全部产品
Search
文档中心

配置审计:规则的定义及运行原理

更新时间:Jul 17, 2023

合规性即代码,规则是企业合规要求的代码式诠释。合规条款对应一段规则代码,代码的本质是对一条资源配置的判断逻辑。配置审计服务使用函数计算服务的函数来承载规则代码,称之为规则函数。在配置审计服务中引用规则函数,配置关联资源、触发机制、规则参数等信息后,就构成了配置审计服务中的规则。

在实际的合规监控中,就是通过实时的资源配置变更触发规则函数的执行,来判断某个资源配置是否合规。多个规则的组合就实现了对整个资源配置的合规监控。

规则的定义

规则的本质是一段判断逻辑,判断资源的某一个配置项是否合规,具备以下特点:

  • 规则函数的入参是通过API查询资源获取的配置项,例如:资源的规格、所属地域、名称、状态、端口或网口开关状态等。入参名称与配置项名称保持一致。

  • 规则函数的逻辑是对入参值的判断,判断逻辑由您的代码决定,例如:当负载均衡的HTTPS监听状态为开启时,视为合规。入参为负载均衡的资源上代表HTTPS监听状态的配置字段,而当该字段值表示关闭时,视为不合规。

  • 规则函数的出参是合规结果。

规则指向的资源类型

在函数计算中定义的规则函数,此时还不具有目标指向性,因为该规则函数未指向具体的资源类型。不同资源之间可能存在同名的配置参数,仅仅根据规则函数的入参设置无法实现准确的合规评估。

因此需要您在配置审计中,将已经创建好的规则函数与确定的资源类型绑定。当该类型的实体资源发生配置变更时,配置审计先找到资源关联的规则,再根据具体配置的变更来判断待触发的规则。

规则的触发

当资源发生配置变更时,配置审计能够准确定位发生变更的配置,以变更参数作为入参的规则函数,自动触发规则执行,评估本次变更的结果是否合规。因此规则函数的入参名称要与实际资源配置的参数名称保持一致。

此外,配置审计还支持您将规则设置为周期触发,可定期为您执行合规评估。

合规评估的结果

配置审计将获取的变更结果作为入参传入规则函数,规则函数返回合规结果给配置审计,在配置审计控制台以各种方式为您呈现和统计,请参见查看资源的评估结果

您可以在函数计算服务中自定义规则函数,请参见自定义规则函数。您也可以使用配置审计为您准备的规则模板,请参见规则模板列表