全部产品
Search
文档中心

配置审计:CreateAggregateCompliancePack - 创建账号组合规包

更新时间:Dec 10, 2024

为指定账号组创建合规包。

接口说明

合规包是一组规则的集合。新建合规包时,您可以选择合规包模板中的默认规则,也可以选择规则模板和已有规则列表中的规则。

新建合规包后,这些规则默认会执行一次评估,后续将根据规则的触发机制自动触发评估,也可以手动执行评估。

合规包模板是配置审计根据合规场景定制的一组规则的集合。

本文将提供一个示例,为账号组ca-f632626622af0079****通过合规包模板ClassifiedProtectionPreCheck(等保三级预检合规包)创建一个合规包。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
config:CreateAggregateCompliancePackcreate
*全部资源
*

请求参数

名称类型必填描述示例值
CompliancePackTemplateIdstring

合规包模板 ID。

关于如何获取合规包模板 ID,请参见 ListCompliancePackTemplates

ct-5f26ff4e06a300c4****
CompliancePackNamestring

合规包名称。

等保三级预检合规包
Descriptionstring

合规包描述。

基于等保三级的部分要求,对阿里云上资源的合规性做检测。
RiskLevelinteger

合规包风险等级。取值:

  • 1:高风险。
  • 2(默认值):中风险。
  • 3:低风险。
2
AggregatorIdstring

账号组 ID。

关于如何获取账号组 ID,请参见 ListAggregators

ca-f632626622af0079****
ConfigRulesarray<object>

合规包中的规则列表。

说明 本参数和TemplateContent必须设置其中一个。
object

ManagedRuleIdentifierstring

规则模板标识。配置审计根据规则模板标识自动创建规则,并将该规则加入到当前合规包中。

ManagedRuleIdentifierConfigRuleId二选一,当两个参数都设置时,以ConfigRuleId为准确。

eip-bandwidth-limit
ConfigRuleNamestring

规则名称。

弹性IP实例带宽满足最低要求
ConfigRuleParametersarray<object>

规则参数信息。

object

ParameterNamestring

规则参数名称。

参数ParameterNameParameterValue必须同时设置,或同时不设置。如果规则模板存在参数,且无默认取值,则您必须设置该参数。

bandwidth
ParameterValuestring

规则参数值。

参数ParameterNameParameterValue必须同时设置,或同时不设置。如果规则模板存在参数,且无默认取值,则您必须设置该参数。

10
ConfigRuleIdstring

规则 ID。配置审计将已有规则加入到当前合规包中。

ManagedRuleIdentifierConfigRuleId二选一,当两个参数都设置时,以ConfigRuleId为准确。

cr-e918626622af000f****
Descriptionstring

规则描述。

弹性公网已绑定到ECS或者NAT实例,非闲置状态,视为“合规”。
RiskLevelinteger

规则风险等级。取值:

  • 1:高风险。
  • 2:中风险。
  • 3:低风险。
1
TemplateContentstring

用于生成合规包的模板信息。模板内容可以从已有合规包详情 API 中查看,或者参考编写配置化合规包模板进行编写。

说明 本参数和TemplateContent必须设置其中一个。
{ "configRuleTemplates": [ { "configRuleName": "自定义条件规则示例", "scope": { "complianceResourceTypes": [ "ACS::ECS::Instance" ] }, "description": "", "source": { "owner": "CUSTOM_CONFIGURATION", "identifier": "acs-config-configuration", "sourceDetails": [ { "messageType": "ScheduledNotification", "maximumExecutionFrequency": "Twelve_Hours" }, { "messageType": "ConfigurationItemChangeNotification" } ], "conditions": "{\"ComplianceConditions\":\"{\\\"operator\\\":\\\"and\\\",\\\"children\\\":[{\\\"operator\\\":\\\"GreaterOrEquals\\\",\\\"featurePath\\\":\\\"$.Cpu\\\",\\\"featureSource\\\":\\\"CONFIGURATION\\\",\\\"desired\\\":\\\"2\\\"}]}\"}" }, "inputParameters": {} }, { "configRuleName": "OSS存储空间Referer在指定的防盗链白名单中", "scope": { "complianceResourceTypes": [ "ACS::OSS::Bucket" ] }, "description": "OSS存储空间开启防盗链并且Referer在指定白名单中,视为“合规”。", "source": { "owner": "ALIYUN", "identifier": "oss-bucket-referer-limit", "sourceDetails": [ { "messageType": "ConfigurationItemChangeNotification" } ] }, "inputParameters": { "allowEmptyReferer": "true", "allowReferers": "http://www.aliyun.com" } } ] }
ClientTokenstring

保证请求幂等性。从您的客户端生成一个参数值,确保不同请求间该参数值唯一。ClientToken只支持 ASCII 字符,且不能超过 64 个字符。

1594295238-f9361358-5843-4294-8d30-b5183fac****
DefaultEnableboolean

规则是否支持快速启用。取值:

  • true:合规包快捷启用时会开启该规则。
  • false(默认值):不启用。
false
RegionIdsScopestring

合规包仅对指定地域 ID 中的资源生效。多个地域 ID 之间用半角逗号(,)分隔。

cn-hangzhou
ExcludeRegionIdsScopestring

合规包对指定地域内资源无效,即不对该地域内资源执行评估。多个地域 ID 之间用半角逗号(,)分隔。

cn-shanghai
ExcludeResourceIdsScopestring

合规包对指定资源 ID 无效,即不对该资源执行评估。多个资源 ID 之间用半角逗号(,)分隔。

eip-8vbf3x310fn56ijfd****
ResourceIdsScopestring

规则对指定资源 ID 生效。多个资源 ID 之间用半角逗号(,)分隔。

lb-5cmbowstbkss9ta03****
ResourceGroupIdsScopestring

合规包仅对指定资源组 ID 中的资源生效。多个资源组 ID 之间用半角逗号(,)分隔。

rg-aekzc7r7rhx****
ExcludeResourceGroupIdsScopestring

规则对指定资源组 ID 中的资源无效,即不对该资源组内的资源评估。多个资源组 ID 之间用半角逗号(,)分隔。

rg-bnczc6r7rml****
TagKeyScopestring

合规包仅对绑定指定标签键的资源生效。

ECS
TagValueScopestring

合规包仅对绑定指定标签键值对的资源生效。

说明 TagValueScope 需结合 TagKeyScope 一起使用。
test
TagsScopearray<object>

生效标签。

object
TagKeystring

资源的标签键。

tagKey1
TagValuestring

资源的标签值。

tagValue1
ExcludeTagsScopearray<object>

排除标签。

object
TagKeystring

资源的标签键。

4
TagValuestring

资源的标签值。

user

关于公共请求参数的详情,请参见公共参数

返回参数

名称类型描述示例值
object

CompliancePackIdstring

合规包 ID。

cp-fc56626622af00f9****
RequestIdstring

请求 ID。

CC0CE5EB-E51E-48EB-B4AB-9A9E131ECC0F

示例

正常返回示例

JSON格式

{
  "CompliancePackId": "cp-fc56626622af00f9****",
  "RequestId": "CC0CE5EB-E51E-48EB-B4AB-9A9E131ECC0F"
}

错误码

HTTP status code错误码错误信息描述
400CompliancePackExistsThe compliance pack already exists.合规包名称重复。
400Invalid.AggregatorId.ValueThe specified AggregatorId is invalid.账号组ID不存在或无权限使用该账号组。
400CompliancePackExceedMaxCountThe maximum number of compliance pack is exceeded.-
400Invalid.CompliancePackName.ValueThe specified CompliancePackName is invalid.合规包名称格式不符合要求。
400Invalid.CompliancePackTemplateId.ValueThe specified CompliancePackTemplateId does not exist.合规包模板ID不存在。
400Invalid.ConfigRules.EmptyYou must specify ConfigRules.-
400Invalid.ConfigRules.ValueThe specified ConfigRules is invalid.合规包规则中参数输入错误。
400ConfigRuleExceedMaxRuleCountThe maximum number of config rules is exceeded.-
403AggregatorMemberNoPermissionThe aggregator member is not authorized to perform the operation.账号组内的成员账号无权限执行此操作。
404AccountNotExistedYour account does not exist.-
503ServiceUnavailableThe request has failed due to a temporary failure of the server.服务不可用。

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2023-12-13OpenAPI 错误码发生变更、OpenAPI 入参发生变更查看变更详情