本文解释了配置审计的基本概念,帮助您正确理解和使用配置审计。

概念 说明
资源类型 资源类型是一组实体资源的归类。例如:云服务器ECS实例的资源类型为ECS实例。资源可以分为以下几类:
  • 计算实例、存储实例等实体资源。
  • 工作组、工作流等应用级产品的管理资源。
  • 角色、策略等权限相关的管理资源。
资源配置详情 配置审计通过云服务开放的资源查询接口可获取当前阿里云账号下的所有资源。您可以在资源列表中查看各个资源的配置信息,也可以快速跳转到指定资源的云服务控制台,对其进行管理。
监控范围 监控范围指监控资源类型的范围,监控的粒度是资源类型。
  • 当某个资源类型在监控范围内时,当前阿里云账号下该资源类型的所有资源都会被追踪,每10分钟记录一次配置变更。
  • 当某个资源类型被移出监控范围时,当前阿里云账号下该资源类型的所有资源都停止记录配置变更。
规则 规则指用于判断资源配置是否合规的规则函数。配置审计使用函数计算中的函数来承载规则代码。规则绑定资源类型后,当该资源类型中的资源发生配置变更时,自动触发规则评估,检查本次配置变更的合规性。您也可以设置规则定时触发,配置审计定时为您检查所有资源的合规性。配置审计支持的规则如下:
  • 托管规则

    关于托管规则,请参见托管规则列表

  • 自定义规则
    • 使用函数计算新建规则

      您需要先在函数计算控制台新建函数,再在配置审计控制台上选择函数ARN。关于使用函数计算新建规则的具体操作,请参见使用函数计算新建规则

    • 使用可视化编辑器新建规则

      关于使用可视化编辑器新建规则的具体操作,请参见使用可视化编辑器新建规则

配置时间线 配置审计为您提供每个监控范围内资源的配置时间线。
  • 对于您开通配置审计服务时已保有的资源,配置时间线的起点是服务开通时间。
  • 对于您开通配置审计服务后新建的资源,配置时间线的起点是资源新建时间。配置审计每10分钟记录一次资源配置变更,如果资源配置变更,则会在配置时间线出现一个节点,显示该时间点的资源配置详情、变更详情,以及该变更涉及的操作事件。
合规时间线 规则评估在资源配置变更发生时触发,配置时间线会有一个对应的合规时间线,是每次合规评估结果的历史记录。合规时间线的合规评估记录与规则触发方式有关。
  • 如果规则为定时触发,则只包括定时评估的记录。
  • 如果规则为资源配置变更触发,则只包括配置变更时评估的记录。
  • 如果规则同时为定时触发和资源配置变更触发,则同时包括定时和配置变更时评估的记录。
等保预检 等保2.0预检为云上的合规检测,为您动态且持续地检测阿里云上资源的合规性,从而避免正式检测时多次反复整改,帮助您快速通过等保检测。关于等保2.0的更多信息,请参见等保2.0解读
CIS CIS(Center for Internet Security)是互联网安全中心。CIS Control网络安全架构是任何企业为了实现基本网络安全而必须满足的前20个控制点或目标的列表。
个人版配置审计 如果您无跨账号合规管理的需求,则您可以使用个人版配置审计,管理单个阿里云账号下资源的合规审计。
企业版配置审计 在云上使用多个企业管理账号的企业客户,可将配置审计升级为企业版配置审计,实现跨账号的中心化合规管理。配置审计与资源目录相结合,使企业客户可以在企业管理账号中对所有成员账号的资源配置进行合规审计。
企业管理账号

企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。

说明 企业管理账号位于资源目录外部,不归属于资源目录,所以不受资源目录的任何管控策略影响。
成员账号

在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。您可以通过企业管理账号授予RAM用户、RAM用户组或RAM角色对成员账号内资源的访问权限。

成员账号被企业管理账号邀请进入资源目录,或由企业管理账号在资源目录内直接创建。