什么是配置审计

配置审计(Cloud Config)是一项资源审计服务,为您提供面向资源的配置历史追踪、配置合规审计等能力。面对大量资源,帮您轻松实现基础设施的自主监管,确保持续性合规。

产品架构

配置审计的实现原理如下图所示。

image..png

功能特性

功能

描述

管理资源监控范围

配置审计通过监控您账号下的资源变更,追踪配置变更历史,并实时地完成合规性审计。您可以通过简单配置来管理资源监控范围。如果您选择默认监控所有资源类型,当配置审计对接新产品时,新资源类型将自动纳入监控范围。如果您选择自定义资源类型,则不会自动纳入监控范围。

管理资源列表

授权配置审计服务后,您可以获得账号下跨区域聚合的资源清单,并通过筛选找到指定资源实体进而查询资源的配置详情。找到指定资源后,您可以快速跳转到该资源在云产品控制台的管理页面,管理该资源。

查看资源合规时间线

配置审计记录监控中资源的配置历史,并保存为配置时间线,即资源配置随时间推进的演变记录。您可以查询与配置变更相关的操作事件列表和事件详情。

资源合规审计

配置审计支持从模板创建规则和自定义创建规则。规则创建成功后,您可以查看资源的评估结果和合规时间线,并对不合规的资源重新审计。您还可以对不合规的规则,执行修改、删除和停用操作。

不合规修正

您可以在创建规则时设置模板修正或自定义修正,当规则检测到不合规资源时,可以执行修正,快速纠正不合规配置,确保您云上IT系统实现自主持续的合规。

资源投递

配置审计持续将资源数据投递到日志服务SLS的日志库、对象存储OSS的存储空间或轻量消息队列(原 MNS)的主题,便于您对资源数据执行相关操作。

合规包

合规包是配置审计根据合规场景定制的一组规则的集合,帮助您动态且持续地检查资源的合规性,对于不合规资源,提醒您及时修复。

账号组

资源目录中的企业管理账号或委派管理员账号可以新建账号组,在账号组中集中地管理多个成员账号的资源、合规包和规则。

合规库

配置审计通过合规库提供了丰富的合规包模板和规则模板,您可以启用相应的合规项,对资源进行持续的检测。同时配置审计还可以通过运维编排OOS提供的公共模板快速修正不合规资源。

产品优势

配置审计的产品优势如下:

  • 跨区域整合:将您各地域的资源整合为一份完整清单,并通过资源列表和资源详情API快速的将云上资源配置集成到企业的CMDB中,实现企业对资源的统一管理。

  • 事件投递:将您的资源配置变更历史、资源定时快照和资源不合规事件进行多渠道投递,实现对云上资源的全局统计和分析。

  • 丰富的预置模板:您可以根据自身要求启动相应的合规项,配置审计将对目标资源进行持续检测,并通过修正模板对不合规资源进行修正。

  • 持续的合规审计:配置审计为您持续监控资源的配置变更,并在变更时自动触发合规评估,为您实现合规性的自主监管。

使用须知

正式使用配置审计服务前,请您阅读如下使用须知:

  • 请您确认已阅读并知晓配置审计服务条款

  • 配置审计服务在逐步扩大对云产品的覆盖,您开通服务时由于受到支持资源类型的限制,资源清单中会缺少部分资源。当配置审计支持新的资源类型时,会默认纳入监控范围,您也可以将资源类型移出监控范围。

  • 配置审计感知资源配置变更以10分钟为窗口期,如果您的资源恰好在窗口期内发生配置变更又重新变回原样,则配置审计可能无法感知。

  • 配置审计公测期间不承诺数据准确性,如果您发现资源列表、配置详情、规则评估等数据不符合预期,或您有其他需求,例如:需要支持更多资源类型等,请您提交工单反馈。