当配置审计发现资源配置有变更且不合规时,以事件通知的形式将告警推送到您指定的消息服务MNS主题。当您收到不合规告警时,通过函数计算实现不合规资源的自动修复。
前提条件
应用场景
您在配置审计控制台通过托管规则oss-bucket-public-read-prohibited新建一条资源类型为ACS::OSS::Bucket的规则,配置审计自动审计当前账号下所有资源类型为OSS
Bucket的资源,其中一条资源的合规结果为不合规,如下图所示。

数据规划
本文以修复对象存储OSS的存储桶的读写权限为例,为您介绍通过配置审计的MNS通知机制实现不合规资源自动修复的操作方法。相关数据规划如下表所示。
云服务 | 参数 | 示例 |
---|---|---|
配置审计 | 托管规则 | oss-bucket-public-read-prohibited |
规则名称 | test-oss-bucket-public-read-prohibited | |
消息服务 | 主题名称 | MNSTestConfig |
主题地域 | 华东2(上海) | |
对象存储OSS | OSS Bucket | config-snapshot |
Bucket ACL | 公共读 | |
函数计算 | 服务 | resource_repair |
服务的系统模板权限 | AliyunOSSFullAccess | |
函数 | oss_repair_acl_trigger | |
触发器 | ConfigRuleNonComplianceMNSTrigger |
说明
由于配置审计部署在华东2(上海),为了减少网络损耗,建议消息服务MNS的主题地域选择华东2(上海)。
操作流程
通过配置审计的MNS通知机制实现不合规资源自动修复的操作流程如下图所示。

在文档使用中是否遇到以下问题
更多建议
匿名提交