企业多账号配置统一合规审计
手动部署
55
https://www.aliyun.com/solution/tech-solution/ucafmac
方案概览
多账号配置统一合规审计为企业的各中心管理团队提供一种面向多账号的合规管理方案,从上而下地实施统一的合规基线并强制管理资源,可中心化地持续检测所有业务的合规状态。提升中心管理团队工作的可见性和可控性,切实起到监管效力和规避潜在风险作用。
方案架构
企业采用多账号架构后,在配置审计中基于资源目录的组织结构创建账号组,圈定合规管理的账号范围,再对账号组创建合规规则,以实现跨账号的资源合规审计。多账号资源合规审计的架构如下图所示。
本方案的优势如下:
持续的合规审计
配置审计为您持续监控资源的配置变更,并在变更时自动触发合规评估,为您实现合规性的自主监管。
丰富的预置模板
您可以根据自身要求启动相应的合规项,配置审计将对目标资源进行持续检测,并通过修正模板对不合规资源进行修正。
跨区域整合
配置审计将您各地域的资源整合为一份完整清单,并通过资源列表和资源详情API快速的将云上资源配置集成到企业的CMDB中,实现企业对资源的统一管理。
部署准备
15
开始部署前,请按以下指引完成账号申请、账号充值、资源目录开通等准备工作。
准备账号
开通资源目录并搭建企业的多账号资源结构
开通资源目录的账号即为资源目录的管理账号。
规划资源
5
如果您的账号中已有相关云资源(例如:ECS实例、RDS实例等),则无需执行本操作。
请参考表格中的说明和方案规划云资源。
规划项 | 数量 | 说明 |
对象存储OSS | 2 | 本方案需要为2个成员各创建一个存储空间,用于检测存储空间是否合规。创建存储空间时,默认读写权限为私有。 |
部署资源
20
规划好资源后,请按照以下步骤部署方案中的所有资源。
一键部署
单击一键部署前往ROS控制台,在控制台资源栈页面配置模板参数,根据页面提示完成创建。
本模板为您完成了以下操作:
√开通配置审计
√新建账号组
√新建合规包(本方案通过等保三级预检合规包中的规则OSS存储空间ACL禁止公共读和OSS存储空间ACL禁止公共读写检测2个成员下资源(存储空间)的合规性)
您可以点击创建完成的资源栈,在资源中查看资源名称、类型和ID。
手动部署
开通配置审计
管理账号在使用配置审计之前,必须先开通配置审计服务,才能获取跨地域的资源清单,并对资源进行合规审计。
登录配置审计控制台。
单击立即启用。
配置审计自动创建配置审计服务关联角色,该服务关联角色用于获取其他云服务的访问权限。更多信息,请参见配置审计服务关联角色。
配置审计需要2~10分钟对您当前账号下的资源进行扫描,并构建资源列表,请耐心等待。
新建账号组
企业为了实现定制化管理某个账号组内成员的资源及其合规性,需要创建一个账号组。本方案以创建自定义账号组为例。
登录配置审计控制台。
在左侧导航栏,单击。
在账号组页面,单击新建账号组。
在新建账号组页面,先设置账号组名称和描述,再单击添加成员。
在资源目录中选中目标成员,单击确定。
单击提交。
在账号组列表中,目标账号组的状态为创建完成,说明新建账号组成功。
查看资源清单
创建账号组成功后,企业的管理账号可以查看账号组中所有成员的跨地域聚合的资源清单。
在左上角选择目标账号组。
在左侧导航栏,选择。
新建合规包
企业的管理账号可以通过合规包模板(例如:等保三级预检合规包)为账号组新建合规包,检测该场景下所有资源的合规性。本方案通过合规包中的规则OSS存储空间ACL禁止公共读和OSS存储空间ACL禁止公共读写检测2个成员下资源(存储空间)的合规性。
在左侧导航栏,选择。
在合规包页面,单击新建合规包。
在选择模板(可选)页面,先单击等保三级预检合规包右上角的
图标,然后单击下一步。在设置基本属性页面,先设置合规包名称,其他参数均保持默认值,然后单击下一步。
在选择规则页面,先从合规包模板中选择目标规则,然后单击下一步。
在设置规则参数页面,先为规则设置参数,然后单击确定。
完成及清理
15
方案验证
企业的管理账号登录配置审计,查看合规包中规则对目标账号组中2个成员资源的评估结果,评估结果均为合规。
登录配置审计控制台。
在左上角选择目标账号组。
在左侧导航栏,选择。
在合规包页面,单击目标合规包ID。
在规则检测结果页签,您可以从规则维度查看不合规资源数。
在资源检测结果页签,您可以从资源维度查看不合规资源列表。
在成员检测结果页签,您可以查看不合规成员。
清理资源
在本方案中,您创建了2个存储空间。测试完方案后,请您及时删除资源,避免继续产生费用。
登录OSS管理控制台。
单击Bucket列表。
单击目标Bucket名称。
在目标Bucket的左侧导航栏,单击删除Bucket,然后按照界面指引完成删除操作。