配置审计：基于条件创建自定义规则

背景信息

关于自定义条件规则的概念、应用场景和核心特性，请参见自定义条件规则的定义和运行原理。

操作步骤

1. 登录配置审计控制台。

2. （可选）在左上角选择目标账号组。

   仅资源目录下的管理账号需要执行该操作。单个阿里云账号不涉及。

3. 在左侧导航栏，选择合规审计 > 规则。

4. 在规则页面，单击新建规则。

5. 在选择创建方式页面，先选择基于条件自定义，再选择资源类型，然后为该资源类型设置条件，最后单击下一步。

   设置条件的方法如下：

   1. 设置规则条件。

      说明

      • 关于配置审计支持的资源类型及其属性说明，请参见配置审计支持的资源类型和资源关系。

      • 调试面板中的资源配置代码是目标资源类型中的第一条资源数据。关于如何查看资源，请参见全局搜索或筛选资源。

      • 关于条件规则的特征、操作符和预期值的设置方法，请参见自定义条件规则的基本元素说明。

      • 单条件判断

        示例：检测ECS实例是否开启删除保护，开启视为“合规”，未开启视为“不合规”。

        1. 在选择资源类型下拉列表中，选择云服务器ECS > ECS实例。

        2. 单击展开调试面板。

        3. 在可视化编辑页签，条件关系保持默认值and，先在资源类型文本框选择资源属性 > DeletionProtection，再在操作符文本框选择BoolEquals，然后在预期值文本框输入false。

      • 多条件判断

        示例：如果以下2个条件中有一条合规，该条件规则判断为“合规”；如果以下2个条件都不合规，该条件规则判断为“不合规”。

        条件1：检测操作审计是否存在开启状态的跟踪，存在开启的跟踪视为“合规”，不存在开启的跟踪视为“不合规”。

        条件2：检测操作审计的跟踪地域是否为全部地域，跟踪为全部地域视为“合规”，跟踪为部分地域视为“不合规”。

        1. 在选择资源类型下拉列表中，选择操作审计 > ActionTrail跟踪。

        2. 单击展开调试面板。

        3. 在可视化编辑页签，条件关系选择or，在资源类型文本框选择资源属性 > Status，再在操作符文本框选择StringEquals，然后在预期值文本框输入Enable。

        4. 单击添加条件，在资源类型文本框选择资源属性 > TrailRegion，再在操作符文本框选择StringEquals，然后在预期值文本框输入All。

      说明

      您还可以单击调试面板右上角的脚本编辑页签，在左侧代码区域直接编写条件代码。

   2. 单击调试面板左上角的执行调试。

      您可以看到条件规则的验证结果，合规或不合规。该验证结果是配置审计基于您设置的条件规则，对调试面板中的资源配置内容进行验证。

      • 验证结果为合规

        通常情况下，说明当前条件规则设置正确，即可进入设置规则的下一步操作。

      • 验证结果为不合规

        • 条件规则中的预期值设置错误，请确认不合规的条件，修改后重新执行调试。

        • 当前资源配置确实为不合规，如已符合预期，即可进入设置规则的下一步操作。

6. 在设置基本属性页面，先设置规则名称、风险等级、触发机制和描述信息，然后单击下一步。

7. 在设置生效范围页面，先设置资源的生效范围，然后单击下一步。

8. 在设置修正页面，单击提交。

   您可以打开设置修正开关，根据控制台提示，设置自定义修正。具体操作，请参见设置自定义修正。

相关操作

• 为什么调试面板中没有资源数据？

• 如何理解条件规则中条件的合规和不合规？

• 什么是资源特征以及如何获取其具体取值？

• 如何保存或分享已调试好的规则条件？