合規性即代碼,規則是企業合規要求的代碼式詮釋。合規條款對應一段規則代碼,代碼的本質是對一條資源配置的判斷邏輯。配置審計服務使用Function Compute服務的函數來承載規則代碼,稱之為規則函數。在配置審計服務中引用規則函數,配置關聯資源、觸發機制、規則參數等資訊後,就構成了配置審計服務中的規則。
在實際的合規監控中,就是通過即時的資源配置變更觸發規則函數的執行,來判斷某個資源配置是否合規。多個規則的組合就實現了對整個資源配置的合規監控。
規則的定義
規則的本質是一段判斷邏輯,判斷資源的某一個配置項是否合規,具備以下特點:
規則函數的入參是通過API查詢資源擷取的配置項,例如:資源的規格、所屬地區、名稱、狀態、連接埠或網口開關狀態等。入參名稱與配置項名稱保持一致。
規則函數的邏輯是對入參值的判斷,判斷邏輯由您的代碼決定,例如:當負載平衡的HTTPS監聽狀態為開啟時,視為合規。入參為負載平衡的資源上代表HTTPS監聽狀態的配置欄位,而當該欄位值表示關閉時,視為不合規。
規則函數的出參是合規結果。
規則指向的資源類型
在Function Compute中定義的規則函數,此時還不具有目標指向性,因為該規則函數未指向具體的資源類型。不同資源之間可能存在同名的配置參數,僅僅根據規則函數的入參設定無法實現準確的合規評估。
因此需要您在配置審計中,將已經建立好的規則函數與確定的資源類型綁定。當該類型的實體資源發生配置變更時,配置審計先找到資源關聯的規則,再根據具體配置的變更來判斷待觸發的規則。
規則的觸發
當資源發生配置變更時,配置審計能夠準確定位發生變更的配置,以變更參數作為入參的規則函數,自動觸發規則執行,評估本次變更的結果是否合規。因此規則函數的入參名稱要與實際資源配置的參數名稱保持一致。
此外,配置審計還支援您將規則設定為周期觸發,可定期為您執行合規評估。
合規評估的結果
配置審計將擷取的變更結果作為入參傳入規則函數,規則函數返回合規結果給配置審計,在配置審計控制台以各種方式為您呈現和統計,請參見查看資源的評估結果。
您可以在Function Compute服務中自訂規則函數,請參見自訂函數規則定義和運行原理。您也可以使用配置審計為您準備的規則模板,請參見規則模板列表。