概念

說明

資源類型

資源類型是一組實體資源的歸類。例如：云服務器ECS實例的資源類型為ECS實例。資源可以分為以下幾類：

• 計算實例、存儲實例等實體資源。

• 工作組、工作流等應用級產品的管理資源。

• 角色、策略等權限相關的管理資源。

資源配置詳情

配置審計通過云服務開放的資源查詢接口可獲取當前阿里云賬號下的所有資源。您可以在資源列表中查看各個資源的配置信息，也可以快速跳轉到指定資源的云服務控制臺，對其進行管理。

監控范圍

監控范圍指監控資源類型的范圍，監控的粒度是資源類型。

• 當某個資源類型在監控范圍內時，當前阿里云賬號下該資源類型的所有資源都會被追蹤，每10分鐘記錄一次配置變更。

• 當某個資源類型被移出監控范圍時，當前阿里云賬號下該資源類型的所有資源都停止記錄配置變更。

規則

規則指用于判斷資源配置是否合規的規則函數。配置審計使用函數計算中的函數來承載規則代碼。規則綁定資源類型后，當該資源類型中的資源發生配置變更時，自動觸發規則評估，檢查本次配置變更的合規性。您也可以設置規則定時觸發，配置審計定時為您檢查所有資源的合規性。配置審計支持的規則如下：

• 規則模板

  關于規則模板，請參見規則模板列表。

• 自定義規則

  您需要先在函數計算控制臺新建函數，再在配置審計控制臺上選擇函數ARN。關于使用函數計算新建規則的具體操作，請參見自定義函數規則定義和運行原理。

配置時間線

配置審計為您提供每個監控范圍內資源的配置時間線。

• 對于您開通配置審計服務時已保有的資源，配置時間線的起點是服務開通時間。

• 對于您開通配置審計服務后新建的資源，配置時間線的起點是資源新建時間。配置審計每10分鐘記錄一次資源配置變更，如果資源配置變更，則會在配置時間線出現一個節點，顯示該時間點的資源配置詳情、變更詳情，以及該變更涉及的操作事件。

合規時間線

規則評估在資源配置變更發生時觸發，配置時間線會有一個對應的合規時間線，是每次合規評估結果的歷史記錄。合規時間線的合規評估記錄與規則觸發方式有關。

• 如果規則為定時觸發，則只包括定時評估的記錄。

• 如果規則為資源配置變更觸發，則只包括配置變更時評估的記錄。

• 如果規則同時為定時觸發和資源配置變更觸發，則同時包括定時和配置變更時評估的記錄。

等保預檢

等保2.0預檢為云上的合規檢測，為您動態且持續地檢測阿里云上資源的合規性，從而避免正式檢測時多次反復整改，幫助您快速通過等保檢測。

CIS

CIS（Center for Internet Security）是互聯網安全中心。CIS安全控制是企業為了實現基本網絡安全而必須滿足的前20個控制點或目標的列表。

資源目錄

資源目錄（Resource Directory）是阿里云面向企業客戶提供的一套多級資源（賬號）關系管理服務。

管理賬號

管理賬號（Management Account，簡稱MA）是一個經過企業實名認證的阿里云賬號。您可以使用管理賬號開通資源目錄，開通后，管理賬號就是資源目錄的超級管理員，對資源目錄、資源夾和成員擁有完全控制權限。每個資源目錄有且只有一個管理賬號。

成員

成員是通過資源目錄創建出來的資源賬號，該資源賬號用于承載您在阿里云上的某個項目或應用。 如果您已經注冊了阿里云賬號，您也可以通過邀請的方式將該阿里云賬號加入到資源目錄，即成為云賬號類型的成員。具體如下：

• 資源賬號

  在資源目錄中創建的成員默認為資源賬號。資源賬號禁用了root（root是阿里云賬號的Administrator，所以也稱為根賬號或主賬號）登錄權限，具有更高的安全性。關于創建資源賬號的具體操作，請參見創建成員。

• 云賬號

  通過邀請方式加入到資源目錄的阿里云賬號稱為云賬號。云賬號具有root登錄權限。關于邀請阿里云賬號的具體操作，請參見邀請阿里云賬號加入資源目錄。

賬號組

賬號組是一組成員的集合。在一個資源目錄中，管理賬號可以選擇所有或部分成員形成一個管理單元進行集中的合規管理，這個管理單元就是賬號組。從資源維度上講，賬號組是多個成員中的資源匯聚而成的資源池。

管理賬號可以查看賬號組中所有成員中的資源列表、資源詳情、資源配置時間線、資源合規時間線和關聯資源，還可以在賬號組中新建規則與合規包。這些規則和合規包將對該賬號組中所有成員下的資源生效，進行持續地合規評估。