企业版配置审计自动对资源进行合规性评估,当资源被评估为不合规时,可及时通过消息服务MNS向您发送通知。通过本文您可以了解资源不合规事件的代码示例和主要参数说明。

资源不合规事件的主要参数说明如下表所示。
参数 说明
annotation 资源不合规描述信息。
configuration 资源当前实际配置,即资源不合规配置。
desiredValue 资源期望配置,即资源合规配置。
operator 资源当前配置和期望配置之间的比较运算符。
property 当前配置在资源属性结构体中的JSON路径,例如:$.AccessControlList.Grant
accountId 资源所属的阿里云账号ID。
riskLevel 规则风险等级。取值:
  • Info:低风险。
  • Warning:中风险。
  • Critical:高风险。
evaluationResultIdentifier 合规评估的详细信息。
resourceId 资源ID。
configRuleName 规则名称。
configRuleArn 规则ARN。
configRuleId 规则ID。
regionId 资源所在地域ID。
resourceOwnerId 资源所属的阿里云账号ID。
resourceType 资源类型。支持的资源类型请参见支持配置审计的云服务
eventType 事件类型。取值:
  • ResourceChange:资源变更事件。
  • ResourceCompliance:资源不合规事件。
  • SnapshotDelivery:资源快照投递事件。
complianceType 规则合规类型。取值:
  • COMPLIANT:合规。
  • NON_COMPLIANT:不合规。
企业管理账号在企业版配置审计中新建规则test-oss-bucket-public-read-prohibited,用于检测对象存储OSS上海地域的存储桶(Bucket)config-snapshot的读写权限。存储桶config-snapshot的实际配置为public-read(公共读),期望配置为NotContains read(不包含读权限),检测结果为NonCompliant(不合规)。代码示例如下:
{
  "annotation": "{\"configuration\":\"public-read\",\"desiredValue\":\"read\",\"operator\":\"NotContains\",\"property\":\"$.AccessControlList.Grant\"}",
  "accountId": 169827232854****,
  "riskLevel": "Critical",
  "resultRecordedTimestamp": 1595419396740,
  "eventName": "NonCompliant",
  "evaluationResultIdentifier": {
    "orderingTimestamp": 1595419392092,
    "evaluationResultQualifier": {
      "resourceId": "config-snapshot",
      "configRuleName": "test-oss-bucket-public-read-prohibited",
      "configRuleArn": "acs:config::169827232854****:config-rule/cr-610ad6e0007300a8****",
      "configRuleId": "cr-610ad6e0007300a8****",
      "regionId": "cn-shanghai",
      "resourceName":"config-snapshot",
      "resourceOwnerId":169827232854****,
      "resourceType": "ACS::OSS::Bucket"
    }
  },
  "eventType": "ResourceCompliance",
  "invokingEventMessageType": "ConfigurationItemChangeNotification",
  "configRuleInvokedTimestamp": 1595419392092,
  "notificationCreationTime": 1595419396769,
  "complianceType": "NON_COMPLIANT"
}