云治理
该用户指南主要介绍云治理服务。
云治理是通过将创建的策略应用于云费用、运维、安全及监控的一项服务。自动化云治理策略可以降低安全风险,管理浪费的资源和费用。当识别到与策略不符的异常活动时,则会根据事先定义的策略运行自动改进操作。
快速入门指南
步骤1:创建云账户
在服务门户的云账户管理菜单中添加当前使用的云商账户。
步骤2:创建云治理策略
在云治理的策略管理中添加规则以创建策略。
步骤3:运行合规性评估
在合规性评估菜单中运行创建的策略。
仪表盘
云治理 - 仪表盘
云治理仪表盘显示与运行合规性评估策略相关的概要信息。
根据产品和类别,可以便捷地查看评估状态及状态趋势,同时也支持查看失败规则的列表。
概要
以百分比的形式显示迄今为止进行的评估结果。根据评估结果将结果分为严重、高、中、低四种程度,同时显示成功和失败的规则数量。点击右上角的查看评估列表和查看评估历史按钮,可移动至合规性评估和合规性日志菜单。
评估状态
根据产品和类别划分策略的评估状态。可按照云商查看评估状态,可按照用户设置的类别或产品显示成功或失败的规则。
参考:按照产品和类别,对比所有规则的数量与成功或失败的规则数量并以百分比的形式显示,该数值可能会超过100。
一个规则可适用于多个产品或类别,所以成功或失败的数量可能多于规则总数。
各区域评估状态
可以按区域查看规则状态,将鼠标放到地图标记的点上,会出现提示条,上面显示相应地区评估规则的所有数量,以及成功和失败的规则。相同内容也可通过表格查看。
状态趋势
您可以通过产品或分类来查看规则评估的状态。
可查看14天、1个月、1年的状态趋势。例如选择1个月时,以当前日期(2019年10月25日)为准,则显示的是一个月以前即截止到2020年9月25日的趋势。
失败的规则
运行检测后,现实失败的规则列表。在失败的规则列表中可以查看评估执行的时间以及规则是否处于解决状态。点击查看评估列表,进入合规性评估菜单,可查看失败规则的详情。
合规性评估
云治理 - 合规性评估
在合规性评估菜单中可评估添加到评估列表中的策略。同时提供输入账号、策略类型或检索词就能查看所需策略的筛选功能。
评估
用户在列表中选择策略后,点击评估按钮执行评估。在策略列表中点击从评估列表中删除按钮,便可从列表中删除。
点击选项,可以选择设置评估范围和设置日程选项。
![]()
点击设置评估范围可以选择需评估的账户。
![]()
点击设置日程功能,评估周期可选择每天、每周、每月,选择所需的时间段便可执行评估。
![]()
评估结果
在评估结果菜单中可查看评估分数和评估状态,可根据云商一目了然地查看失败和成功的规则。在编辑及修改已选策略时,点击页面上端的跳转到策略管理按钮,便可移动至策略管理菜单进行变更设置。
| 项 | 描述 |
|---|---|
| 评估分数 | 该分数是以全部规则总数为比较对象,以百分比的形式核算成功规则的占比数值。 严重程度划分为高、中、低三等。 |
| 评估状态 | 按照各产品及类别对比整体规则的数量,显示成功规则和失败规则的数值。 * 按照各产品及类别,对整体规则数量进行对比,所以成功或失败的数量以百分比显示,可能会超过100。 * 一个规则可对应多个产品或类别,所以成功或失败的规则数有可能多于规则数。 |
| 最近评估 | 评估执行的日期和时间。 |
| 最近评估范围 | 最近评估中所涉及的账号列表。 |
| 跳转到策略管理 | 为了修改相应策略,前往策略管理菜单。 |
参考:在策略管理菜单中修改策略时,需将修改的策略添加到合规性中才能执行评估。
应用的规则
应用于所选评估的规则列表,可以查看规则的评估状态和严重程度。规则失败时,可点击下一步操作按钮,执行预先设定好的操作来解决问题。
| 类别 | 按类别筛选并展示应用的规则。 |
| 产品 | 按产品筛选并展示应用的规则。 |
| 输入框 | 在输入框输入搜索词查找所需的规则。 |
| 评估状态 | 将评估的状态分为失败(未解决)、失败(解决)、成功、评估中、错误、未评估等。 |
| 规则名称 | 显示用户指定的规则名称和类别。 |
| 严重程度 | 规则的严重程度分为严重、高、中、低。 |
| 下一步操作 | 点击下一步操作按钮,当执行规则失败时执行预先设定好的操作。 |
- 点击相关规则,显示规则的状态,规则中包含的账号、详细条件页面。规则评估失败时,可在详细内容中查看失败原因。
评估设置
评估设置菜单包括基本的规则信息,同时可以设置是否进行手动或自动评估。评估范围也可在相应菜单中进行追加或删除。
参考:在评估设置菜单中点击+添加到白名单,可添加评估中想要排除的项目。白名单是将特定资源排除在评估项目外的列表。
| 基本信息 | 应用日期 | 将策略添加到评估列表的日期。 |
| 最近评估日 | 执行相应评估的日期。 | |
| 自动评估 | 点击开关按钮,变更为自动评估或手动评估。 | |
| 评估范围 | 显示评估中包含的账号。 | |
| 白名单 | 从列表中删除 | 在白名单中删除已选项目。 |
| 添加到白名单 | 点击添加到白名单按钮,添加应用于评估的列表。 | |
| 详细信息 | 点击详细信息按钮,可查看白名单中含有的账号、产品、地区资源名称、资源ID等信息。 |
评估日志
可在评估日志菜单中查看与评估相关的日志信息。显示评估执行记录和评估范围修订相关的日志信息,更详细的内容可在合规性日志中查询。
| 时段选择 | 选定时段,查看相应时段的评估日志。 |
| 状态 | 日志状态可分为System、状态、错误三种。 |
| 时间 | 日志生成的时间。 |
| 详细信息 | 查看日志详情。 |
参考:AWS香港和巴林地区的服务暂不提供评估。若该地区的服务需要评估时,请联系服务中心。
策略管理
云治理 – 策略管理
云治理提供多种用户可直接应用的Best Practice策略。策略管理菜单可复制Best Practice并创建新的策略。
在评估项目中添加策略
该功能是在用户环境中添加所需策略的功能。为执行合规性评估,可将所需的策略添加到评估列表中。
Best Practice 策略添加
为添加Best Practice策略点击相应策略后移动至详情页。在详情页点击添加评估项目按钮,该策略添加到合规性评估列表,便可执行评估。
| 评估状态 | 评估状态可分为成功、失败、错误三种。 |
| 评估结果 | 点击评估结果按钮移动至合规性评估。 |
| 创建时间 | 显示策略创建的时间。 |
| 更新时间 | 显示策略更新的时间。 |
| 应用的规则 | 显示该策略中包含的规则列表。 |
| 输入字段 | 按照类别和产品进行筛选,仅列出所需的规则。 |
| 删除规则 | 点击删除规则,将不需要的规则从评估列表中删除。 |
点击右上角的添加评估项目按钮,可选择在弹窗中立即进行评估,或设置日程进行定期评估。
在评估项目中复制策略
该功能是在复制Best Practice策略后,按照用户设置需求进行修改,创建新策略的功能。
复制Best Practice策略
复制云治理提供的Best Practice后进行编辑并创建新的策略。点击添加评估项目按钮,将新创建的策略添加到合规性评估列表并执行评估。
点击Best Practice复制按钮,移动至复制策略页面。
可在复制策略中修改应用的规则。
| 修改 | 可修改规则的基本信息和详细条件。 |
| 复制 | 复制规则&编辑并创建新的规则。 |
- 按照用户设置修改策略后,点击确认按钮,创建新的策略。
创建策略
该功能是在用户环境下创建所需策略的功能。
点击右上角的创建策略按钮,创建新的策略。
![]()
出现创建策略弹窗时,输入策略名称及描述后,点击确认按钮。
![]()
选择已创建策略前往详情页面。在策略管理页面点击+添加规则按钮,添加规则。
![]()
在添加规则页面,设置规则名称和描述等基本信息。
![]()
点击下一步按钮,设置详细条件。
![]()
选择执行筛选中的可用选项
- Run Lambda Function
- Start Instance
- Stop Instance
- Reboot Instance
- Terminate Instance
- Delete Snapshots
- Delete Volumes
- Release Elastic IPs
目前可按照策略选择上述操作,并计划持续扩大使用。
- 在创建的策略详情页面上添加规则后,点击添加评估项目按钮,便可添加到评估列表中。
![]()
合规性日志
云治理 - 合规性日志
在合规性日志菜单中可查看截至目前所执行的评估日志。选择时间、日志类型并输入搜索词可以查找特定日志。
点击日志详情按钮,可查看评估名称、已应用规则、自动评估时间表、评估范围、白名单等详细内容。
合规性日志的类型包含策略、规则、白名单、账户、评估项目设置、已评估策略等。
设置
云治理 - 设置
可在设置中创建白名单和分类。
白名单
云治理提供将特定资源在评估中排除的白名单模板。点击+创建模板按钮,用户便可自定义创建模板。在创建白名单模板页面添加需要在评估中排除的资源。
点击添加资源按钮,可选择带有云商、产品、标签等信息的资源。
点击下图中的筛选,便可通过云服务、账号、地区、产品等进行筛选,搜索所需的资源。
分类
在分类菜单中可将规则进行分类,同时可以按照分类对规则进行管理。
