配置审计(Cloud Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。面对大量资源,帮您轻松实现基础设施的自主监管,确保持续性合规。
产品架构
配置审计的实现原理如下图所示。
功能特性
| 功能 | 描述 |
|---|---|
| 管理资源监控范围 | 配置审计通过监控您账号下的资源变更,追踪配置变更历史,并实时地完成合规性审计。您可以通过简单配置来管理资源监控范围。如果您选择默认监控所有资源类型,当配置审计对接新产品时,新资源类型将自动纳入监控范围。如果您选择自定义资源类型,则不会自动纳入监控范围。 |
| 管理资源列表 | 授权配置审计服务后,您可以获得账号下跨区域聚合的资源清单,并通过筛选找到指定资源实体进而查询资源的配置详细。找到指定资源后,您可以快速跳转到该资源在云产品控制台的管理页面,管理该资源。 |
| 查看资源合规时间线 | 配置审计记录监控中资源的配置历史,并保存为配置时间线,即资源配置随时间推进的演变记录。您可以查询与配置变更相关的操作事件列表和事件详情。 |
| 资源合规审计 | 配置审计支持托管规则和自定义规则。规则配置成功后,您可以查看资源的评估结果和合规时间线,并对不合规的资源重新审计。您还可以对不合规的规则,执行修改、删除和停用操作。 |
| 订阅资源事件 | 您可以在配置审计中订阅资源的配置变更事件和不合规评估事件,并及时发送资源的变更和不合规通知。 |
| 不合规修正 | 您可以为规则设置修正模板。当规则被评估为不合规时,配置审计根据您的设置自动修正资源。 |
| 资源快照保存到OSS Bucket | 如果您设置了OSS Bucket地址,则配置审计会将资源的配置变更快照以文件形式保存到指定地址。 |
| 资源日志保存到日志服务 | 如果您设置了日志项目,则配置审计会将资源的变更数据以日志形式保存到日志服务。 |
| 合规包 | 合规包是配置审计根据合规场景定制的一组规则的集合,帮助您动态且持续地检查资源的合规性,对于不合规资源,提醒您及时修复,默认的合规包模板包括:CIS网络安全框架检查模板、等保三级预检模板和RMiT金融标准检查模板等。您可以对合规包中的默认规则执行修改、删除、启用和停用等操作。 |
| 账号组 | 资源目录中的企业管理账号或委派管理员账号可以新建账号组,在账号组中集中地管理多个成员账号的资源、合规包和规则。 |
产品优势
配置审计的产品优势如下:
- 跨区域整合:将您各区域的资源整合为一份完整清单,并支持搜索资源。
- 配置变更与操作记录打通:为您记录每次配置变更的详情快照,同时记录下关联的操作记录,行为与结果相结合,更好地支持问题排查。
- 持续的合规监控:配置审计为您持续监控资源配置的变更,并在变更时自动触发合规评估,为您实现合规性的自主监管。
- 云上系统等保2.0预检:为您解读等保2.0条例在云上的实施方案,并支持您一键预检云上系统的合规现状。