全部产品
Search
文档中心

配置审计:预检规则的定义与运行原理

更新时间:Jul 17, 2023

本文为您介绍预检规则的定义、运行原理和集成过程。

什么是预检规则

规则的本质是一段判断逻辑,判断资源的某一个配置项是否合规。关于规则的更多信息,请参见规则的定义及运行原理

预检规则和规则模板的检测逻辑一样,核心要素为资源配置项和预检规则条件,具备以下特点:

  • 资源配置项为即将创建的资源属性,例如:资源的规格、所属地域、名称、状态、端口或网口开关状态等。

  • 预检规则条件是判断资源是否合规的逻辑代码,例如:当待创建的ECS实例开启删除保护时,视为“合规”;当待创建的ECS实例未开启删除保护时,视为“不合规”。

  • 预检结果就是合规结果。

预检规则的运行原理

预检规则的运行原理如下图所示。预检原理

预检规则运行原理的详细说明如下:

  1. 解析资源并获取资源类型和资源属性。

  2. 调用ListPreManagedRules接口获取目标资源类型支持的所有预检规则。

  3. 先选择目标预检规则,再调用EvaluatePreConfigRules接口发起预检请求。

    您可以选择同步开启规则模板。

    • 开启规则模板会同步开启预检规则对应的规则模板,这些规则模板将持续对该资源进行检测,您还可以在配置审计控制台对这些规则执行修改、删除、停用、启用等操作。

    • 关闭规则模板仅对资源进行预检。

  4. 获取预检结果。

    您可以对不合规资源进行修正,然后重新检测。

预检规则的集成过程

本文以ROS(资源编排)为例,为您介绍预检规则的集成过程。当您编写模板和配置参数后,可以获取资源类型和资源属性,在执行资源部署前调用预检规则对资源进行合规预检,具体流程如下图所示。ROS部署

关于预检规则在ROS(资源编排)中的集成详情,请参见创建资源栈