CreateAggregateConfigRule を使用してアカウントグループのルールを作成する - Cloud Config

指定されたアカウントグループのルールを作成します。テンプレートからルールを作成するか、Function Compute を使用してカスタムルールを作成できます。このルールは、リソースのコンプライアンスをチェックします。ルールが作成されると、自動的に一度実行されます。その後、Cloud Config は、ルールのトリガーに基づいて評価を実行します。手動で評価を実行することもできます。

操作説明

制限事項

各管理アカウントおよび委任された管理者アカウントは、最大 200 個のルールを持つことができます。

背景情報

Cloud Config は、ルールを作成するために次のメソッドをサポートしています。

テンプレートからルールを作成

ルールテンプレートは、Cloud Config が Function Compute (FC) で提供する事前定義されたルール関数です。ルールテンプレートを使用すると、ルールを迅速に作成できます。ルールの詳細については、「関連ドキュメント」をご参照ください。
Function Compute の関数に基づいてルールを作成

カスタム関数ルールは、コードが FC の関数でホストされているルールです。Cloud Config の事前定義されたルールテンプレートがコンプライアンス要件を満たさない場合は、関数コードを記述して、複雑なシナリオでのコンプライアンスをチェックします。カスタム関数ルールの詳細については、「関連ドキュメント」をご参照ください。

注意事項

この例では、`required-tags` テンプレートを使用して、アカウントグループ ca-a4e5626622af0079**** のルールを作成する方法を示します。レスポンスは、ルールが ID cr-4e3d626622af0080**** で作成されたことを示しています。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

アクション：特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。
API：アクションを具体的に実行するための API。
アクセスレベル：各 API に対して事前定義されているアクセスの種類。有効な値：create、list、get、update、delete。
リソースタイプ：アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。
- リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。
- リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。
条件キー：サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。
依存アクション：ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

config:CreateAggregateConfigRule

create

*AggregateConfigRule

acs:config:*:{#accountId}:aggregateconfigrule/*

なし

リクエストパラメーター

パラメーター	型	必須 / 任意	説明	例
ConfigRuleName	string	必須	ルールの名前。	存在所有指定标签
Description	string	任意	ルールの説明。	最多可以定义6组标签。如果资源同时具有指定的所有标签，则视为“合规”。
InputParameters	object	任意	ルールの入力パラメーター。	{"tag1Key":"ECS","tag1Value":"test"}
ConfigRuleTriggerTypes	string	必須	ルールのトリガータイプ。有効な値： ConfigurationItemChangeNotification：リソースの構成が変更されたときにルールがトリガーされます。 ScheduledNotification：ルールがスケジュールに基づいてトリガーされます。	ConfigurationItemChangeNotification
MaximumExecutionFrequency	string	任意	ルールが実行される頻度。有効な値： One_Hour：1 時間。 Three_Hours：3 時間。 Six_Hours：6 時間。 Twelve_Hours：12 時間。 TwentyFour_Hours (デフォルト)：24 時間。説明このパラメーターは、`ConfigRuleTriggerTypes` を `ScheduledNotification` に設定した場合に設定します。	One_Hour
ResourceTypesScope	array	必須	評価するリソースタイプ。複数のタイプはコンマ (,) で区切ります。	ACS::ECS::Instance
	string	任意	評価するリソースタイプ。複数のタイプはコンマ (,) で区切ります。	ACS::ECS::Instance
RiskLevel	integer	必須	ルールのリスクレベル。有効な値： 1：高 2：中 3：低	1
ClientToken	string	任意	リクエストのべき等性を保証するクライアントトークン。リクエストごとにクライアントから一意の値を生成します。`ClientToken` パラメーターには ASCII 文字のみを含める必要があり、長さは 64 文字以内である必要があります。	1594295238-f9361358-5843-4294-8d30-b5183fac****
AggregatorId	string	必須	アカウントグループの ID。アカウントグループの ID を取得する方法の詳細については、「関連ドキュメント」をご参照ください。	ca-a4e5626622af0079****
RegionIdsScope	string	任意	このルールは、指定されたリージョン内のリソースにのみ適用されます。複数のリージョン ID はコンマ (,) で区切ります。	cn-hangzhou
ExcludeRegionIdsScope	string	任意	このルールは、指定されたリージョン内のリソースには適用されません。これらのリージョン内のリソースは評価されません。複数のリージョン ID はコンマ (,) で区切ります。	cn-shanghai
ResourceIdsScope	string	任意	このルールは、指定されたリソースにのみ適用されます。複数のリソース ID はコンマ (,) で区切ります。	lb-5cmbowstbkss9ta03****
ExcludeResourceIdsScope	string	任意	このルールは、指定されたリソースには適用されません。これらのリソースは評価されません。複数のリソース ID はコンマ (,) で区切ります。	lb-t4nbowvtbkss7t326****
ResourceGroupIdsScope	string	任意	このルールは、指定されたリソースグループ内のリソースにのみ適用されます。複数のリソースグループ ID はコンマ (,) で区切ります。	rg-aekzc7r7rhx****
ExcludeResourceGroupIdsScope	string	任意	このルールは、指定されたリソースグループ内のリソースには適用されません。これらのグループ内のリソースは評価されません。複数のリソースグループ ID はコンマ (,) で区切ります。	rg-bnczc6r7rml****
TagKeyScope `deprecated`	string	任意	このパラメーターは非推奨です。代わりに `TagsScope` パラメーターを使用してください。このルールは、指定されたタグキーを持つリソースにのみ適用されます。複数のタグキーはコンマ (,) で区切ります。説明このパラメーターはルールテンプレートにのみ適用されます。`TagKeyScope` と `TagValueScope` の両方を一緒に設定してください。	ECS
TagValueScope `deprecated`	string	任意	このパラメーターは非推奨です。代わりに `TagsScope` パラメーターを使用してください。このルールは、指定されたタグ値を持つリソースにのみ適用されます。説明このパラメーターはルールテンプレートにのみ適用されます。`TagKeyScope` と `TagValueScope` の両方を一緒に設定してください。	test
TagKeyLogicScope	string	任意	`TagsScope` パラメーター内の複数のタグ間の論理関係。たとえば、`TagsScope` を `"TagsScope.1.TagKey":"a","TagsScope.1.TagValue":"a","TagsScope.2.TagKey":"b","TagsScope.2.TagValue":"b"` に設定し、このパラメーターを `AND` に設定した場合、ルールは `a:a` と `b:b` の両方のタグを持つリソースにのみ適用されます。デフォルト値は `OR` です。このパラメーターは非推奨の `TagKeyScope` パラメーターでも使用できますが、推奨されません。たとえば、`TagKeyScope` を `ECS,OSS` に設定し、このパラメーターを `AND` に設定した場合、ルールは `ECS` と `OSS` の両方のタグを持つリソースにのみ適用されます。有効な値： AND OR 列挙値: OR : OR AND : AND	AND
TagsScope	array<object>	任意	含めるタグの範囲。
	object	任意
TagKey	string	任意	リソースのタグキー。	key-1
TagValue	string	任意	リソースのタグ値。	value-1
ExcludeTagsScope	array<object>	任意	除外するタグの範囲。
	object	任意
TagKey	string	任意	除外するリソースのタグキー。	key-2
TagValue	string	任意	除外するリソースのタグ値。	value-2
SourceOwner	string	必須	ルールのタイプ。有効な値： ALIYUN：ルールテンプレート CUSTOM_FC：カスタム Function Compute ルール CUSTOM_CONFIGURATION：カスタム条件ルール	ALIYUN
SourceIdentifier	string	必須	ルールの識別子。 `SourceOwner` が `ALIYUN` の場合は、`required-tags` などのルールテンプレートの識別子を入力します。説明ルールテンプレートの識別子をクエリする方法の詳細については、「関連ドキュメント」をご参照ください。 `SourceOwner` が `CUSTOM_CONFIGURATION` の場合は、`acs-config-configuration` を入力します。 `SourceOwner` が `CUSTOM_FC` の場合は、Function Compute 関数の Alibaba Cloud リソース名 (ARN) を入力します。 ARN の形式は `acs:fc:{region}:{accountId}:services/{serviceName}.LATEST/functions/{functionName}` です。例： `acs:fc:cn-hangzhou:120886317861****:services/service-test.LATEST/functions/config-test`。説明関数の ARN を取得する方法の詳細については、「関連ドキュメント」をご参照ください。	required-tags
FolderIdsScope	string	任意	このルールは、指定されたフォルダー内のメンバーアカウントのリソースにのみ適用されます。複数のフォルダー ID はコンマ (,) で区切ります。説明このパラメーターは、グローバルアカウントグループのルールにのみ適用されます。このパラメーターはルールテンプレートにのみ適用されます。	fd-ZtHsRH****
ExcludeFolderIdsScope	string	任意	このルールは、指定されたフォルダー内のメンバーアカウントのリソースには適用されません。これらのフォルダー内のリソースは評価されません。複数のフォルダー ID はコンマ (,) で区切ります。説明このパラメーターは、グローバルアカウントグループのルールにのみ適用されます。このパラメーターはルールテンプレートにのみ適用されます。	fd-pWmkqZ****
ExcludeAccountIdsScope	string	任意	このルールは、指定されたメンバーアカウントのリソースには適用されません。これらのアカウント内のリソースは評価されません。複数のメンバーアカウント ID はコンマ (,) で区切ります。説明このパラメーターはルールテンプレートにのみ適用されます。	120886317861****
AccountIdsScope	string	任意	このルールは、指定されたメンバーアカウントのリソースにのみ適用されます。複数のメンバーアカウント ID はコンマ (,) で区切ります。説明このパラメーターはルールテンプレートにのみ適用されます。	115748125982****
Conditions	string	任意	カスタム条件ルールの条件を JSON 形式で指定します。	{"ComplianceConditions":"{\"operator\":\"and\",\"children\":[{\"operator\":\"StringEquals\",\"featurePath\":\"$.Status\",\"desired\":\"1\",\"featureSource\":\"CONFIGURATION\"}]}"}
ExtendContent	string	任意	拡張コンテンツ。このパラメーターは現在、24 時間周期で実行されるルールのトリガー時間の設定のみをサポートしています。	{"fixedHour":"12"}
Tag	array<object>	任意	ルールのタグ。
	object	任意	タグ。
Key	string	任意	タグのキー。最大 20 個のタグキーを追加できます。	key-1
Value	string	任意	タグの値。最大 20 個のタグ値を追加できます。	value-1
ResourceNameScope	string	任意	このルールは、指定された名前を持つリソースにのみ適用されます。	i-xxx

レスポンスフィールド

フィールド	型	説明	例
	object	なし
ConfigRuleId	string	ルールの ID。	cr-4e3d626622af0080****
RequestId	string	リクエストの ID。	5895065A-196C-4254-8AD8-14EFC31EEF50

例

成功レスポンス

JSONJSON

{
  "ConfigRuleId": "cr-4e3d626622af0080****",
  "RequestId": "5895065A-196C-4254-8AD8-14EFC31EEF50"
}

エラーコード

HTTP ステータスコード	エラーコード	エラーメッセージ
400	ExceedMaxRuleCount	The maximum number of rules is exceeded.
400	ConfigRuleNotExists	The ConfigRule does not exist.
400	ConfigRuleExists	The ConfigRule already exists.
400	Invalid.AggregatorId.Value	The specified AggregatorId is invalid.
403	AggregatorMemberNoPermission	The aggregator member is not authorized to perform the operation.
404	AccountNotExisted	Your account does not exist.
503	ServiceUnavailable	The request has failed due to a temporary failure of the server.

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。