CreateConfigRule API によるリソースコンプライアンス強制 - Cloud Config

テンプレートまたは Function Compute を使用したカスタムルールからルールを作成し、リソースのコンプライアンスをチェックします。ルールを作成すると、Cloud Config は初回評価を実行し、その後、ルールのトリガーに基づいて後続の評価を自動的に実行します。手動で評価を実行することも可能です。

操作説明

制限事項

1 つのアカウントにつき最大 200 個のルールを作成できます。

背景情報

Cloud Config では、2 つの方法でルールを作成できます。

テンプレートからルールを作成

ルールテンプレートは、Cloud Config が Function Compute で提供する事前定義済みのルール関数です。ルールテンプレートを使用すると、ルールを迅速に作成できます。詳細については、「ルールの定義と仕組み」をご参照ください。
Function Compute を使用してカスタムルールを作成

カスタムルールでは、Function Compute の関数を使用してルールコードをホストします。Cloud Config の事前定義済みルールテンプレートがコンプライアンス要件を満たさない場合、独自の関数コードを記述して、複雑なシナリオでのコンプライアンスをチェックできます。詳細については、「カスタムルールの定義と仕組み」をご参照ください。

注意事項

このトピックでは、required-tags テンプレートからルールを作成する方法を説明します。レスポンスでは、ルールが正常に作成されたことが確認され、その ID は cr-5772ba41209e007b**** です。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

アクション：特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。
API：アクションを具体的に実行するための API。
アクセスレベル：各 API に対して事前定義されているアクセスの種類。有効な値：create、list、get、update、delete。
リソースタイプ：アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。
- リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。
- リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。
条件キー：サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。
依存アクション：ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

config:CreateConfigRule

create

*Rule

acs:config:*:{#accountId}:rule/*

なし

リクエストパラメーター

パラメーター	型	必須 / 任意	説明	例
TagKeyScope `deprecated`	string	任意	このパラメーターは非推奨です。代わりに `TagsScope` パラメーターを使用してください。このルールは、指定されたタグキーを持つリソースにのみ適用されます。説明このパラメーターはマネージドルールにのみ適用されます。`TagKeyScope` と `TagValueScope` の両方を設定する必要があります。	ECS
TagValueScope `deprecated`	string	任意	このパラメーターは非推奨です。代わりに `TagsScope` パラメーターを使用してください。このルールは、指定されたタグ値を持つリソースにのみ適用されます。説明このパラメーターはルールテンプレートにのみ適用されます。`TagKeyScope` と `TagValueScope` の両方を設定する必要があります。	test
TagKeyLogicScope	string	任意	`TagsScope` パラメーターに複数のタグを指定する際に使用する論理演算子です。たとえば、`TagsScope` を `"TagsScope.1.TagKey":"a","TagsScope.1.TagValue":"a","TagsScope.2.TagKey":"b","TagsScope.2.TagValue":"b"` に設定し、このパラメーターを `AND` に設定した場合、ルールは `a:a` と `b:b` の両方のタグを持つリソースにのみ適用されます。このパラメーターを指定しない場合、デフォルト値の `OR` が使用されます。このパラメーターは、非推奨の `TagKeyScope` パラメーターでも機能します。たとえば、`TagKeyScope` を `ECS,OSS` に設定し、このパラメーターを `AND` に設定した場合、ルールは `ECS` と `OSS` の両方のタグを持つリソースにのみ適用されます。有効な値： AND：AND ロジックを使用します。 OR：OR ロジックを使用します。	AND
TagsScope	array<object>	任意	タグの範囲。
	object	任意
TagKey	string	任意	タグキー。	key-1
TagValue	string	任意	タグ値。	value-1
ExcludeTagsScope	array<object>	任意	除外するタグの範囲。
	object	任意
TagKey	string	任意	タグキー。	key-2
TagValue	string	任意	タグ値。	value-2
Description	string	任意	ルールの説明。	最多可以定义6组标签。如果资源同时具有指定的所有标签，则视为“合规”。
SourceOwner	string	必須	作成するルールのタイプ。有効な値： ALIYUN：ルールテンプレート。 CUSTOM_FC：カスタム Function Compute ルール。 CUSTOM_CONFIGURATION：カスタム条件ルール。	ALIYUN
MaximumExecutionFrequency	string	任意	ルールが実行される頻度。有効な値： One_Hour：1 時間ごと。 Three_Hours：3 時間ごと。 Six_Hours：6 時間ごと。 Twelve_Hours：12 時間ごと。 TwentyFour_Hours (デフォルト)：24 時間ごと。説明このパラメーターは、ConfigRuleTriggerTypes を ScheduledNotification に設定した場合に必須です。	One_Hour
Conditions	string	任意	カスタム条件ルールの条件 (JSON 形式)。	{"ComplianceConditions":"{\"operator\":\"and\",\"children\":[{\"operator\":\"StringEquals\",\"featurePath\":\"$.Status\",\"desired\":\"1\",\"featureSource\":\"CONFIGURATION\"}]}"}
RegionIdsScope	string	任意	このルールは、指定されたリージョン内のリソースにのみ適用されます。複数のリージョン ID はコンマ (,) で区切ります。説明このパラメーターはルールテンプレートにのみ適用されます。	cn-hangzhou
ExcludeRegionIdsScope	string	任意	このルールは、指定されたリージョン内のリソースには適用されません。これらのリージョン内のリソースのコンプライアンスは評価されません。複数のリージョン ID はコンマ (,) で区切ります。	cn-shanghai
ResourceGroupIdsScope	string	任意	このルールは、指定されたリソースグループ内のリソースにのみ適用されます。複数のリソースグループ ID はコンマ (,) で区切ります。説明このパラメーターはルールテンプレートにのみ適用されます。	rg-aekzc7r7rhx****
ExcludeResourceGroupIdsScope	string	任意	このルールは、指定されたリソースグループ内のリソースには適用されません。これらのリソースグループ内のリソースのコンプライアンスは評価されません。複数のリソースグループ ID はコンマ (,) で区切ります。	rg-bnczc6r7rml****
InputParameters	object	任意	ルールの入力パラメーター。ルールの入力パラメーターは、GetManagedRule 操作を呼び出すことで取得できます。`CompulsoryInputParameterDetails` および `OptionalInputParameterDetails` パラメーターを表示して、必須およびオプションのパラメーターについて確認してください。入力パラメーターの形式は `{"Parameter 1 Name":"Parameter 1 Value","Parameter 2 Name":"Parameter 2 Value"}` です。	{"key1":"value1","key2":"value2"}
ResourceIdsScope	string	任意	このルールは指定されたリソースに適用されます。複数のリソース ID はコンマ (,) で区切ります。	lb-5cmbowstbkss9ta03****
ExcludeResourceIdsScope	string	任意	このルールは、指定されたリソースには適用されません。これらのリソースのコンプライアンスは評価されません。複数のリソース ID はコンマ (,) で区切ります。説明このパラメーターはルールテンプレートにのみ適用されます。	lb-t4nbowvtbkss7t326****
SourceIdentifier	string	必須	ルールの識別子。 `SourceOwner` を `ALIYUN` に設定した場合は、ルールテンプレートの識別子を指定します。例：`required-tags`。説明ルールテンプレートの識別子をクエリするには、「ルールテンプレート一覧」をご参照ください。 `SourceOwner` を `CUSTOM_CONFIGURATION` に設定した場合は、このパラメーターを `acs-config-configuration` に設定します。 `SourceOwner` を `CUSTOM_FC` に設定した場合は、関数の Alibaba Cloud リソースネーム (ARN) を指定します。 ARN は `acs:fc:{Region}:{AccountID}:services/{ServiceName}.LATEST/functions/{FunctionName}` の形式である必要があります。例：`acs:fc:cn-hangzhou:120886317861****:services/service-test.LATEST/functions/config-test`。説明関数の ARN を取得するには、「ListFunctions」をご参照ください。	required-tags
ConfigRuleTriggerTypes	string	必須	ルールを呼び出すトリガー。有効な値： ConfigurationItemChangeNotification：リソース設定が変更されたときにルールが実行されます。 ScheduledNotification：ルールは定期的なスケジュールで実行されます。説明ルールに複数のトリガーがある場合は、コンマ (,) で区切ります。	ConfigurationItemChangeNotification
ConfigRuleName	string	必須	ルールの名前。	存在所有指定标签
ClientToken	string	任意	リクエストのべき等性を保証するために使用されるクライアントトークン。クライアントで一意のトークンを生成します。`ClientToken` パラメーターには ASCII 文字のみを含めることができ、64 文字を超えることはできません。	1594295238-f9361358-5843-4294-8d30-b5183fac****
ResourceTypesScope	array	必須	評価するリソースタイプ。複数のリソースタイプはコンマ (,) で区切ります。	ACS::ECS::Instance
	string	任意	評価するリソースタイプ。複数のリソースタイプはコンマ (,) で区切ります。	ACS::ECS::Instance
RiskLevel	integer	必須	ルールのリスクレベル。有効な値： 1：高。 2：中。 3：低。	1
ExtendContent	string	任意	拡張コンテンツ。このパラメーターは、24 時間の評価サイクルのトリガー時間を指定します。	{"fixedHour":"13"}
Tag	array<object>	任意	作成するルールのタグ。
	object	任意	リソースのタグ。最大 20 個のタグをアタッチできます。
Key	string	任意	リソースのタグキー。最大 20 個のタグキーをアタッチできます。	key-1
Value	string	任意	リソースのタグ値。最大 20 個のタグ値をアタッチできます。	value-1
ResourceNameScope	string	任意	このルールは、指定された名前を持つリソースにのみ適用されます。	i-xxx

共通リクエストパラメーターの詳細については、「共通パラメーター」をご参照ください。

レスポンスフィールド

フィールド	型	説明	例
	object	なし
ConfigRuleId	string	ルール ID。	cr-5772ba41209e007b****
RequestId	string	リクエスト ID。	6EC7AED1-172F-42AE-9C12-295BC2ADB751

例

成功レスポンス

JSONJSON

{
  "ConfigRuleId": "cr-5772ba41209e007b****",
  "RequestId": "6EC7AED1-172F-42AE-9C12-295BC2ADB751"
}

エラーコード

HTTP ステータスコード	エラーコード	エラーメッセージ
400	ExceedMaxRuleCount	The maximum number of rules is exceeded.
400	ConfigRuleNotExists	The ConfigRule does not exist.
400	ConfigRuleExists	The ConfigRule already exists.
404	AccountNotExisted	Your account does not exist.
503	ServiceUnavailable	The request has failed due to a temporary failure of the server.

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。