配置审计 CONFIG-修正配置快速入门:基于RFS私有模板执行修正

时间：2024-11-15 17:55:38

配置审计 CONFIG

基于 RFS 私有模板执行修正

使用预设策略“创建并启用 CTS 追踪器（cts-tracker-exists）”添加预定义合规规则。

由于当前账号的CTS追踪器已停用，该合规规则的合规评估结果为“不合规”。

图1 CTS追踪器已停用

图2 合规评估结果

创建RFS私有模板，并填入以下模板内容。

该模板内容表示开启已关闭的CTS追踪器。

{
 "resource": {
  "huaweicloud_cts_tracker": {
   "tracker": {
    "bucket_name": "${var.bucket_name}",
    "file_prefix": "${var.file_prefix}",
    "lts_enabled": "true"
   }
  }
 },
 "variable": {
  "bucket_name": {
   "description": "Specifies the OBS bucket to which traces will be transferred.",
   "type": "string",
   "default": ""
  },
  "file_prefix": {
   "description": "Specifies the file name prefix to mark trace files that need to be stored in an OBS bucket. The value contains 0 to 64 characters. Only letters, numbers, hyphens (-), underscores (_), and periods (.) are allowed.",
   "type": "string",
   "default": ""
  }
 },
 "terraform": {
  "required_providers": {
   "huaweicloud": {
    "source": "huawei.com/provider/huaweicloud",
    "version": "1.58.0"
   }
  }
 }
}

创建该合规规则的修正配置，具体如下图所示。

部分示例参数的说明：
- 修正方法选择“自动修正”。
- 修正模板选择上一步中创建的RFS私有模板，当修正方法选择“自动修正”时还需指定 IAM 权限委托，例如当前场景下RFS私有模板将创建CTS追踪器，则该委托的授权云服务为RFS，委托权限为创建CTS追踪器的权限（例如CTS FullAccess）。如何创建委托请参见委托其他云服务管理资源。
- 配置资源ID参数，Config会将该参数赋值为不合规资源的ID。在当前场景下“file_prefix”将会被赋值为账号ID，该值会传递给RFS服务用于创建资源栈执行RF语句。
- 参数，指定您期望由Config传递给RFS私有模板的静态参数，Config会将这些参数原样传递给RFS服务用于创建资源栈执行RF语句。
图3 创建修正配置
修正配置创建完成后，重新触发规则评估。

当该合规规则评估完成且合规评估结果仍然为不合规时，Config将自动执行修正，调用RFS私有模板为当前账号开启CTS追踪器。

如下图所示，不合规资源自动修正成功，当前账号的CTS追踪器已启用。

图4 CTS追踪器已启用