如果您使用的是普通账号,请通过本文快速了解配置审计的操作流程及步骤。

操作流程

配置审计的普通账号入门操作流程如下图所示。普通账号快速入门操作流程
普通账号入门操作流程的步骤说明如下表所示。
步骤 说明
步骤一:服务授权 在您使用配置审计之前,必须先授权配置审计服务。
步骤二:查看资源列表 您可以查看并管理自己账号下的所有资源。
步骤三:启用合规包 您可以启用合规包模板中的任意合规包。启用合规包后,您可以从规则维度查看关联资源的合规结果。
步骤四:新建规则 您可以根据所需新建托管规则。
(可选)步骤五:设置监控范围 您的监控范围默认为所有资源类型。您可以根据所需设置需要监控的资源类型。
步骤六:设置资源投递 您可以设置将资源快照统一投递到对象存储OSS的目标存储空间(Bucket)。
步骤七:订阅资源事件 您可以设置将资源事件统一发送到消息服务MNS的目标主题。

步骤一:服务授权

  1. 登录配置审计控制台
  2. 单击允许创建
    配置审计授权
    说明 配置审计需要2~10分钟时间对您的资源进行扫描,构建资源列表,请耐心等待。

步骤二:查看资源列表

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击资源
  3. 资源页面,您可以通过资源ID、资源类型、所属地域、合规状态和资源状态快速而准确地过滤出所需资源。
  4. 单击目标资源的资源ID/资源名称链接。
  5. 资源信息页签,查看资源基本信息、核心配置信息和最新审计结果。
    • 基本信息区域,您可以查看该资源的资源ID、资源名称、资源类型、创建时间、标签、地域和可用区。
    • 资源核心配置信息区域,您可以单击查看JSON,查看资源核心配置的JSON代码。
    • 最新审计结果区域,您可以查看该资源的最新审计结果。

步骤三:启用合规包

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击合规包
  3. 合规包页面,单击右上角的启用合规包
  4. 选择合规包模板对话框,单击目标合规包对应的使用
    选择合规包模板对话框,您可以选择的合规包包括:等保三级预检合规包CIS网络安全框架检查合规包OSS合规管理最佳实践网络合规管理最佳实践账号权限合规管理最佳实践数据库合规管理最佳实践ECS合规管理最佳实践RMiT金融标准检查合规包
  5. 在目标合规包页面,设置该合规包的合规场景名称、风险等级和规则。
    说明
    • 合规场景名称不能重复。
    • 所有合规包检查的规则默认处于开启状态。对于无需检查的规则,您可以单击开关,关闭该规则。对于需要设置参数的规则,您可以单击箭头,在文本框中输入参数的期望值。
  6. 单击右上角的启用合规包,开启合规包的合规检查功能。
    合规包页面,您可以查看目标合规包的名称、状态、风险等级和描述,并对其执行修改、删除和查看详情操作。

步骤四:新建规则

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击规则
  3. 规则页面,单击新建规则
  4. 新建规则页面,根据规则名称、标签、检测逻辑或风险等级筛选出目标托管规则。
  5. 单击应用规则
  6. 基本属性页面,设置规则名称、风险等级和备注,单击下一步
    托管规则的名称、风险等级和触发机制均为系统默认。您可以根据所需修改规则名称和风险等级。
  7. 评估资源范围页面,资源类型保持默认,单击下一步
  8. 参数设置页面,单击下一步
    如果目标托管规则有规则入参,则需要设置其期望值。
  9. 修正设置页面,单击下一步

    对于支持修正设置的托管规则,您可以选中修正设置前面的复选框,根据控制台提示,设置修正方式、修正类型和修正参数。具体操作,请参见设置自动修正设置手动修正

  10. 预览并保存页面,确认规则设置,单击提交
  11. 查看规则新建结果。
    • 单击查看规则详情,您可以查看当前规则的规则详情检测结果修正详情
    • 单击返回规则列表,您可以在规则列表中查看新建的规则,其运行状态为应用中

(可选)步骤五:设置监控范围

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择设置 > 监控范围
  3. 监控范围页面,单击右上角的编辑
  4. 选择监控的资源类型。
    • 如果您选择服务支持的全部资源类型,则当配置审计对接新的云服务时,该云服务也会纳入监控范围。
    • 如果您选择自定义资源类型,则可以根据所需选择指定资源类型。
  5. 单击确定

步骤六:设置资源投递

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 投递到对象存储OSS
  3. 投递到对象存储OSS页面,打开设置对象存储OSS开关。
  4. 设置用于接收资源快照的存储空间。
    存储空间的相关参数如下表所示。
    参数 描述
    地域 存储空间所在地域。
    存储空间 对象存储OSS中存储空间的名称。存储空间名称不能重复。
    • 当您选中本账号中新建存储空间时,通过配置审计控制台新建存储空间,输入存储空间名称。
    • 当您选中选择本账号中已有的存储空间时,在对象存储OSS中选择已有存储空间名称。
    日志文件加密 存储空间中的日志文件是否加密。当您选中本账号中新建存储空间时,需要设置该参数。
    参数取值如下:
    • AES256
    • KMS
  5. 单击确定

步骤七:订阅资源事件

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 订阅资源事件
  3. 订阅资源事件页面,打开设置消息服务MNS开关。
  4. 设置用于接收资源事件的主题。

    主题的相关参数如下表所示。

    参数 描述
    主题地域 主题名称所在地域。
    主题名称 消息服务MNS中的主题名称。同一账号同一地域下,主题名称不能重复。
    • 当您选中本账号中新建主题时,通过配置审计控制台新建主题,输入主题名称。
    • 当您选中选择本账号中已有的主题时,在消息服务MNS中选择已有主题。
    消息最大长度(Byte) 发送到该主题的消息体的最大长度。取值范围:1024~65536。默认值:65536。
    说明 由于资源信息较大,请您在消息服务MNS控制台上将主题信息的最大长度至少设置为8192,以免因长度限制导致消息发送失败。
    开启Logging 是否将主题接收消息、转发消息和删除消息的日志存储到主题默认关联的日志服务SLS。
    订阅事件的最低风险等级 当您配置事件订阅时,您需配置接收的最低风险等级。取值:
    • 全部风险等级
    • 高风险
    • 中风险
    • 低风险

    例如:如果您选择中风险,则配置审计为您推送中风险高风险等级的不合规事件,低风险级别的不合规事件将被过滤掉。

    订阅指定资源类型事件 订阅指定资源类型的事件。取值:
    • 服务支持的全部资源类型:订阅全部资源类型事件。当配置审计对接新产品后,该产品的资源类型将自动纳入监控范围。
    • 自定义资源类型:自定义选择资源类型事件。
  5. 单击确定