企业版配置审计是配置审计和资源管理的集成,为使用多个企业管理账号的企业客户提供了中心化的合规审计能力。

说明 关于资源管理,请参见什么是资源管理

功能特性

企业版配置审计可以支持如下功能:
  • 企业管理账号在配置审计升级为企业版后,将为所有成员账号开启企业版配置审计服务,新加入的成员账号也将自动开启该服务。
  • 企业管理账号设置合规规则后,可选择将规则应用到所有成员账号,该规则将对所有成员账号生效。
  • 企业管理账号可以查看所有成员的资源列表、资源配置历史和资源合规现状。
  • 企业管理账号可以通过简单设置,将所有的资源配置变更快照统一保存到对象存储OSS的指定存储桶(Bucket)中。
  • 企业管理账号可以通过简单设置,将所有的资源配置变更历史统一保存到日志服务的指定日志项目(Project)中。
  • 企业管理账号可以通过简单设置,将所有的资源事件统一保存到消息服务MNS的指定主题中。
  • 禁止成员账号在企业版配置审计中执行新建、修改、删除规则的操作,从而实现中心化的合规管控。

产品架构

企业版配置审计与资源目录的协作原理如下图所示。资源目录提供多企业管理账号的管理能力,将企业多个云上企业管理账号定义为有逻辑关系的树结构。配置审计提供合规管理能力,支持企业面向资源目录,查看所有账号的资源列表、资源配置历史和资源合规现状,并监控资源配置合规性。企业版配置审计产品架构

基本概念

名词 说明
企业管理账号

企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。

成员账号

在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。

成员账号被企业管理账号邀请进入资源目录,或由企业管理账号在资源目录内直接新建。

规则 由企业管理账号新建并应用到所有成员账号的配置审计的合规规则。
个人版配置审计 如果您无跨账号合规管理的需求,则您可以使用个人版配置审计,管理单个阿里云账号下资源的合规审计。
企业版配置审计 在云上使用多个阿里云企业管理账号的企业客户,可将配置审计升级为企业版配置审计,实现中心化跨账号的合规管理。配置审计与资源目录相结合,使企业客户可以在企业管理账号中对所有成员账号的资源配置进行合规审计。
说明 个人版配置审计升级为企业版后,原有部分功能暂时被裁剪,例如:等保预检。这些功能后续会逐步补充进企业版,请您耐心等待。

企业版配置审计的升级说明

您需要先在资源管理中新建资源目录,相应的企业管理账号才能在配置审计控制台的概览页面看到升级企业版的入口。

您以企业管理账号登录配置审计控制台概览页面,单击升级企业版后,配置审计需要一定时间为您的所有成员账号开启企业版配置审计服务,需要消耗的时间因成员账号的数量而不同,请您耐心等待。请您明确以下升级内容后,再执行该操作。
  • 升级后,企业管理账号和成员账号的功能和控制台均会有相应变化。个人版与企业版配置审计的功能差异,请参见个人版与企业版配置审计差异
  • 当资源目录中的成员账号变更时,企业版配置审计的处理如下表所示。
    变更 企业版配置审计的处理
    新加入账号 自动开启企业版配置审计,并继承企业管理账号已下发给成员账号的规则。成员账号下的资源配置变更快照将投递到企业管理账号指定的地址。
    移除账号 自动删除企业管理账号下发的合规规则,也将停止资源配置变更快照、资源配置变更历史和资源事件的投递。可以正常使用个人版配置审计。
    移动归属目录 企业管理账号在管理合规规则查看全局资源中查看的目录树随之变化,规则评估和资源配置变更快照的投递将不受影响。

使用限制

企业版配置审计的使用限制如下:
  • 企业版配置审计目前处于邀测阶段,您需要通过提交工单或向服务经理申请白名单,才能使用该服务。
  • 您需要先在资源管理控制台的资源目录中新建您的资源目录。
  • 必须由企业管理账号或被授予管理员权限的RAM用户登录企业版配置审计控制台,设置合规规则,并使设置对所有成员账号生效。
  • 必须由企业管理账号或被授予管理员权限的RAM用户登录企业版配置审计控制台,设置资源配置变更快照、资源配置变更历史和资源事件的投递。
  • 禁止成员账号在企业版配置审计中的所有写操作。
  • 一个企业管理账号最多可以新建200条规则。
  • 个人版配置审计升级到企业版后,企业管理账号和成员账号的原有配置被自动清除,由企业管理账号统一管理。
  • 个人版配置审计升级到企业版后,暂不支持回退。
    说明 个人版和企业版配置审计均免费。