检测单账号的资源合规性

本文以通过合规包模板ECS合规管理最佳实践快速检测ECS实例的合规性,并将资源不合规事件投递到日志服务SLS为例,为您介绍通过配置审计检测单账号的资源合规性的具体操作流程。

前提条件

  • 请确保您是未被管理账号加入资源目录的独立的阿里云账号。

  • 请确保您已开通配置审计服务。具体操作,请参见开通配置审计服务

  • 请确保您已创建ECS实例。具体操作,请参见实例创建方式介绍

  • 请确保您已开通日志服务SLS。具体操作,请参见开通日志服务

    重要

    开通日志服务SLS不收费,配置审计将资源数据投递到日志服务SLS,并使用其查询和分析功能需要收费。具体计费标准,请参见计费概述

步骤一:查看资源清单

当您在云服务器ECS控制台上创建ECS实例后,在配置审计控制台的全局资源列表中会显示该资源。

  1. 登录配置审计控制台

  2. 全局资源页面,通过筛选或搜索功能找到目标资源。检测单账号资源合规性-查看资源清单.png

步骤二:新建合规包

您可以通过合规包模板ECS合规管理最佳实践中的默认规则快速检测ECS实例的合规性。

  1. 在左侧导航栏,选择合规审计 > 合规包

  2. 合规包页面,单击左上角的新建合规包

    新建合规包.png

  3. 选择模板(可选)页面,先单击合规包模板ECS合规管理最佳实践右上角的图标,然后单击下一步新建合规包步骤2.png

  4. 设置基本属性页面,先设置合规包名称,其他参数均保持默认值,然后单击下一步

步骤3.png

  1. 选择规则页面,默认选中合规包模板ECS合规管理最佳实践中的所有规则,直接单击下一步

步骤.png

  1. 设置规则参数页面,先为包含必填参数和选填参数的规则设置参数,然后单击确定最后一步.png

说明

关于规则中参数的设置方法,请参见配置审计支持的资源类型和资源关系中的资源类型列链接。

步骤三:查看合规评估结果

您可以查看合规包中所有规则对ECS实例的评估结果,并对不合规的配置进行修正。

  1. 在左侧导航栏,选择合规审计 > 合规包

  2. 合规包页面,单击步骤二新建的合规包ID。查看合规评估结果-2.png

  3. 先单击右上角的下载报告,然后在下载合规报告对话框,单击确定

    下载Excel格式的合规报告。查看合规评估结果-3.png

  4. 打开Excel格式的合规报告,在不合规资源页签,通过ECS实例ID筛选出所有不合规的规则,并根据修正建议列进行修正。

步骤四:将资源的不合规事件投递到日志服务SLS

您可以设置将资源的不合规事件投递到日志服务SLS的指定日志库,并对其进行查询和分析。

  1. 投递页面,单击左上角的新建投递新建投递.png

  2. 新建投递页面,输入投递名称渠道类型选择日志服务SLS接收内容选择资源不合规事件日志项目来源选择本账号中新建日志项目,选择日志项目地域,输入日志项目名称日志库名称,资源类型保持默认值(即全部资源类型)。将资源的不合规事件投递到日志服务SLS.png

  3. 单击确认

    在日志服务SLS控制台自动新建一个日志项目,在该日志项目下自动新建一个日志库,配置审计中的资源不合规事件将投递到该日志库。

    重要

    配置审计将资源数据投递到日志服务SLS,并使用其查询和分析功能需要收费。如果您不想产生费用,则可以在日志服务SLS控制台删除日志项目。删除日志项目后,配置审计中的投递任务失效,资源数据将不再投递。具体操作,请参见删除项目Project

  4. 查看资源不合规事件的投递结果,并对其进行查询和分析。

    1. 投递页面,单击新建的投递ID。11.png

    2. 在目标投递的扩展信息区域,单击日志库名称,系统自动跳转到日志服务SLS控制台的目标日志库页面。12.png

    3. 错误对话框,单击关闭13.png

      说明

      通过配置审计控制台新建的日志库默认未开启索引,会报错。

    4. 开启日志库的索引。

      具体操作,请参见创建索引

    5. 查询并分析日志库中的日志。

      具体操作,请参见查询和分析日志

      说明

      关于资源不合规事件的JSON格式文件的内容示例,请参见资源不合规事件内容示例