基本概念

本文解释了配置审计的基本概念,帮助您正确理解和使用配置审计。

概念

说明

资源类型

资源类型是一组实体资源的归类。例如:云服务器ECS实例的资源类型为ECS实例。资源可以分为以下几类:

  • 计算实例、存储实例等实体资源。

  • 工作组、工作流等应用级产品的管理资源。

  • 角色、策略等权限相关的管理资源。

资源配置详情

配置审计通过云服务开放的资源查询接口可获取当前阿里云账号下的所有资源。您可以在资源列表中查看各个资源的配置信息,也可以快速跳转到指定资源的云服务控制台,对其进行管理。

监控范围

监控范围指监控资源类型的范围,监控的粒度是资源类型。

  • 当某个资源类型在监控范围内时,当前阿里云账号下该资源类型的所有资源都会被追踪,每10分钟记录一次配置变更。

  • 当某个资源类型被移出监控范围时,当前阿里云账号下该资源类型的所有资源都停止记录配置变更。

规则

规则指用于判断资源配置是否合规的规则函数。配置审计使用函数计算中的函数来承载规则代码。规则绑定资源类型后,当该资源类型中的资源发生配置变更时,自动触发规则评估,检查本次配置变更的合规性。您也可以设置规则定时触发,配置审计定时为您检查所有资源的合规性。配置审计支持的规则如下:

配置时间线

配置审计为您提供每个监控范围内资源的配置时间线。

  • 对于您开通配置审计服务时已保有的资源,配置时间线的起点是服务开通时间。

  • 对于您开通配置审计服务后新建的资源,配置时间线的起点是资源新建时间。配置审计每10分钟记录一次资源配置变更,如果资源配置变更,则会在配置时间线出现一个节点,显示该时间点的资源配置详情、变更详情,以及该变更涉及的操作事件。

合规时间线

规则评估在资源配置变更发生时触发,配置时间线会有一个对应的合规时间线,是每次合规评估结果的历史记录。合规时间线的合规评估记录与规则触发方式有关。

  • 如果规则为定时触发,则只包括定时评估的记录。

  • 如果规则为资源配置变更触发,则只包括配置变更时评估的记录。

  • 如果规则同时为定时触发和资源配置变更触发,则同时包括定时和配置变更时评估的记录。

等保预检

等保2.0预检为云上的合规检测,为您动态且持续地检测阿里云上资源的合规性,从而避免正式检测时多次反复整改,帮助您快速通过等保检测。

CIS

CIS(Center for Internet Security)是互联网安全中心。CIS安全控制是企业为了实现基本网络安全而必须满足的前20个控制点或目标的列表。

资源目录

资源目录(Resource Directory)是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。

管理账号

管理账号(Management Account,简称MA)是一个经过企业实名认证的阿里云账号。您可以使用管理账号开通资源目录,开通后,管理账号就是资源目录的超级管理员,对资源目录、资源夹和成员拥有完全控制权限。每个资源目录有且只有一个管理账号。

说明

管理账号位于资源目录外部,不归属于资源目录,所以不受资源目录的任何管控策略影响。

成员

成员是通过资源目录创建出来的资源账号,该资源账号用于承载您在阿里云上的某个项目或应用。 如果您已经注册了阿里云账号,您也可以通过邀请的方式将该阿里云账号加入到资源目录,即成为云账号类型的成员。具体如下:

  • 资源账号

    在资源目录中创建的成员默认为资源账号。资源账号禁用了root(root是阿里云账号的Administrator,所以也称为根账号或主账号)登录权限,具有更高的安全性。关于创建资源账号的具体操作,请参见创建成员

  • 云账号

    通过邀请方式加入到资源目录的阿里云账号称为云账号。云账号具有root登录权限。关于邀请阿里云账号的具体操作,请参见邀请阿里云账号加入资源目录

账号组

账号组是一组成员的集合。在一个资源目录中,管理账号可以选择所有或部分成员形成一个管理单元进行集中的合规管理,这个管理单元就是账号组。从资源维度上讲,账号组是多个成员中的资源汇聚而成的资源池。

管理账号可以查看账号组中所有成员中的资源列表、资源详情、资源配置时间线、资源合规时间线和关联资源,还可以在账号组中新建规则与合规包。这些规则和合规包将对该账号组中所有成员下的资源生效,进行持续地合规评估。