阿里云首页配置审计相关技术圈

配置审计

配置审计是一项面向资源的审计服务。在面对大量资源时，配置审计可以帮助您实现持续的基础设施的合规监管。

常见问题
管理控制台

学习路径

由浅入深，带您玩转配置审计。

了解

配置审计介绍

什么是配置审计
应用场景
基本概念
使用限制
配置审计支持的云服务

上手

快速入门

普通账号快速入门
企业管理账号快速入门

实践

最佳实践

通过MNS实现不合规资源自动修复
通过自定义规则检测RAM用户的MFA
企业多账号场景下订阅资源的配置变更事件
企业构建统一CMDB数据源

开发

API参考

API参考（2020-09-07）
API参考（2019-01-08）

免费云资源，真实云环境，丰富实践场景

通过MNS实现不合规资源自动修复

当资源配置变更且不合规时，通过MNS通知机制实现资源自动修复。

立即体验

通过自定义规则检测RAM用户的MFA

通过自定义规则检测指定RAM用户是否开启MFA。

立即体验

了解更多相关常见问题、案例和解决方案

为什么启用配置审计时需要授权？
如何删除配置审计服务关联角色？
为什么部分资源未展示在资源列表中？
为什么设置的规则未被评估？
如何支持更多托管规则？
合规时间线和配置时间线是什么关系？
为什么配置发生不合规的变更未被检测到？
如何配置自定义规则？
自定义规则的数据结构是什么？
为什么自定义规则函数未被触发？
为什么执行自定义规则后评估结果仍然是无数据？

企业IT治理解决方案介绍

配置审计
动态与公告
公告：资源变更投递中部分资源ARN格式调整
公告：企业版配置审计升级为账号组
新功能发布记录
产品简介
什么是配置审计
应用场景
基本概念
使用限制
配置审计支持的资源类型和资源关系
普通账号、成员账号和企业管理账号的使用差异
产品计费
计费说明
快速入门
普通账号快速入门
企业管理账号快速入门
成员账号快速入门
关闭配置审计服务
资源
全局资源
概述
查看资源列表
全局搜索或筛选资源
查看资源信息
查看资源配置时间线
查看资源合规时间线
查看相关资源信息
下载资源清单
应用架构
查看应用架构关联的资源
下载应用架构图
高级搜索
可视化搜索
SQL搜索
SQL搜索示例
SQL搜索的使用限制
规则
规则介绍
规则的定义及运行原理
托管规则
托管规则列表
CDN
CDN域名开启HTTPS加密
为域名设置CDN缓存
CDN域名OSS类型的源站配置一致
为域名设置CDN缓存
操作审计
操作审计开启跟踪状态
操作审计开启全量日志跟踪
云服务器ECS
ECS数据磁盘开启加密
ECS预付费实例到期检查
使用专有网络类型的ECS实例
ECS实例CPU核数满足最低要求
ECS实例规格符合标准要求
ECS实例GPU核数满足最低要求
ECS实例内存满足最低要求
不存在闲置的ECS数据磁盘
ECS实例未绑定公网地址
检测闲置弹性公网IP
ECS使用指定镜像实例
ECS实例在指定安全组下
ECS实例开启释放保护
云助手命令内容检查
ECS实例状态不是已停止状态
安全组入网设置有效
安全组不允许对全部网段开启风险端口
ECS实例未被锁定
弹性伸缩组开启ECS实例健康检查
ECS磁盘设置自动快照策略
ECS磁盘未被锁定
ECS数据磁盘释放时保留自动快照
ECS自动快照保留天数满足指定要求
ECS实例付费类型为包年包月
检查闲置安全组
使用密钥对登录Linux主机
ECS固定公网IP实例按固定带宽计费
分配了公网IP地址的ECS实例公网出带宽最大值小于指定值
ECS实例运行了指定名称的进程
ECS实例安装了指定名称的软件
待挂载的ECS数据磁盘开启加密
使用中的ECS数据磁盘开启加密
ECS实例的镜像来源满足指定要求
ECS实例系统盘开启加密
ECS包年包月实例开启自动续费
指定操作系统类型的系统盘容量大于等于指定值
运行中的ECS实例开启云安全中心防护
安全组描述信息不能为空
运行中的ECS实例无待修复漏洞
运行中的ECS实例安装了云监控插件
访问ECS实例元数据时强制使用加固模式
安全组入网设置中不能有对所有端口开放的访问规则
安全组入网设置不能有对所有协议开放的访问规则
安全组入网设置允许的来源IP不包含公网IP
安全组出方向未设置为全通
安全组非白名单端口入网设置有效
安全组指定协议不允许对全部网段开启风险端口
运行中的ECS实例在专有网络
运行中的ECS实例未绑定公网地址
继承自ECS实例标签的资源评估
ECS实例禁用指定名称的进程
按量付费的ECS已停机实例使用节省停机模式
为ECS实例创建防暴力破解规则
ECS实例使用指定版本的操作系统
为自动快照策略设置合理的创建时间点
专有宿主机DDH
专有宿主机CPU核数满足最低要求
专有宿主机内存大小满足最低要求
专有宿主机Socket数量满足最低要求
弹性公网IP
弹性IP实例带宽满足最低要求
预付费弹性公网IP到期检查
弹性伸缩配置中未设置分配公网IPv4地址
弹性伸缩组设置关联负载均衡
弹性伸缩组关联至少两个交换机
云数据库RDS
RDS实例读写频率满足最低要求
RDS实例类型满足指定要求
使用专有网络类型的RDS实例
RDS实例内存满足最低要求
RDS实例CPU核数满足最低要求
RDS实例存储空间满足最低要求
使用高可用的RDS实例
使用多可用区的RDS实例
RDS实例未申请外网地址
RDS实例使用SSL证书
RDS实例开启TDE加密
RDS实例正确开启白名单
RDS实例网络类型为专有网络
使用数据库代理模式访问SQL Server
RDS实例开启SQL审计
RDS实例SQL审计日志保留天数满足指定要求
PostgreSQL数据库参数log_connections设置为on
PostgreSQL数据库参数log_disconnections设置为on
PostgreSQL数据库参数log_duration设置为on
RDS实例开启历史事件
RDS预付费实例到期检查
RDS实例开启日志备份
RDS实例开启云盘加密
RDS实例使用自定义密钥开启TDE
RDS实例开启删除保护
为RDS实例创建动态RDS凭据
为RDS实例设置合理的可维护时间段
RDS实例未开公网或IP白名单未设置为全网段
使用独享型的RDS实例
RDS监控采集粒度设置满足要求
云数据库Redis
Redis实例满足指定QPS要求
Redis实例满足指定带宽要求
Redis实例满足指定内存容量要求
使用专有网络类型的Redis实例
Redis实例IP白名单不设置为全网段
使用集群版的Redis实例
Redis实例开启释放保护
Redis实例禁用高风险命令
Redis预付费实例到期检查
Redis实例开启审计日志
Redis实例审计日志保留天数满足指定要求
Redis实例开启TDE加密
Redis实例开启密码认证
Redis实例为多可用区实例
Redis实例未设置公网IP
Redis实例设置SSL加密
Redis实例使用自定义密钥开启TDE加密
Redis实例节点类型为双副本
Redis实例未开启公网或安全白名单未设置为允许任意来源访问
为Redis实例设置合理的备份时间段
云数据库MongoDB
使用专有网络类型的MongoDB实例
MongoDB实例IP白名单不设置为全网段
MongoDB实例满足指定读写次数要求
MongoDB满足指定连接数要求
MongoDB实例开启释放保护
MongoDB实例未被锁定
MongoDB集群开启审计日志
MongoDB预付费集群到期检查
MongoDB实例未开启公网或安全白名单未设置为允许任意来源访问
MongoDB使用独享型或专属型规格实例
MongoDB实例打开日志备份
云数据库PolarDB
推荐使用专有网络类型的PolarDB实例
PolarDB实例IP白名单不能设置为全网段
PolarDB产品系列为集群版
PolarDB预付费集群到期检查
PolarDB数据库小版本状态为stable
PolarDB集群开启TDE
PolarDB集群设置SSL加密
PolarDB集群开启SQL审计
PolarDB集群默认时区参数值非System
PolarDB集群只读地址关闭新节点自动加入
PolarDB集群日志备份保留周期满足指定要求
PolarDB集群数据二级备份保留周期满足指定要求
PolarDB集群的数据一级备份保留周期满足指定要求
PolarDB集群中所有账号备注信息不为空
PolarDB的集群连接地址连接类型设置为指定的值
PolarDB的集群连接地址的会话一致性级别设置为指定的值
PolarDB的集群连接地址读写模式设置为可读可写
PolarDB的集群连接地址开启新节点自动加入
PolarDB集群的所有连接地址都未开启公网
PolarDB集群开启删除保护
为PolarDB集群设置合理的维护时间段
PolarDB实例未开启公网或IP白名单未设置为全网段
使用独享型的PolarDB实例
对象存储OSS
OSS存储空间ACL禁止公共读
OSS存储空间ACL禁止公共读写
OSS存储空间开启同城冗余存储
OSS存储空间开启版本控制
OSS存储空间开启日志存储
OSS存储空间开启服务端KMS加密
OSS存储空间开启服务端默认加密
OSS存储空间名称符合正则表达式
OSS存储空间开启防盗链
OSS存储空间Referer在指定的防盗链白名单中
OSS公开存储空间设置权限策略且不能为匿名账号授予任何权限
OSS存储空间权限策略设置安全访问
OSS存储空间授权策略设置IP限制
OSS存储空间不能为匿名账号授予任何权限
OSS存储空间使用自定义KMS密钥加密
OSS存储空间开启日志存储前缀匹配
访问控制RAM
RAM用户登录检查
RAM用户密码策略符合要求
不存在闲置的RAM权限策略
高权限的RAM用户开启MFA
RAM用户组非空
不存在超级管理员
不直接授权给RAM用户
RAM用户归属用户组
RAM用户在指定时间内有登录行为
RAM用户开启MFA
RAM用户的AccessKey在指定时间内轮换
RAM用户不存在闲置AccessKey
RAM用户下不存在已禁用的AccessKey
阿里云账号不存在AccessKey
阿里云账号开启MFA
RAM用户未绑定指定的高危权限
RAM用户不存在激活状态的密钥
RAM用户及所属用户组无超级管理员或某个云产品管理员权限
RAM角色无超级管理员或某个云产品管理员权限
不存在闲置的RAM用户组
阿里云账号拥有指定名称的角色
RAM用户绑定了参数指定条件的权限策略
RAM角色绑定了参数指定条件的权限策略
RAM用户开启SSO
RAM用户及所属用户组未绑定指定条件的权限策略
标签
存在所有指定标签
至少存在一个指定标签
满足多标签值的一种枚举
匹配所有指定标签
资源标签信息不为空
专有网络VPC
IPsecVPN连接正常
IPsecVPN开启健康检查
VPC开启流日志记录
VPC自定义网段已设置路由
专有网络交换机可用IP数量大于指定值
同地域内所有交换机不存在重复的IP地址段
负载均衡SLB
SLB实例满足指定带宽要求
SLB禁止开启全网段访问
SLB使用证书为阿里云签发
SLB开启HTTPS监听
SLB实例未绑定公网IP
SLB实例开启释放保护
使用专有网络类型的SLB实例
SLB实例状态为运行中
SLB实例开启配置修改保护
SLB证书到期检查
SLB预付费实例到期检查
SLB预付费实例开启自动续费
SLB实例为性能保障型实例
SLB实例服务器负载权重不为0
SLB实例访问控制白名单包含指定的IP地址或网段
SLB实例监听端口不包含指定端口
SLB实例访问控制白名单不包含指定的IP或网段
SLB实例规格满足要求
SLB实例所有运行中的监听都设置访问控制
SLB负载均衡的所有监听都设置了健康检查
使用多可用区的SLB实例
容器服务Kubernetes版
ACK集群未设置公网连接端点
ACK集群建议开启释放保护
ACK集群使用Terway网络插件
ACK集群节点安装云监控插件
资源管理
资源归属指定区域范围
资源继承资源组上的指定标签
资源名称符合指定正则要求
云安全中心
使用云安全中心企业版
云安全中心通知项目已设置通知方式
账号下所有ECS实例已安装云安全中心代理
所有ECS实例漏洞都已修复
云安全中心未发现已泄露的AccessKey
云安全中心无待修复的镜像漏洞
云安全中心未发现高危风险弱口令资产
在云安全中心设置指定等级的漏洞扫描
在云安全中心开启指定类型的主动防御
云数据库HBase
HBase集群类型为集群版
使用专有网络类型的HBase集群
HBase集群配置为高可用
HBase集群开启删除保护
HBase预付费集群到期检查
Web应用防火墙
WAF实例开启日志采集
WAF防护域名开启指定防护功能
WAF防护域名的指定防护功能开启指定防护模式
API网关中API分组绑定域名接入WAF
密钥管理服务
KMS主密钥开启删除保护
密钥管理服务设置主密钥自动轮转
密钥管理服务设置凭据自动轮转
KMS主密钥未设置为待删除
NAT网关
NAT网关不允许映射指定的风险端口
NAT网关启用释放保护
公网NAT网关创建在指定专有网络内
私网NAT网关创建在指定专有网络内
未使用指定网络类型的NAT网关
NAT网关中SNAT和DNAT未使用同一个EIP
SNAT条目绑定多个EIP时带宽峰值设置一致
文件存储NAS
NAS文件系统满足指定状态
NAS文件系统设置了加密
NAS权限组规则授权对象未设置为全网段
NAS文件系统开启回收站
为NAS文件系统创建备份计划
NAS文件系统使用的权限组未对所有来源开放
云企业网CEN
云企业网带宽包到期检查
CEN实例中的跨地域连接带宽分配满足指定要求
CEN实例中的VBR连接都设置了健康检查
CEN实例中的VBR连接都设置了健康检查
CEN实例中的跨地域连接带宽分配满足指定要求
共享带宽CBWP
共享带宽实例到期检查
堡垒机
堡垒机实例到期检查
API网关
API网关中的API设置为私有
API网关中开启公网访问的API请求方式为HTTPS
API网关中API分组的HTTPS安全策略满足要求
API网关中API分组绑定自定义域名
API网关中API分组的自定义域名设置了SSL证书
API网关中API安全认证设置为JWT方式
API网关中配置API安全认证
函数计算
函数服务设置为仅允许指定VPC调用
函数HTTP触发器设置为需要身份验证
函数计算服务启用链路追踪
函数计算函数绑定到自定义域名且开启TLS指定版本
函数计算函数绑定到自定义域名且上传证书
函数计算函数绑定到自定义域名且开启HTTPS
函数计算服务允许访问公网且绑定到自定义域名
函数计算服务禁止访问公网
检索分析服务Elasticsearch版
使用专有网络服务的Elasticsearch实例
Elasticsearch实例未开启Kibana公网访问
Elasticsearch实例数据节点开启云盘加密
Elasticsearch实例未开启公网访问
Elasticsearch实例未开启公网或不允许任意IP访问
云防火墙
云防火墙中不存在未开启防护的资产
云防火墙中不存在匹配指定条件的控制策略
云防火墙中存在匹配指定条件的控制策略
日志服务
日志服务日志库设置数据加密
云数据库OceanBase
OceanBase集群开启SSL加密
OceanBase租户IP白名单分组设置有效
OceanBase租户开启TDE加密
OceanBase集群开启数据库备份
OceanBase集群开启SQL诊断功能
Oceanbase租户未开启公网或安全白名单未设置为允许任意来源访问
容器镜像服务ACR
容器镜像服务镜像仓库类型为私有
容器镜像服务镜像版本为不可变
容器镜像服务实例白名单检测
容器镜像服务实例未打开公网访问入口
表格存储
表格存储实例网络类型设置为限定VPC或控制台访问
表格存储实例中所有数据表都设置加密
负载均衡ALB
ALB实例开启释放保护
ALB实例网络类型为私网
ALB实例所有运行中的监听都设置访问控制
ALB访问控制列表不允许配置所有地址段
ALB实例访问控制白名单不包含指定的IP地址或网段
ALB实例访问控制白名单包含指定的IP地址或网段
使用多可用区的ALB实例
ALB服务器组包含至少两台服务器
ALB负载均衡的所有监听和转发规则都设置了健康检查
云解析DNS
云解析域名格式匹配指定正则表达式
微服务引擎MSE
MSE集群开放公网访问且开启鉴权
云原生数据仓库AnalyticDB MySQL版
ADB集群未开启公网
为ADB集群设置合理的可维护时间段
ADB集群开启SQL审计日志
ADB集群开启日志备份
时间序列数据库TSDB
TSDB实例未开启公网
TSDB实例安全白名单检测
云监控
为指定云产品设置云监控报警规则
消息队列Kafka版
Kafka实例公网IP白名单未设置为对所有IP开放
弹性公网IP
弹性公网IP开启删除保护
VPN网关
未开通VPN网关
VPN连接使用的加密算法不为None
自定义规则函数
预检规则的定义与运行原理
与规则关联的修正模板
管理规则
使用托管规则新建规则
使用自定义规则新建规则
修改规则
停用规则
启用规则
删除规则
手动执行审计
下载合规检查报告
查看规则列表
查看规则详情
修正设置
概述
设置自动修正
设置手动修正
删除修正设置
查看合规结果
查看资源的评估结果
查看资源合规时间线
合规包
概述
启用合规包
修改合规包
删除合规包
查看合规包的合规检查结果
下载合规包的合规检查报告
合规包模板
CIS网络安全框架检查模板
等保三级预检模板
RMiT金融标准检查模板
OSS合规管理最佳实践模板
网络合规管理最佳实践模板
账号权限合规管理最佳实践模板
数据库合规管理最佳实践模板
ECS合规管理最佳实践模板
云治理中心合规实践模板
安全组最佳实践
OceanBase最佳实践
资源稳定性最佳实践
账号组
概述
管理委派管理员账号
新建账号组
更新账号组的配置
删除账号组
查看账号组内的资源
管理账号组内的合规包
管理账号组内的规则
操作审计
查看操作事件详情
管控事件结构定义
配置审计支持被审计的事件说明
投递服务
概述
投递到日志服务SLS
设置投递数据到日志服务SLS
资源配置变更历史内容示例
资源不合规事件内容示例
投递到对象存储OSS
设置投递数据到对象存储OSS
资源定时快照内容示例
资源配置变更历史内容示例
投递到消息服务MNS
设置投递数据到消息服务MNS
资源配置变更历史内容示例
资源不合规事件内容示例
设置集成服务
设置监控范围
概述
设置监控范围
服务关联角色
配置审计服务关联角色
自动修正功能的服务关联角色
API参考
API版本说明
API参考（2020-09-07）
API概览
调用方式
公共参数
签名机制
RAM鉴权
企业管理账号
账号组
CreateAggregator
ListAggregators
GetAggregator
UpdateAggregator
DeleteAggregators
合规包
CreateAggregateCompliancePack
ListCompliancePackTemplates
ListAggregateCompliancePacks
GetAggregateCompliancePack
UpdateAggregateCompliancePack
DeleteAggregateCompliancePacks
GenerateAggregateCompliancePackReport
GetAggregateCompliancePackReport
GetAggregateConfigRuleComplianceByPack
GetAggregateResourceComplianceByPack
GetAggregateAccountComplianceByPack
规则
CreateAggregateConfigRule
GetAggregateConfigRule
ListAggregateConfigRules
DeleteAggregateConfigRules
UpdateAggregateConfigRule
ActiveAggregateConfigRules
DeactiveAggregateConfigRules
GenerateAggregateConfigRulesReport
GetAggregateConfigRulesReport
StartAggregateConfigRuleEvaluation
GetAggregateResourceComplianceByConfigRule
GetAggregateConfigRuleSummaryByRiskLevel
ListAggregateConfigRuleEvaluationResults
ListAggregateResourceEvaluationResults
AttachAggregateConfigRuleToCompliancePack
DetachAggregateConfigRuleToCompliancePack
IgnoreAggregateEvaluationResults
RevertAggregateEvaluationResults
资源
GetAggregateResourceCountsGroupByRegion
GetAggregateResourceCountsGroupByResourceType
GetAggregateResourceConfigurationTimeline
GetAggregateResourceComplianceTimeline
GetAggregateDiscoveredResource
ListAggregateDiscoveredResources
投递渠道
CreateAggregateConfigDeliveryChannel
UpdateAggregateConfigDeliveryChannel
ListAggregateConfigDeliveryChannels
GetAggregateConfigDeliveryChannel
DeleteAggregateConfigDeliveryChannel
修正设置
CreateAggregateRemediation
ListAggregateRemediations
UpdateAggregateRemediation
DeleteAggregateRemediations
StartAggregateRemediation
普通账号
合规包
ListCompliancePackTemplates
CreateCompliancePack
ListCompliancePacks
GetCompliancePack
UpdateCompliancePack
DeleteCompliancePacks
GenerateCompliancePackReport
GetCompliancePackReport
GetConfigRuleComplianceByPack
GetResourceComplianceByPack
CopyCompliancePacks
规则
CreateConfigRule
UpdateConfigRule
DeactiveConfigRules
GetConfigRule
ListResourceEvaluationResults
ListConfigRuleEvaluationResults
GenerateConfigRulesReport
GetConfigRulesReport
GetResourceComplianceByConfigRule
AttachConfigRuleToCompliancePack
GetConfigRuleSummaryByRiskLevel
DetachConfigRuleToCompliancePack
IgnoreEvaluationResults
RevertEvaluationResults
ListManagedRules
GetManagedRule
ListPreManagedRules
EvaluatePreConfigRules
CopyConfigRules
资源
GetDiscoveredResourceCountsGroupByRegion
GetDiscoveredResourceCountsGroupByResourceType
GetResourceConfigurationTimeline
GetResourceComplianceTimeline
GetDiscoveredResource
ListDiscoveredResources
投递渠道
CreateConfigDeliveryChannel
UpdateConfigDeliveryChannel
ListConfigDeliveryChannels
GetConfigDeliveryChannel
DeleteConfigDeliveryChannel
（不推荐）CreateDeliveryChannel
（不推荐）UpdateDeliveryChannel
修正设置
ListRemediationTemplates
CreateRemediation
ListRemediations
UpdateRemediation
DeleteRemediations
StartRemediation
成员账号
标签
ListTagResources
TagResources
UntagResources
集成服务
GetIntegratedServiceStatus
UpdateIntegratedServiceStatus
API参考（2019-01-08）
API概览
调用方式
公共参数
RAM鉴权
签名机制
资源
GetDiscoveredResourceCounts
DescribeDiscoveredResource
GetSupportedResourceTypes
GetDiscoveredResourceSummary
GetResourceComplianceTimeline
GetResourceConfigurationTimeline
ListDiscoveredResources
资源监控范围
StartConfigurationRecorder
DescribeConfigurationRecorder
PutConfigurationRecorder
规则
DescribeConfigRule
ListConfigRules
DeleteConfigRules
PutConfigRule
StartConfigRuleEvaluation
StopConfigRules
DescribeEvaluationResults
PutEvaluations
DescribeCompliance
DescribeComplianceSummary
ActiveConfigRules
投递渠道
DescribeDeliveryChannels
PutDeliveryChannel
最佳实践
通过MNS通知机制实现不合规资源的自动修复
通过自定义规则检测指定RAM用户是否开启MFA
通过云监控实现不合规事件的报警通知
企业多账号场景下订阅资源的配置变更事件
企业构建统一CMDB数据源
常见问题
启用配置审计
为什么启用配置审计时需要授权？
为什么授权之后控制台概览页无数据？
如何删除配置审计服务关联角色？
资源
为什么部分资源未展示在资源列表中？
为什么资源配置更改后在配置时间线中无记录？
为什么配置发生不合规的变更未被检测到？
规则
如何支持更多托管规则？
为什么设置的规则未被评估？
合规时间线和配置时间线是什么关系？
自定义规则
如何配置自定义规则？
自定义规则的数据结构是什么？
为什么自定义规则函数未被触发？
为什么执行自定义规则后评估结果仍然是无数据？
相关协议
服务条款

云治理中心
云速搭
Prometheus监控
智能顾问
全局流量管理
云效2020
Alibaba Cloud Toolkit
链路追踪Tracing Analysis
云监控
性能测试 PTS

首页配置审计