如果您使用的是企业管理账号,请通过本文快速了解配置审计的操作流程及步骤。

操作流程

配置审计的企业管理账号入门操作流程如下图所示。企业管理账号快速入门流程
企业管理账号入门操作流程的步骤说明如下表所示。
步骤 说明
步骤一:服务授权 在您使用配置审计之前,必须先授权配置审计服务。
步骤二:新建账号组 企业管理账号可以新建账号组,将资源目录中的所有或部分成员账号加入该账号组,在账号组中集中地管理多个成员账号的资源、合规包和规则。
步骤三:查看资源列表 企业管理账号可以查看目标账号组中所有成员账号的资源。
步骤四:启用合规包 企业管理账号可以为目标账号组启用合规包模板中的任意合规包。启用合规包后,企业管理账号可以从规则和账号维度查看关联资源的合规结果。
步骤五:新建规则 企业管理账号可以为目标账号组新建托管规则。
步骤六:设置资源投递 企业管理账号可以为自己和所有成员账号统一设置资源快照投递,将资源快照统一投递到对象存储OSS的目标存储空间(Bucket)。成员账号无权设置资源快照投递,只能遵从企业管理账号的设置。
步骤七:订阅资源事件 企业管理账号可以为自己和所有成员账号统一订阅资源事件,将资源事件统一发送到消息服务MNS的目标主题。成员账号无权订阅资源事件,只能遵从企业管理账号的设置。

步骤一:服务授权

  1. 登录配置审计控制台
  2. 单击允许创建
    配置审计授权
    说明 配置审计需要2~10分钟时间对您的资源进行扫描,构建资源列表,请耐心等待。

步骤二:新建账号组

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击账号组
  3. 账号组页面,单击新建账号组
  4. 新建账号组页面,先设置账号组名称和描述,再单击添加成员
  5. 在资源目录中选中目标成员账号,单击确定
  6. 单击提交
    账号组列表中,目标账号组的状态为创建完成,说明新建账号组成功。您还可以查看目标账号组的名称、描述、成员账号数量、账号组类型和创建时间。

步骤三:查看资源列表

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击资源
  3. 资源页面,单击目标账号组页签。
  4. 在目标账号组页签,您可以通过资源ID、资源归属的账号ID、资源类型、所属地域、合规状态和资源状态快速而准确地过滤出所需资源。
  5. 单击目标资源的资源ID/资源名称链接。
  6. 资源信息页签,查看资源基本信息、核心配置信息和最新审计结果。
    • 基本信息区域,您可以查看该资源的资源ID、资源名称、资源类型、创建时间、标签、地域和可用区。
    • 资源核心配置信息区域,您可以单击查看JSON,查看资源核心配置的JSON代码。
    • 最新审计结果区域,您可以查看该资源的最新审计结果。

步骤四:启用合规包

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击合规包
  3. 合规包页面,单击目标账号组页签。
  4. 在目标账号组页签,单击右上角的启用合规包
  5. 选择合规包模板对话框,单击目标合规包对应的使用
    选择合规包模板对话框,您可以选择的合规包包括:等保三级预检合规包CIS网络安全框架检查合规包OSS合规管理最佳实践网络合规管理最佳实践账号权限合规管理最佳实践数据库合规管理最佳实践ECS合规管理最佳实践RMiT金融标准检查合规包
  6. 在目标合规包页面,设置该合规包的合规场景名称、风险等级和规则。
    说明
    • 合规场景名称不能重复。
    • 所有合规包检查的规则默认处于开启状态。对于无需检查的规则,您可以单击开关,关闭该规则。对于需要设置参数的规则,您可以单击箭头,在文本框中输入参数的期望值。
  7. 单击右上角的启用合规包,开启合规包的合规检查功能。
    在目标账号组页签,您可以查看目标合规包的名称、状态、风险等级和描述,并对其执行修改、删除和查看详情操作。

步骤五:新建规则

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击规则
  3. 规则页面,单击目标账号组页签。
  4. 在目标账号组页签,单击新建规则
  5. 新建规则页面,根据规则名称、标签、检测逻辑或风险等级筛选出目标托管规则。
  6. 单击应用规则
  7. 基本属性页面,设置规则名称、风险等级和备注,单击下一步
    托管规则的名称、风险等级和触发机制均为系统默认。您可以根据所需修改规则名称和风险等级。
  8. 评估资源范围页面,资源类型保持默认,单击下一步
  9. 参数设置页面,单击下一步
    如果目标托管规则有规则入参,则需要设置其期望值。
  10. 修正设置页面,单击下一步

    对于支持修正设置的托管规则,您可以选中修正设置前面的复选框,根据控制台提示,设置修正方式、修正类型和修正参数。具体操作,请参见设置自动修正设置手动修正

  11. 预览并保存页面,确认规则设置,单击提交
  12. 查看规则新建结果。
    • 单击查看规则详情,您可以查看当前规则的规则详情检测结果修正详情
    • 单击返回规则列表,您可以在规则列表中查看新建的规则,其运行状态为应用中

步骤六:设置资源投递

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 投递到对象存储OSS
  3. 投递到对象存储OSS页面,打开设置对象存储OSS开关。
  4. 设置用于接收资源配置变更快照的存储空间。
    您可以在当前企业管理账号中新建存储空间,也可以选择当前企业管理账号或其他成员账号中已有存储空间。该存储空间用于接收企业管理账号和所有成员账号的资源配置变更快照。
    • 您需要将企业管理账号和所有成员账号的资源快照统一投递到当前企业管理账号的指定存储空间时,需要选择本账号中新建存储空间选择本账号中已有的存储空间。存储空间的相关参数如下表所示。
      参数 描述
      地域 存储空间所在地域。
      存储空间 对象存储OSS中存储空间的名称。存储空间名称不能重复。
      • 当您选中本账号中新建存储空间时,通过配置审计控制台新建存储空间,输入存储空间名称。
      • 当您选中选择本账号中已有的存储空间时,在对象存储OSS中选择已有存储空间名称。
      日志文件加密 存储空间中的日志文件是否加密。当您选中本账号中新建存储空间时,需要设置该参数。
      参数取值如下:
      • AES256
      • KMS
    • 当您需要将企业管理账号和所有成员账号的资源快照统一投递到指定成员账号的指定存储空间时,需要选择选择其他账号已有的存储空间(仅支持企业管理账号)。设置存储空间相关参数之前,请您确保该成员账号中已有可用存储空间。目标成员账号中存储空间ARN和扮演角色ARN的相关参数如下表所示。
      参数 描述
      目标账号中存储空间的ARN 目标成员账号中存储空间的ARN,例如:acs:oss:cn-shanghai:178589740730****:test123
      ARN格式为acs:oss:{regionId}:{AccountID}:{bucketName},各参数含义如下:
      • {regionId}:存储空间所在地域ID,例如:cn-shanghai
      • {AccountID}:成员账号ID,例如:178589740730****。
      • {bucketName}:存储空间名称,例如:test123。
      目标账号中需扮演的角色的ARN 目标成员账号需要扮演角色的ARN,例如:acs:ram::178589740730****:role/aliyunserviceroleforconfig

      设置该参数之前,请确保您已获取目标成员账号ID,再根据ARN的格式填写。

      ARN格式为acs:ram::{AccountID}:role/aliyunserviceroleforconfig,各参数含义如下:
      • {AccountID}:成员账号ID,例如:178589740730****。
      • aliyunserviceroleforconfig:配置审计服务关联角色。
  5. 单击确定

步骤七:订阅资源事件

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 订阅资源事件
  3. 订阅资源事件页面,打开设置消息服务MNS开关。
  4. 设置用于接收资源事件的主题。
    您可以在当前企业管理账号中新建主题,也可以选择当前企业管理账号或其他成员账号中已有主题。该主题用于接收企业管理账号和所有成员账号的资源事件。
    • 当您需要将企业管理账号和所有成员账号的资源事件统一发送到当前企业管理账号的指定主题时,需要选择本账号中新建主题选择本账号中已有的主题。主题的相关参数如下表所示。
      参数 描述
      主题地域 主题名称所在地域。
      主题名称 消息服务MNS中的主题名称。同一账号同一地域下,主题名称不能重复。
      • 当您选中本账号中新建主题时,通过企业版配置审计控制台新建主题,输入主题名称。
      • 当您选中选择本账号中已有的主题时,在消息服务MNS中选择已有主题。
      消息最大长度(Byte) 发送到该主题的消息体的最大长度。取值范围:1024~65536。默认值:65536。
      说明 由于资源信息较大,请您在消息服务MNS控制台上将主题信息的最大长度至少设置为8192,以免因长度限制导致消息发送失败。
      开启Logging 是否将主题接收消息、转发消息和删除消息的日志存储到主题默认关联的日志服务SLS。
      订阅事件的最低风险等级 如果您设置了合规规则,则会接收到资源不合规事件。您可以通过设置订阅事件的最低风险等级来过滤需要接收的资源不合规事件,取值:
      • 全部风险等级
      • 高风险
      • 中风险
      • 低风险

      例如:如果您选择中风险,则配置审计为您推送中风险高风险等级的不合规事件,低风险级别的不合规事件将被过滤掉。

      订阅指定资源类型事件 订阅指定资源类型的事件。取值:
      • 服务支持的全部资源类型:订阅全部资源类型事件。当配置审计对接新产品后,该产品的资源类型将自动纳入监控范围。
      • 自定义资源类型:自定义选择资源类型事件。
    • 当您需要将企业管理账号和所有成员账号的资源事件统一发送到指定成员账号的指定主题时,需要选择选择其他账号已有的主题(仅支持企业管理账号)。设置主题相关参数之前,请您确保该成员账号中已有可用主题。目标成员账号中主题ARN和扮演角色ARN的相关参数如下表所示。
      参数 描述
      目标账号中主题的ARN 目标成员账号中主题的ARN,例如:acs:mns:cn-shanghai:178589740730****:/topics/topic1
      ARN格式为acs:mns:{regionId}:{AccountID}:/topics/{topicName},各参数含义如下:
      • {regionId}:主题所在地域ID,例如:cn-shanghai。关于如何查看主题所在地域,请参见查看主题
      • {AccountID}:目标成员账号ID,例如:178589740730****。关于如何查看成员账号ID,请参见查看成员详情
      • {topicName}:主题名称,例如:topic1。关于如何查看主题,请参见查看主题
      目标账号中需扮演角色的ARN 目标成员账号需要扮演角色的ARN,例如:acs:ram::178589740730****:role/aliyunserviceroleforconfig
      ARN格式为acs:ram::{AccountID}:role/aliyunserviceroleforconfig,各参数含义如下:
      • {AccountID}:目标成员账号ID,例如:178589740730****。关于如何查看成员账号ID,请参见查看成员详情
      • aliyunserviceroleforconfig:配置审计服务关联角色。
  5. 单击确定