更新时间:2024-02-04 GMT+08:00
分享

添加自定义合规规则

操作场景

当Config提供的系统内置预设策略不能满足检测资源合规性的需求时,您可以通过编写函数代码,添加自定义策略来完成复杂场景的资源审计。

自定义策略是一个用户开发并发布在函数工作流FunctionGraph上的函数。将合规规则和函数相关联,函数接收Config发布的事件,从事件中接收到规则参数和Config服务收集到的资源属性;函数评估该规则下资源的合规性并通过Config的OpenAPI回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。要了解如何使用FunctionGraph函数以及如何开发它们,请参阅《FunctionGraph用户指南》

本章节指导您如何通过自定义策略来添加资源合规规则,主要包含如下步骤:

  1. 创建FunctionGraph函数
  2. 添加自定义合规规则

创建FunctionGraph函数

  1. 登录函数工作流控制台,在左侧的导航栏选择“函数 > 函数列表”。
  2. 单击右上方的“创建函数”,进入“创建函数”页面。
  3. 选择“创建空白函数”,“函数类型”选择“事件函数”,并配置IAM委托。IAM委托授权给函数工作流(FunctionGraph),且需要包含权限“rms:policyStates:update”。
  4. 配置完成后单击“创建函数”,页面跳转至代码配置页面,继续配置代码源。
  5. 在代码框中写入评估函数,完成后单击“部署”。

    评估函数的代码示例可参考示例函数(Python)

  6. 选择“设置”,按需修改常规设置中的“执行超时时间”和“内存”,并配置“并发”。
  7. 完成后单击“保存”。

    具体请参见创建事件函数

添加自定义合规规则

  1. 登录管理控制台。
  2. 单击页面左上角的图标,在弹出的服务列表中,选择“管理与监管”下的“配置审计 Config”,进入“资源清单”页面。
  3. 单击左侧的“资源合规”,进入“资源合规”页面。
  4. 单击页面中部的“添加规则”,进入“基础配置”页面。
  5. “策略类型”选择“自定义策略”,配置相关参数并进行授权,授权方式可以选择“快速授权”或“自定义授权”,配置完成后单击“下一步”。

    • 快速授权:将为您快速创建一个名为“rms_custom_policy_agency”的委托权限,该权限是可以让自定义合规规则正常工作的权限,包含调用函数工作流(FunctionGraph)的获取函数和异步执行函数的权限。
    • 自定义授权:您可自行在统一身份认证服务(IAM)中创建委托权限,并进行自定义授权,授权对象为配置审计(Config),授权内容为:
        {
            "Version": "1.1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": [
                        "functiongraph:function:invokeAsync",
                        "functiongraph:function:getConfig"
                    ]
                }
            ]
        } 

      创建委托详见《统一身份认证服务用户指南》

    图1 添加合规规则-自定义策略

  6. 进入“规则参数”页面,规则参数配置完成后,单击“下一步”。
  7. 进入“确认规则”页面,确认规则信息无误后,单击“提交”按钮,完成自定义合规规则创建。
分享:

    相关文档

    相关产品