文档

CreateAggregateCompliancePack - 创建账号组合规包

更新时间:

为指定账号组创建合规包。

接口说明

合规包是一组规则的集合。新建合规包时,您可以选择合规包模板中的默认规则,也可以选择规则模板和已有规则列表中的规则。

新建合规包后,这些规则默认会执行一次评估,后续将根据规则的触发机制自动触发评估,也可以手动执行评估。

合规包模板是配置审计根据合规场景定制的一组规则的集合。

本文将提供一个示例,为账号组ca-f632626622af0079****通过合规包模板ClassifiedProtectionPreCheck(等保三级预检合规包)创建一个合规包。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
config:CreateAggregateCompliancePackWrite
  • 全部资源
    *

请求参数

名称类型必填描述示例值
CompliancePackTemplateIdstring

合规包模板 ID。

关于如何获取合规包模板 ID,请参见 ListCompliancePackTemplates

ct-5f26ff4e06a300c4****
CompliancePackNamestring

合规包名称。

等保三级预检合规包
Descriptionstring

合规包描述。

基于等保三级的部分要求,对阿里云上资源的合规性做检测。
RiskLevelinteger

合规包风险等级。取值:

  • 1:高风险。
  • 2(默认值):中风险。
  • 3:低风险。
2
AggregatorIdstring

账号组 ID。

关于如何获取账号组 ID,请参见 ListAggregators

ca-f632626622af0079****
ConfigRulesobject []

合规包中的规则列表。

说明 本参数和TemplateContent必须设置其中一个。
ManagedRuleIdentifierstring

规则模板标识。配置审计根据规则模板标识自动创建规则,并将该规则加入到当前合规包中。

ManagedRuleIdentifierConfigRuleId二选一,当两个参数都设置时,以ConfigRuleId为准确。

eip-bandwidth-limit
ConfigRuleNamestring

规则名称。

弹性IP实例带宽满足最低要求
ConfigRuleParametersobject []

规则参数信息。

ParameterNamestring

规则参数名称。

参数ParameterNameParameterValue必须同时设置,或同时不设置。如果规则模板存在参数,且无默认取值,则您必须设置该参数。

bandwidth
ParameterValuestring

规则参数值。

参数ParameterNameParameterValue必须同时设置,或同时不设置。如果规则模板存在参数,且无默认取值,则您必须设置该参数。

10
ConfigRuleIdstring

规则 ID。配置审计将已有规则加入到当前合规包中。

ManagedRuleIdentifierConfigRuleId二选一,当两个参数都设置时,以ConfigRuleId为准确。

cr-e918626622af000f****
Descriptionstring

规则描述。

弹性公网已绑定到ECS或者NAT实例,非闲置状态,视为“合规”。
RiskLevelinteger

规则风险等级。取值:

  • 1:高风险。
  • 2:中风险。
  • 3:低风险。
1
TemplateContentstring

用于生成合规包的模板信息。模板内容可以从已有合规包详情 API 中查看,或者参考编写配置化合规包模板进行编写。

说明 本参数和TemplateContent必须设置其中一个。
{ "configRuleTemplates": [ { "configRuleName": "自定义条件规则示例", "scope": { "complianceResourceTypes": [ "ACS::ECS::Instance" ] }, "description": "", "source": { "owner": "CUSTOM_CONFIGURATION", "identifier": "acs-config-configuration", "sourceDetails": [ { "messageType": "ScheduledNotification", "maximumExecutionFrequency": "Twelve_Hours" }, { "messageType": "ConfigurationItemChangeNotification" } ], "conditions": "{\"ComplianceConditions\":\"{\\\"operator\\\":\\\"and\\\",\\\"children\\\":[{\\\"operator\\\":\\\"GreaterOrEquals\\\",\\\"featurePath\\\":\\\"$.Cpu\\\",\\\"featureSource\\\":\\\"CONFIGURATION\\\",\\\"desired\\\":\\\"2\\\"}]}\"}" }, "inputParameters": {} }, { "configRuleName": "OSS存储空间Referer在指定的防盗链白名单中", "scope": { "complianceResourceTypes": [ "ACS::OSS::Bucket" ] }, "description": "OSS存储空间开启防盗链并且Referer在指定白名单中,视为“合规”。", "source": { "owner": "ALIYUN", "identifier": "oss-bucket-referer-limit", "sourceDetails": [ { "messageType": "ConfigurationItemChangeNotification" } ] }, "inputParameters": { "allowEmptyReferer": "true", "allowReferers": "http://www.aliyun.com" } } ] }
ClientTokenstring

保证请求幂等性。从您的客户端生成一个参数值,确保不同请求间该参数值唯一。ClientToken只支持 ASCII 字符,且不能超过 64 个字符。

1594295238-f9361358-5843-4294-8d30-b5183fac****
DefaultEnableboolean

规则是否支持快速启用。取值:

  • true:合规包快捷启用时会开启该规则。
  • false(默认值):不启用。
false
RegionIdsScopestring

合规包仅对指定地域 ID 中的资源生效。多个地域 ID 之间用半角逗号(,)分隔。

cn-hangzhou
ExcludeResourceIdsScopestring

合规包对指定资源 ID 无效,即不对该资源执行评估。多个资源 ID 之间用半角逗号(,)分隔。

eip-8vbf3x310fn56ijfd****
ResourceGroupIdsScopestring

合规包仅对指定资源组 ID 中的资源生效。多个资源组 ID 之间用半角逗号(,)分隔。

rg-aekzc7r7rhx****
TagKeyScopestring

合规包仅对绑定指定标签键的资源生效。

ECS
TagValueScopestring

合规包仅对绑定指定标签键值对的资源生效。

说明 TagValueScope 需结合 TagKeyScope 一起使用。
test

关于公共请求参数的详情,请参见公共参数

返回参数

名称类型描述示例值
object

CompliancePackIdstring

合规包 ID。

cp-fc56626622af00f9****
RequestIdstring

请求 ID。

CC0CE5EB-E51E-48EB-B4AB-9A9E131ECC0F

示例

正常返回示例

JSON格式

{
  "CompliancePackId": "cp-fc56626622af00f9****",
  "RequestId": "CC0CE5EB-E51E-48EB-B4AB-9A9E131ECC0F"
}

错误码

HTTP status code错误码错误信息描述
400CompliancePackExistsThe compliance pack already exists.合规包名称重复。
400Invalid.AggregatorId.ValueThe specified AggregatorId is invalid.账号组ID不存在或无权限使用该账号组。
400CompliancePackExceedMaxCountThe maximum number of compliance pack is exceeded.合规包不能超过5个。
400Invalid.CompliancePackName.ValueThe specified CompliancePackName is invalid.合规包名称格式不符合要求。
400Invalid.CompliancePackTemplateId.ValueThe specified CompliancePackTemplateId does not exist.合规包模板ID不存在。
400Invalid.ConfigRules.EmptyYou must specify ConfigRules.合规包中规则不能为空。
400Invalid.ConfigRules.ValueThe specified ConfigRules is invalid.合规包规则中参数输入错误。
400ConfigRuleExceedMaxRuleCountThe maximum number of config rules is exceeded.超过最大的规则创建条数。
403AggregatorMemberNoPermissionThe aggregator member is not authorized to perform the operation.账号组内的成员账号无权限执行此操作。
404AccountNotExistedYour account does not exist.您的账号不存在。
503ServiceUnavailableThe request has failed due to a temporary failure of the server.服务不可用。

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2023-12-13OpenAPI 错误码发生变更、OpenAPI 入参发生变更看变更集
变更项变更内容
错误码OpenAPI 错误码发生变更
    删除错误码:400
    删除错误码:403
    删除错误码:404
    删除错误码:503
入参OpenAPI 入参发生变更
    新增入参:TemplateContent