使用CreateAggregateConfigRule介面建立帳號組規則-配置審計-阿里雲

為指定帳號組基於模板建立規則或基於Function Compute建立自訂規則，通過規則檢測資源的合規性。建立規則後，規則會自動執行一次評估，後續配置審計將根據規則的觸發機制自動觸發評估，您也可以手動執行評估。

介面說明

使用限制

每個管理帳號和委派管理員帳號最多可以建立 200 條規則。

背景資訊

配置審計支援通過以下方法建立規則：

基於模板建立規則

規則模板是配置審計已在Function Compute中構建的規則函數，您可以通過規則模板快速建立規則。關於規則的更多資訊，請參見規則的定義及運行原理。
基於Function Compute建立規則

自訂函數規則是配置審計通過Function Compute服務的函數來承載規則代碼的自訂規則。當配置審計預置的規則模板不能滿足檢測資源合規性的需求時，您可以通過編寫函數代碼，完成複雜情境的合規檢測。關於自訂函數規則的更多資訊，請參見自訂函數規則定義和運行原理。

使用說明

本文將提供一個樣本，通過規則模板“存在所有指定標籤”為帳號組ca-a4e5626622af0079****建立一條規則。返回結果顯示規則建立成功，規則 ID 為cr-4e3d626622af0080****。

調試

您可以在OpenAPI Explorer中直接運行該介面，免去您計算簽名的困擾。運行成功後，OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊，可以在RAM權限原則語句的Action元素中使用，用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下：

操作：是指具體的許可權點。
存取層級：是指每個操作的存取層級，取值為寫入（Write）、讀取（Read）或列出（List）。
資源類型：是指操作中支援授權的資源類型。具體說明如下：
- 對於必選的資源類型，用前面加 * 表示。
- 對於不支援資源級授權的操作，用全部資源表示。
條件關鍵字：是指雲產品自身定義的條件關鍵字。
關聯操作：是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權，操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

config:CreateAggregateConfigRule

create

*AggregateConfigRule

acs:config:*:{#accountId}:aggregateconfigrule/*

無

請求參數

名稱	類型	必填	描述	樣本值
ConfigRuleName	string	是	規則名稱。	存在所有指定標籤
Description	string	否	規則描述。	最多可以定義6組標籤。如果資源同時具有指定的所有標籤，則視為“合規”。
InputParameters	object	否	規則參數。	{"tag1Key":"ECS","tag1Value":"test"}
ConfigRuleTriggerTypes	string	是	規則引發機制。取值： ConfigurationItemChangeNotification：配置變更。 ScheduledNotification：周期執行。	ConfigurationItemChangeNotification
MaximumExecutionFrequency	string	否	規則執行循環。取值： One_Hour：1 小時。 Three_Hours：3 小時。 Six_Hours：6 小時。 Twelve_Hours：12 小時。 TwentyFour_Hours（預設值）：24 小時。說明當`ConfigRuleTriggerTypes`設定為`ScheduledNotification`時，需要設定該參數。	One_Hour
ResourceTypesScope	array	是	規則評估的資源類型。多個資源類型之間用半形逗號（,）分隔。	ACS::ECS::Instance
	string	否	規則評估的資源類型。多個資源類型之間用半形逗號（,）分隔。	ACS::ECS::Instance
RiskLevel	integer	是	規則風險等級。取值： 1：高風險。 2：中風險。 3：低風險。	1
ClientToken	string	否	保證請求等冪性。從您的用戶端產生一個參數值，確保不同請求間該參數值唯一。`ClientToken`只支援 ASCII 字元，且不能超過 64 個字元。	1594295238-f9361358-5843-4294-8d30-b5183fac****
AggregatorId	string	是	帳號組 ID。關於如何擷取帳號組 ID，請參見 ListAggregators 。	ca-a4e5626622af0079****
RegionIdsScope	string	否	規則僅對指定地區 ID 中的資源生效。多個地區 ID 之間用半形逗號（,）分隔。	cn-hangzhou
ExcludeRegionIdsScope	string	否	規則對指定地區內資源無效，即不對該地區內資源執行評估。多個地區 ID 之間用半形逗號（,）分隔。	cn-shanghai
ResourceIdsScope	string	否	規則對指定資源 ID 生效。多個資源 ID 之間用半形逗號（,）分隔。	lb-5cmbowstbkss9ta03****
ExcludeResourceIdsScope	string	否	規則對指定資源 ID 無效，即不對該資源執行評估。多個資源 ID 之間用半形逗號（,）分隔。	lb-t4nbowvtbkss7t326****
ResourceGroupIdsScope	string	否	規則僅對指定資源群組 ID 中的資源生效。多個資源群組 ID 之間用半形逗號（,）分隔。	rg-aekzc7r7rhx****
ExcludeResourceGroupIdsScope	string	否	規則對指定資源群組 ID 中的資源無效，即不對該資源群組內的資源評估。多個資源群組 ID 之間用半形逗號（,）分隔。	rg-bnczc6r7rml****
TagKeyScope `deprecated`	string	否	已廢棄，請使用 `TagsScope` 欄位。規則僅對綁定指定標籤的資源生效。多個標籤之間用半形逗號（,）分隔。說明僅適用於規則模板，且`TagKeyScope`和`TagValueScope`必須同時設定。	ECS
TagValueScope `deprecated`	string	否	已廢棄，請使用 `TagsScope` 欄位。規則僅對綁定指定標籤的資源生效。說明僅適用於規則模板，且`TagKeyScope`和`TagValueScope`必須同時設定。	test
TagKeyLogicScope	string	否	參數`TagsScope` 取多值時的邏輯關係，例如：當參數`TagsScope`取值為`"TagsScope.1.TagKey":"a","TagsScope.1.TagValue":"a","TagsScope.2.TagKey":"b","TagsScope.2.TagValue":"b"`時，如果該參數為`AND`，則表示規則僅對同時綁定標籤`a:a`和`b:b`的資源生效。不填寫取預設邏輯`OR`。也可以用於已廢棄欄位`TagKeyScope`欄位（不推薦），例如：當參數`TagKeyScope`取值為`ECS,OSS`時，如果該參數為`AND`，則表示規則僅對同時綁定標籤`ECS`和`OSS`的資源生效。取值： AND：與。 OR：或。枚舉值： OR : OR AND : AND	AND
TagsScope	array<object>	否	標籤範圍
	object	否
TagKey	string	否	資源的標籤鍵。	key-1
TagValue	string	否	資源的標籤值。	value-1
ExcludeTagsScope	array<object>	否	排除的標籤範圍
	object	否
TagKey	string	否	要排除的資源的標籤鍵。	key-2
TagValue	string	否	要排除的資源的標籤值。	value-2
SourceOwner	string	是	規則類型。取值： ALIYUN：規則模板。 CUSTOM_FC：自訂 FC 規則。 CUSTOM_CONFIGURATION：自訂條件規則。	ALIYUN
SourceIdentifier	string	是	規則標識符。當`SourceOwner`為`ALIYUN`時，輸入規則模板的標識符，例如：`required-tags`。說明關於如何查詢規則模板標識符，請參見規則模板列表。當`SourceOwner`為`CUSTOM_CONFIGURATION`時，固定填寫`acs-config-configuration`。當`SourceOwner`為`CUSTOM_FC`時，輸入Function Compute的函數 ARN。函數 ARN 格式為：`acs:fc:地區:帳號 ID:services/服務名稱.LATEST/functions/函數名稱`，例如：`acs:fc:cn-hangzhou:120886317861****:services/service-test.LATEST/functions/config-test`。說明關於如何擷取函數 ARN，請參見 ListFunctions 。	required-tags
FolderIdsScope	string	否	規則僅對指定資來源目錄 ID 中成員帳號內的資源生效。多個資來源目錄 ID 之間用半形逗號（,）分隔。說明該參數僅作用於全域帳號組的規則。僅適用於規則模板。	fd-ZtHsRH****
ExcludeFolderIdsScope	string	否	規則對指定資來源目錄 ID 中成員帳號內的資源無效，即不對該資來源目錄 ID 中成員帳號內的資源執行評估。多個資來源目錄 ID 之間用半形逗號（,）分隔。說明該參數僅作用於全域帳號組的規則。僅適用於規則模板。	fd-pWmkqZ****
ExcludeAccountIdsScope	string	否	規則對指定成員帳號內的資源無效，即不對該帳號內的資源執行評估。多個成員帳號 ID 之間用半形逗號（,）分隔。說明僅適用於規則模板。	120886317861****
AccountIdsScope	string	否	規則僅對指定成員帳號內的資源生效。多個成員帳號 ID 之間用半形逗號（,）分隔。說明僅適用於規則模板。	115748125982****
Conditions	string	否	自訂條件規則的條件，JSON 格式	{"ComplianceConditions":"{\"operator\":\"and\",\"children\":[{\"operator\":\"StringEquals\",\"featurePath\":\"$.Status\",\"desired\":\"1\",\"featureSource\":\"CONFIGURATION\"}]}"}
ExtendContent	string	否	擴充內容，暫時僅用於配合 24 小時周期觸發設定觸發時間。	{"fixedHour":"12"}
Tag	array<object>	否	建立出的規則的標籤
	object	否	標籤
Key	string	否	資源的標籤鍵。最多支援綁定 20 個標籤鍵。	key-1
Value	string	否	資源的標籤值。最多支援綁定 20 個標籤值。	value-1
ResourceNameScope	string	否	規則僅對指定資源名稱的資源生效。	i-xxx

返回參數

名稱	類型	描述	樣本值
	object	無
ConfigRuleId	string	規則 ID。	cr-4e3d626622af0080****
RequestId	string	請求 ID。	5895065A-196C-4254-8AD8-14EFC31EEF50

樣本

正常返回樣本

JSON格式

{
  "ConfigRuleId": "cr-4e3d626622af0080****",
  "RequestId": "5895065A-196C-4254-8AD8-14EFC31EEF50"
}

錯誤碼

HTTP status code	錯誤碼	錯誤資訊	描述
400	ExceedMaxRuleCount	The maximum number of rules is exceeded.
400	ConfigRuleNotExists	The ConfigRule does not exist.	此規則不存在。
400	ConfigRuleExists	The ConfigRule already exists.
400	Invalid.AggregatorId.Value	The specified AggregatorId is invalid.	帳號組ID不存在或無許可權使用該帳號組。
403	AggregatorMemberNoPermission	The aggregator member is not authorized to perform the operation.	帳號組內的成員帳號無許可權執行此操作。
404	AccountNotExisted	Your account does not exist.
503	ServiceUnavailable	The request has failed due to a temporary failure of the server.	服務不可用。

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊，參考變更詳情。