配置审计 Config-修正配置示例:基于FunctionGraph函数执行修正

时间：2025-02-12 15:11:56

配置审计 Config

基于FunctionGraph函数执行修正

使用预设策略“VPC启用流日志（vpc-flow-logs-enabled）”添加预定义合规规则。

由于当前账号存在未开启流日志的VPC资源，该合规规则的合规评估结果为“不合规”。

图5 合规评估结果

创建FunctionGraph函数，并填入以下函数代码。

该函数代码表示为指定的VPC资源开启流日志。

使用以下函数示例时，您需要手动添加依赖包huaweicloudsdkvpc，该依赖包并非在所有区域都可选，如果依赖包缺失，则需要手动导入依赖包，详见配置依赖包。

# -*- coding:utf-8 -*-import timeimport requestsimport random, stringimport http.clientfrom huaweicloudsdkcore.exceptions.exceptions import ConnectionExceptionfrom huaweicloudsdkcore.exceptions.exceptions import RequestTimeoutExceptionfrom huaweicloudsdkcore.exceptions.exceptions import ServiceResponseExceptionfrom huaweicloudsdkvpc.v2.region.vpc_region import VpcRegionfrom huaweicloudsdkvpc.v2.vpc_client import VpcClientfrom huaweicloudsdkvpc.v2.model import CreateFlowLogReqfrom huaweicloudsdkvpc.v2.model import CreateFlowLogReqBodyfrom huaweicloudsdkvpc.v2.model import CreateFlowLogRequestfrom huaweicloudsdkcore.auth.credentials import BasicCredentialsrequests.packages.urllib3.disable_warnings()def get_random_string(length=6):  letters_and_digits = string.ascii_letters + string.digits  return ''.join(random.choice(letters_and_digits) for _ in range(length))def createFlowLog(context, project_id, request):  auth = BasicCredentials(ak=context.getAccessKey(), sk=context.getSecretKey())\    .with_project_id(project_id)  client = VpcClient.new_builder() \    .with_credentials(credentials=auth) \    .with_region(region=VpcRegion.value_of(region_id="cn-north-4")) \    .build()  try:    response = client.create_flow_log(request)    return 200  except ConnectionException as e:    print("A connect timeout exception occurs while the vpc performs some operations, exception: ", e.error_msg)    return e.status_code  except RequestTimeoutException as e:    print("A request timeout exception occurs while the vpc performs some operations, exception: ", e.error_msg)    return e.status_code  except ServiceResponseException as e:    print("There is service error, exception: ", e.status_code, e.error_msg)    return e.status_codedef handler(event, context):  project_id = event.get("project_id")  request_body = CreateFlowLogRequest(CreateFlowLogReqBody(      CreateFlowLogReq(        name="auto" + get_random_string(4),        description="to remediate vpc",        resource_type="vpc",        resource_id=event.get("noncompliant_resource_id", {}),        traffic_type="all",        log_group_id=event.get("log_group_id", {}),        log_topic_id=event.get("log_topic_id", {}),        index_enabled=False      )    ))  for retry in range(5):    status_code = createFlowLog(context, project_id, request_body)    if status_code == http.client.TOO_MANY_REQUESTS:      time.sleep(1)    else:      break

创建该合规规则的修正配置，具体如下图所示。

部分示例参数的说明：
- 修正方法选择“自动修正”。
- 修正模板选择上一步中创建的FunctionGraph函数。
- 配置资源ID参数，Config会将该参数赋值为不合规资源的ID。在当前场景下“noncompliant_resource_id”将会被赋值为不合规资源的ID，FunctionGraph函数中使用resource_id=event.get("noncompliant_resource_id", {})语句获取不合规资源ID，每个不合规资源均会传递一次资源ID。
- 参数，指定您期望由Config传递给FunctionGraph函数的静态参数，该参数为不合规资源修正的具体规则参数值。例如在当前场景下此处配置日志组的ID（键：log_group_id；值：具体日志组ID值），在FGS函数中使用log_group_id=event.get("log_group_id", {})语句获取日志组ID，执行修正时为不合规的VPC资源创建的流日志均将在此日志组内。
  当前示例中的参数说明如下：
  - project_id：项目ID，如何获取请参见获取项目ID。
  - log_group_id：日志组ID，如何获取请参见管理日志组。
  - log_topic_id：日志流ID，如何获取请参见管理日志流。
图6 创建修正配置
修正配置创建完成后，重新触发规则评估。

当该合规规则评估完成且合规评估结果仍然为不合规时，Config将自动执行修正，调用FunctionGraph函数为每个不合规的VPC资源创建流日志。

如下图所示，不合规的VPC资源在修正成功后已全部创建流日志。

图7 VPC资源已创建流日志