Terapkan kepatuhan resource melalui API CreateConfigRule - Cloud Config

Membuat aturan dari templat atau aturan kustom menggunakan Function Compute untuk memeriksa kepatuhan resource. Setelah aturan dibuat, Cloud Config menjalankan evaluasi awal dan kemudian secara otomatis memicu evaluasi berikutnya berdasarkan pemicu yang ditentukan. Anda juga dapat menjalankan evaluasi secara manual.

Deskripsi operasi

Batasan

Anda dapat membuat hingga 200 aturan per akun.

Informasi latar belakang

Anda dapat membuat aturan di Cloud Config dengan dua cara:

Buat aturan dari templat

Templat aturan adalah fungsi aturan yang telah ditentukan sebelumnya oleh Cloud Config di Function Compute. Anda dapat menggunakan templat aturan untuk membuat aturan dengan cepat. Untuk informasi selengkapnya, lihat Definisi dan prinsip kerja aturan.
Buat aturan kustom menggunakan Function Compute

Aturan kustom menggunakan fungsi Function Compute untuk menghosting kode aturan Anda. Jika templat aturan bawaan Cloud Config tidak memenuhi kebutuhan kepatuhan Anda, Anda dapat menulis kode fungsi sendiri untuk memeriksa kepatuhan dalam skenario kompleks. Untuk informasi selengkapnya, lihat Definisi dan prinsip kerja aturan kustom.

Catatan penggunaan

Topik ini menunjukkan cara membuat aturan dari templat required-tags. Respons menegaskan bahwa aturan berhasil dibuat. ID-nya adalah cr-5772ba41209e007b****.

Coba sekarang

Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

Test

RAM authorization

Tabel berikut menjelaskan otorisasi yang diperlukan untuk memanggil API ini. Anda dapat menentukannya dalam kebijakan Resource Access Management (RAM). Kolom pada tabel dijelaskan sebagai berikut:

Action: Aksi yang dapat digunakan dalam elemen Action pada pernyataan kebijakan izin RAM untuk memberikan izin guna melakukan operasi tersebut.
API: API yang dapat Anda panggil untuk melakukan aksi tersebut.
Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.
Resource type: Jenis resource yang mendukung otorisasi untuk melakukan aksi tersebut. Ini menunjukkan apakah aksi tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan aksi tersebut. Jika tidak, kebijakan tersebut tidak akan berlaku.
- Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan Nama Sumber Daya Alibaba Cloud (ARN) yang sesuai dalam elemen Resource pada kebijakan.
- Untuk API tanpa izin tingkat resource, ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource pada kebijakan.
Condition key: Kunci kondisi yang didefinisikan oleh layanan. Kunci ini memungkinkan kontrol granular, berlaku baik hanya untuk aksi maupun untuk aksi yang terkait dengan resource tertentu. Selain kunci kondisi spesifik layanan, Alibaba Cloud menyediakan serangkaian common condition keys yang berlaku di semua layanan yang didukung RAM.
Dependent action: Aksi dependen yang diperlukan untuk menjalankan aksi tersebut. Untuk menyelesaikan aksi tersebut, pengguna RAM atau role RAM harus memiliki izin untuk melakukan semua aksi dependen.

Action

Access level

Resource type

Condition key

Dependent action

config:CreateConfigRule

create

*Rule

acs:config:*:{#accountId}:rule/*

None

Parameter permintaan

Parameter	Type	Required	Description	Example
TagKeyScope `deprecated`	string	No	Parameter ini sudah tidak digunakan lagi. Gunakan parameter `TagsScope` sebagai gantinya. Aturan hanya berlaku untuk resource yang memiliki kunci tag tertentu. Catatan Parameter ini hanya berlaku untuk managed rules. Anda harus mengatur kedua parameter `TagKeyScope` dan `TagValueScope`.	ECS
TagValueScope `deprecated`	string	No	Parameter ini sudah tidak digunakan lagi. Gunakan parameter `TagsScope` sebagai gantinya. Aturan hanya berlaku untuk resource yang memiliki nilai tag tertentu. Catatan Parameter ini hanya berlaku untuk templat aturan. Anda harus mengatur kedua parameter `TagKeyScope` dan `TagValueScope`.	test
TagKeyLogicScope	string	No	Operator logika yang digunakan saat Anda menentukan beberapa tag untuk parameter `TagsScope`. Misalnya, jika Anda mengatur `TagsScope` menjadi `"TagsScope.1.TagKey":"a","TagsScope.1.TagValue":"a","TagsScope.2.TagKey":"b","TagsScope.2.TagValue":"b"` dan mengatur parameter ini menjadi `AND`, aturan hanya berlaku untuk resource yang memiliki kedua tag `a:a` dan `b:b`. Jika Anda tidak menentukan parameter ini, nilai default `OR` akan digunakan. Parameter ini juga berfungsi dengan parameter `TagKeyScope` yang sudah tidak digunakan lagi. Misalnya, jika Anda mengatur `TagKeyScope` menjadi `ECS,OSS` dan mengatur parameter ini menjadi `AND`, aturan hanya berlaku untuk resource yang memiliki kedua tag `ECS` dan `OSS`. Nilai yang valid: AND: Gunakan logika AND. OR: Gunakan logika OR.	AND
TagsScope	array<object>	No	Cakupan tag.
	object	No
TagKey	string	No	Kunci tag.	key-1
TagValue	string	No	Nilai tag.	value-1
ExcludeTagsScope	array<object>	No	Cakupan tag yang akan dikecualikan.
	object	No
TagKey	string	No	Kunci tag.	key-2
TagValue	string	No	Nilai tag.	value-2
Description	string	No	Deskripsi aturan.	最多可以定义6组标签。如果资源同时具有指定的所有标签，则视为“合规”。
SourceOwner	string	Yes	Jenis aturan yang akan dibuat. Nilai yang valid: ALIYUN: templat aturan. CUSTOM_FC: aturan Function Compute kustom. CUSTOM_CONFIGURATION: aturan kondisi kustom.	ALIYUN
MaximumExecutionFrequency	string	No	Frekuensi eksekusi aturan. Nilai yang valid: One_Hour: setiap jam. Three_Hours: setiap tiga jam. Six_Hours: setiap enam jam. Twelve_Hours: setiap dua belas jam. TwentyFour_Hours (default): setiap dua puluh empat jam. Catatan Parameter ini wajib diisi jika Anda mengatur ConfigRuleTriggerTypes ke ScheduledNotification.	One_Hour
Conditions	string	No	Kondisi untuk aturan kondisi kustom, dalam format JSON.	{"ComplianceConditions":"{\"operator\":\"and\",\"children\":[{\"operator\":\"StringEquals\",\"featurePath\":\"$.Status\",\"desired\":\"1\",\"featureSource\":\"CONFIGURATION\"}]}"}
RegionIdsScope	string	No	Aturan hanya berlaku untuk resource di wilayah tertentu. Pisahkan beberapa ID wilayah dengan koma (,). Catatan Parameter ini hanya berlaku untuk templat aturan.	cn-hangzhou
ExcludeRegionIdsScope	string	No	Aturan tidak berlaku untuk resource di wilayah tertentu. Kepatuhan resource di wilayah-wilayah tersebut tidak dievaluasi. Pisahkan beberapa ID wilayah dengan koma (,).	cn-shanghai
ResourceGroupIdsScope	string	No	Aturan hanya berlaku untuk resource dalam kelompok sumber daya tertentu. Pisahkan beberapa ID kelompok sumber daya dengan koma (,). Catatan Parameter ini hanya berlaku untuk templat aturan.	rg-aekzc7r7rhx****
ExcludeResourceGroupIdsScope	string	No	Aturan tidak berlaku untuk resource dalam kelompok sumber daya tertentu. Kepatuhan resource dalam kelompok sumber daya tersebut tidak dievaluasi. Pisahkan beberapa ID kelompok sumber daya dengan koma (,).	rg-bnczc6r7rml****
InputParameters	object	No	Parameter input untuk aturan. Anda dapat memperoleh parameter input suatu aturan dengan memanggil operasi GetManagedRule. Lihat parameter `CompulsoryInputParameterDetails` dan `OptionalInputParameterDetails` untuk mengetahui parameter wajib dan opsional. Format parameter input adalah `{"Nama Parameter 1":"Nilai Parameter 1","Nama Parameter 2":"Nilai Parameter 2"}`.	{"key1":"value1","key2":"value2"}
ResourceIdsScope	string	No	Aturan berlaku untuk resource tertentu. Pisahkan beberapa ID resource dengan koma (,).	lb-5cmbowstbkss9ta03****
ExcludeResourceIdsScope	string	No	Aturan tidak berlaku untuk resource tertentu. Kepatuhan resource tersebut tidak dievaluasi. Pisahkan beberapa ID resource dengan koma (,). Catatan Parameter ini hanya berlaku untuk templat aturan.	lb-t4nbowvtbkss7t326****
SourceIdentifier	string	Yes	Identifier aturan. Jika Anda mengatur `SourceOwner` ke `ALIYUN`, tentukan identifier templat aturan. Contoh: `required-tags`. Catatan Untuk menanyakan identifier templat aturan, lihat Daftar templat aturan. Jika Anda mengatur `SourceOwner` ke `CUSTOM_CONFIGURATION`, atur parameter ini ke `acs-config-configuration`. Jika Anda mengatur `SourceOwner` ke `CUSTOM_FC`, tentukan Nama Sumber Daya Alibaba Cloud (ARN) fungsi tersebut. ARN harus dalam format `acs:fc:{Region}:{AccountID}:services/{ServiceName}.LATEST/functions/{FunctionName}`. Contoh: `acs:fc:cn-hangzhou:120886317861**:services/service-test.LATEST/functions/config-test`. Catatan** Untuk mendapatkan ARN fungsi, lihat ListFunctions.	required-tags
ConfigRuleTriggerTypes	string	Yes	Pemicu yang menjalankan aturan. Nilai yang valid: ConfigurationItemChangeNotification: Aturan dijalankan ketika konfigurasi resource berubah. ScheduledNotification: Aturan dijalankan sesuai jadwal reguler. Catatan Jika suatu aturan memiliki beberapa pemicu, pisahkan dengan koma (,).	ConfigurationItemChangeNotification
ConfigRuleName	string	Yes	Nama aturan.	存在所有指定标签
ClientToken	string	No	Token klien yang digunakan untuk memastikan idempotensi permintaan. Hasilkan token unik di klien Anda. Parameter `ClientToken` hanya boleh berisi karakter ASCII dan tidak boleh melebihi 64 karakter.	1594295238-f9361358-5843-4294-8d30-b5183fac****
ResourceTypesScope	array	Yes	Jenis resource yang akan dievaluasi. Pisahkan beberapa jenis resource dengan koma (,).	ACS::ECS::Instance
	string	No	Jenis resource yang akan dievaluasi. Pisahkan beberapa jenis resource dengan koma (,).	ACS::ECS::Instance
RiskLevel	integer	Yes	Tingkat risiko aturan. Nilai yang valid: 1: tinggi. 2: menengah. 3: rendah.	1
ExtendContent	string	No	Konten tambahan. Parameter ini menentukan waktu pemicu untuk siklus evaluasi 24 jam.	{"fixedHour":"13"}
Tag	array<object>	No	Tag aturan yang akan dibuat.
	object	No	Tag resource. Anda dapat menyambungkan hingga 20 tag.
Key	string	No	Kunci tag resource. Anda dapat menyambungkan hingga 20 kunci tag.	key-1
Value	string	No	Nilai tag resource. Anda dapat menyambungkan hingga 20 nilai tag.	value-1
ResourceNameScope	string	No	Aturan hanya berlaku untuk resource yang memiliki nama tertentu.	i-xxx

Untuk informasi selengkapnya tentang parameter permintaan umum, lihat Parameter umum.

Elemen respons

Element	Type	Description	Example
	object	Tidak ada
ConfigRuleId	string	ID aturan.	cr-5772ba41209e007b****
RequestId	string	ID permintaan.	6EC7AED1-172F-42AE-9C12-295BC2ADB751

Contoh

Respons sukses

JSONformat

{
  "ConfigRuleId": "cr-5772ba41209e007b****",
  "RequestId": "6EC7AED1-172F-42AE-9C12-295BC2ADB751"
}

Kode kesalahan

HTTP status code	Error code	Error message
400	ExceedMaxRuleCount	The maximum number of rules is exceeded.
400	ConfigRuleNotExists	The ConfigRule does not exist.
400	ConfigRuleExists	The ConfigRule already exists.
404	AccountNotExisted	Your account does not exist.
503	ServiceUnavailable	The request has failed due to a temporary failure of the server.

Lihat Error Codes untuk daftar lengkap.

Catatan rilis

Lihat Release Notes untuk daftar lengkap.