您开通配置审计服务后,配置审计开始记录资源的配置变更和资源关系变更历史,并默认保存10年。GetResourceComplianceTimeline 查询资源合规检测历史 查询指定资源的合规检测历史。合规检测历史是资源的一组合规评估记录,包括合规检测历史...
深入了解阿里云数据安全中心规则,掌握其在配置审计中的关键作用,本文将为您详解规则模板与配置方法,助您轻松实现云上数据安全与合规管理。
弹性伸缩配置中镜像来源为指定类型的来源,视为“合规”。参数默认值为共享类型。弹性伸缩配置中未指定镜像来源时,视为“不适用”。应用场景 当运维人员要求公司所有的ECS实例使用统一来源的镜像时,可以通过该规则进行检查。风险等级 ...
规则详情 参数 说明 规则名称 使用高可用版本的MSE注册配置中心 规则模板标识 mse-cluster-multi-availability-area-architecture-check 自动修正 不支持 规则触发机制 周期24小时,配置变更 规则评估的资源类型 ACS:MSE:Cluster 规则入参 ...
ACK集群开启并配置容器安全策略,视为“合规”。应用场景 配置容器安全策略,帮助企业安全运维管理人员更好的使用策略治理相关能力。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 ACK集群...
本文为您介绍如何通过事件总线EventBridge的投递功能,将配置审计投递至轻量消息队列(原 MNS)的投递事件发送至钉钉。前提条件 请确保您已开通事件总线EventBridge。具体操作,请参见 开通事件总线EventBridge并授权。请确保您已开通轻量...
应用架构 资源配置记录 查看资源配置变更记录。查看资源配置时间线 资源合规记录 查看资源合规记录。查看资源合规时间线 资源合规管理 通过规则模板、合规包,检测资源合规情况,修复不合规资源,提升资源合规率 功能集 功能 功能描述 参考...
同时账号组又提供了等同于企业版配置审计的功能。本次账号组功能发布对您无影响。控制台的变更 配置审计基于账号组提供面向企业内企业管理账号和所有成员账号的合规管理能力。账号组相比于企业版配置审计的升级点在于:企业版配置审计:...
背景信息 资源清单中仅展示已支持配置审计的云服务和资源类型。更多信息,请参见 配置审计支持的资源类型和资源关系。操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行该操作。单个阿里云...
关闭配置审计服务。接口说明 说明 当您关闭配置审计服务后,配置审计中存储的资源配置数据、已创建的规则和合规结果将自动被清空且不可恢复,请您慎重操作。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行...
检测ACK集群巡检中的“节点池伸缩配置不可用”风险项。当此巡检项无风险时,视为“合规”。规则通过获取最后一次巡检报告结果作为检测依据,如果集群未开通巡检配置评估为“不适用”。风险等级 默认风险等级:中风险。当您使用该规则时,...
终端节点服务配置多个可用区,视为“合规”。应用场景 多可用区部署是一种提高云服务可靠性、性能和可扩展性的有效方式,可以为企业的业务提供更好的保护和支持。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更...
您变更资源配置后,配置审计将在0~10分钟内监控到变更。因为配置审计对资源配置变更的感知有10分钟的窗口期。如果您在一个窗口期内,对资源进行变更后又恢复原样,则可能不会在配置审计中生成变更记录。
本文详解阿里云配置审计中传统型负载均衡(CLB)的合规规则,深入解析其检测逻辑与修正建议,助您掌握配置最佳实践,避免因配置不当引发的安全风险与合规问题。
ACK集群配置Secret的落盘加密,视为“合规”。非专业托管版集群,视为“不适用”。应用场景 在ACK Pro集群中,您可以使用在阿里云密钥管理服务KMS(Key Management Service)中创建的密钥加密Kubernetes Secret密钥,保障数据安全。风险...
背景信息 关于配置审计支持的资源关系,请参见 配置审计支持的资源类型和资源关系。操作步骤 登录 配置审计控制台。(可选)在左上角选择目标账号组。仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。在 全局资源 页面,通过...
基于配置审计确保资源持续合规的核心理念,对于规则评估为不合规的资源进行修正,将成为保证资源持续合规的重要一环。如果您在创建规则时设置了修正,当规则检测到不合规资源时,可以执行修正,快速纠正不合规配置,确保您云上IT系统实现...
当企业在云上有多个账号时,安全应急团队或运维团队需要实时了解整个企业的云上资源动态,订阅重要或高风险资源的配置变更信息,以便及时监控和维护这些资源。企业通过资源目录对多个账号中的资源进行统一管理后,可以通过配置审计将资源的...
配置审计的功能 计费的云服务 相关文档 基于函数计算创建自定义规则 函数计算FC 函数计算FC计费说明 设置投递数据到日志服务SLS 日志服务SLS 日志服务SLS计费说明 设置投递数据到对象存储OSS 对象存储OSS 对象存储OSS计费说明 设置投递数据...
合规检测历史的点是每一次合规评估的结果,合规评估可能是定时任务、实时变更触发或手动触发。配置变更历史的点是每一次...如果您的规则是通过配置变更来触发的,则合规检测历史上规则评估的点跟配置变更历史上配置变更的点是同一个时间点。
接口说明 配置审计为您提供每个监控范围内资源的配置变更历史,具体如下:对于您开通配置审计服务时已保有的资源,配置变更历史的起点是服务开通时间。对于您开通配置审计服务后新建的资源,配置变更历史的起点是资源新建时间。配置审计每 ...
您可以查看当前阿里云账号及其所有RAM用户最近90天在配置审计服务中进行的管控操作,包括访问配置审计控制台和OpenAPI。背景信息 操作事件的参数含义,请参见 管控事件结构定义。配置审计支持的API接口,请参见 API概览。操作步骤 登录 ...
TR配置路由条目数量不存在超限风险,视为“合规”。未启用网络巡检服务,视为“不适用”。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 TR配置路由条目数量不存在超限风险,视为“合规”。未...
删除规则后,其配置信息不再保留。背景信息 当您删除目标合规包时,该合规包中的所有规则自动被删除。关于如何删除合规包,请参见 删除合规包。操作步骤 登录 配置审计控制台。在左侧导航栏,选择 合规审计 规则。删除规则。单个删除 单击...
当您基于函数计算新建自定义规则时,如果规则被触发,配置审计会运行规则对应的函数对资源进行检测,并提供资源合规评估结果。本文通过Python示例为您介绍函数规则的函数代码和函数入参。什么是自定义函数规则 自定义函数规则是配置审计...
背景信息 管理账号可以在配置审计中查看所有成员的资源列表、资源配置变更历史和资源合规状态,并监控资源配置合规性。成员可以查看自己归属的账号组,以及管理账号为自己新建的规则、合规包和投递任务,还可以在 当前账号 页签,独立检测...
本文以Python SDK为例,为您介绍如何通过OpenAPI调用ListDiscovereesources接口查询配置审计资源列表。步骤一:查看OpenAPI文档 通过阅读 API概览 得知,查询配置审计资源列表的OpenAPI为 ListDiscovereesources。请您根据文档,了解调用该...
配置审计已与操作审计服务集成,您可以在操作审计中查询用户操作配置审计产生的管控事件。操作审计支持将管控事件投递到日志服务SLS的日志库(LogStore)或对象存储OSS的存储空间(Bucket)中,满足实时审计、问题回溯分析等需求。操作审计...
本文以通过合规包模板 ECS合规管理最佳实践 快速检测ECS实例的合规性,并将资源不合规事件投递到日志服务SLS为例,为您介绍通过配置审计检测单账号的资源合规性的具体操作流程。前提条件 请确保您是未被管理账号加入资源目录的独立的阿里云...
资源目录中的管理账号或委派管理员账号...账号组中成员的配置审计服务关联角色被保留。...操作步骤 登录 配置审计控制台。在左侧导航栏,单击 账号组。在 账号组 页面,单击目标账号组对应 操作 列的 删除。在 删除账号组 对话框,单击 确定。
在配置审计中,每个资源都有属于自己的合规检测历史。当规则评估该资源时,产生合规评估记录,持续的合规评估形成了资源的合规检测历史。背景信息 合规检测历史是资源的一组合规评估记录,包括的要素如下表所示。要素 说明 合规检测历史上...
在配置审计中,每个资源都有属于自己的合规检测历史。当规则评估该资源时,产生合规评估记录,持续的合规评估形成了资源的合规检测历史。背景信息 合规检测历史是资源的一组合规评估记录,包括的要素如下表所示。要素 说明 合规检测历史上...
DescribeDiscoveredResource 查询资源配置详情 查询指定资源的配置详情。GetResourceComplianceTimeline 查询资源合规检测历史 查询指定资源的合规检测历史。GetResourceConfigurationTimeline 查询资源配置变更历史 查询指定资源的配置...
如果成员未新建配置审计服务关联角色,则会自动新建。成员已有的规则和合规包会被保留。成员已设置的资源投递和资源事件通知自动被清空且剥夺设置权限,只能遵从管理账号或委派管理员账号的设置。成员在 概览、资源、合规包 和 规则 菜单,...
ACK集群启用智能运维配置巡检功能,可以扫描集群运行状况,发现集群中存在的潜在风险,视为“合规”。应用场景 容器智能运维平台提供集群巡检功能。您可以扫描集群运行状况,发现集群中存在的潜在风险,例如云资源配额余量、Kubernetes集群...
如果规则的触发机制设置为 配置变更,其触发原理如下:当处于窗口期头和尾的两个资源配置快照呈现出不同时,配置审计首先对比出详细的差异,再针对这个对比结果进行审计。如果资源配置的变更和修复恰好处于窗口期,则配置审计无法感知变更...
规则详情 参数 说明 规则名称 ECS启动模板配置不应设置公网访问 规则标识 ecs-launch-template-network-type-check 标签 Image 自动修正 不支持 规则触发机制 配置变更 规则支持的资源类型 ACS:ECS:LaunchTemplateVersion 规则入参 ...
查看资源列表 具体操作,请参见 查看资源清单。查看资源详情 具体操作,请参见 查看资源信息。查看资源配置变更历史 具体操作,请参见 查看资源配置变更历史。查看资源合规检测历史 具体操作,请参见 查看资源合规检测历史。
规则详情 参数 说明 规则名称 RDS实例主备自动切换配置检测 规则标识 rds-haconfig-enabled 标签 RDS 自动修正 支持 ACS-RDS-BulkyModifyHASwitchConfig 规则触发机制 周期执行 触发频率 24小时 规则支持的资源类型 ACS:RDS:DBInstance ...
RDS集群的主备节点需要配置为相同的实例大小,视为“合规”。风险等级 默认风险等级:中风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 RDS集群的主备节点需要配置为相同的实例大小,视为“合规”。规则详情 参数 说明 ...