基于条件创建自定义规则

当配置审计预置的规则模板不能满足需求时,您可以通过可视化设置条件规则的三要素(资源特征、操作符和预期值),快速创建自定义规则,对目标资源进行审计。

背景信息

关于自定义条件规则的概念、应用场景和核心特性,请参见自定义条件规则的定义和运行原理

操作步骤

  1. 登录配置审计控制台

  2. (可选)在左上角选择目标账号组。

    仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。

  3. 在左侧导航栏,选择合规审计 > 规则

  4. 规则页面,单击新建规则

  5. 选择创建方式页面,先选择基于条件自定义,再选择资源类型,然后为该资源类型设置条件,最后单击下一步

    设置条件的方法如下:

    1. 设置规则条件。

      说明
      • 单条件判断

        示例:检测ECS实例是否开启删除保护,开启视为“合规”,未开启视为“不合规”。

        1. 选择资源类型下拉列表中,选择云服务器ECS > ECS实例

        2. 单击展开调试面板

        3. 可视化编辑页签,条件关系保持默认值and,先在资源类型文本框选择资源属性 > DeletionProtection,再在操作符文本框选择BoolEquals,然后在预期值文本框输入false

      • 多条件判断

        示例:如果以下2个条件中有一条合规,该条件规则判断为“合规”;如果以下2个条件都不合规,该条件规则判断为“不合规”。

        条件1:检测操作审计是否存在开启状态的跟踪,存在开启的跟踪视为“合规”,不存在开启的跟踪视为“不合规”。

        条件2:检测操作审计的跟踪地域是否为全部地域,跟踪为全部地域视为“合规”,跟踪为部分地域视为“不合规”。

        1. 选择资源类型下拉列表中,选择操作审计 > ActionTrail跟踪

        2. 单击展开调试面板

        3. 可视化编辑页签,条件关系选择or,在资源类型文本框选择资源属性 > Status,再在操作符文本框选择StringEquals,然后在预期值文本框输入Enable

        4. 单击添加条件,在资源类型文本框选择资源属性 > TrailRegion,再在操作符文本框选择StringEquals,然后在预期值文本框输入All

      说明

      您还可以单击调试面板右上角的脚本编辑页签,在左侧代码区域直接编写条件代码。

    2. 单击调试面板左上角的执行调试

      您可以看到条件规则的验证结果,合规不合规。该验证结果是配置审计基于您设置的条件规则,对调试面板中的资源配置内容进行验证。

      • 验证结果为合规

        通常情况下,说明当前条件规则设置正确,即可进入设置规则的下一步操作。

      • 验证结果为不合规

        • 条件规则中的预期值设置错误,请确认不合规的条件,修改后重新执行调试。

        • 当前资源配置确实为不合规,如已符合预期,即可进入设置规则的下一步操作。

  6. 设置基本属性页面,先设置规则名称、风险等级、触发机制和描述信息,然后单击下一步

  7. 设置生效范围页面,先设置资源的生效范围,然后单击下一步

  8. 设置修正页面,单击提交

    您可以打开设置修正开关,根据控制台提示,设置自定义修正。具体操作,请参见设置自定义修正

相关操作