华为云用户手册

检测逻辑 当安全组的入站流量未放通参数指定端口的所有IPv4地址(0.0.0.0/0)和所有IPv6地址(::/0)，视为“合规”。 当安全组的入站流量放通参数指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规”。 安全组内一般包含多个安全组规则，流量匹配时生效机制复杂，见流量匹配安全组规则的顺序。Config进行分析时会忽略策略为“拒绝”的安全组规则，而只关心您可能放通了哪些流量。

规则详情 表1 规则详情 参数 说明 规则名称 vpc-sg-restricted-common-ports 规则展示名 安全组入站流量限制指定端口 规则描述 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0)，视为“不合规”。 标签 vpc 规则触发方式 配置变更 规则评估的资源类型 vpc.securityGroups 规则参数 blockedPorts：需要限制的端口列表，数组类型，默认值为（20，21，3306，3389）。 20：文件传输协议-数据端口。 21：文件传输协议-控制端口。 3306：mysql端口。 3389：远程桌面协定端口。

检测逻辑 IAM 用户为“停用”状态，视为“合规”。 IAM用户为“启用”状态，且规则参数为空列表，若IAM用户属于任意一个IAM用户组，视为“合规”。 IAM用户为“启用”状态，且规则参数为空列表，若IAM用户不属于任意一个IAM用户组，视为“不合规”。 IAM用户为“启用”状态，且规则参数非空列表，若IAM用户属于任意一个指定的IAM用户组，视为“合规”。 IAM用户为“启用”状态，且规则参数非空列表，若IAM用户不属于任意一个指定视为IAM用户组，视为“不合规”。

规则详情 表1 规则详情 参数 说明 规则名称 iam-user-group-membership-check 规则展示名 IAM用户归属指定用户组 规则描述 IAM用户不属于指定IAM用户组，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 groupIds：指定的用户组ID列表，如果列表为空，表示允许所有值；数组类型，最多包含10个元素。

规则详情 表1 规则详情 参数 说明 规则名称 iam-policy-no-statements-with-admin-access 规则展示名 IAM策略不具备Admin权限 规则描述 IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*)，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 无

规则详情 表1 规则详情 参数 说明 规则名称 iam-policy-blacklisted-check 规则展示名 IAM策略黑名单检查 规则描述 IAM的用户、用户组、委托使用指定权限或策略，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users、iam.groups、iam.agencies 规则参数 blackListPolicyUrns：IAM权限或IAM策略的名称列表，不支持系统策略。

规则详情 表1 规则详情 参数 说明 规则名称 iam-password-policy 规则展示名 IAM用户密码策略符合要求 规则描述 IAM用户密码强度不满足密码强度要求，视为“不合规”。 标签 iam 规则触发方式 配置变更 规则评估的资源类型 iam.users 规则参数 pwdStrength：密码强度要求，参数允许值为枚举值Strong/Medium/Low，默认值为Strong。 说明： 各密码强度的详细说明如下： Strong（高）：至少包含大写字母、小写字母、数字、特殊字符和空格中的四种或三种字符类型，且长度在8到32之间。 Medium（中）：至少包含大写字母、小写字母、数字、特殊字符和空格中的两种字符类型，且长度在8到32之间。 Low（低）：至少包含大写字母、小写字母、数字、特殊字符和空格中的一种字符类型，且长度在8到32之间。

规则详情 表1 规则详情 参数 说明 规则名称 iam-customer-policy-blocked-kms-actions 规则展示名 IAM策略中不授权KMS的禁止的action 规则描述 IAM策略中授权KMS的任一阻拦action，视为“不合规”。 标签 iam、access-analyzer-verified 规则触发方式 配置变更 规则评估的资源类型 iam.roles、iam.policies 规则参数 blockedActionsPatterns：KMS的阻拦action列表，数组类型。

应用场景 实时迁移是指在 数据复制服务 能够同时连通源数据库和目标数据库的情况下，只需要配置迁移的源、目标数据库实例及迁移对象即可完成整个数据迁移过程，再通过多项指标和数据的对比分析，帮助确定合适的业务割接时机，实现最小化业务中断的数据库迁移。详见迁移方案概览。 尽量不使用EIP网络，采用VPN等安全网络进行数据传输，通过防火墙、安全组、ACL规则等网络配置，减少攻击面，提升数据同步网络的安全性。 详见安全最佳实践。

约束与限制 每个账号最多可以添加500个合规规则（包括由组织合规规则和合规规则包创建的托管规则）。 添加、修改、启用合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，合规规则仅支持查看、停用和删除操作。 托管合规规则不支持进行修改、停用、启用、删除操作，托管合规规则是由组织合规规则或合规规则包创建的，由组织合规规则创建的托管规则只能由创建规则的组织账号进行修改和删除操作，由合规规则包创建的托管规则可以通过更新合规规则包进行参数修改，且只能通过删除相应合规规则包来进行删除。具体请参见组织合规规则和合规规则包。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织内账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 组织合规规则仅会下发至账号状态为“正常”的组织成员账号中，且组织成员账号需开启资源记录器，否则将导致部署异常。 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 基于 RFS 服务私有模板执行修正的场景下，对应区域的资源栈应至少预留5个配额，否则执行修正可能会因配额不足导致失败。 一个合规规则上只能创建一个修正配置。 当合规规则存在修正配置，则必须删除修正配置并且停用规则后，才可删除此合规规则。 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源，基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

概述 资源合规特性帮助您快速创建一组合规规则，用于评估您的资源是否满足合规要求。您可以选择Config提供的系统内置预设策略或自定义策略，并指定需要评估的资源范围来创建一个合规规则；合规规则创建后，有多种机制触发规则评估，然后查看合规规则的评估结果来了解资源的合规情况。 在使用资源合规时，如果您是组织管理员或Config服务的委托管理员，您还可以添加组织类型的资源合规规则，直接作用于您组织内账号状态为“正常”的所有成员账号中。 针对合规规则评估出的不合规资源，合规修正功能可以帮助您设置基于合规规则的修正配置，通过关联RFS服务的私有模板或FunctionGraph服务的函数实例，按照您自定义的修正逻辑对不合规资源进行快速修正，确保您的云上资源持续合规。

基于FunctionGraph函数执行修正 使用预设策略“VPC启用流日志（vpc-flow-logs-enabled）”添加预定义合规规则。 由于当前账号存在未开启流日志的VPC资源，该合规规则的合规评估结果为“不合规”。 图5 合规评估结果 创建FunctionGraph函数，并填入以下函数代码。 该函数代码表示为指定的VPC资源开启流日志。 使用以下函数示例时，您需要手动添加依赖包huaweicloudsdkvpc，该依赖包并非在所有区域都可选，如果依赖包缺失，则需要手动导入依赖包，详见配置依赖包。 # -*- coding:utf-8 -*- import time import requests import random, string import http.client from huaweicloudsdkcore.exceptions.exceptions import ConnectionException from huaweicloudsdkcore.exceptions.exceptions import RequestTimeoutException from huaweicloudsdkcore.exceptions.exceptions import ServiceResponseException from huaweicloudsdkvpc.v2.region.vpc_region import VpcRegion from huaweicloudsdkvpc.v2.vpc_client import VpcClient from huaweicloudsdkvpc.v2.model import CreateFlowLogReq from huaweicloudsdkvpc.v2.model import CreateFlowLogReqBody from huaweicloudsdkvpc.v2.model import CreateFlowLogRequest from huaweicloudsdkcore.auth.credentials import BasicCredentials requests.packages.urllib3.disable_warnings() def get_random_string(length=6): letters_and_digits = string.ascii_letters + string.digits return ''.join(random.choice(letters_and_digits) for _ in range(length)) def createFlowLog(context, project_id, request): auth = BasicCredentials(ak=context.getAccessKey(), sk=context.getSecretKey())\ .with_project_id(project_id) client = VpcClient.new_builder() \ .with_credentials(credentials=auth) \ .with_region(region=VpcRegion.value_of(region_id="cn-north-4")) \ .build() try: response = client.create_flow_log(request) return 200 except ConnectionException as e: print("A connect timeout exception occurs while the vpc performs some operations, exception: ", e.error_msg) return e.status_code except RequestTimeoutException as e: print("A request timeout exception occurs while the vpc performs some operations, exception: ", e.error_msg) return e.status_code except ServiceResponseException as e: print("There is service error, exception: ", e.status_code, e.error_msg) return e.status_code def handler(event, context): project_id = event.get("project_id") request_body = CreateFlowLogRequest(CreateFlowLogReqBody( CreateFlowLogReq( name="auto" + get_random_string(4), description="to remediate vpc", resource_type="vpc", resource_id=event.get("noncompliant_resource_id", {}), traffic_type="all", log_group_id=event.get("log_group_id", {}), log_topic_id=event.get("log_topic_id", {}), index_enabled=False ) )) for retry in range(5): status_code = createFlowLog(context, project_id, request_body) if status_code == http.client.TOO_MANY_REQUESTS: time.sleep(1) else: break 创建该合规规则的修正配置，具体如下图所示。 部分示例参数的说明： 修正方法选择“自动修正”。 修正模板选择上一步中创建的FunctionGraph函数。 配置资源ID参数，Config会将该参数赋值为不合规资源的ID。在当前场景下“noncompliant_resource_id”将会被赋值为不合规资源的ID，FunctionGraph函数中使用resource_id=event.get("noncompliant_resource_id", {})语句获取不合规资源ID，每个不合规资源均会传递一次资源ID。 参数，指定您期望由Config传递给FunctionGraph函数的静态参数，该参数为不合规资源修正的具体规则参数值。例如在当前场景下此处配置日志组的ID（键：log_group_id；值：具体日志组ID值），在FGS函数中使用log_group_id=event.get("log_group_id", {})语句获取日志组ID，执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。 当前示例中的参数说明如下： project_id：项目ID，如何获取请参见获取项目ID。 log_group_id：日志组ID，如何获取请参见管理日志组。 log_topic_id：日志流ID，如何获取请参见管理日志流。 图6 创建修正配置 修正配置创建完成后，重新触发规则评估。 当该合规规则评估完成且合规评估结果仍然为不合规时，Config将自动执行修正，调用FunctionGraph函数为每个不合规的VPC资源创建流日志。 如下图所示，不合规的VPC资源在修正成功后已全部创建流日志。 图7 VPC资源已创建流日志

基于RFS私有模板执行修正 使用预设策略“创建并启用 CTS 追踪器（cts-tracker-exists）”添加预定义合规规则。 由于当前账号的CTS追踪器已停用，该合规规则的合规评估结果为“不合规”。 图1 CTS追踪器已停用 图2 合规评估结果 创建RFS私有模板，并填入以下模板内容。 该模板内容表示开启已关闭的CTS追踪器。 { "resource": { "huaweicloud_cts_tracker": { "tracker": { "bucket_name": "${var.bucket_name}", "file_prefix": "${var.file_prefix}", "lts_enabled": "true" } } }, "variable": { "bucket_name": { "description": "Specifies the OBS bucket to which traces will be transferred.", "type": "string", "default": "" }, "file_prefix": { "description": "Specifies the file name prefix to mark trace files that need to be stored in an OBS bucket. The value contains 0 to 64 characters. Only letters, numbers, hyphens (-), underscores (_), and periods (.) are allowed.", "type": "string", "default": "" } }, "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.58.0" } } } } 创建该合规规则的修正配置，具体如下图所示。 部分示例参数的说明： 修正方法选择“自动修正”。 修正模板选择上一步中创建的RFS私有模板，当修正方法选择“自动修正”时还需指定IAM权限委托，例如当前场景下RFS私有模板将创建CTS追踪器，则该委托的授权云服务为RFS，委托权限为创建CTS追踪器的权限（例如CTS FullAccess）。如何创建委托请参见委托其他云服务管理资源。 配置资源ID参数，Config会将该参数赋值为不合规资源的ID。在当前场景下“file_prefix”将会被赋值为账号ID，该值会传递给RFS服务用于创建资源栈执行RF语句。 参数，指定您期望由Config传递给RFS私有模板的静态参数，Config会将这些参数原样传递给RFS服务用于创建资源栈执行RF语句。 图3 创建修正配置 修正配置创建完成后，重新触发规则评估。 当该合规规则评估完成且合规评估结果仍然为不合规时，Config将自动执行修正，调用RFS私有模板为当前账号开启CTS追踪器。 如下图所示，不合规资源自动修正成功，当前账号的CTS追踪器已启用。 图4 CTS追踪器已启用

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的合规规则列表中，单击已创建修正配置的合规规则的规则名称，进入规则详情页。 在左上方选择“修正管理”页签。 在页面右上方单击“删除”。 在弹出的确认框中，单击“确定”，修正配置删除成功。 图1 删除修正配置

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的合规规则列表中，单击已创建修正配置的合规规则的规则名称，进入规则详情页。 在左上方选择“修正管理”页签。 在页面右上方单击“编辑修正配置”，进入修正配置页面编辑相关参数。 图1 编辑修正配置 编辑完成后，单击页面右下角的“保存”。

删除修正例外 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的合规规则列表中，单击已创建修正配置的合规规则的规则名称，进入规则详情页。 在左上方选择“修正管理”页签。 在页面下方选择“修正例外”页签，列表中显示已加入修正例外的资源信息。 在列表中勾选一个或多个不合规资源，单击列表上方的“删除”。 在弹出的确认框中，单击“确定”，所选不合规资源将从修正例外中删除。 图2 删除修正例外

操作场景 当不合规资源被添加至修正例外后，后续再执行合规修正时将不会对此资源进行修正。 将不合规资源添加至修正例外包含如下两种方式： 自动添加：当不合规资源的修正次数超出您设置的修正重试规则，也就是在规定的重试时间内资源执行修正的次数超出重试次数后，该资源将会被自动添加至修正例外。通过此方式被自动添加至修正例外的资源没有配额限制。 手动添加：您可以随时手动将不合规资源批量添加至修正例外。单个合规规则的修正配置最多支持用户手动添加100个修正例外资源。 通过以上两种方式添加至修正例外的不合规资源，您可以随时手动批量将其从修正例外中删除，使其可以继续被执行修正。 本章节包含如下内容： 手动添加修正例外 删除修正例外

手动添加修正例外 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的合规规则列表中，单击已创建修正配置的合规规则的规则名称，进入规则详情页。 在左上方选择“修正管理”页签。 在页面下方的“资源范围”列表中，选择一个或者多个不合规资源，然后单击列表上方的“加入修正例外”。 在弹出的确认框中，单击“确定”，所选不合规资源加入修正例外成功。 图1 加入修正例外 选择“修正例外”页签，列表中显示已加入修正例外的资源信息。

指定不合规资源执行修正 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的合规规则列表中，单击已创建修正配置的合规规则的规则名称，进入规则详情页。 在“资源范围”列表中，您可以选择一个或者多个不合规资源，然后单击列表上方的“执行修正”。 在弹出的确认框中，单击“确定”，基于所选不合规资源的修正执行下方成功。 图3 执行修正 在“资源范围”列表中可查看所选不合规资源的修正信息。 您可以单击列表右上方的刷新按钮刷新不合规资源的修正状态。 图4 查看修正结果

操作场景 当合规规则的修正方法选择“手动修正”时，则您必须手动对不合规资源执行修正。 当合规规则的修正方法选择“自动修正”时，您后续也可以根据需要随时手动对不合规资源执行修正。 不合规资源的修正状态分为： 排队中：表示此不合规资源的修正操作正在排队中。 修正中：表示此不合规资源正在执行修正中。 修正成功：表示此不合规资源修正成功。 修正失败：表示此不合规资源修正失败，您可以在界面中查看修正失败的原因。

操作场景 当您通过系统预设策略或自定义策略创建合规规则后，您可以为合规规则创建修正配置，按照您自定义的修正逻辑对规则检测出的不合规资源进行快速修正。 合规规则的修正配置功能基于RFS服务的私有模板或FunctionGraph的函数进行资源修正，因此您需要预先创建RFS服务的私有模板或FunctionGraph的函数。本章节包含如下内容： 创建RFS私有模板 创建FunctionGraph函数 创建修正配置

创建修正配置 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 在“规则”页签下的合规规则列表中，单击合规规则的规则名称，进入规则详情页。 图2 进入规则详情页 在左上方选择“修正管理”页签。 单击界面中部或右上方的“修正配置”按钮，进入修正配置信息页面。 图3 创建修正配置 选择修正方法。 自动修正：当合规规则评估出不合规资源后，将自动对不合规资源执行修正操作。 手动修正：由用户手动选择执行不合规资源的修正操作。具体请参见手动执行修正。 由于自动修正会根据您的预设参数自动修改不合规资源的配置信息，可能会影响业务的连续性，因此推荐您使用手动修正方式。 当您确保本次修正不会对业务造成影响时，可以选择修正方法为自动修正，当合规规则检测到不合规资源时，会自动执行修正。 配置修正执行的重试时间和重试次数。 当不合规资源在执行修正后仍不合规时，“自动修正”方式会循环执行修正，或您自行多次手动执行修正，这将可能产生不必要的费用和影响业务连续性。 为避免循环执行修正产生的影响，您必须设置修正执行的重试时间和重试次数，Config会检测单个资源在该重试时间内执行的修正次数，若达到设置的重试次数，该资源会自动被设置为修正例外，后续执行规则修正时将不会再对此资源进行修正。 重试时间默认为3600秒，输入值需在60到43200之间。 重试次数默认为5次，输入值需在1到25之间。 选择修正模板。 RFS模板：选择 资源编排 服务（RFS）的私有模板作为修正操作的模板，模板中定义不合规资源的具体修正逻辑。 IAM权限委托：当选择RFS模板且修正方法为“自动修正”时需指定IAM权限委托，该委托为云服务委托，用于授予RFS服务部署资源栈执行资源配置修改时所需的权限，授权的云服务为RFS，委托权限为RFS模板中调用其他服务所需的权限，如何创建委托请参见委托其他云服务管理资源。若委托的权限不足或配置错误，会导致修正失败，您可以自行创建资源栈验证委托可用性，具体请参见创建资源栈。 FGS模板：选择 函数工作流 （FunctionGraph）的函数实例作为修正操作的模板，函数中定义不合规资源的具体修正逻辑。 图4 修正配置信息 配置资源ID参数。 资源ID参数：指定不合规资源ID的变量名，需要与修正模板中定义的获取资源ID的变量名一致。执行修正时Config会将该变量赋值为要修正的不合规资源的具体ID值，并将其传递给修正模板获取资源ID。例如在FGS函数中使用resource_id=event.get("noncompliant_resource_id", {})语句获取不合规资源ID，则此处的资源ID参数也需配置为“noncompliant_resource_id”，执行修正时不合规资源的ID将通过变量“noncompliant_resource_id”传递给FSG函数，每个不合规资源均会传递一次资源ID用于修正模板执行修正。 参数：指定您期望由Config传递给修正模板的静态参数，最多可以添加50个参数。该参数为不合规资源修正的具体规则参数值，例如执行修正为不合规的VPC资源创建流日志时，在FGS函数中使用log_group_id=event.get("log_group_id", {})语句获取日志组ID，则此处参数配置日志组的ID（键：log_group_id；值：具体日志组ID值），执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。 图5 资源ID参数 配置完成后，单击页面右下角的“保存”。 当合规规则的修正方式选择“自动修正”时，您必须重新触发规则评估以更新评估结果，然后才会自动对不合规资源执行修正。

约束与限制 当前仅用户自行创建的预定义或自定义合规规则支持修正配置，通过组织合规规则或合规规则包创建的托管合规规则不支持修正配置。 基于RFS服务私有模板执行修正的场景下，对应区域的资源栈应至少预留5个配额，否则执行修正可能会因配额不足导致失败。 一个合规规则上只能创建一个修正配置。 当合规规则存在修正配置，则必须删除修正配置并且停用规则后，才可删除此合规规则。 单个合规规则的修正配置最多支持用户手动添加100个修正例外资源，基于设置的修正重试规则被自动添加至修正例外的资源没有配额限制。 由于资源变更数据同步到Config存在延迟，因此通过合规修正功能将不合规资源修正后，立即重新触发规则评估，不合规资源的合规评估结果可能依然为不合规。对于已开启资源记录器且在监控范围内的资源，Config会在24小时内校正资源数据，也就是说最多24小时后触发规则评估，才会将已修正资源的合规评估结果更新为合规。 当合规规则执行修正后，不合规资源的修正状态为“修正成功”，则表示此资源已经成功触发RFS服务私有模板或FunctionGraph函数的修正执行，您可以前往该资源对应服务的控制台，查看资源是否已按照预期修正成功。

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“不合规资源”页签，列表中展示当前账号下全部的不合规资源信息。 单击列表中某一资源的名称，界面展示该资源的概览信息。 在列表上方，支持通过多种条件对不合规资源进行检索，还支持导出全部不合规资源数据。 图1 查看不合规资源

由周期执行触发的评估的示例事件 Config以您指定的频率（如每24小时）评估您的账号时，它会发布一个事件。 下面的示例事件演示自定义组织合规规则被周期执行所触发。 { "domain_id": "domain_id", "policy_assignment_id": "637c6b2e6b647c4d313d9719", "policy_assignment_name": "period-policy-assignment", "function_urn": "urn:fss:region_1:123456789:function:default:test-custom-policyassignment:latest", "trigger_type": "period", "evaluation_time": 1669098286719, "evaluation_hash": "3bf8ecaeb0864feb98639080aea5c7d9", "rule_parameter": {}, "invoking_event": { "id": "domain_id", "name": "Account", "provider": null, "type": null, "tags": null, "created": null, "updated": null, "properties": null, "ep_id": null, "project_id": null, "region_id": "global", "provisioning_state": null } }

由配置变更触发的评估的示例事件 当触发规则时，Config服务会发送一个事件来调用该自定义组织合规规则的自定义策略的函数。 下面的事件演示自定义组织合规规则被某个ecs.cloudservers的配置变更所触发。 { "domain_id": "domain_id", "policy_assignment_id": "637c6b2e6b647c4d313d9719", "policy_assignment_name": "period-policy-period", "function_urn": "urn:fss:region_1:123456789:function:default:test-custom-policyassignment:latest", "trigger_type": "resource", "evaluation_time": 1669098286719, "evaluation_hash": "3bf8ecaeb0864feb98639080aea5c7d9", "rule_parameter": { "vpcId": { "value": "fake_id" } }, "invoking_event": { "id": "5e0d49c8-7ce0-4c31-9d92-28b05200b838", "name": "default", "provider": "vpc", "type": "securityGroups", "tags": {}, "created": "2022-11-07T12:58:46.000+00:00", "updated": "2022-11-07T12:58:46.000+00:00", "properties": { "description": "Default security group", "security_group_rules": [ { "remote_group_id": "5e0d49c8-7ce0-4c31-9d92-28b05200b838", "ethertype": "IPv6", "security_group_id": "5e0d49c8-7ce0-4c31-9d92-28b05200b838", "port_range_max": 0, "id": "19f581bc-08a7-4037-ae59-9a6838c43709", "direction": "ingress", "port_range_min": 0 }, { "ethertype": "IPv6", "security_group_id": "5e0d49c8-7ce0-4c31-9d92-28b05200b838", "port_range_max": 0, "id": "75dae7b6-0b71-496f-8f11-87fb30300e18", "direction": "egress", "port_range_min": 0 } ] }, "ep_id": "0", "project_id": "vpc", "region_id": "region_1", "provisioning_state": "Succeeded" } }

操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时，您可以通过编写函数代码，添加组织类型的自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流（FunctionGraph）上的函数。将合规规则和函数相关联，函数接收Config发布的事件，从事件中接收到规则参数和Config服务收集到的资源属性；函数评估该规则下资源的合规性并通过Config的Open API回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。添加组织类型的自定义合规规则还需通过 RAM 服务将FunctionGraph函数共享给组织成员账号。 本章节指导您如何通过自定义策略来添加组织类型的合规规则，主要包含如下步骤： 创建FunctionGraph函数； 共享FunctionGraph函数； 添加自定义组织合规规则； 触发规则评估。

约束与限制 每个账号最多可以添加500个合规规则。 添加、修改组织合规规则和触发规则评估需要开启资源记录器，资源记录器处于关闭状态时，组织合规规则仅支持查看和删除操作。 非组织内账号无法在Config控制台的“资源合规”页面中看到“组织规则”页签。 组织合规规则仅会下发至账号状态为“正常”的组织成员账号中，且组织成员账号需开启资源记录器，否则将导致部署异常。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您未开启资源记录器，则资源合规规则无法评估任何资源数据。历史的合规规则评估结果依然存在。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。

添加自定义组织合规规则 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，单击“添加规则”，进入“基础配置”页面。 “策略类型”选择“自定义策略”，配置相关参数后单击“下一步”。 图4 基础配置 表1 基础配置参数说明 参数 说明 策略类型 策略类型选择“自定义策略”。 允许用户通过自定义策略来创建合规规则。 规则名称 合规规则的名称，不能与已存在的合规规则名称重复。 合规规则名称仅支持数字、字母、下划线和中划线。 规则简介 合规规则的简介，目前对合规规则简介的内容不做限制。 FunctionGraph函数 用户自定义策略执行函数的URN。 创建FunctionGraph函数请参见创建FunctionGraph函数。 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 图5 规则参数 表2 合规规则参数说明 参数 说明 触发类型 用于触发资源合规规则。 触发类型有： 配置变更：在指定的云资源发生更改时触发规则评估。 周期执行：按照您设定的频率运行。 过滤器类型 用于指定资源类型参与规则评估。 过滤器类型分为： 指定资源：指定资源类型下的所有资源均参与规则评估。 所有资源：账号下的所有资源均参与规则评估。 仅当“触发类型”选择“配置变更”时需配置此参数。 指定资源范围 过滤器类型选择“指定资源”后，需选择指定资源范围。 服务：选择资源所属的服务； 资源类型：选择对应服务下的资源类型； 区域：选择资源所在的区域。 仅当“触发类型”选择“配置变更”时需配置此参数。 过滤范围 使用过滤范围可指定资源类型下的某个具体资源参与规则评估。 过滤范围开启后您可通过资源ID或标签指定过滤范围。 仅当“触发类型”选择“配置变更”时需配置此参数。 周期频率 设置合规规则周期执行的频率。 仅当“触发类型”选择“周期执行”时需配置此参数。 规则参数 自定义策略的规则参数最多可以设置10个，由您自行配置。 目标 目标决定了此组织合规规则配置的部署位置。 组织：将策略部署到您组织内的所有成员账号中。 当前账号：将策略部署到当前登录的账号中。 创建组织类型的资源合规规则时请选择“组织”。 排除账号 输入需要排除的组织内的部分账号ID，使得该组织合规规则不在排除的账号中部署。 仅当“目标”选择“组织”时可配置此参数。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成自定义组织合规规则的创建。

操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，在规则列表中单击操作列的“删除”。 在“删除规则”弹窗中，单击“确定”。 组织合规规则删除后，此组织合规规则在每个成员账号下所部署的合规规则将同时自动删除。 图1 删除组织合规规则 单击规则列表下的具体规则名，进入“规则详情”页面，在页面右上角单击“编辑规则”和“删除规则”按钮，也可以对此规则进行编辑和删除操作。