华为云用户手册

功能概述 配置审计 服务提供多账号资源数据聚合能力，通过使用资源聚合器聚合其他华为云账号或者组织成员账号的资源配置和合规性数据到单个账号中，方便统一查询。 资源聚合器提供只读视图，仅用于查看聚合的源账号的资源信息和合规性数据。资源聚合器不提供对源账号资源数据的修改访问权限。例如，无法通过资源聚合器部署规则，也无法通过资源聚合器从源账号提取快照文件。 资源聚合器仅支持用户查询和浏览源账号中的云服务资源信息，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。

基本概念 源账号 源账号是配置审计服务需要聚合资源配置和合规性数据的账号。源账号可以是华为云账号或组织。 资源聚合器 资源聚合器是配置审计服务中的一种新的功能，可以从多个源账号收集资源配置和合规性数据。 聚合器账号 聚合账号是创建资源聚合器的账号。 授权 授权是指源账号向聚合器账号授予收集资源配置和合规性数据的权限。源类型为华为云账号的资源聚合器，必须获得源账号的授权才能聚合数据；源类型为组织的资源聚合器，则无需授权即可聚合整个组织中所有成员账号的数据。

高级查询使用限制 为避免单用户长时间查询占用资源，影响其他用户，对高级查询功能做以下限制： 单次查询语句的执行时长不能超过15秒，否则会返回超时错误。 单次查询语句查询大量数据，会返回查询数据量过大的报错，需要用户主动简化查询语句。 单次查询结果只返回前4000条。 单个查询语句中最多只能做两次表的关联查询。 每个账号最多可以创建200个高级查询。 高级查询功能依赖于资源记录器所收集的资源数据，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则高级查询语句无法查询到任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则高级查询语句仅能查询到所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则高级查询语句仅能查询到资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。 父主题： 高级查询

资源稳定性最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-multiple-az-check CSS 集群具备多AZ容灾 css CS S集群没有多az容灾，视为“不合规” gaussdb-nosql-deploy-in-single-az GeminiDB部署在单个可用区 gemini db GeminiDB部署在单个可用区中，视为“不合规” as-multiple-az 弹性伸缩组启用多AZ部署 as 弹性伸缩组没有启用多AZ部署，视为“不合规” mrs-cluster-multiAZ-deployment MRS 集群使用多AZ部署 mrs MRS集群没有多az部署，视为“不合规” rds-instance-multi-az-support RDS实例支持多可用区 rds RDS实例仅支持一个可用区，视为“不合规” dcs-redis-high-tolerance DCS Redis实例高可用 dcs dcs redis资源不是高可用时，视为“不合规” allowed-rds-flavors RDS实例规格在指定的范围 rds RDS实例的规格不在指定的范围内，视为“不合规” allowed-images-by-name ECS实例的镜像名称在指定的范围 ecs 指定允许的镜像名称列表，ECS实例的镜像名称不在指定的范围内，视为“不合规” allowed-images-by-id ECS实例的镜像ID在指定的范围 ecs, ims 指定允许的镜像ID列表，ECS实例的镜像ID不在指定的范围内，视为“不合规” function-graph-concurrency-check 函数工作流 的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内，视为“不合规” function-graph-settings-check 检查函数工作流参数设置 fgs 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规” dds-instance-hamode DDS实例属于指定实例类型 dds 指定实例类型，不属于此的DDS实例资源，视为“不合规” allowed-cce-flavors CCE集群规格在指定的范围 cce CCE集群的规格不在指定的范围内，视为“不合规” allowed-ecs-flavors ECS资源规格在指定的范围 ecs ECS资源的规格不在指定的范围内，视为“不合规” 父主题： 合规规则包示例模板

适用于函数工作流（FunctionGraph）的最佳实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph函数并发数不在指定的范围内，视为“不合规” function-graph-inside-vpc 函数工作流使用指定VPC fgs 函数工作流未使用指定VPC，视为“不合规” function-graph-public-access-prohibited 函数工作流的函数不允许访问公网 fgs 函数工作流的函数允许访问公网，视为“不合规” function-graph-settings-check 检查函数工作流参数设置 fgs 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规” function-graph-logging-enabled 函数工作流的函数启用日志配置 fgs 函数工作流的函数未启用日志配置，视为“不合规” 父主题： 合规规则包示例模板

默认规则 此表中的建议项编号对应HKMA.2022.08.31中参考文档的章节编号，供您查阅参考。 表1 HKMA云计算指南 建议项编号 建议项说明 合规规则 指导 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-group-has-users-check 确保 IAM 群组至少有一个用户，从而帮助您将最低权限和职责分离的原则与访问权限和授权相结合。 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-user-group-membership-check 确保用户是至少一个群组的成员，从而帮助您限制访问权限和授权。 I-2 根据采用的云部署模型，包括多租户风险，以及集中风险。 iam-root-access-key-check 确保删除根访问密钥，从而帮助您限制访问权限和授权。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 kms-rotation-enabled 启用密钥轮换，确保密钥在加密周期结束后轮换。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 iam-password-policy 识别登录用户的密码强度符合要求。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 cts-support-validate-check 启用 云审计 服务追踪器的日志文件校验，验证日志文件转储后是否被修改、删除或未更改。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 rds-instances-enable-kms 确保云数据库(RDS)实例启用了加密。 II-5 应实施安全控制措施，保护存储在云端的客户信息的完整性和机密性。 dcs-redis-enable-ssl 为了帮助保护传输中的敏感数据，确保为Redis启用SSL协议。 此表中的建议项编号对应SA-2中参考文档的章节编号，供您查阅参考。 表2 SA-2 外包 建议项编号 建议项说明 合规规则 指导 2.5.1 根据采用的云部署模型，包括应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 cts-kms-encrypted-check 由于日志可能存在敏感数据，请确保云审计服务的追踪器已启用加密事件文件。 2.5.1 应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 rds-instances-enable-kms 确保云数据库实例已启用加密。 2.5.1 应确保遵守客户数据的保密要求并采取防范措施保护客户数据的完整性和机密性。 css-cluster-disk-encryption-check 确保 云搜索服务 集群开启磁盘加密。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 vpc-flow-logs-enabled VPC流日志提供了虚拟私有云的流量信息的详细记录。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 apig-instances-execution-logging-enabled API网关日志记录访问API的用户的详细视图以及访问API的方式，实现用户活动的可见性。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 cts-lts-enable 使用云审计服务集中收集和管理日志事件活动。 2.8.1 应保存适当和最新的资料记录，可供金管局检查。 cts-support-validate-check 启用云审计服务追踪器的日志文件校验，验证日志文件转储后是否被修改、删除或未更改。 此表中的建议项编号对应OR-2中参考文档的章节编号，供您查阅参考。 表3 OR-2 运营恢复能力 建议项编号 建议项说明 合规规则 指导 4.2.2 应注意在不同的业务周期或受季节因素影响时，其运作能力有所不同。例如，较多首次公开发行股票时，交易系统会有较大压力。 as-group-elb-healthcheck-required 弹性负载均衡定期发送网络请求，以测试弹性伸缩组中的云服务器的运行状况。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 as-multiple-az 弹性伸缩在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 css-cluster-multiple-az-check 云搜索 服务在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 elb-multiple-az-check 弹性负载均衡在多可用区中部署，以帮助保持足够的容量和可用性。 6.1 应为管理所有可能影响维持关键运作的风险做好准备。 rds-instance-multi-az-support 云数据库在多可用区中部署，以帮助保持足够的容量和可用性。 6.2 业务操作风险管理的重点是防范及减少运作损失，有助认可机构维持运作稳健性。 kms-not-scheduled-for-deletion 确保KMS密钥未处于“计划删除”状态，防止被意外或恶意删除。 此表中的建议项编号对应TM-G-1中参考文档的章节编号，供您查阅参考。 表4 TM-G-1 科技风险管理总体原则 建议项编号 建议项说明 华为云合规规则 指导 3.1.4 应采用业内认可的加密解决方案及稳健的密钥管理手法，以保护有关的加密密钥。 kms-not-scheduled-for-deletion 帮助检查所有计划删除的密钥，以防计划删除是无意的。 3.1.4 应采用业内认可的加密解决方案及稳健的密钥管理手法，以保护有关的加密密钥。 kms-rotation-enabled 启用密钥轮换，确保密钥在加密周期结束后轮换。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 iam-password-policy 识别登录用户的密码强度符合要求。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 access-keys-rotated 定期更改访问密钥是安全最佳实践，它缩短了访问密钥的活动时间。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 iam-user-mfa-enabled 确保为所有用户启用多因素身份验证（MFA）。 3.2.2 较高风险的交易或活动应采用更严格的认证方法，通常应采取多因素认证机制对用户进行身份认证。 root-account-mfa-enabled 确保为root用户启用多因素身份验证（MFA）。 3.3.1 监控系统资源的使用，以侦测是否有异常或未经授权进行的活动。 cts-tracker-exists 启用云审计服务，可以记录华为云管理控制台操作和API调用。 3.3.1 监控系统资源的使用，以侦测是否有异常或未经授权进行的活动。 cts-lts-enable 使用云审计服务集中收集和管理日志事件活动。 3.3.2 应在安全管理职能上进行职责分离，或采取其他补偿措施，以减少未授权行为。 iam-role-has-all-permissions 确保IAM用户权限仅限于所需的操作，避免用户的权限违反最小权限和职责分离原则。 5.2.1 应制定适当的程序，以确保持续监控应用系统的性能，并及时地、全面地汇报异常情况。 alarm-action-enabled-check 确保 云监控服务 创建的告警规则未停用。 6.2.1 为防止不安全的网络连接，应制定及执行有关使用网络及网络服务的程序。 ecs-instance-no-public-ip 弹性云服务器可能包含敏感信息，需要限制其从公网访问。 6.2.1 为防止不安全的网络连接，应制定及执行有关使用网络及网络服务的程序。 function-graph-public-access-prohibited 函数工作流的函数不能公网访问，公网访问可能导致数据泄漏或资源可用性下降。

默认规则 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 stopped-ecs-date-diff 关机状态的ECS未进行任意操作的时间检查 ecs 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” eip-use-in-specified-days 弹性公网IP在指定天数内绑定到资源实例 vpc 创建的弹性公网IP在指定天数后仍未绑定到资源实例，视为“不合规” evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 创建的EVS在指定天数后仍未绑定到资源实例，视为“不合规” eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP未进行任何绑定，视为“不合规” iam-group-has-users-check IAM用户组添加了IAM用户 iam IAM用户组未添加任意IAM用户，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” volume-unused-check 云硬盘闲置检测 evs 云硬盘未挂载给任何云服务器，视为“不合规” vpc-acl-unused-check 未与子网关联的网络ACL vpc 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce CCE集群版本为停止维护的版本，视为“不合规”

适用于自动驾驶场景的合规实践 该示例模板中对应的合规规则的说明如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 规则描述 css-cluster-disk-encryption-check CSS集群开启磁盘加密 css CSS集群未开启磁盘加密，视为“不合规” css-cluster-https-required CSS集群启用HTTPS css CSS集群未启用https，视为“不合规” css-cluster-no-public-zone CSS集群不能公网访问 css CSS集群开启公网访问，视为“不合规” css-cluster-security-mode-enable CSS集群支持安全模式 css CSS集群不支持安全模式，视为“不合规” cts-kms-encrypted-check CTS 追踪器通过KMS进行加密 cts CTS追踪器未通过KMS进行加密，视为“不合规” cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” cts-support-validate-check CTS追踪器打开事件文件校验 cts CTS追踪器未打开事件文件校验，视为“不合规” cts-tracker-exists 创建并启用CTS追踪器 cts 账号未创建CTS追踪器，视为“不合规” dcs-redis-no-public-ip DCS Redis实例不存在弹性公网IP dcs DCS Redis资源存在弹性公网IP，视为“不合规” dcs-redis-password-access DCS Redis实例需要密码访问 dcs DCS Redis资源不需要密码访问，视为“不合规” ecs-instance-no-public-ip ECS资源不能公网访问 ecs ECS资源具有弹性公网IP，视为“不合规” elb-loadbalancers-no-public-ip ELB资源不具有弹性公网IP elb ELB资源具有弹性公网IP，视为“不合规” elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” iam-password-policy IAM用户密码策略符合要求 iam IAM用户密码强度不满足密码强度要求，视为“不合规” iam-user-last-login-check IAM用户在指定时间内有登录行为 iam IAM用户在指定时间范围内无登录行为，视为“不合规” iam-user-mfa-enabled IAM用户开启MFA iam IAM用户未开启MFA认证，视为“不合规” rds-instance-no-public-ip RDS实例不具有弹性公网IP rds RDS资源具有弹性公网IP，视为“不合规” root-account-mfa-enabled 根账号开启MFA认证 iam 根账号未开启MFA认证，视为“不合规” volumes-encrypted-check 已挂载的云硬盘开启加密 ecs，evs 已挂载的云硬盘未进行加密，视为“不合规” vpc-flow-logs-enabled VPC启用流日志 vpc 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” vpc-sg-ports-check 安全组端口检查 vpc 当安全组入方向源地址设置为0.0.0.0/0，且开放了所有的TCP/UDP端口时，视为“不合规” 父主题： 合规规则包示例模板

资源快照存储完成的 消息通知 模型 表1 资源快照存储完成的消息通知模型 参数 参数类型 描述 notification_type String 消息通知类型。此处的消息通知类型为“SnapshotArchiveCompleted”。 notification_creation_time String 消息发送时间。 具有固定格式：遵循ISO8601格式，UTC时区（例如：2018-11-14T08:59:14Z）。 domain_id String 账号ID。 detail Object 消息详情。 表2 detail 参数 参数类型 描述 snapshot_id String 资源快照ID。 region_id String 资源快照所在区域ID。 bucket_name String 资源快照所在OBS桶名。 object_keys Array of String 资源快照存储的OBS桶内对象的路径。

资源快照存储完成的消息通知示例 { "detail": { "snapshot_id": "474f85e6-72cd-442b-af4e-517120a5c669", "region_id": "regionid1a", "bucket_name": "test", "object_keys": [ " RMS Logs/059b5c937100d3e40ff0c00a7675a0a0/Snapshot/2020/8/11/059b5c937100d3e40ff0c00a7675a0a0_Snapshot_regionid1a_ResourceSnapshot_2020-08-10T170901_474f85e6-72cd-442b-af4e-517120a5c669_part-1.json.gz" ] }, "notification_type": "SnapshotArchiveCompleted", "notification_creation_time": "2020-08-10T17:09:27.314Z", "domain_id": "059b5c937100d3e40ff0c00a7675a0a0"}

规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-blacklisted-actions-prohibited 规则展示名 OBS桶策略中不授权禁止的Action 规则描述 OBS桶策略中授权任意禁止的Action给外部身份，视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 blockedActionsPatterns：禁止的action列表。

规则详情 表1 规则详情 参数 说明 规则名称 rds-instance-engine-version-check 规则展示名 RDS实例数据库引擎版本检查 规则描述 RDS实例数据库引擎的版本低于指定版本，视为“不合规”。 标签 rds 规则触发方式 配置变更 规则评估的资源类型 rds.instances 规则参数 mysqlVersion：MySQL类型的数据库引擎指定的版本，建议按照对应版本号格式指定，例如8.0.28。 postgresqlVersion：PostgreSQL类型的数据库引擎指定的版本，建议按照对应版本号格式指定，例如10.16。 mariadbVersion：MariaDB类型的数据库引擎指定的版本，建议按照对应版本号格式指定，例如10.5。 sqlserverVersion：SQLServer类型的数据库引擎指定的版本，建议按照对应版本号格式指定，例如2017。

规则详情 表1 规则详情 参数 说明 规则名称 alarm-resource-check 规则展示名 指定的资源类型绑定指定指标 CES 告警 规则描述 指定的资源类型没有绑定指定指标的CES告警，视为“不合规”。 标签 ces 规则触发方式 周期触发 规则评估的资源类型 account 规则参数 provider：云服务名称，字符串类型。 resourceType：资源类型，字符串类型。 metricName：监控指标名称，字符串类型。

检测逻辑 IAM用户为“停用”状态，视为“合规”。 IAM用户为“启用”状态，且规则参数为空列表，若IAM用户属于任意一个IAM用户组，视为“合规”。 IAM用户为“启用”状态，且规则参数为空列表，若IAM用户不属于任意一个IAM用户组，视为“不合规”。 IAM用户为“启用”状态，且规则参数非空列表，若IAM用户属于任意一个指定的IAM用户组，视为“合规”。 IAM用户为“启用”状态，且规则参数非空列表，若IAM用户不属于任意一个指定视为IAM用户组，视为“不合规”。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-volume-specs 规则展示名 云硬盘的类型在指定的范围内 规则描述 指定允许的云硬盘类型列表，云硬盘的类型不在指定的范围内，视为“不合规”。 标签 evs 规则触发方式 配置变更 规则评估的资源类型 evs.volumes 规则参数 listOfAllowedSpecs：允许的云硬盘类型列表，数组类型，最多包含10个元素。字段可选值查询EVS文档获取，例如：SATA、SSD、SAS。

规则详情 表1 规则详情 参数 说明 规则名称 iam-user-group-membership-check 规则展示名 IAM用户归属指定用户组 规则描述 IAM用户不属于指定IAM用户组，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 groupIds：指定的用户组ID列表，如果列表为空，表示允许所有值；数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 pca-algorithm-check 规则展示名 私有证书管理服务算法检查 规则描述 私有证书管理服务使用了禁止的密钥算法或签名哈希算法，视为“不合规”。 标签 pca 规则触发方式 配置变更 规则评估的资源类型 pca.ca、pca.cert 规则参数 blockedKeyAlgorithm：禁止使用的密钥算法列表，数组类型，如 ["SM2", "RSA2048", "EC256"]。 blockedSignatureAlgorithm：禁止使用的签名算法，数组类型，如 ["SHA256"]。

规则详情 表1 规则详情 参数 说明 规则名称 dds-instance-engine-version-check 规则展示名 DDS实例数据库版本检查 规则描述 DDS实例数据库的版本低于指定版本，视为“不合规”。 标签 dds 规则触发方式 配置变更 规则评估的资源类型 dds.instances 规则参数 specifiedVersion：数据库指定的版本，建议按照对应版本号格式指定，例如4.2。

规则详情 表1 规则详情 参数 说明 规则名称 function-graph-settings-check 规则展示名 检查函数工作流参数设置 规则描述 函数工作流的运行时、超时时间、内存限制不在指定范围内，视为“不合规”。 标签 fgs 规则触发方式 配置变更 规则评估的资源类型 fgs.functions 规则参数 runtimeList：允许的运行时列表，当前支持的运行时请参见函数管理，例如“Python3.6”。 timout：执行超时时间，单位为秒。 memorySize：函数实例内存规格限制，单位为MB。

规则详情 表1 规则详情 参数 说明 规则名称 allowed-cce-flavors 规则展示名 CCE集群规格在指定的范围 规则描述 CCE集群的规格不在指定的范围内，视为“不合规”。 标签 cce 规则触发方式 配置变更 规则评估的资源类型 cce.clusters 规则参数 listOfAllowedFlavors：指定的CCE规格列表，枚举值请参见flavor字段当前所支持的值，例如“cce.s1.small”。

规则详情 表1 规则详情 参数 说明 规则名称 obs-bucket-policy-not-more-permissive 规则展示名 OBS桶策略授权约束 规则描述 OBS桶策略授权了控制策略以外的访问行为，视为“不合规”。 标签 obs、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 obs.buckets 规则参数 controlPolicy：允许的访问边界策略。 说明： 规则参数示例1：桶策略只授权对象的操作权限，不授权桶的操作权限。 {"Statement": [{"Action": ["*Object*"], "Resource": ["*/*"], "Effect": "Allow", "Principal": {"ID": ["*"]}}]} 规则参数示例2：桶策略只授权华为云账号的身份，不授权联合身份用户或匿名用户。 {"Statement": [{"Action": ["*"], "Resource": ["*"], "Effect": "Allow", "Principal": {"ID": ["domain/*"]}}]}

操作步骤 以组织管理员账号或者Config服务的委托管理员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击“添加规则”，进入“基础配置”页面，基础配置完成后，单击“下一步”。 图1 基础配置 表1 基础配置参数说明 参数 说明 策略类型 选择“预设策略”。 预设策略即服务已开发的策略，在下方的预设策略列表中直接选择所需预设策略，快速完成规则创建。支持输入策略名称或标签进行搜索。 预设策略详情见系统内置预设策略。 规则名称 规则名称默认复用所选择预设策略的名称，不能与已存在的合规规则名称重复，如有重复需自行修改。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 规则简介默认复用所选择预设策略的简介，也可自行修改。 目前对合规规则简介的内容不做限制。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图2 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”选择“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 此处的“规则参数”和第一步所选的“预设策略”相对应，是对第一步所选的预设策略进行具体参数设置。 例如：第一步预设策略选择“资源具有指定的标签”，指定一个标签，不具有此标签的资源，视为“不合规”，则这里的规则参数就需要指定具体的标签键和值作为判断是否合规的依据。 有的“预设策略”需要添加规则参数，有的“预设策略”不需要添加规则参数。例如：已挂载的云硬盘开启加密（volumes-encrypted-check）。 目标 目标决定了此组织合规规则配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID，使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成预定义组织合规规则的创建。 图3 确认规则 合规规则创建后会立即自动触发首次评估。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织内账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 组织合规规则仅会下发至账号状态为“正常”的组织成员账号中，且组织成员账号需开启资源记录器，否则将导致部署异常。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

操作场景 在使用资源合规时，如果您是组织管理员或Config服务的委托管理员，您可以添加组织类型的资源合规规则，直接作用于您组织内账号状态为“正常”的成员账号中。 当组织资源合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则。且该组织合规规则的修改和删除操作只能由创建规则的组织账号进行，组织内的其他账号只能触发规则评估和查看规则评估结果以及详情。 您可以选择Config提供的系统内置预设策略或者自定义策略来创建组织类型的资源合规规则，本章节指导您如何使用系统内置的预设策略来快速添加组织合规规则。

组织合规规则的部署状态 表1 组织合规规则的部署状态 取值 状态 状态说明 CREATE_IN_PROGRESS 部署中 正在创建组织合规规则。 UPDATE_IN_PROGRESS 更新中 正在更新组织合规规则。 DELETE_IN_PROGRESS 删除中 正在删除组织合规规则。 CREATE_FAILED 部署异常 组织合规规则在该组织内的一个或多个成员账号中创建失败。 UPDATE_FAILED 更新失败 组织合规规则在该组织内的一个或多个成员账号中更新失败。 DELETE_FAILED 删除异常 组织合规规则在该组织内的一个或多个成员账号中删除失败。 CREATE_SUCCESSFUL 已部署 组织合规规则在该组织内的所有成员账号中创建成功。 UPDATE_SUCCESSFUL 更新成功 组织合规规则在该组织内的所有成员账号中更新成功。

查看部署至成员账号中的组织合规规则 当组织资源合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则。且该组织合规规则的修改和删除操作只能由创建规则的组织账号进行，组织内的其他账号只能触发规则评估和查看规则评估结果以及详情。 以组织成员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下，单击合规规则列表中的某个具体组织合规规则名称，进入“规则详情页”。 页面左侧为合规规则评估结果，页面左侧为合规规则详情。 图2 查看部署至成员账号中的组织合规规则 当组织合规规则部署成功后，会在组织内成员账号的规则列表中显示此组织合规规则，系统将自动在此规则名称前添加“Org-”字段用于标识。 组织内的成员账号只能触发此规则的评估和查看规则评估结果以及详情，不支持修改、停用和删除规则的操作。

由周期执行触发的评估的示例事件 Config以您指定的频率（如每24小时）评估您的账号时，它会发布一个事件。 下面的示例事件演示自定义组织合规规则被周期执行所触发。 { "domain_id": "domain_id", "policy_assignment_id": "637c6b2e6b647c4d313d9719", "policy_assignment_name": "period-policy-assignment", "function_urn": "urn:fss:region_1:123456789:function:default:test-custom-policyassignment:latest", "trigger_type": "period", "evaluation_time": 1669098286719, "evaluation_hash": "3bf8ecaeb0864feb98639080aea5c7d9", "rule_parameter": {}, "invoking_event": { "id": "domain_id", "name": "Account", "provider": null, "type": null, "tags": null, "created": null, "updated": null, "properties": null, "ep_id": null, "project_id": null, "region_id": "global", "provisioning_state": null } }

查看组织合规规则 组织合规规则添加完成后，您可以查看该组织合规规则的详情。 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击规则列表下的具体规则名。 图1 查看组织合规规则 进入“规则详情页”，页面左侧显示此组织合规规则部署的成员账号列表及其相关信息和排除账号列表，页面右侧显示合规规则详情。 创建组织合规规则的组织账号只能看到自己添加的组织合规规则，无法看到组织内其他账号添加的组织合规规则。

由配置变更触发的评估的示例事件 当触发规则时，Config服务会发送一个事件来调用该自定义组织合规规则的自定义策略的函数。 下面的事件演示自定义组织合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id", "policy_assignment_id": "637c6b2e6b647c4d313d9719", "policy_assignment_name": "period-policy-period", "function_urn": "urn:fss:region_1:123456789:function:default:test-custom-policyassignment:latest", "trigger_type": "resource", "evaluation_time": 1669098286719, "evaluation_hash": "3bf8ecaeb0864feb98639080aea5c7d9", "rule_parameter": { "vpcId": { "value": "fake_id" } }, "invoking_event": { "id": "5e0d49c8-7ce0-4c31-9d92-28b05200b838", "name": "default", "provider": "vpc", "type": "securityGroups", "tags": {}, "created": "2022-11-07T12:58:46.000+00:00", "updated": "2022-11-07T12:58:46.000+00:00", "properties": { "description": "Default security group", "security_group_rules": [ { "remote_group_id": "5e0d49c8-7ce0-4c31-9d92-28b05200b838", "ethertype": "IPv6", "security_group_id": "5e0d49c8-7ce0-4c31-9d92-28b05200b838", "port_range_max": 0, "id": "19f581bc-08a7-4037-ae59-9a6838c43709", "direction": "ingress", "port_range_min": 0 }, { "ethertype": "IPv6", "security_group_id": "5e0d49c8-7ce0-4c31-9d92-28b05200b838", "port_range_max": 0, "id": "75dae7b6-0b71-496f-8f11-87fb30300e18", "direction": "egress", "port_range_min": 0 } ] }, "ep_id": "0", "project_id": "vpc", "region_id": "region_1", "provisioning_state": "Succeeded" } }

操作场景 当合规规则的修正方法选择“手动修正”时，则您必须手动对不合规资源执行修正。 当合规规则的修正方法选择“自动修正”时，您后续也可以根据需要随时手动对不合规资源执行修正。 不合规资源的修正状态分为： 排队中：表示此不合规资源的修正操作正在排队中。 修正中：表示此不合规资源正在执行修正中。 修正成功：表示此不合规资源修正成功。 修正失败：表示此不合规资源修正失败，您可以在界面中查看修正失败的原因。