普通账号是指未被企业管理账号加入资源目录的独立的阿里云账号。如果您是普通账号,请通过本文快速了解配置审计的操作流程和操作步骤。

操作流程

配置审计的普通账号入门操作流程如下图所示。普通账号快速入门操作流程
普通账号入门操作流程的步骤说明如下表所示。
操作分类操作步骤说明
基础操作步骤一:服务授权在您使用配置审计之前,必须先授权配置审计服务。
步骤二:查看资源列表您可以查看并管理自己账号下的所有资源。
步骤三:启用合规包您可以启用合规包模板中的任意合规包。启用合规包后,您可以从规则维度查看关联资源的合规结果。
高级操作(可选)步骤四:新建规则您可以通过配置审计提供的托管规则快速新建规则,对目标资源进行审计。
(可选)步骤五:设置监控范围您的监控范围默认为所有资源类型。您可以根据所需设置需要监控的资源类型。
(可选)步骤六:设置资源投递您可以设置将资源定时快照或资源配置变更历史统一投递到对象存储OSS的目标存储空间(Bucket)。
(可选)步骤七:订阅资源事件您可以设置将资源不合规事件或资源配置变更历史统一投递到消息服务MNS的指定主题(Topic)。

步骤一:服务授权

  1. 登录配置审计控制台
  2. 单击立即启用
    配置审计授权
    说明 配置审计需要2~10分钟时间对您的资源进行扫描,构建资源列表,请耐心等待。

步骤二:查看资源列表

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择资源 > 全局资源
  3. 全局资源页面,通过筛选或搜索功能找到目标资源。
    • 搜索:您可以通过完整的资源ID精确搜索到目标资源。
    • 筛选:您可以通过资源类型、地域、合规状态和资源状态迅速找到目标资源。
  4. 单击目标资源ID链接。
  5. 资源信息页签,查看资源基本信息、核心配置信息和最新审计结果。
    • 基本信息区域,您可以查看该资源的资源ID、资源名称、资源类型、创建时间、标签、地域和可用区。
    • 资源核心配置信息区域,您可以单击查看JSON,查看资源核心配置的JSON代码。
    • 最新审计结果区域,您可以查看该资源的最新审计结果。

步骤三:启用合规包

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击合规包
  3. 合规包页面,单击右上角的启用合规包
  4. 基本信息页面,设置合规包名称和风险等级,单击下一步
  5. 选择规则页面,从合规包模板、规则列表或托管规则中选择规则,单击下一步
  6. 规则设置页面,设置规则的名称、风险等级、描述和参数,单击完成

(可选)步骤四:新建规则

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击规则
  3. 规则页面,单击新建规则
  4. 新建规则页面,先根据规则名称、标签、检测逻辑或风险等级筛选出目标托管规则,然后单击应用规则
  5. 基本属性页面,先设置规则名称、风险等级和备注,然后单击下一步
    托管规则的名称、风险等级和触发机制均为系统默认。您可以根据所需修改规则名称和风险等级。
  6. 评估资源范围页面,资源类型保持默认,单击下一步
  7. 参数设置页面,单击下一步
    如果目标托管规则有规则入参,则需要设置其期望值。
  8. 修正设置页面,单击下一步

    对于支持修正设置的托管规则,您可以选中修正设置前面的复选框,根据控制台提示,设置修正方式、修正类型和修正参数。具体操作,请参见设置自动修正设置手动修正

  9. 预览并保存页面,确认规则设置,单击提交
  10. 查看规则新建结果。
    • 单击查看规则详情,您可以查看当前规则的规则详情检测结果修正详情
    • 单击返回规则列表,您可以在规则列表中查看新建的规则,其运行状态为应用中

(可选)步骤五:设置监控范围

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择设置 > 服务设置
  3. 服务设置监控范围页签,单击修改配置
  4. 选择监控的资源类型。
    • 如果您选择服务支持的全部资源类型,当配置审计对接新的云服务时,该云服务也会纳入监控范围。
    • 如果您选择自定义资源类型,则可以根据所需选择指定资源类型。
  5. 单击确定
  6. 手机验证邮箱验证对话框,单击点击获取
    阿里云会向您绑定的手机或邮箱发送一个校验码。
  7. 输入校验码,单击确定

(可选)步骤六:设置资源投递

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择设置 > 投递服务
  3. 投递设置页面,单击投递到对象存储OSS页签。
  4. 投递到对象存储OSS页签,打开设置对象存储OSS开关。
  5. 设置资源投递数据的相关参数。
    资源投递数据的相关参数如下表所示。
    参数描述
    选择接收内容选择对象存储OSS接收的资源投递内容。取值:
    • 资源定时快照:每天00:00:00和12:00:00,配置审计定时向对象存储OSS投递资源定时快照。
    • 配置变更历史:当资源配置变更时,配置审计向对象存储OSS投递资源配置变更历史。
    存储空间来源对象存储OSS中存储空间的来源。
    • 当您选中本账号中新建存储空间时,通过配置审计控制台新建存储空间,输入存储空间名称。
    • 当您选中选择本账号中已有的存储空间时,在对象存储OSS中选择已有存储空间名称。
    地域存储空间所在地域。
    存储空间对象存储OSS中存储空间的名称。存储空间名称不能重复。
    日志文件加密存储空间中的日志文件是否加密。当您选中本账号中新建存储空间时,需要设置该参数。
    参数取值如下:
    • AES256
    • KMS
  6. 单击确定

(可选)步骤七:订阅资源事件

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择设置 > 投递服务
  3. 投递设置页面,单击投递到消息服务MNS页签。
  4. 投递到消息服务MNS页签,打开设置消息服务MNS开关。
  5. 设置资源投递数据的相关参数。

    资源投递数据的相关参数如下表所示。

    参数描述
    选择接收内容
    选择消息服务MNS接收的资源投递内容。取值:
    • 配置变更历史:当资源配置变更时,配置审计向消息服务MNS投递资源配置变更历史。
    • 资源不合规事件:当资源的审计结果不合规时,配置审计向消息服务MNS投递资源不合规事件。
    事件主题来源事件主题的来源。
    • 当您选中本账号中新建主题时,通过配置审计控制台新建主题,输入主题名称。
    • 当您选中选择本账号中已有的主题时,在消息服务MNS中选择已有主题。
    主题名称消息服务MNS中的主题名称。同一账号同一地域下,主题名称不能重复。
    主题地域主题名称所在地域。
    消息最大长度(Byte)发送到该主题的消息体的最大长度。取值范围:1024~65536。默认值:65536。
    说明 由于资源信息较大,请您在消息服务MNS控制台上将主题信息的最大长度至少设置为8192,以免因长度限制导致消息发送失败。
    开启Logging是否将主题接收消息、转发消息和删除消息的日志存储到主题默认关联的日志服务SLS。
    事件的最低风险等级订阅资源事件的最低风险等级。取值:
    • 全部风险等级
    • 高风险
    • 中风险
    • 低风险

    例如:如果您选择中风险,则配置审计为您推送中风险高风险等级的不合规事件,低风险级别的不合规事件将被过滤掉。

    指定资源类型事件订阅指定资源类型的事件。取值:
    • 服务支持的全部资源类型:订阅全部资源类型事件。当配置审计对接新产品后,该产品的资源类型将自动纳入监控范围。
    • 自定义资源类型:自定义选择资源类型事件。
    超大文件接收地址
    配置审计向消息服务MNS投递的超大文件接收地址。
    • 如果您设置了该参数,当配置审计向消息服务MNS投递的文件超过64 KB时,该文件自动转存到对象存储OSS的目标存储空间。
    • 如果您未设置该参数,当配置审计向消息服务MNS投递的文件超过64 KB时,超过部分自动丢弃。
    说明 超大文件接收地址中的地域账号根据接收内容和接收地址区域设置的参数自动生成,您只需选择目标存储空间。
  6. 单击确定