文档

通过配置审计实现资源的多环境合规审计

更新时间:

当企业进行云上资源合规落地时,通常会面临合规标准无法统一的问题,例如:生产环境和测试环境的资源安全要求不同,不同部门对资源的规范要求不同,不同法规对相同资源的审计标准不同。配置审计通过丰富的托管规则,帮助企业在资源合规落地过程中针对不同场景,设置不同的合规策略。

基于资源标签

前提条件:请确保您已为目标资源绑定标签。具体操作,请参见创建并绑定自定义标签

本文根据开发环境对资源进行分类,对生产环境和测试环境中的资源通过标签进行区分审计为例进行介绍。假设您已为生产环境中的所有资源绑定标签Env:Prod,为测试环境中的所有资源绑定标签Env:Test,标签值您可以根据实际情况自行定义,能区分不同环境中的资源即可。

适用范围:单账号场景和多账号场景。本文以单账号场景为例进行介绍。

  1. 登录配置审计控制台

  2. 在左侧导航栏,选择合规审计 > 规则

  3. 规则页面,单击新建规则

  4. 基本属性页面,规则模板的名称、风险等级和触发机制均保持默认,单击下一步

  5. 评估资源范围页面,资源类型保持默认,先单击设置生效Tag前面的复选框,然后输入KeyEnvValueProd,最后单击下一步

    新建的规则仅评估生产环境中已绑定标签Env:Prod的所有资源。

    资源
  6. 参数设置页面,单击下一步

  7. 修正设置页面,单击下一步

  8. 预览并保存页面,确认规则设置,单击提交

  9. 单击返回规则列表

    规则列表中,查看新建规则的合规评估情况

基于资源组

前提条件:请确保您已将资源加入目标资源组。具体操作,请参见创建资源组

本文根据开发环境对资源进行分类,对生产环境和测试环境中的资源通过资源组进行区分审计为例进行介绍。假设您已将生产环境中的所有资源加入到生产环境资源组,将测试环境中的所有资源加入到测试环境资源组

适用范围:单账号场景和多账号场景。本文以单账号场景为例进行介绍。

  1. 登录配置审计控制台

  2. 在左侧导航栏,选择合规审计 > 规则

  3. 规则页面,单击新建规则

  4. 基本属性页面,规则模板的名称、风险等级和触发机制均保持默认,单击下一步

  5. 评估资源范围页面,资源类型保持默认,先单击设置生效资源组ID前面的复选框,然后选择生效资源组ID为测试环境资源组,最后单击下一步

    新建的规则仅评估测试环境中的所有资源。

    资源组
  6. 参数设置页面,单击下一步

  7. 修正设置页面,单击下一步

  8. 预览并保存页面,确认规则设置,单击提交

  9. 单击返回规则列表

    规则列表中,查看新建规则的合规评估情况

基于账号组

前提条件:请确保您已开通资源目录,且已将待审计资源的成员都邀请加入到目标资源目录。具体操作,请参见开通资源目录

本文根据开发环境对资源进行分类,对生产环境和测试环境中的资源通过账号组进行区分审计为例进行介绍。假设您已将生产环境和测试环境中的阿里云账号加入到同一资源目录,仅审计生产环境中所有阿里云账号中的资源。

适用范围:多账号场景。

  1. 为生产环境新建自定义账号组生产环境账号组

    1. 以管理账号或委派管理员账号登录配置审计控制台

    2. 在左侧导航栏,单击账号组

    3. 账号组页面,单击新建账号组

    4. 新建账号组页面,账号组名称输入生产环境账号组描述输入生产环境中的所有成员账号,单击添加成员

    5. 在资源目录中选择生产环境中的所有成员,单击确定

    6. 单击提交

      新建账号组成功后,默认切换到新建的账号组中。

  2. 使用规则模板新建规则。

    在账号组生产环境账号组中创建的规则会对该账号组内所有阿里云账号下的资源进行审计。

    1. 在左侧导航栏,选择合规审计 > 规则

    2. 规则页面,单击新建规则

    3. 新建规则页面,先根据规则名称、标签、检测逻辑或风险等级筛选出目标托管规则,然后单击应用规则

    4. 基本属性页面,规则模板的名称、风险等级和触发机制均保持默认,单击下一步

    5. 评估资源范围页面,资源类型保持默认,单击下一步

    6. 参数设置页面,单击下一步

    7. 修正设置页面,单击下一步

    8. 预览并保存页面,确认规则设置,单击提交

    9. 单击返回规则列表

      规则列表中,查看新建规则的合规评估情况

  • 本页导读 (1)