IBM Cloud Docs
基于 IBM Cloud 标记评估资源

基于 IBM Cloud 标记评估资源

自 2025 年 6 月 16 日起,您不能在本产品的此版本中创建新实例。 Security and Compliance Center Workload Protection 的更新体验中提供了所有功能。 更多信息,请参阅 过渡文档

在 IBM Cloud中,可以根据组织的需求对资源进行标记。 例如,部署在生产环境中的所有资源都可能具有特定标记,或者您可以添加访问标记以帮助控制用户对资源的访问权。 在本教程中,您将学习如何配置 Security and Compliance Center 以按标记监视一组资源。

步骤汇总

本教程将指导您完成创建定制规则并使用其来创建定制控制库的过程。 接下来,通过从新创建的库中进行拉取来创建定制概要文件。 然后,通过选择该概要文件并仅将具有关联 env:prod 平台标记的资源作为目标来创建附件。 您还可以在创建附件的过程中定义资源扫描的调度。

准备工作

开始使用本教程之前,请确保您具备以下先决条件:

  • IBM Cloud 帐户。
  • 在 Security and Compliance Center中创建和管理对象所需的访问级别。 要完成本教程,您必须具有 Security and Compliance Center 服务的 编辑者 平台角色或更高版本
  • 现有平台标记。

创建定制规则

支持资源标记的服务具有其他配置属性,例如 user_tagsservice_tagsaccess_tags。 您可以使用其中一个或多个属性来创建定制规则。

  1. 在 IBM Cloud 控制台中,转到 Resource list 页面并选择 Security and Compliance Center 实例。

  2. 在 Security and Compliance Center 实例中,转到 Controls > Rules 页面并单击 Create

  3. 输入描述。 Check if Event Notifications instances have production tags例如:

  4. 选择 Event Notifications 作为 将资源作为目标 部分中的服务

    如何选择目标服务的直观表示。
    设置目标资源示例

  5. 配置属性 部分中,进行以下选择。

    1. 选择 user_tags 作为属性。

    2. 选择 strings_required 作为运算符。

    3. 输入 env:prod 作为值。

    4. 单击添加到规则

      如何选择配置资源属性的直观表示。
      配置资源属性示例

  6. 查看规则的 JSON 以确保其正确。

    JSON 的可视表示。
    规则 JSON 示例

  7. 单击下一步

  8. 复审完整规则定义,然后单击 创建

现在,您可以使用定制规则来检查 Event Notifications 资源是否具有 env:prod 标记。

定制规则的可视表示。
自定义规则示例

创建自定义控件库

对于 Security and Compliance Center,要使用您创建的控件,必须将其添加到库中。 要创建定制控制库,可以使用以下步骤。

  1. 从 Security and Compliance Center UI 中的导航菜单单击 控件> 控制库

  2. 单击创建

  3. 为您的图书馆提供名称说明。 例如,您的名称可能是 Monitor resources based on custom rules。 然后,单击下一步

  4. 将控件添加到控制库。

    1. 按控件分组 部分中单击 创建
    2. 提供控件的详细信息。

    定制控件的可视表示。
    自定义控件示例

    1. 向控件添加规范。

      1. 单击添加

      2. 输入描述。

      3. 选择 Event Notifications 作为组件。

      4. 选择在第一步中创建的规则。

      5. 单击创建

        定制控件的可视表示。
        控制规范示例

  5. 单击创建

定制控件的可视表示。
自定义控件示例

在此示例中,您的控制库具有单个控件。 您始终可以根据需要添加其他控件。

创建定制概要文件

要开始根据规则评估资源,必须将其添加到概要文件。 只能将控件添加到现有库中的概要文件。

  1. 从 Security and Compliance Center中的导航菜单单击 个人档案

    如果您位于创建的控制库的详细信息页面中,那么还可以单击 操作> 创建概要文件 以进入下一页。

  2. 单击创建

  3. 为配置文件提供名称描述。 例如,您的名称可能是 Monitoring resources by using tags

  4. 向定制概要文件添加控件。

    1. 单击添加

    2. 选择 定制 选项卡以查看定制控制库。

    3. 选择上一步创建的控制库。

      选择“定制”控件的直观表示。
      选择自定义控件示例

    4. 选择先前创建的控件。

    5. 单击下一步

  5. 查看概要文件,并在准备就绪后单击 创建

现在,您的定制规则在概要文件中可用,以开始评估资源。

定制概要文件的可视表示。
自定义配置文件示例

评估资源

在 Security and Compliance Center中,通过附件对资源进行求值。 附件是特定概要文件与称为作用域的资源分组之间的连接。 要启动资源扫描,您可以使用以下步骤来创建附件。

  1. 从 Security and Compliance Center中的导航菜单单击 个人档案

    如果您位于创建的控制库的详细信息页面中,那么还可以单击 操作> 创建概要文件 以进入下一页。

  2. 在“个人档案详细信息”页面中,单击 附件 选项卡

  3. 从附件表中单击 创建

  4. 提供附件名称,例如 Monitor resources using Tags,然后单击 下一步

  5. 由于没有参数,请单击 下一步

  6. 选择附件的作用域,然后单击 下一步

  7. 如果要使用缺省扫描设置 (每天运行扫描),请单击 下一步,否则修改设置

  8. 复审并单击 创建

    附件的可视表示。
    附件示例

后续步骤

扫描完成后,结果将在 Security and Compliance Center 仪表板中可用。 查看结果以查看不合规的资源。

结果的可视表示。
结果示例