配置审计(Cloud Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。面对大量资源,帮您轻松实现基础设施的自主监管,确保持续性合规。

产品架构

配置审计的实现原理如下图所示。配置审计原理

功能特性

功能描述
管理资源监控范围配置审计通过监控您账号下的资源变更,追踪配置变更历史,并实时地完成合规性审计。您可以通过简单配置来管理资源监控范围。如果您选择默认监控所有资源类型,当配置审计对接新产品时,新资源类型将自动纳入监控范围。如果您选择自定义资源类型,则不会自动纳入监控范围。
管理资源列表授权配置审计服务后,您可以获得账号下跨区域聚合的资源清单,并通过筛选找到指定资源实体进而查询资源的配置详细。找到指定资源后,您可以快速跳转到该资源在云产品控制台的管理页面,管理该资源。
查看资源合规时间线配置审计记录监控中资源的配置历史,并保存为配置时间线,即资源配置随时间推进的演变记录。您可以查询与配置变更相关的操作事件列表和事件详情。
资源合规审计 配置审计支持托管规则和自定义规则。规则配置成功后,您可以查看资源的评估结果和合规时间线,并对不合规的资源重新审计。您还可以对不合规的规则,执行修改、删除和停用操作。
订阅资源事件您可以在配置审计中订阅资源的配置变更事件和不合规评估事件,并及时发送资源的变更和不合规通知。
不合规修正您可以为规则设置修正模板。当规则被评估为不合规时,配置审计根据您的设置自动修正资源。
资源快照保存到OSS Bucket如果您设置了OSS Bucket地址,则配置审计会将资源的配置变更快照以文件形式保存到指定地址。
资源日志保存到日志服务如果您设置了日志项目,则配置审计会将资源的变更数据以日志形式保存到日志服务。
合规包合规包是配置审计根据合规场景定制的一组规则的集合,帮助您动态且持续地检查资源的合规性,对于不合规资源,提醒您及时修复,默认的合规包模板包括:CIS网络安全框架检查模板、等保三级预检模板和RMiT金融标准检查模板等。您可以对合规包中的默认规则执行修改、删除、启用和停用等操作。
账号组资源目录中的企业管理账号或委派管理员账号可以新建账号组,在账号组中集中地管理多个成员账号的资源、合规包和规则。

产品优势

配置审计的产品优势如下:

  • 跨区域整合:将您各区域的资源整合为一份完整清单,并支持搜索资源。
  • 配置变更与操作记录打通:为您记录每次配置变更的详情快照,同时记录下关联的操作记录,行为与结果相结合,更好地支持问题排查。
  • 持续的合规监控:配置审计为您持续监控资源配置的变更,并在变更时自动触发合规评估,为您实现合规性的自主监管。
  • 云上系统等保2.0预检:为您解读等保2.0条例在云上的实施方案,并支持您一键预检云上系统的合规现状。

使用须知

正式使用配置审计服务前,请您阅读如下使用须知:
  • 请您确认已阅读并知晓配置审计服务条款
  • 配置审计服务在逐步扩大对云产品的覆盖,您开通服务时由于受到支持资源类型的限制,资源清单中会缺少部分资源。当配置审计支持新的资源类型时,会默认纳入监控范围,您也可以将资源类型移出监控范围。
  • 配置审计感知资源配置变更以10分钟为窗口期,如果您的资源恰好在窗口期内发生配置变更又重新变回原样,则配置审计可能无法感知。
  • 配置审计公测期间不承诺数据准确性,如果您发现资源列表、配置详情、规则评估等数据不符合预期,或您有其他需求,例如:需要支持更多资源类型等,请您提交工单反馈。