Cloud Config：基於條件建立自訂規則

背景資訊

關於自訂條件規則的概念、應用情境和核心特性，請參見自訂條件規則的定義和運行原理。

操作步驟

1. 登入配置審計控制台。

2. （可選）在左上方選擇目標帳號組。

   僅資來源目錄下的管理帳號需要執行該操作。單個阿里雲帳號不涉及。

3. 在左側導覽列，選擇合規審計 > 規則。

4. 在規則頁面，單擊建立規則。

5. 在選擇建立方式頁面，先選擇基於條件自訂，再選擇資源類型，然後為該資源類型設定條件，最後單擊下一步。

   設定條件的方法如下：

   1. 設定規則條件。

      說明

      • 關於配置審計支援的資源類型及其屬性說明，請參見配置審計支援的資源類型和資源關係。

      • 調試面板中的資源配置代碼是目標資源類型中的第一條資源資料。關於如何查看資源，請參見全域搜尋或篩選資源。

      • 關於條件規則的特徵、操作符和預期值的設定方法，請參見自訂條件規則的基本元素說明。

      • 單條件判斷

        樣本：檢測ECS執行個體是否開啟刪除保護，開啟視為“合規”，未開啟視為“不合規”。

        1. 在選擇資源類型下拉式清單中，選擇Elastic Compute Service > ECS執行個體。

        2. 單擊展開調試面板。

        3. 在可視化編輯頁簽，條件關係保持預設值and，先在資源類型文字框選擇資源屬性 > DeletionProtection，再在操作符文字框選擇BoolEquals，然後在預期值文字框輸入false。

      • 多條件判斷

        樣本：如果以下2個條件中有一條合規，該條件規則判斷為“合規”；如果以下2個條件都不合規，該條件規則判斷為“不合規”。

        條件1：檢測Action Trail是否存在開啟狀態的跟蹤，存在開啟的跟蹤視為“合規”，不存在開啟的跟蹤視為“不合規”。

        條件2：檢測Action Trail的跟蹤地區是否為全部地區，跟蹤為全部地區視為“合規”，跟蹤為部分地區視為“不合規”。

        1. 在選擇資源類型下拉式清單中，選擇Action Trail > ActionTrail跟蹤。

        2. 單擊展開調試面板。

        3. 在可視化編輯頁簽，條件關係選擇or，在資源類型文字框選擇資源屬性 > Status，再在操作符文字框選擇StringEquals，然後在預期值文字框輸入Enable。

        4. 單擊添加條件，在資源類型文字框選擇資源屬性 > TrailRegion，再在操作符文字框選擇StringEquals，然後在預期值文字框輸入All。

      說明

      您還可以單擊調試面板右上方的指令碼編輯頁簽，在左側代碼地區直接編寫條件代碼。

   2. 單擊調試面板左上方的執行調試。

      您可以看到條件規則的驗證結果，合規或不合規。該驗證結果是配置審計基於您設定的條件規則，對調試面板中的資源配置內容進行驗證。

      • 驗證結果為合規

        通常情況下，說明當前條件規則設定正確，即可進入設定規則的下一步操作。

      • 驗證結果為不合規

        • 條件規則中的預期值設定錯誤，請確認不合規的條件，修改後重新執行調試。

        • 當前資源配置確實為不合規，如已符合預期，即可進入設定規則的下一步操作。

6. 在設定基本屬性頁面，先設定規則名稱、風險等級、觸發機制和描述資訊，然後單擊下一步。

7. 在設定生效範圍頁面，先設定資源的生效範圍，然後單擊下一步。

8. 在設定修正頁面，單擊提交。

   您可以開啟設定修正開關，根據控制台提示，設定自訂修正。具體操作，請參見設定自訂修正。

相關操作

• 為什麼調試面板中沒有資源資料？

• 如何理解條件規則中條件的合規和不合規？

• 什麼是資源特徵以及如何擷取其具體取值？

• 如何儲存或分享已調試好的規則條件？