当配置审计提供的托管规则不能满足您资源审计的需求时,您可以通过函数计算服务自定义规则,对目标资源进行审计。当规则被触发时,配置审计会运行对应的规则函数对资源进行检测,并给出资源合规评估结果。

前提条件

请确保您已开通函数计算服务。具体操作,请参见开通服务

背景信息

在新建规则之前,请您先了解规则的定义及运行原理

配置审计为您提供以下两种规则:
  • 托管规则

    托管规则是配置审计已在函数计算中构建的规则函数,新建规则时直接从配置审计控制台选择目标托管规则。配置审计支持的托管规则,请参见托管规则列表

  • 自定义规则

    自定义规则是需要您提前在函数计算中定义的规则函数,新建规则时直接从配置审计控制台选择规则函数的ARN。自定义规则函数的代码和入参,请参见自定义规则函数

普通账号

普通账号可以使用自定义规则为当前账号新建规则。

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击规则
  3. 规则页面,单击新建规则
  4. 新建规则页面,单击新建自定义规则
  5. 基本属性页面,设置规则的函数ARN、规则名称、风险等级、触发机制和备注,单击下一步
    • 如果您已新建函数,直接选择函数的ARN。
    • 如果您未新建函数,单击前往创建新的函数,在函数计算控制台上新建函数。具体操作,请参见新建函数

      新建函数时,函数类型选择事件函数运行环境选择python 3,其他参数均可根据实际需求设置。

    说明 如果规则触发机制选择配置变更,当您在新建规则、修改规则和规则重新审计资源时,配置审计会将目标资源类型的所有资源配置信息逐条推送至函数计算,并触发函数对其进行评估;如果规则触发机制选择周期执行,配置审计仅在触发周期内触发规则对目标资源类型的资源执行一次评估。
  6. 评估资源范围页面,选择规则关联的资源类型,单击下一步
    说明 请您选择实际待评估的资源类型,避免选择所有资源类型触发无效评估。
  7. 参数设置页面,单击添加规则入参,设置规则入参名称和期望值,单击下一步
    • 选择规则关联的资源后,规则将检测您账号下该资源类型的所有资源。一条规则可以关联多个资源类型。
    • 规则入参名称需要与资源实际配置名称保持一致。
  8. 修正设置页面,单击下一步
  9. 预览并保存页面,确认规则设置,单击提交
  10. 查看规则新建结果。
    • 单击查看规则详情,您可以查看当前规则的规则详情检测结果
    • 单击返回规则列表,您可以在规则列表中查看新建的规则,其运行状态为应用中

企业管理账号

企业管理账号可以使用自定义规则为当前账号和所有账号组内的成员账号新建规则。

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击规则
  3. 规则页面,单击目标账号组页签。
  4. 在目标账号组页签,单击新建规则
  5. 新建规则页面,单击新建自定义规则
  6. 基本属性页面,设置规则的函数ARN、规则名称、风险等级、触发机制和备注,单击下一步
    • 如果您已新建函数,直接选择函数的ARN。
    • 如果您未新建函数,单击前往创建新的函数,在函数计算控制台上新建函数。具体操作,请参见新建函数

      新建函数时,函数类型选择事件函数运行环境选择python 3,其他参数均可根据实际需求设置。

    说明 如果规则触发机制选择配置变更,当您在新建规则、修改规则和规则重新审计资源时,配置审计会将目标资源类型的所有资源配置信息逐条推送至函数计算,并触发函数对其进行评估;如果规则触发机制选择周期执行,配置审计仅在触发周期内触发规则对目标资源类型的资源执行一次评估。
  7. 评估资源范围页面,选择规则关联的资源类型,单击下一步
    说明 请您选择实际待评估的资源类型,避免选择所有资源类型触发无效评估。
  8. 参数设置页面,单击添加规则入参,设置规则入参名称和期望值,单击下一步
    • 选择规则关联的资源后,规则将检测您账号下该资源类型的所有资源。一条规则可以关联多个资源类型。
    • 规则入参名称需要与资源实际配置名称保持一致。
  9. 修正设置页面,单击下一步
  10. 预览并保存页面,确认规则设置,单击提交
  11. 查看规则新建结果。
    • 单击查看规则详情,您可以查看当前规则的规则详情检测结果
    • 单击返回规则列表,您可以在规则列表中查看新建的规则,其运行状态为应用中