当配置审计提供的托管规则不能满足您资源审计的需求时,您可以通过函数计算服务自定义规则,对目标资源进行审计。当规则被触发时,配置审计会运行对应的规则函数对资源进行检测,并给出资源合规评估结果。

前提条件

请确保您已开通函数计算服务。具体操作,请参见开通服务

背景信息

在新建规则之前,请您先了解规则的定义及运行原理

配置审计为您提供以下两种规则:
  • 托管规则

    托管规则是配置审计已在函数计算中构建的规则函数,新建规则时直接从配置审计控制台选择目标托管规则。配置审计支持的托管规则,请参见托管规则列表

  • 自定义规则

    自定义规则是需要您提前在函数计算中定义的规则函数,新建规则时直接从配置审计控制台选择规则函数的ARN。自定义规则函数的代码和入参,请参见使用函数计算新建规则

普通账号

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击规则
  3. 规则页面,单击新建规则
  4. 新建规则页面,单击新建自定义规则
  5. 基本属性页面,设置规则的函数ARN、规则名称、风险等级、触发机制和备注,单击下一步
    • 如果您已新建函数,直接选择函数的ARN。
    • 如果您未新建函数,单击前往创建新的函数,在函数计算控制台上新建函数。具体操作,请参见新建函数

      新建函数时,创建方式选择事件函数运行环境选择python3函数入口使用默认值index.handler,入口函数为handler。

  6. 评估资源范围页面,选择规则关联的资源类型,单击下一步
  7. 参数设置页面,单击添加规则入参,设置规则入参名称和期望值,单击下一步
    • 选择规则关联的资源后,规则将检测您账号下该资源类型的所有资源。一条规则可以关联多个资源类型。
    • 规则入参名称需要与资源实际配置名称保持一致。
  8. 修正设置页面,单击下一步
  9. 预览并保存页面,确认规则设置,单击提交
  10. 查看规则新建结果。
    • 单击查看规则详情,您可以查看当前规则的规则详情检测结果
    • 单击返回规则列表,您可以在规则列表中查看新建的规则,其运行状态为应用中

企业管理账号

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击规则
  3. 规则页面,单击目标账号组页签。
  4. 在目标账号组页签,单击新建规则
  5. 新建规则页面,单击新建自定义规则
  6. 基本属性页面,设置规则的函数ARN、规则名称、风险等级、触发机制和备注,单击下一步
    • 如果您已新建函数,直接选择函数的ARN。
    • 如果您未新建函数,单击前往创建新的函数,在函数计算控制台上新建函数。具体操作,请参见新建函数

      新建函数时,创建方式选择事件函数运行环境选择python3函数入口使用默认值index.handler,入口函数为handler。

  7. 评估资源范围页面,选择规则关联的资源类型,单击下一步
  8. 参数设置页面,单击添加规则入参,设置规则入参名称和期望值,单击下一步
    • 选择规则关联的资源后,规则将检测您账号下该资源类型的所有资源。一条规则可以关联多个资源类型。
    • 规则入参名称需要与资源实际配置名称保持一致。
  9. 修正设置页面,单击下一步
  10. 预览并保存页面,确认规则设置,单击提交
  11. 查看规则新建结果。
    • 单击查看规则详情,您可以查看当前规则的规则详情检测结果
    • 单击返回规则列表,您可以在规则列表中查看新建的规则,其运行状态为应用中