合规报告功能支持定期获取当前账号或账号组、自定义范围的合规审计报告,并将报告自动推送至指定邮箱。通过创建可复用的报告模板,可以灵活定义报告内容,配合订阅功能周期性获取巡检结果。
功能概述
合规报告是配置审计提供的一项功能,旨在解决手动下载和处理合规数据的低效问题。相较于旧版的合规检查报告,新版合规报告提供以下核心能力:
自定义报告范围:灵活选择全部规则,或通过账号组、合规包、具体规则等条件筛选特定规则,生成定制化报告。
多账号数据聚合:资源目录管理账号或配置审计委派管理员可以创建覆盖多个成员账号的聚合报告,或为指定的账号组、成员账号分别生成报告。
自动化订阅:支持按日、周、月设置订阅频率,自动生成报告并通过邮件或站内信送达,实现无人值守的周期性合规巡检。
丰富的统计分析:报告以 Excel 格式提供,包含多维度的统计图表与数据汇总,如资源合规率、不合规风险分布等,便于快速洞察合规态势。
创建合规报告模板
为了生成或订阅合规报告,您首先需要创建一个报告模板。模板定义了报告的数据范围、聚合方式和订阅设置,可以被复用。
登录阿里云配置审计控制台。
在左侧导航栏,选择合规报告。
在合规报告页面,单击创建模板。
在创建模板页面,完成以下配置:
基本信息:
模板名称:为您的模板设置一个易于识别的名称,例如“集团月度安全合规总览”。
描述:简要说明该模板的用途。
报告聚合方式(仅资源目录管理账号或委派管理员可见):定义报告如何处理多账号的数据。
聚合方式
报告产出
说明
所有账号合并成一份报告
1 份聚合报告
生成一份包含所有相关账号数据的总览报告。此处的“所有账号”指已创建的账号组中的所有成员账号。
按账号组合并生成报告
每个账号组 1 份报告,以及当前账号的 1 份报告
为每个账号组生成一份独立的报告。系统会为当前账号也单独生成一份报告,以防遗漏其自身资源。
每个账号单独生成报告
每个账号 1 份报告
为每个相关的成员账号都生成一份独立的报告。此处的“每个账号”同样仅限于已创建的账号组中的成员账号。
报告范围:定义报告应包含哪些规则的检测结果。
包含全部:如未创建账号组,报告将包含当前账号内的所有规则。如已创建账号组,报告将包含当前账号及所有账号组内的全部规则。
自定义范围:根据以下条件精确筛选合规包或规则:
当前账号:筛选当前账号下的合规包或规则。
账号组:筛选指定账号组下的合规包或规则(仅创建账号组后可见)。
订阅设置(可选):您可以选择在此处开启订阅,也可后续在编辑模板时配置。详情请参见订阅报告与管理通知。
单击提交,完成模板创建。
订阅报告与管理通知
为实现自动化巡检结果通知,您可以为报告模板配置订阅,系统将按指定频率自动生成报告并通过消息中心发送给您。
在模板中配置订阅
在合规报告页面,单击目标模板区块进入模板详情页。
在模板详情页,找到订阅信息部分。
开启订阅开关,在订阅设置弹框中配置:
推送频率:选择每天、每周或每月。
推送时间:设置报告生成的具体时间点。
说明报告生成时间基于 UTC+8 时区。如果您在其他时区,请注意进行时间换算。
单击提交保存设置。
配置消息接收渠道和联系人
订阅的报告通过阿里云消息中心发送。请确保您已正确配置消息接收渠道和联系人。
前往。
在基本接收管理页面,单击服务消息页签。
在消息类型列中,找到巡检报告。
确保您希望使用的接收渠道(站内信或邮件)已开启。
配置审计的通知目前不支持短信渠道。
重要消息中心对于某个消息类型组的通知,往往是多个云产品共同使用的。如果关闭了站内信这一渠道,不仅不会收到配置审计的站内消息,也可能影响其他云产品发送站内信形式的巡检报告。
单击巡检报告操作列的修改按钮,选择消息接收人页签,确保已设置正确的消息接收人。默认情况下,消息接收人为账号联系人。
如需新增或变更消息接收人,可以使用主账号前往添加或修改联系人信息。配置或新增联系人后,再回到修改消息接收配置处进行消息接收人的新增或变更。
测试订阅渠道
配置完成后,您可以使用测试发送功能验证整个通知链路是否可正常工作。
在合规报告页面,找到目标模板。
单击测试发送。
系统会将最近一次已成功生成的报告发送到您配置的通知渠道。请检查您的站内信或邮箱是否能成功收到报告。
快速测试订阅渠道效果的方法:您可以挑选账号下某个评估资源较少的单条规则,作为报告模板的范围,这样生成报告速度会较快。报告生成成功后,再触发“测试发送”,即可测试消息接收效果。
下载报告
在合规报告页下载
模板创建后,您可以手动生成一次性的合规报告并下载到本地进行分析。
在合规报告页面找到目标模板。
单击下载报告。
生成完成后,会自动下载 Excel 格式的合规报告。如下载没有发生,请检查是否弹出式窗口被浏览器所拦截。
在站内信中下载
配置报告订阅并触发后,可以在站内信中找到类型为服务消息-巡检报告的站内消息,点击下载报告链接进行下载。
为了安全考虑,生成的报告下载链接有时长限制(不超过一天的有效期)。如果单击报告下载链接遇到 InvalidAccessKeyId 等类似报错,说明报告下载链接已失效。可以到控制台-合规报告处,重新单击"测试发送",发送当前模板已完成的最新报告,或者单击"下载报告"重新生成并下载报告。
在邮件中下载
配置报告订阅并触发后,合规报告会以附件形式推送至联系人的邮箱中。您可在邮件中下载附件查看。
查看报告内容
合规报告为 Excel 文件,包含以下工作表:
工作表名称 | 内容说明 |
概览页 | 提供报告的整体视图,包含:
|
规则列表 | 列出本次报告范围内的所有规则及其详细信息。通常包含:规则ID、规则名称、风险等级、运行状态、合规/不合规/不适用/已忽略资源数、创建时间、 修正设置、修正建议等信息。 |
不合规资源 | 详细列出所有检测为“不合规”的资源。通常包含:资源类型、资源ID、资源名称、审计规则名称、规则ID、不合规原因、修复建议链接等信息。 |
合规资源 | 详细列出所有检测为“合规”的资源。通常包含:资源类型、资源ID、资源名称、审计规则名称、规则ID等信息。 |
已忽略资源 | 详细列出所有被“忽略”的资源。通常包含:资源类型、资源ID、资源名称、审计规则名称、规则ID等信息。 |
常见问题
为什么我的报告只包含当前账号的数据?
账号组是实现多账号报告聚合的基础单元。您需要先在配置审计中创建账号组,才能在报告中查看、聚合这些账号组以及成员账号的数据。除此之外,您还需要检查:
确认账号组规则:确认是否创建了归属于账号组的合规包或规则。
检查报告范围:检查您的报告模板是否设置了自定义报告范围且仅筛选范围为当前账号。
为什么我没有收到订阅的报告?
请按以下顺序检查:
检查报告生成状态:订阅任务首先需要成功生成报告。请在控制台确认对应模板的报告是否可被手动下载。报告生成需要时间,如果您的订阅时间设置得过近,可能因报告尚未完成而无法发送。
检查消息中心配置:请根据配置消息接收渠道和联系人中的步骤,确认巡检报告的消息渠道(站内信、邮件)已开启。
检查消息接收人配置:请根据配置消息接收渠道和联系人中的步骤,确认消息接收人已配置正确。
检查消息数量限制:为防止消息泛滥,每个账号的单个渠道(如邮件、站内信)每日最多接收 20 条消息。如果您配置了多个高频订阅,超出此限制的消息将被系统忽略,且目前无额外通知。建议合理规划订阅频率。
如果以上设置均正确但仍无法收到,请提工单联系技术支持。
报告获取失败怎么办?
报告获取失败(如得到 FAILED 或 TIMEOUT 报错),通常是因为报告范围过大,导致数据处理超出系统限制。
建议:尝试缩小报告范围,例如减少规则数量、选择资源较少的账号组,然后重试生成。
如果问题仍然存在,请提工单联系技术支持。