全部產品
Search

搜尋本產品

    :CreateConfigRule - 建立規則

    文件中心

    :CreateConfigRule - 建立規則

    更新時間:Nov 26, 2025

    基於模板建立規則或基於Function Compute建立自訂規則,通過規則檢測資源的合規性。建立規則後,規則會自動執行一次評估,後續配置審計將根據規則的觸發機制自動觸發評估,您也可以手動執行評估。

    介面說明

    使用限制

    每個帳號最多可以建立 200 條規則。

    背景資訊

    配置審計支援通過以下方法建立規則:

    • 基於模板建立規則

      規則模板是配置審計已在Function Compute中構建的規則函數,您可以通過規則模板快速建立規則。關於規則的更多資訊,請參見規則的定義及運行原理

    • 基於Function Compute建立規則

      自訂函數規則是配置審計通過Function Compute服務的函數來承載規則代碼的自訂規則。當配置審計預置的規則模板不能滿足檢測資源合規性的需求時,您可以通過編寫函數代碼,完成複雜情境的合規檢測。關於自訂函數規則的更多資訊,請參見自訂函數規則定義和運行原理

    使用說明

    本文將提供一個樣本,通過規則模板“存在所有指定標籤”建立一條規則。返回結果顯示規則建立成功,規則 ID 為cr-5772ba41209e007b****

    調試

    您可以在OpenAPI Explorer中直接運行該介面,免去您計算簽名的困擾。運行成功後,OpenAPI Explorer可以自動產生SDK程式碼範例。

    調試

    授權資訊

    下表是API對應的授權資訊,可以在RAM權限原則語句的Action元素中使用,用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下:

    • 操作:是指具體的許可權點。

    • 存取層級:是指每個操作的存取層級,取值為寫入(Write)、讀取(Read)或列出(List)。

    • 資源類型:是指操作中支援授權的資源類型。具體說明如下:

      • 對於必選的資源類型,用前面加 * 表示。

      • 對於不支援資源級授權的操作,用全部資源表示。

    • 條件關鍵字:是指雲產品自身定義的條件關鍵字。

    • 關聯操作:是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權,操作才能成功。

    操作

    存取層級

    資源類型

    條件關鍵字

    關聯操作

    config:CreateConfigRule

    create

    *Rule

    acs:config:*:{#accountId}:rule/*

    請求參數

    名稱

    類型

    必填

    描述

    樣本值
    TagKeyScope deprecated

    string

    已廢棄,請使用 TagsScope 欄位。

    規則僅對綁定指定標籤鍵的資源生效。

    說明

    僅適用於託管規則,且TagKeyScopeTagValueScope必須同時設定。

    ECS
    TagValueScope deprecated

    string

    已廢棄,請使用 TagsScope 欄位。

    規則僅對綁定指定標籤值的資源生效。

    說明

    僅適用於規則模板,且TagKeyScopeTagValueScope必須同時設定。

    test
    TagKeyLogicScope

    string

    參數TagsScope 取多值時的邏輯關係,例如:當參數TagsScope取值為"TagsScope.1.TagKey":"a","TagsScope.1.TagValue":"a","TagsScope.2.TagKey":"b","TagsScope.2.TagValue":"b"時,如果該參數為AND,則表示規則僅對同時綁定標籤a:ab:b的資源生效。不填寫取預設邏輯OR

    也可以用於已廢棄欄位TagKeyScope欄位(不推薦),例如:當參數TagKeyScope取值為ECS,OSS時,如果該參數為AND,則表示規則僅對同時綁定標籤ECSOSS的資源生效。

    取值:

    • AND:與。

    • OR:或。

    AND
    TagsScope

    array<object>

    標籤範圍

    object

    TagKey

    string

    標籤鍵。

    key-1
    TagValue

    string

    標籤值。

    value-1
    ExcludeTagsScope

    array<object>

    排除的標籤範圍

    object

    TagKey

    string

    標籤鍵。

    key-2
    TagValue

    string

    標籤值。

    value-2
    Description

    string

    規則描述。

    最多可以定義6組標籤。如果資源同時具有指定的所有標籤,則視為“合規”。
    SourceOwner

    string

    建立的規則類型。取值:

    • ALIYUN:規則模板。

    • CUSTOM_FC:自訂規則。

    ALIYUN
    MaximumExecutionFrequency

    string

    規則執行循環。取值:

    • One_Hour:1 小時。

    • Three_Hours:3 小時。

    • Six_Hours:6 小時。

    • Twelve_Hours:12 小時。

    • TwentyFour_Hours(預設值):24 小時。

    說明

    當 ConfigRuleTriggerTypes 設定為 ScheduledNotification 時,需要設定該參數。

    One_Hour
    RegionIdsScope

    string

    規則僅對指定地區 ID 中的資源生效。多個地區 ID 之間用半形逗號(,)分隔。

    說明

    僅適用於規則模板。

    cn-hangzhou
    ExcludeRegionIdsScope

    string

    規則對指定地區內資源無效,即不對該地區內資源執行評估。多個地區 ID 之間用半形逗號(,)分隔。

    cn-shanghai
    ResourceGroupIdsScope

    string

    規則僅對指定資源群組 ID 中的資源生效。多個資源群組 ID 之間用半形逗號(,)分隔。

    說明

    僅適用於規則模板。

    rg-aekzc7r7rhx****
    ExcludeResourceGroupIdsScope

    string

    規則對指定資源群組 ID 中的資源無效,即不對該資源群組內的資源評估。多個資源群組 ID 之間用半形逗號(,)分隔。

    rg-bnczc6r7rml****
    InputParameters

    object

    規則入參。

    規則入參可以通過 GetManagedRule 介面擷取,查看參數CompulsoryInputParameterDetailsOptionalInputParameterDetails瞭解必填參數和選擇性參數。

    規則入參的格式為{"參數 1 名稱":"參數 1 值","參數 2 名稱":"參數 2 值"}

    {"key1":"value1","key2":"value2"}
    ResourceIdsScope

    string

    規則對指定資源 ID 生效。多個資源 ID 之間用半形逗號(,)分隔。

    lb-5cmbowstbkss9ta03****
    ExcludeResourceIdsScope

    string

    規則對指定資源 ID 無效,即不對該資源執行評估。多個資源 ID 之間用半形逗號(,)分隔。

    說明

    僅適用於規則模板。

    lb-t4nbowvtbkss7t326****
    SourceIdentifier

    string

    規則模板標識。

    • SourceOwnerALIYUN時,輸入規則模板的標識符,例如:required-tags

      說明

      關於如何查詢規則模板標識符,請參見規則模板列表

    • SourceOwnerCUSTOM_FC時,輸入Function Compute的函數 ARN。

      函數 ARN 格式為:acs:fc:地區:帳號 ID:services/服務名稱.LATEST/functions/函數名稱,例如:acs:fc:cn-hangzhou:120886317861****:services/service-test.LATEST/functions/config-test

      說明

      關於如何擷取函數 ARN,請參見 ListFunctions

    required-tags
    ConfigRuleTriggerTypes

    string

    規則引發機制。取值:

    • ConfigurationItemChangeNotification:配置變更。

    • ScheduledNotification:周期執行。

    說明

    當規則包括兩種觸發機制時,用半形逗號(,)分隔。

    ConfigurationItemChangeNotification
    ConfigRuleName

    string

    規則名稱。

    存在所有指定標籤
    ClientToken

    string

    保證請求等冪性。從您的用戶端產生一個參數值,確保不同請求間該參數值唯一。ClientToken只支援 ASCII 字元,且不能超過 64 個字元。

    1594295238-f9361358-5843-4294-8d30-b5183fac****
    ResourceTypesScope

    array

    規則評估的資源類型。多個資源類型之間用半形逗號(,)分隔。

    ACS::ECS::Instance

    string

    規則評估的資源類型。多個資源類型之間用半形逗號(,)分隔。

    ACS::ECS::Instance
    RiskLevel

    integer

    規則風險等級。取值:

    • 1:高風險。

    • 2:中風險。

    • 3:低風險。

    1
    ExtendContent

    string

    擴充內容,暫時僅用於配合 24 小時周期觸發設定觸發時間。

    {"fixedHour":"13"}
    Tag

    array<object>

    建立出的規則的標籤

    object

    資源的標籤。

    最多支援綁定 20 個標籤。

    Key

    string

    資源的標籤鍵。

    最多支援綁定 20 個標籤鍵。

    key-1
    Value

    string

    資源的標籤值。

    最多支援綁定 20 個標籤值。

    value-1
    ResourceNameScope

    string

    規則僅對指定資源名稱的資源生效。

    i-xxx

    關於公用請求參數的詳情,請參見公用參數

    返回參數

    名稱

    類型

    描述

    樣本值

    object

    ConfigRuleId

    string

    規則 ID。

    cr-5772ba41209e007b****
    RequestId

    string

    請求 ID。

    6EC7AED1-172F-42AE-9C12-295BC2ADB751

    樣本

    正常返回樣本

    JSON格式

    {
  "ConfigRuleId": "cr-5772ba41209e007b****",
  "RequestId": "6EC7AED1-172F-42AE-9C12-295BC2ADB751"
}

    錯誤碼

    HTTP status code

    錯誤碼

    錯誤資訊

    描述
    400 ExceedMaxRuleCount The maximum number of rules is exceeded.
    400 ConfigRuleNotExists The ConfigRule does not exist. 此規則不存在。
    400 ConfigRuleExists The ConfigRule already exists.
    404 AccountNotExisted Your account does not exist.
    503 ServiceUnavailable The request has failed due to a temporary failure of the server. 服務不可用。

    訪問錯誤中心查看更多錯誤碼。

    變更歷史

    更多資訊,參考變更詳情