检测多账号的资源合规性
您可以通过配置审计的账号组功能管理资源目录中多个成员的资源合规性。管理账号可以在配置审计中查看所有成员的资源列表、资源配置变更历史和资源合规状态,并监控资源配置合规性。成员可以查看自己归属的账号组,以及管理账号为自己新建的规则、合规包和投递任务,还可以在当前账号页签,独立检测自己资源的合规性,并设置投递。
前提条件
步骤一:新建账号组
您可以新建账号组,用于集中管理该账号组中所有成员的资源及其合规性。
登录配置审计控制台。
在左侧导航栏,单击账号组。
在账号组页面,单击新建账号组。
在新建账号组页面,先设置账号组名称和描述,再选择账号组类型为全局。
单击提交。
在账号组列表中,目标账号组的状态为创建完成,说明新建账号组成功。您还可以查看目标账号组的名称、描述、成员数量、账号组类型和创建时间。
步骤二:查看资源清单
您可以查看目标账号组中所有成员的跨地域聚合的资源清单。
在左上角选择目标账号组。
在左侧导航栏,选择
。
步骤三:新建合规包
当您需要检测目标账号组中所有成员的某种合规场景下的资源时,可以通过新建合规包批量新建规则,检测该场景下所有资源的合规性。
在左侧导航栏,选择
。在合规包页面,单击左上角的新建合规包。
在选择模板(可选)页面,先单击目标合规包模板右上角的
图标,然后单击下一步。
在设置基本属性页面,先设置合规包名称,其他参数均保持默认值,然后单击下一步。
在选择规则页面,先从合规包模板中选择目标规则,然后单击下一步。
在设置规则参数页面,先为规则设置参数,然后单击确定。
步骤四:查看合规评估结果
您可以查看合规包中规则对目标账号组中所有成员的资源的评估结果,对于不合规资源进行修正。关于修正设置的更多信息,请参见修正设置。
在左侧导航栏,选择
。在合规包页面,单击目标合规包ID。
在规则检测结果页签,您可以从规则维度查看不合规资源数。
在资源检测结果页签,您可以从资源维度查看不合规资源列表。
在成员检测结果页签,您可以查看不合规成员。
当某个成员中有不合规资源时,该成员被判定为不合规成员。
步骤五:将资源的不合规事件投递到日志服务SLS
配置审计支持多种投递渠道,本文仅以日志服务SLS为例。
您设置将自己和资源目录中所有成员的资源不合规事件投递到指定成员的日志服务SLS的指定日志库后,该成员可以在日志库中查询和分析指定时间段内所有的资源日志。具体操作,请参见查询和分析日志。
在投递页面,单击左上角的新建投递。
在新建投递页面,设置将资源不合规事件投递到日志服务SLS的相关参数。
输入投递名称,投递渠道选择日志服务SLS,接收内容选择资源不合规事件,日志项目来源选择其他账号已有的日志项目,选择地域和成员,输入日志项目名称和日志库名称,资源类型保持默认(即全部资源类型)。
单击确认。
说明关于资源不合规事件的JSON格式文件的内容示例,请参见资源不合规事件内容示例。