事前拦截是配置审计(Cloud Config)提供的一种预防性合规能力。在您通过自动化服务台(IAC)等渠道创建或变更云资源前,该功能会实时检查资源配置的合规性。对于不符合预设规则的操作,系统将直接拦截并阻止其执行,从而在资源生命周期的最前端规避合规风险。本文介绍事前拦截的核心概念、工作原理,并提供完整的配置与集成指南,帮助您在自动化流程中落地预防性合规。
使用限制
事前拦截当前仅支持自动化服务台(IAC)这一种集成渠道。
只有模板规则支持开启事前拦截功能,自定义规则不支持。
工作流程
事前拦截通过将配置审计的规则能力与资源创建渠道(如IAC)集成,实现对资源操作的“预检”。其工作流分离了合规管理员和资源业务员的职责。
创建规则:合规管理员在配置审计控制台中创建规则,开启事前拦截功能,同时选择希望生效的拦截渠道(如IAC)
确认成功:配置审计系统向合规管理员返回规则创建成功的反馈。
发起指令:资源业务人员通过已集成的渠道(如自动化服务台 IAC)发起资源创建或修改指令。
发起预检:IAC接收到指令后,向配置审计系统发起事前预检请求。
校验规则:配置审计系统校验该操作是否触发了已配置的事前拦截规则,并得出合规性结果。
返回结果:配置审计系统将预检响应结果(即资源配置是否合规)返回给 IAC。
处理结果:根据事前预检结果分为以下两种情况:
不合规
报错返回: IAC 检测到事前预检结果不合规,向资源业务人员返回错误信息并拦截资源创建/修改。
修正重试:资源业务人员根据错误提示(匹配的具体规则及不合规原因)修正资源配置,重新发起资源创建/修改指令(回到步骤 3)。
合规
执行创建: IAC 检测到事前预检结果合规,向对应云产品发起实际的资源创建或修改操作。
返回处理结果:云产品完成操作后,将处理结果返回给 IAC。
最终反馈: 无论经过哪种路径,IAC 最终将资源处理结果(成功或报错详情)反馈给资源业务人员。
人员分工
角色 | 职责 |
合规管理员 | 在配置审计控制台创建或修改规则,开启事前拦截功能。 |
资源业务员 |
|
操作步骤
步骤一:开启事前拦截
合规管理员创建或修改规则,并与拦截渠道进行集成。
建议先在非生产环境中经过充分测试后,再启用事前拦截,以免对业务造成影响。
创建规则
登录配置审计控制台,在左侧导航栏选择。
在规则列表页,单击新建规则。
在新建规则页面,保持默认选择的基于模板创建选项。在支持事前拦截筛选框中选择支持,筛选出所有支持事前拦截的规则模板。
选择您希望使用的规则模板(如“ECS实例禁止绑定公网地址”),单击下一步。
在设置基本属性步骤中,找到开启事前拦截设置并开启。
在弹出的启用事前拦截提示确认窗口,阅读风险提示。确认无误后,单击我已知晓风险,确认启用。
选择您希望集成的拦截渠道,如:自动化服务台IAC。
按照向导提示完成剩余设置,单击提交。
修改现有规则
登录配置审计控制台,在左侧导航栏选择。
在规则列表页,单击筛选类别下拉菜单,选择事前拦截。在支持事前拦截筛选框中选择支持,筛选出支持事前拦截的现有规则。
选择您希望启用事前拦截的规则,单击操作列的修改规则。
在编辑规则页下的设置基本属性步骤中,找到开启事前拦截设置并开启。
在弹出的启用事前拦截提示确认窗口,阅读风险提示。确认无误后,单击我已知晓风险,确认启用。
选择您希望集成的拦截渠道,如:自动化服务台IAC。
按照向导提示完成剩余步骤,单击提交。
步骤二:执行事前预检
以下以自动化服务台(IAC)为例,说明资源业务人员如何触发事前预检。
登录自动化服务台。在左侧导航栏选择。
在模板列表页,单击新建模板。创建Terraform模板,保存并提交发布。
使用创建的模板,新建资源编排任务。
手动执行任务,或配置自动触发任务。
IAC 将在实际创建/修改资源前执行事前预检,并返回预检结果。
预检结果:不合规
如事前预检结果为不合规,将在资源编排任务详情页显示作业状态为合规预检失败。
预检结果:合规
如事前预检结果为合规,将在资源编排任务详情页显示作业状态为合规预检成功。
步骤三:处理预检结果
合规预检失败
如合规预检失败,资源创建/修改操作将被拦截。资源业务人员可按以下步骤排查并修正:
在任务详情页单击查看详情按钮,查看作业执行详情。
在作业详情页的合规预检失败区域,单击查看检测结果按钮,查看导致合规预检失败的具体规则及不合规原因。
根据不合规原因,修改 Terraform 模板代码并再次执行任务。
合规预检成功
预检通过后,系统将继续执行资源创建/修改操作:
自动执行任务:如事前预检结果为合规,IAC 将自动继续执行资源创建/修改操作。
手动执行任务:需要在作业详情页单击确认并执行按钮,IAC 才会开始执行资源创建/修改操作。
步骤四:结果验证
如资源创建/修改成功,将在作业详情页的执行完成区域显示。
