概念

說(shuō)明

資源類(lèi)型

資源類(lèi)型是一組實(shí)體資源的歸類(lèi)。例如：云服務(wù)器ECS實(shí)例的資源類(lèi)型為ECS實(shí)例。資源可以分為以下幾類(lèi)：

• 計(jì)算實(shí)例、存儲(chǔ)實(shí)例等實(shí)體資源。

• 工作組、工作流等應(yīng)用級(jí)產(chǎn)品的管理資源。

• 角色、策略等權(quán)限相關(guān)的管理資源。

資源配置詳情

配置審計(jì)通過(guò)云服務(wù)開(kāi)放的資源查詢接口可獲取當(dāng)前阿里云賬號(hào)下的所有資源。您可以在資源列表中查看各個(gè)資源的配置信息，也可以快速跳轉(zhuǎn)到指定資源的云服務(wù)控制臺(tái)，對(duì)其進(jìn)行管理。

監(jiān)控范圍

監(jiān)控范圍指監(jiān)控資源類(lèi)型的范圍，監(jiān)控的粒度是資源類(lèi)型。

• 當(dāng)某個(gè)資源類(lèi)型在監(jiān)控范圍內(nèi)時(shí)，當(dāng)前阿里云賬號(hào)下該資源類(lèi)型的所有資源都會(huì)被追蹤，每10分鐘記錄一次配置變更。

• 當(dāng)某個(gè)資源類(lèi)型被移出監(jiān)控范圍時(shí)，當(dāng)前阿里云賬號(hào)下該資源類(lèi)型的所有資源都停止記錄配置變更。

規(guī)則

規(guī)則指用于判斷資源配置是否合規(guī)的規(guī)則函數(shù)。配置審計(jì)使用函數(shù)計(jì)算中的函數(shù)來(lái)承載規(guī)則代碼。規(guī)則綁定資源類(lèi)型后，當(dāng)該資源類(lèi)型中的資源發(fā)生配置變更時(shí)，自動(dòng)觸發(fā)規(guī)則評(píng)估，檢查本次配置變更的合規(guī)性。您也可以設(shè)置規(guī)則定時(shí)觸發(fā)，配置審計(jì)定時(shí)為您檢查所有資源的合規(guī)性。配置審計(jì)支持的規(guī)則如下：

• 規(guī)則模板

  關(guān)于規(guī)則模板，請(qǐng)參見(jiàn)規(guī)則模板列表。

• 自定義規(guī)則

  您需要先在函數(shù)計(jì)算控制臺(tái)新建函數(shù)，再在配置審計(jì)控制臺(tái)上選擇函數(shù)ARN。關(guān)于使用函數(shù)計(jì)算新建規(guī)則的具體操作，請(qǐng)參見(jiàn)自定義函數(shù)規(guī)則定義和運(yùn)行原理。

配置時(shí)間線

配置審計(jì)為您提供每個(gè)監(jiān)控范圍內(nèi)資源的配置時(shí)間線。

• 對(duì)于您開(kāi)通配置審計(jì)服務(wù)時(shí)已保有的資源，配置時(shí)間線的起點(diǎn)是服務(wù)開(kāi)通時(shí)間。

• 對(duì)于您開(kāi)通配置審計(jì)服務(wù)后新建的資源，配置時(shí)間線的起點(diǎn)是資源新建時(shí)間。配置審計(jì)每10分鐘記錄一次資源配置變更，如果資源配置變更，則會(huì)在配置時(shí)間線出現(xiàn)一個(gè)節(jié)點(diǎn)，顯示該時(shí)間點(diǎn)的資源配置詳情、變更詳情，以及該變更涉及的操作事件。

合規(guī)時(shí)間線

規(guī)則評(píng)估在資源配置變更發(fā)生時(shí)觸發(fā)，配置時(shí)間線會(huì)有一個(gè)對(duì)應(yīng)的合規(guī)時(shí)間線，是每次合規(guī)評(píng)估結(jié)果的歷史記錄。合規(guī)時(shí)間線的合規(guī)評(píng)估記錄與規(guī)則觸發(fā)方式有關(guān)。

• 如果規(guī)則為定時(shí)觸發(fā)，則只包括定時(shí)評(píng)估的記錄。

• 如果規(guī)則為資源配置變更觸發(fā)，則只包括配置變更時(shí)評(píng)估的記錄。

• 如果規(guī)則同時(shí)為定時(shí)觸發(fā)和資源配置變更觸發(fā)，則同時(shí)包括定時(shí)和配置變更時(shí)評(píng)估的記錄。

等保預(yù)檢

等保2.0預(yù)檢為云上的合規(guī)檢測(cè)，為您動(dòng)態(tài)且持續(xù)地檢測(cè)阿里云上資源的合規(guī)性，從而避免正式檢測(cè)時(shí)多次反復(fù)整改，幫助您快速通過(guò)等保檢測(cè)。

CIS

CIS（Center for Internet Security）是互聯(lián)網(wǎng)安全中心。CIS安全控制是企業(yè)為了實(shí)現(xiàn)基本網(wǎng)絡(luò)安全而必須滿足的前20個(gè)控制點(diǎn)或目標(biāo)的列表。

資源目錄

資源目錄（Resource Directory）是阿里云面向企業(yè)客戶提供的一套多級(jí)資源（賬號(hào)）關(guān)系管理服務(wù)。

管理賬號(hào)

管理賬號(hào)（Management Account，簡(jiǎn)稱(chēng)MA）是一個(gè)經(jīng)過(guò)企業(yè)實(shí)名認(rèn)證的阿里云賬號(hào)。您可以使用管理賬號(hào)開(kāi)通資源目錄，開(kāi)通后，管理賬號(hào)就是資源目錄的超級(jí)管理員，對(duì)資源目錄、資源夾和成員擁有完全控制權(quán)限。每個(gè)資源目錄有且只有一個(gè)管理賬號(hào)。

成員

成員是通過(guò)資源目錄創(chuàng)建出來(lái)的資源賬號(hào)，該資源賬號(hào)用于承載您在阿里云上的某個(gè)項(xiàng)目或應(yīng)用。 如果您已經(jīng)注冊(cè)了阿里云賬號(hào)，您也可以通過(guò)邀請(qǐng)的方式將該阿里云賬號(hào)加入到資源目錄，即成為云賬號(hào)類(lèi)型的成員。具體如下：

• 資源賬號(hào)

  在資源目錄中創(chuàng)建的成員默認(rèn)為資源賬號(hào)。資源賬號(hào)禁用了root（root是阿里云賬號(hào)的Administrator，所以也稱(chēng)為根賬號(hào)或主賬號(hào)）登錄權(quán)限，具有更高的安全性。關(guān)于創(chuàng)建資源賬號(hào)的具體操作，請(qǐng)參見(jiàn)創(chuàng)建成員。

• 云賬號(hào)

  通過(guò)邀請(qǐng)方式加入到資源目錄的阿里云賬號(hào)稱(chēng)為云賬號(hào)。云賬號(hào)具有root登錄權(quán)限。關(guān)于邀請(qǐng)阿里云賬號(hào)的具體操作，請(qǐng)參見(jiàn)邀請(qǐng)阿里云賬號(hào)加入資源目錄。

賬號(hào)組

賬號(hào)組是一組成員的集合。在一個(gè)資源目錄中，管理賬號(hào)可以選擇所有或部分成員形成一個(gè)管理單元進(jìn)行集中的合規(guī)管理，這個(gè)管理單元就是賬號(hào)組。從資源維度上講，賬號(hào)組是多個(gè)成員中的資源匯聚而成的資源池。

管理賬號(hào)可以查看賬號(hào)組中所有成員中的資源列表、資源詳情、資源配置時(shí)間線、資源合規(guī)時(shí)間線和關(guān)聯(lián)資源，還可以在賬號(hào)組中新建規(guī)則與合規(guī)包。這些規(guī)則和合規(guī)包將對(duì)該賬號(hào)組中所有成員下的資源生效，進(jìn)行持續(xù)地合規(guī)評(píng)估。