事前拦截是配置审计(Cloud Config)提供的一种预防性合规能力。在您通过自动化服务台(IAC)等渠道创建或变更云资源前,该功能会实时检查资源配置的合规性。对于不符合预设规则的操作,系统将直接拦截并阻止其执行,从而在资源生命周期的最前端规避合规风险。本文介绍事前拦截的核心概念、工作原理,并提供完整的配置与集成指南,帮助您在自动化流程中落地预防性合规。
使用限制
-
事前拦截当前仅支持自动化服务台(IAC)这一种集成渠道。
-
只有模板规则支持开启事前拦截功能,自定义规则不支持。
工作流程
事前拦截通过将配置审计的规则能力与资源创建渠道(如IAC)集成,实现对资源操作的“预检”。其工作流分离了合规管理员和资源业务员的职责。
-
创建规则:合规管理员在配置审计控制台中创建规则,开启事前拦截功能,同时选择希望生效的拦截渠道(如IAC)
-
确认成功:配置审计系统向合规管理员返回规则创建成功的反馈。
-
发起指令:资源业务人员通过已集成的渠道(如自动化服务台 IAC)发起资源创建或修改指令。
-
发起预检:IAC接收到指令后,向配置审计系统发起事前预检请求。
-
校验规则:配置审计系统校验该操作是否触发了已配置的事前拦截规则,并得出合规性结果。
-
返回结果:配置审计系统将预检响应结果(即资源配置是否合规)返回给 IAC。
-
处理结果:根据事前预检结果分为以下两种情况:
不合规
-
报错返回: IAC 检测到事前预检结果不合规,向资源业务人员返回错误信息并拦截资源创建/修改。
-
修正重试:资源业务人员根据错误提示(匹配的具体规则及不合规原因)修正资源配置,重新发起资源创建/修改指令(回到步骤 3)。
合规
-
执行创建: IAC 检测到事前预检结果合规,向对应云产品发起实际的资源创建或修改操作。
-
返回处理结果:云产品完成操作后,将处理结果返回给 IAC。
-
-
最终反馈: 无论经过哪种路径,IAC 最终将资源处理结果(成功或报错详情)反馈给资源业务人员。
人员分工
|
角色 |
职责 |
|
合规管理员 |
在配置审计控制台创建或修改规则,开启事前拦截功能。 |
|
资源业务员 |
|
操作步骤
步骤一:开启事前拦截
合规管理员创建或修改规则,并与拦截渠道进行集成。
建议先在非生产环境中经过充分测试后,再启用事前拦截,以免对业务造成影响。
创建规则
-
登录配置审计控制台,在左侧导航栏选择。
-
在规则列表页,单击新建规则。
-
在新建规则页面,保持默认选择的基于模板创建选项。在支持事前拦截筛选框中选择支持,筛选出所有支持事前拦截的规则模板。
-
选择您希望使用的规则模板(如“ECS实例禁止绑定公网地址”),单击下一步。
-
在设置基本属性步骤中,找到开启事前拦截设置并开启。
启用事前拦截后,如指定渠道检测到资源配置不符合要求,将直接拦截操作,可能导致资源无法创建,请充分测试后再启用。在开启事前拦截中选择是。
-
在弹出的启用事前拦截提示确认窗口,阅读风险提示。确认无误后,单击我已知晓风险,确认启用。
风险提示说明:启用事前拦截后,指定渠道(如自动化服务台 IAC)检测到资源配置不合规时将直接拦截操作,可能导致资源无法创建。特别提示:使用 ECS 实例启动模板等间接配置方式因无法获取完整资源配置,将被检测为不合规并拦截创建,请谨慎评估。确认项包括:已充分了解启用事前拦截的风险、已评估对现有业务流程的影响、已与相关团队沟通确认。
-
选择您希望集成的拦截渠道,如:自动化服务台IAC。
系统将自动创建服务关联角色
AliyunServiceRoleForIaCServiceConfig以访问其他云服务资源。 -
按照向导提示完成剩余设置,单击提交。
修改现有规则
-
登录配置审计控制台,在左侧导航栏选择。
-
在规则列表页,单击筛选类别下拉菜单,选择事前拦截。在支持事前拦截筛选框中选择支持,筛选出支持事前拦截的现有规则。
-
选择您希望启用事前拦截的规则,单击操作列的修改规则。
-
在编辑规则页下的设置基本属性步骤中,找到开启事前拦截设置并开启。
-
在弹出的启用事前拦截提示确认窗口,阅读风险提示。确认无误后,单击我已知晓风险,确认启用。
-
选择您希望集成的拦截渠道,如:自动化服务台IAC 。
-
按照向导提示完成剩余步骤,单击提交。
步骤二:执行事前预检
以下以自动化服务台(IAC)为例,说明资源业务人员如何触发事前预检。
-
登录自动化服务台。在左侧导航栏选择。
-
在模板列表页,单击新建模板。创建Terraform模板,保存并提交发布。
-
使用创建的模板,新建资源编排任务。
-
手动执行任务,或配置自动触发任务。
-
IAC 将在实际创建/修改资源前执行事前预检,并返回预检结果。
预检结果:不合规
如事前预检结果为不合规,将在资源编排任务详情页显示作业状态为合规预检失败。
预检结果:合规
如事前预检结果为合规,将在资源编排任务详情页显示作业状态为合规预检成功。
步骤三:处理预检结果
合规预检失败
如合规预检失败,资源创建/修改操作将被拦截。资源业务人员可按以下步骤排查并修正:
-
在任务详情页单击查看详情按钮,查看作业执行详情。
-
在作业详情页的合规预检失败区域,单击查看检测结果按钮,查看导致合规预检失败的具体规则及不合规原因。
弹窗顶部红色告警提示"部分资源配置不符合规则要求,全部修复后才能继续执行资源编排任务"。统计信息显示不合规规则数为 1、合规规则数为 0。表格中列出不合规规则名称为安全组描述信息不能为空。
-
根据不合规原因,修改 Terraform 模板代码并再次执行任务。
合规预检成功
预检通过后,系统将继续执行资源创建/修改操作:
-
自动执行任务:如事前预检结果为合规,IAC 将自动继续执行资源创建/修改操作。
-
手动执行任务:需要在作业详情页单击确认并执行按钮,IAC 才会开始执行资源创建/修改操作。
步骤四:结果验证
如资源创建/修改成功,将在作业详情页的执行完成区域显示。
alicloud_security_group.default: Creating...
alicloud_security_group.default: Creation complete after 1s [id=xxx]
│ Warning: "inner_access": [DEPRECATED] Field `inner_access` has been deprecated from provider version 1.55.3. New field `inner_access_policy` instead.
│
│ with alicloud_security_group.default,
│ on main.tf line 10, in resource "alicloud_security_group" "default":
│ 10: resource "alicloud_security_group" "default" {
│ 11: }
│
Apply complete! Resources: 1 added, 0 changed, 0 destroyed.