企业管理账号是指开通资源目录并管理成员账号的阿里云账号。如果您是企业管理账号,请通过本文快速了解配置审计的操作流程和操作步骤。

操作流程

配置审计的企业管理账号入门操作流程如下图所示。企业管理账号快速入门流程
企业管理账号入门操作流程的步骤说明如下表所示。
操作分类 步骤 说明
基础操作 步骤一:服务授权 在您使用配置审计之前,必须先授权配置审计服务。
步骤二:新建账号组 企业管理账号可以新建账号组,将资源目录中的所有或部分成员账号加入该账号组,在账号组中集中地管理多个成员账号的资源、合规包和规则。
步骤三:查看资源列表 企业管理账号可以查看目标账号组中所有成员账号的资源。
步骤四:启用合规包 企业管理账号可以为目标账号组启用合规包模板中的任意合规包。启用合规包后,企业管理账号可以从规则和账号维度查看关联资源的合规结果。
高级操作 (可选)步骤五:新建规则 您可以通过配置审计提供的托管规则快速新建规则,对目标资源进行审计。
(可选)步骤六:设置资源投递 企业管理账号可以为自己和所有成员账号设置将资源定时快照或资源配置变更历史统一投递到对象存储OSS的目标存储空间(Bucket)。成员账号无权设置资源数据投递,只能遵从企业管理账号的设置。
(可选)步骤七:订阅资源事件 企业管理账号可以为自己和所有成员账号设置将资源不合规事件或资源配置变更历史统一投递到消息服务MNS的指定主题(Topic)。成员账号无权设置资源数据投递,只能遵从企业管理账号的设置。

步骤一:服务授权

  1. 登录配置审计控制台
  2. 单击允许创建
    配置审计授权
    说明 配置审计需要2~10分钟时间对您的资源进行扫描,构建资源列表,请耐心等待。

步骤二:新建账号组

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击账号组
  3. 账号组页面,单击新建账号组
  4. 新建账号组页面,先设置账号组名称和描述,再单击添加成员
  5. 在资源目录中选中目标成员账号,单击确定
  6. 单击提交
    账号组列表中,目标账号组的状态为创建完成,说明新建账号组成功。您还可以查看目标账号组的名称、描述、成员账号数量、账号组类型和创建时间。

步骤三:查看资源列表

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击资源
  3. 资源页面,单击目标账号组页签。
  4. 在目标账号组页签,通过筛选或搜索功能找到目标资源。
    • 搜索:您可以通过完整的资源ID精确搜索到目标资源。
    • 筛选:您可以通过资源类型、地域、合规状态和资源状态迅速找到目标资源。
  5. 单击目标资源ID链接。
  6. 资源信息页签,查看资源基本信息、核心配置信息和最新审计结果。
    • 基本信息区域,您可以查看该资源的资源ID、资源名称、资源类型、创建时间、标签、地域和可用区。
    • 资源核心配置信息区域,您可以单击查看JSON,查看资源核心配置的JSON代码。
    • 最新审计结果区域,您可以查看该资源的最新审计结果。

步骤四:启用合规包

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击合规包
  3. 合规包页面,单击目标账号组页签。
  4. 在目标账号组页签,单击右上角的启用合规包
  5. 基本信息页面,设置合规包名称和风险等级,单击下一步
  6. 选择规则页面,从合规包模板、规则列表或托管规则中选择规则,单击下一步
  7. 规则设置页面,设置规则的名称、风险等级、描述和参数,单击完成

(可选)步骤五:新建规则

  1. 登录配置审计控制台
  2. 在左侧导航栏,单击规则
  3. 规则页面,单击目标账号组页签。
  4. 在目标账号组页签,单击新建规则
  5. 新建规则页面,根据规则名称、标签、检测逻辑或风险等级筛选出目标托管规则。
  6. 单击应用规则
  7. 基本属性页面,设置规则名称、风险等级和备注,单击下一步
    托管规则的名称、风险等级和触发机制均为系统默认。您可以根据所需修改规则名称和风险等级。
  8. 评估资源范围页面,资源类型保持默认,单击下一步
  9. 参数设置页面,单击下一步
    如果目标托管规则有规则入参,则需要设置其期望值。
  10. 修正设置页面,单击下一步

    对于支持修正设置的托管规则,您可以选中修正设置前面的复选框,根据控制台提示,设置修正方式、修正类型和修正参数。具体操作,请参见设置自动修正设置手动修正

  11. 预览并保存页面,确认规则设置,单击提交
  12. 查看规则新建结果。
    • 单击查看规则详情,您可以查看当前规则的规则详情检测结果修正详情
    • 单击返回规则列表,您可以在规则列表中查看新建的规则,其运行状态为应用中

(可选)步骤六:设置资源投递

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 投递到对象存储OSS
  3. 投递到对象存储OSS页面,打开设置对象存储OSS开关。
  4. 设置资源投递数据的相关参数。
    您可以在当前企业管理账号中新建存储空间,也可以选择当前企业管理账号或其他成员账号中已有存储空间。该存储空间用于接收企业管理账号和所有成员账号的资源投递数据。
    • 您需要将企业管理账号和所有成员账号的资源快照统一投递到当前企业管理账号的指定存储空间时,需要选择本账号中新建存储空间选择本账号中已有的存储空间。资源投递数据的相关参数如下表所示。
      参数 描述
      选择接收内容 选择对象存储OSS接收的资源投递内容。取值:
      • 资源定时快照:每天00:00:00和12:00:00,配置审计定时向对象存储OSS投递资源定时快照。
      • 配置变更历史:当资源配置变更时,配置审计向对象存储OSS投递资源配置变更历史。
      地域 存储空间所在地域。
      存储桶 对象存储OSS中存储空间的名称。存储空间名称不能重复。
      • 当您选中本账号中新建存储空间时,通过配置审计控制台新建存储空间,输入存储空间名称。
      • 当您选中选择本账号中已有的存储空间时,在对象存储OSS中选择已有存储空间名称。
      日志文件加密 存储空间中的日志文件是否加密。当您选中本账号中新建存储空间时,需要设置该参数。
      参数取值如下:
      • AES256
      • KMS
    • 当您需要将企业管理账号和所有成员账号的资源快照统一投递到指定成员账号的指定存储空间时,需要选择选择其他账号已有的存储空间(仅支持企业管理账号)。设置存储空间相关参数之前,请您确保该成员账号中已有可用存储空间。资源投递数据的相关参数如下表所示。
      参数 描述
      选择接收内容 选择对象存储OSS接收的资源投递内容。取值:
      • 资源定时快照:每天00:00:00和12:00:00,配置审计定时向对象存储OSS投递资源定时快照。
      • 配置变更历史:当资源配置变更时,配置审计向对象存储OSS投递资源配置变更历史。
      目标账号中存储桶的ARN 目标成员账号中存储空间的ARN,包括:地域成员账号存储空间。您可以直接从下拉列表中选择目标成员账号,以及该成员账号的存储空间和地域。
      目标账号中需扮演的角色的ARN 目标成员账号需要扮演角色的ARN,包括:成员账号和配置审计服务关联角色。您可以直接从下拉列表中选择目标成员账号,配置审计服务关联角色保持默认。
  5. 单击确定

(可选)步骤七:订阅资源事件

  1. 登录配置审计控制台
  2. 在左侧导航栏,选择投递服务 > 订阅资源事件
  3. 订阅资源事件页面,打开设置消息服务MNS开关。
  4. 设置资源事件投递的相关参数。
    您可以在当前企业管理账号中新建主题,也可以选择当前企业管理账号或其他成员账号中已有主题。该主题用于接收企业管理账号和所有成员账号的资源投递数据。
    • 当您需要将企业管理账号和所有成员账号的资源事件统一发送到当前企业管理账号的指定主题时,需要选择本账号中新建主题选择本账号中已有的主题。资源投递数据的相关参数如下表所示。
      参数 描述
      选择接收内容
      选择消息服务MNS接收的资源投递内容。取值:
      • 配置变更历史:当资源配置变更时,配置审计向消息服务MNS投递资源配置变更历史。
      • 资源不合规事件:当资源的审计结果不合规时,配置审计向消息服务MNS投递资源不合规事件。
      主题地域 主题名称所在地域。
      主题名称 消息服务MNS中的主题名称。同一账号同一地域下,主题名称不能重复。
      • 当您选中本账号中新建主题时,通过企业版配置审计控制台新建主题,输入主题名称。
      • 当您选中选择本账号中已有的主题时,在消息服务MNS中选择已有主题。
      消息最大长度(Byte) 发送到该主题的消息体的最大长度。取值范围:1024~65536。默认值:65536。
      说明 由于资源信息较大,请您在消息服务MNS控制台上将主题信息的最大长度至少设置为8192,以免因长度限制导致消息发送失败。
      开启Logging 是否将主题接收消息、转发消息和删除消息的日志存储到主题默认关联的日志服务SLS。
      订阅事件的最低风险等级 订阅资源事件的最低风险等级。取值:
      • 全部风险等级
      • 高风险
      • 中风险
      • 低风险

      例如:如果您选择中风险,则配置审计为您推送中风险高风险等级的不合规事件,低风险级别的不合规事件将被过滤掉。

      订阅指定资源类型事件 订阅指定资源类型的事件。取值:
      • 服务支持的全部资源类型:订阅全部资源类型事件。当配置审计对接新产品后,该产品的资源类型将自动纳入监控范围。
      • 自定义资源类型:自定义选择资源类型事件。
      超大文件接收地址
      配置审计向消息服务MNS投递的超大文件接收地址。
      • 如果您设置了该参数,当配置审计向消息服务MNS投递的文件超过64 KB时,该文件自动转存到对象存储OSS的目标存储空间。
      • 如果您未设置该参数,当配置审计向消息服务MNS投递的文件超过64 KB时,超过部分自动丢弃。
      说明 超大文件接收地址中的地域账号根据接收内容和接收地址区域设置的参数自动生成,您只需选择目标存储空间。
    • 当您需要将企业管理账号和所有成员账号的资源事件统一发送到指定成员账号的指定主题时,需要选择选择其他账号已有的主题(仅支持企业管理账号)。设置主题相关参数之前,请您确保该成员账号中已有可用主题。资源投递数据的相关参数如下表所示。
      参数 描述
      选择接收内容
      选择消息服务MNS接收的资源投递内容。取值:
      • 配置变更历史:当资源配置变更时,配置审计向消息服务MNS投递资源配置变更历史。
      • 资源不合规事件:当资源的审计结果不合规时,配置审计向消息服务MNS投递资源不合规事件。
      目标账号中主题的ARN 目标成员账号中主题的ARN,包括:地域成员账号主题名称。您可以直接从下拉列表中选择目标成员账号,以及该成员账号的主题名称和地域。
      目标账号中需扮演角色的ARN 目标成员账号需要扮演角色的ARN,包括:成员账号和配置审计服务关联角色。您可以直接从下拉列表中选择目标成员账号,配置审计服务关联角色保持默认。
      订阅事件的最低风险等级 订阅资源事件的最低风险等级。取值:
      • 全部风险等级
      • 高风险
      • 中风险
      • 低风险

      例如:如果您选择中风险,则配置审计为您推送中风险高风险等级的不合规事件,低风险级别的不合规事件将被过滤掉。

      订阅指定资源类型事件 订阅指定资源类型的事件。取值:
      • 服务支持的全部资源类型:订阅全部资源类型事件。当配置审计对接新产品后,该产品的资源类型将自动纳入监控范围。
      • 自定义资源类型:自定义选择资源类型事件。
      超大文件接收地址
      配置审计向消息服务MNS投递的超大文件接收地址。
      • 如果您设置了该参数,当配置审计向消息服务MNS投递的文件超过64 KB时,该文件自动转存到对象存储OSS的目标存储空间。
      • 如果您未设置该参数,当配置审计向消息服务MNS投递的文件超过64 KB时,超过部分自动丢弃。
      说明 超大文件接收地址中的地域账号根据接收内容和接收地址区域设置的参数自动生成,您只需选择目标存储空间。
  5. 单击确定