全部产品
Search
文档中心

配置审计:检测多账号的资源合规性

更新时间:Dec 25, 2023

本文以资源目录中管理账号通过合规包模板OSS合规管理最佳实践快速检测账号组中两个成员的存储空间的合规性,并将资源不合规事件投递到日志服务SLS为例,为您介绍通过配置审计检测多账号的资源合规性的具体操作流程。

前提条件

  • 请您确保已开通资源目录,且已在资源目录中创建两个成员。具体操作,请参见开通资源目录创建成员

  • 请您确保两个成员均已开通对象存储OSS,且已创建存储空间。具体操作,请参见控制台快速入门

  • 请确保您已开通配置审计服务。具体操作,请参见开通配置审计服务

  • 请确保您已开通日志服务SLS。具体操作,请参见开通日志服务

    重要

    开通日志服务SLS不收费,配置审计将资源数据投递到日志服务SLS,并使用其查询和分析功能需要收费。具体计费标准,请参见计费概述

背景信息

管理账号可以在配置审计中查看所有成员的资源列表、资源配置变更历史和资源合规状态,并监控资源配置合规性。成员可以查看自己归属的账号组,以及管理账号为自己新建的规则、合规包和投递任务,还可以在当前账号页签,独立检测自己资源的合规性,并设置投递。

步骤一:新建账号组

当您在资源目录中新建成员后,可以在配置审计中新建账号组,将目标成员加入该账号组。您可以通过该账号组集中管理成员的资源及其合规性。

  1. 登录配置审计控制台

  2. 在左侧导航栏,单击账号组

  3. 账号组页面,单击新建账号组

  4. 新建账号组页面,先设置账号组名称和描述,再选择账号组类型自定义,然后单击添加成员

  5. 资源目录区域,先选中新建的两个成员,再单击确定

  6. 单击提交

    账号组列表中,目标账号组的状态为创建完成,说明新建账号组成功。

步骤二:查看资源清单

您可以查看目标账号组中两个成员的跨地域聚合的资源清单。

  1. 在左上角选择目标账号组。

  2. 在左侧导航栏,选择资源 > 全局资源

  3. 全局资源页面,通过筛选或搜索功能找到目标资源。

步骤三:新建合规包

您可以通过合规包模板OSS合规管理最佳实践中的默认规则快速检测当前账号组内成员的存储空间的合规性。

  1. 在左侧导航栏,选择合规审计 > 合规包

  2. 合规包页面,单击左上角的新建合规包

  3. 选择模板(可选)页面,先单击合规包模板OSS合规管理最佳实践右上角的image.png图标,然后单击下一步

  4. 设置基本属性页面,先设置合规包名称,其他参数均保持默认值,然后单击下一步

  5. 选择规则页面,默认选中合规包模板OSS合规管理最佳实践中的所有规则,直接单击下一步

  6. 设置规则参数页面,先为包含必填参数的规则设置参数,然后单击确定

    说明

    关于规则中参数的设置方法,请参见配置审计支持的资源类型和资源关系中的资源类型列链接。

步骤四:查看合规评估结果

您可以查看合规包中所有规则对目标账号组内成员的存储空间的评估结果,并对不合规的配置进行修正。

  1. 在左侧导航栏,选择合规审计 > 合规包

  2. 合规包页面,单击步骤三新建的合规包ID。

  3. 先单击右上角的下载报告,然后在下载合规报告对话框,单击确定

    您会得到一个ZIP包,解压会得到两个以成员ID和成员名称命名的Excel格式的合规报告。

  4. 打开Excel格式的合规报告,在不合规资源页签,通过存储空间ID或存储空间名称筛选出所有不合规的规则,并根据修正建议列进行修正。

步骤五:将资源的不合规事件投递到日志服务SLS

您可以设置将当前账号组内所有成员的资源不合规事件投递到日志服务SLS的指定日志库,并对其进行查询和分析。

  1. 投递页面,单击左上角的新建投递

  2. 新建投递页面,输入投递名称渠道类型选择日志服务SLS接收内容选择资源不合规事件日志项目来源选择本账号中新建日志项目,选择日志项目地域,输入日志项目名称日志库名称,资源类型保持默认值(即全部资源类型)。

  3. 单击确认

  4. 确认操作对话框,单击确定

    新建的投递仅在当前账号组内的所有成员中生效。

    在日志服务SLS控制台自动新建一个日志项目,在该日志项目下自动新建一个日志库,配置审计中的资源不合规事件将投递到该日志库。

    重要

    配置审计将资源数据投递到日志服务SLS,并使用其查询和分析功能需要收费。如果您不想产生费用,则可以在日志服务SLS控制台删除日志项目。删除日志项目后,配置审计中的投递任务失效,资源数据将不再投递。具体操作,请参见删除项目Project

  5. 查看资源不合规事件的投递结果,并对其进行查询和分析。

    1. 投递页面,单击新建的投递ID。

    2. 在目标投递的扩展信息区域,单击日志库名称。

      系统自动跳转到日志服务SLS控制台的目标日志库页面。

    3. 错误对话框,单击关闭

      说明

      通过配置审计控制台新建的日志库默认未开启索引,会报错。

    4. 开启日志库的索引。

      具体操作,请参见创建索引

    5. 查询并分析日志库中的日志。

      具体操作,请参见查询和分析日志

      说明

      关于资源不合规事件的JSON格式文件的内容示例,请参见资源不合规事件内容示例