企业版配置审计是配置审计和资源管理的集成,为使用多个企业管理账号的企业客户提供了中心化的合规审计能力。

说明 关于资源管理,请参见什么是资源管理

功能特性

企业版配置审计可以支持如下功能:
  • 企业管理账号在配置审计升级为企业版后,将为所有成员账号开启企业版配置审计服务,新加入的成员账号也将自动开启该服务。
  • 企业管理账号设置合规规则后,可选择将规则应用到所有成员账号,该规则将对所有成员账号生效。
  • 企业管理账号可以查看所有成员的资源列表、资源配置历史和资源合规现状。
  • 企业管理账号可以通过简单设置,将所有的资源配置变更快照统一保存到OSS Bucket。
  • 禁止成员账号在企业版配置审计中执行创建、修改、删除操作,从而实现中心化的合规管控。

产品架构

企业版配置审计与资源目录的协作原理如下图所示。资源目录提供多企业管理账号的管理能力,将企业多个云上企业管理账号定义为有逻辑关系的树结构。配置审计提供合规管理能力,支持企业面向资源目录,查看所有账号的资源列表、资源配置历史和资源合规现状,并监控资源配置合规性。企业版配置审计产品架构

基本概念

名词 说明
企业管理账号

企业管理账号是资源目录的超级管理员,也是开通资源目录的初始账号,对其创建的资源目录和成员账号拥有完全控制权限。只有通过企业实名认证的阿里云账号才能开通资源目录,每个资源目录有且只有一个企业管理账号。

成员账号

成员账号是阿里云账号在资源目录中的一种称呼。在资源目录内,成员账号作为资源容器,是一种资源分组单位。成员账号通常用于指代一个项目或应用,每个成员账号中的资源相对其他成员账号中的资源是物理隔离的。

成员账号被企业管理账号邀请进入资源目录,或由企业管理账号在资源目录内直接创建。

规则 企业版配置审计中,由企业管理账号创建并应用到所有成员账号的配置审计合规规则。
审计内容存储 由企业管理账号设置,将企业管理账号和成员账号中的资源配置变更快照以文件形式统一保存到OSS Bucket。
个人版配置审计 如果您无跨账号合规管理的需求,则您可以使用个人版配置审计,管理单个阿里云账号下资源的合规审计。
企业版配置审计 在云上使用多个阿里云企业管理账号的企业客户,可将配置审计升级为企业版配置审计,实现中心化跨账号的合规管理。配置审计与资源目录相结合,使企业客户可以在企业管理账号中对所有成员账号的资源配置进行合规审计。
说明 个人版配置审计升级为企业版后,原有部分功能暂时被裁剪,例如:等保预检、接收资源事件等。这些功能后续会逐步补充进企业版,请您耐心等待。

企业版配置审计的升级说明

您需要先在资源管理中创建资源目录,相应的企业管理账号才能在配置审计控制台的概览页面看到升级企业版的入口。

您以企业管理账号登录配置审计控制台概览页,单击升级企业版后,配置审计需要一定时间为您的所有成员账号开启企业版配置审计服务,需要消耗的时间因成员账号的数量而不同,请您耐心等待。请您明确以下升级内容后,再执行该操作。
  • 升级后,企业管理账号和成员账号的功能和控制台均会有相应变化。配置审计个人版与企业版的功能对比如下表所示。
    功能 个人版 企业版-企业管理账号 企业版-成员账号
    账号 当前账号下的合规管理。 通过企业管理账号登录,实现跨账号的合规管理。 被企业管理账号管理。
    概览 当前账号下的合规概览。 两个概览视图,本账号概览成员账号概览页面。 仅查看当前账号的概览页面。
    资源监控范围 自定义。 默认监控全部资源类型,且不能修改。 默认监控全部资源类型,且不能修改。
    查看资源 查看当前账号下的资源列表、资源配置历史和资源合规现状。 查看企业管理账号和所有成员账号下的资源列表、资源配置历史和资源合规现状。 查看当前账号下的资源列表、资源配置历史和资源合规现状。
    合规规则 对当前账号下的资源生效。 可选择仅对企业管理账号生效,或对所有成员账号生效。 被动接收由企业管理账号分配的规则,禁止创建、修改和删除。
    审计内容存储 自定义。 自定义后默认对所有成员账号生效,成员账号的资源配置变更快照将投递到指定的地址。 禁止自定义,账号下资源的配置变更快照将投递到企业管理账号指定的地址。
    等保预检 支持。 暂不支持。 暂不支持。
    接收资源事件 支持。 暂不支持。 暂不支持。
  • 当资源目录中的成员账号变更时,企业版配置审计的处理如下表所示。
    变更 企业版配置审计的处理
    新加入账号 自动开启企业版配置审计,并继承企业管理账号已下发给成员账号的规则。成员账号下的资源配置变更快照将投递到企业管理账号指定的地址。
    移除账号 自动删除企业管理账号下发的合规规则,也将停止向企业管理账号指定的地址投递资源变更快照。可以正常使用个人版配置审计。
    移动归属目录 企业管理账号在规则管理资源列表中查看的目录树随之变化,规则评估和资源配置变更快照的投递将不受影响。

使用限制

企业版配置审计的使用限制如下:
  • 企业版配置审计目前处于邀测阶段,您需要通过提交工单或向服务经理申请白名单,才能使用该服务。
  • 您需要先在资源管理控制台的资源目录中创建您的资源目录。
  • 必须由企业管理账号或被授予管理员权限的RAM用户登录企业版配置审计控制台,才能创建规则和设置审计内容存储,并使设置对所有成员账号生效。
  • 禁止成员账号在企业版配置审计中的所有写操作。
  • 一个企业管理账号最多可以创建200条规则。
  • 个人版配置审计升级到企业版后,企业管理账号和成员账号的原有配置被自动清除,由企业管理账号统一管理。
  • 个人版配置审计升级到企业版后,暂不支持回退。
    说明 个人版和企业版配置审计均免费。