表中选择您账号下的OBS桶，用于存储资源变更消息及资源快照。如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下，则在选择OBS桶后，还需输入“桶前缀”，该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶，则需先创建OBS桶，详见创建桶。 配置其他账号下OBS桶： 选择“另一账号的桶”，并输入区域ID和桶名称，如果您需要将资源变更消息及资源快照存储在OBS桶内的某个文件夹下，则还需输入“桶前缀”，该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限，具体操作请参见跨账号授权。 开启资源记录器时，如果指定了当前账号或其他账号下的OBS桶，Config会向目标OBS桶中写入一个名为ConfigWritabilityCheckFile的空文件，此文件仅用于验证资源转储是否能够成功写入OBS桶。当界面出现报错信息时，如何处理请参见为什么开启并配置资源记录器后，将数据转储至当前账号或其他账号的OBS桶时报错？。 图4 配置资源转储 配置数据保留周期。 资源记录器收集到的资源配置信息数据默认保留7年（2557天），您可以将配置信息数据设置自定义保留周期，自定义数据保留周期的可设置范围为最短30天，最长7年（2557天）。 虽然Config使用SMN和OBS发送资源变更消息通知和存储资源变更消息及资源快照，但Config自身也会保存资源的历史变更信息。此处配置的数据保留时间仅针对于Config，不会对SMN和OBS存储的数据产生影响。 当您配置数据保留周期后，Config会在指定周期内保留您的资源历史数据，超出指定周期的数据将会被删除。 图5 配置数据保留周期 （可选）开启并配置消息通知（SMN）主题。 打开主题开关，选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。 配置当前账号下消息通知主题： 选择“您自己的主题”，并选择主题所在区域和主题名，用于接收资源变更时产生的消息通知。如无SMN主题，则需先创建SMN主题，详见创建主题。 配置其他账号下消息通知主题： 选择“另一账号的主题”，并输入主题URN，关于主题URN的详细信息请参见基本概念。需先使用其他账号对当前账号授予相关SMN主题的权限，具体操作请参见跨账号授权。 创建SMN主题后，还需执行“添加订阅”和“请求订阅”操作，消息通知才会生效。 图6 配置SMN主题 进行授权，选择“快速授权”或“自定义授权”。 快速授权：将为您快速创建一个名为“rms_tracker_agency”的委托权限，该权限是可以让资源记录器正常工作的权限，包含调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限（例如SMN Administrator和OBS OperateAccess权限）。由于快速授权的委托中并不包含KMS的相关权限，因此资源记录器无法将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中。如有需要，您可以在委托中添加对应权限（KMS Administrator）或使用自定义授权，具体请参见资源变更消息和资源快照转储至OBS加密桶。 如何为委托添加权限请参见删除或修改委托。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，授权对象为云服务Config，但必须包含可以让资源记录器正常工作的权限（调用消息通知服务（SMN）发送通知的权限和对象存储服务（OBS）的写入权限至少包含一个）。如果需要将资源变更消息和资源快照存储到“使用KMS方式加密的OBS桶”中，还需要添加KMS的密钥管理员权限（KMS Administrator），具体请参见资源变更消息和资源快照转储至OBS加密桶。创建委托详见委托其他云服务管理资源。 图7 授权 配置完成后，单击“保存”。 在弹出的确认框中单击“是”，资源记录器配置成功。

添加资源合规规则 创建、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 单击左侧的“资源合规”，进入“资源合规”页面。 基础配置完成后，单击页面右下角的“下一步”。 图8 基础配置 表1 基础配置参数说明 参数 说明 策略类型 选择“预设策略”。 预设策略即服务已开发的策略，在下方的预设策略列表中直接选择所需预设策略，快速完成规则创建。支持输入策略名称或标签进行搜索。 预设策略详情见系统内置预设策略。 规则名称 规则名称默认复用所选择预设策略的名称，不能与已存在的合规规则名称重复，如有重复需自行修改。 合规规则名称仅支持数字、字母、下划线和中划线，最大长度64个字符。 规则简介 规则简介默认复用所选择预设策略的简介，也可自行修改。 目前对规则简介内容的字符类型不做限制，最大长度512个字符。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图9 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 说明： 预设策略的触发类型不支持修改，不同预设策略支持的触发类型不同。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”为“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 说明： 仅当“触发类型”为“配置变更”时支持指定服务和资源类型。 当预设策略的“触发类型”为“周期执行”，且规则评估的资源类型非“account”时，支持指定资源所在的“区域”进行过滤。具体请以控制台显示为准或参见预设策略列表。 过滤范围（可选） 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 当“触发类型”为“配置变更”时，您可以根据需要选择配置此参数。 周期频率 设置合规规则周期执行的频率。 可选项：1小时、3小时、6小时、12小时、24小时。 仅当“触发类型”为“周期执行”时需配置此参数。 规则参数 此处的“规则参数”和第一步所选的“预设策略”相对应，是对第一步所选的预设策略进行具体参数设置。 例如：第一步预设策略选择“资源具有指定的标签”，指定一个标签，不具有此标签的资源，视为“不合规”，则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数，有的“预设策略”不需要添加规则参数。例如：已挂载的云硬盘开启加密（volumes-encrypted-check）。 标签 单击“添加新标签”，输入标签键和标签值，为合规规则添加标签。每个合规规则最多可以添加20个标签。 标签键不能为空，可以包含任意语种的字母、数字和空格，以及_.:=+-@字符，但首尾不能包含空格，且不能以_sys_开头。长度不超过128个字符。 标签值可以为空，可以包含任意语种的字母、数字和空格，以及_.:=+-@字符，但首尾不能包含空格。长度不超过255个字符。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成合规规则添加。 图10 添加合规规则-确认规则 合规规则创建后会立即自动触发首次评估。