通过本文您可以了解配置审计中用到的基本概念,帮助您正确理解和使用本产品。

资源类型

配置审计是面向资源的审计服务。资源类型是一组实体资源的归类。例如:云服务器ECS的实例资源类型为:ACS::ECS::Instance。资源可以分为以下几类:

  • 计算实例、存储实例等实体资源。
  • 工作组、工作流等应用级产品的管理资源。
  • 角色、策略等权限相关的管理资源。

资源配置详情

配置审计通过云产品开放的资源查询接口可获取当前账号下所有资源。您可以在资源列表中查看各个资源的配置信息,也可以快速跳转到指定资源的云产品控制台,对其进行管理。

监控范围

监控范围指监控资源类型的范围,监控的粒度是资源类型。

  • 当某个资源类型在监控范围内时,当前账号下所有该类型的实体资源都会被追踪,每10分钟记录配置变更。
  • 当某个资源类型被移出监控范围时,当前账号下该类型的实体资源都将停止记录配置变更。

配置时间线

配置审计为您提供每个监控范围内的资源配置时间线。

  • 对于您开通配置审计服务时已保有的资源,配置时间线的起点是服务开通时间。
  • 对于您开通配置审计服务后新建的资源,配置时间线起点是资源新建时间。配置审计每10分钟记录资源配置变更,如果资源配置变更,则会在配置时间线出现一个节点,显示该时间点的资源配置详情、变更详情,以及该变更涉及的操作事件。

规则

规则指用于判断资源配置是否合规的规则函数。配置审计服务使用函数计算服务的函数来承载规则代码。规则绑定资源类型后,当该资源类型中的资源发生配置变更时,自动触发规则评估,检测本次变更的合规性。您也可以设置规则定时触发,配置审计定时为您检测所有资源的合规性。配置审计支持的规则如下:
  • 托管规则

    配置审计为您提供托管规则,请参见托管规则列表

  • 自定义规则

    自定义规则需要您先在函数计算控制台上新建函数,再在配置审计控制台上选择函数ARN,请参见自定义规则的开发。通过自定义规则可以更好的支持个性化的合规场景。

    您还可以使用可视化编辑器新建自定义规则,请参见使用可视化编辑器创建规则

合规时间线

规则评估可以在变更发生时触发,对应的配置时间线会有一个对应的合规时间线,是每次合规评估结果的历史记录。合规时间线的合规评估记录与规则触发方式有关。

  • 如果规则为定时触发,则只包括定时评估的记录。
  • 如果规则为变更触发,则只包括每次变更时评估的记录。
  • 如果选择了两种触发方式,则包括上述两种评估记录。

等保预检

等保2.0预检为云上的合规检测规则,为您动态且持续的检测阿里云上资源的合规性,从而避免正式检测时多次反复整改,帮助您快速通过等保检测。关于等保2.0更多信息,请参见等保2.0解读