管理可部署体系结构的合规性信息
通过使用 ibm_cloud.json
清单文件,可以包含可部署体系结构满足特定合规性需求的声明。 在加载可部署体系结构并将其发布到目录后,用户可以查看产品所遵循的控件或 Security and Compliance Center 预定义概要文件。 请先验证合规性信息,然后再加载可部署体系结构。
以下示例来自 VSI on VPC landing zone的目录页面,其中标准变体满足 IBM Cloud Framework for Financial Services v1.6.0 概要文件:

对可部署体系结构进行合规性声明的过程包括在将过程加载到目录之前和期间必须完成的步骤:
选择概要文件并扫描资源
将可部署体系结构加载到目录之前,请验证是否符合 Security and Compliance Center中的概要文件。 要声明合规性,请扫描可部署体系结构创建的资源。
-
在可部署体系结构创建的帐户中创建所有资源。
将资源组织到单个资源组中,以便仅对帐户中的那些资源运行 Security and Compliance Center 扫描。
-
在 IBM Cloud 控制台中,单击 菜单 图标
> 安全性与合规性 > 概要文件。
-
选择表示与解决方案最相关的控件的概要文件名称。 例如,IBM Cloud Framework for Financial Services 概要文件是一组专门针对金融服务业构建的控件。 有关概要文件的列表,请参阅 可用的预定义概要文件。
-
从列表中选择概要文件,并复制显示在页面开头的概要文件名称和版本号。 在本地保存此信息,因为您需要这些值来更新
ibm_cloud.json
清单文件。配置文件名称和版本 -
单击 附件> 创建。
-
输入附件名称,然后单击下一步
-
验证概要文件是否是要使用的概要文件,然后单击 下一步。
-
选择作用域。 如果将所有资源组织到单个资源组中,请将作用域设置为该资源组。
-
选择 每 30 天 作为调度频率,然后单击 下一步。
当您完成创建附件时,将启动扫描。 要避免稍后对扫描收费,请在完成启用可部署体系结构后返回到此设置并将其更改为 无。
-
查看附件详细信息,然后单击 保存。
您将看到指示正在进行扫描的状态栏。 如果需要启动一次性扫描,请使用“溢出菜单” 来选择 启动扫描。
扫描完成后,您可以使用“溢出菜单” 来选择 查看扫描结果,以确保可部署体系结构资源上的扫描按预期通过合规性检查。 如需了解更多信息,请参阅“锁定资源以评估 和 查看结果”。
更新清单中的合规性信息
在识别先前步骤中的安全性与合规性概要文件名称和版本之后,必须将该信息添加到源存储库中的 ibm_cloud.json
目录清单文件。
-
如果其中一个不存在,请在存储库的根目录中创建 目录清单文件。 有关示例目录清单文件,请参阅 terraform-ibm-Lanzone repo。
-
打开
ibm_catalog.json
文件。 -
查找或添加要更新的变体 (类型模板) 的
flavors.compliance
字段。 -
将
authority
设置为scc-v3
。 -
查找或添加
profiles[]
数组:- 将
profile_name
设置为您在先前步骤中保存的概要文件显示名称。 - 将
profile_version
设置为您在先前步骤中记录的版本。
例如:
"authority": "scc-v3", "profiles": [ { "profile_name": "IBM Cloud for Financial Services", "profile_version": "1.3.0" } ]
- 将
-
保存文件。
在加载期间添加 Security and Compliance Center 扫描
当您 在控制台中加载可部署体系结构 时,将添加扫描结果,以便用户在目录中评估产品时可以看到合规性声明。
- 在“管理合规性”页面上,单击添加扫描。
- 选择先前步骤中用于完成扫描的 Security and Compliance Center 实例。
- 选择概要文件。
- 选择扫描。
- 单击 应用扫描。
现在,添加了扫描结果,您可以完成加载并选择将可部署体系结构共享到其他帐户或企业,或者发布到 IBM Cloud 目录。
清除资源
要向可部署体系结构添加合规性声明,必须在帐户和 Security and Compliance Center 实例中创建资源。 为了降低未来成本,您可以删除在此过程中创建的不再需要的所有资源。 您可以保留 Security and Compliance Center 实例,但将附件扫描调度设置为 None
,直到准备好重新运行扫描为止。