patel0ankur/idp-guardrails

# IDP Guardrails — OPA/Gatekeeper 准入策略 用于对 ACK 配置的 AWS 资源实施治理的 Kubernetes 准入策略。 这些策略作为准入 webhook 运行 —— 违反策略的资源会在**到达 ACK controller 之前被拒绝**，因此永远不会到达 AWS。 ## 策略 | 策略 | 文件 | 执行内容 | |---|---|---| | **必要标签** | `policies/required-labels/` | 所有 ACK 资源必须具有 `team`、`environment`、`cost-center` 标签 | | **批准的 RDS 实例类型** | `policies/allowed-rds-instance-types/` | 仅允许批准的 RDS 实例规格（阻止昂贵类型） | | **S3 加密要求** | `policies/s3-encryption-required/` | 所有 S3 bucket 必须配置 KMS 加密 | ## 结构 ``` idp-guardrails/ ├── templates/ ← ConstraintTemplate CRDs (Rego policy definitions) │ ├── required-labels-template.yaml │ ├── allowed-rds-instance-types-template.yaml │ └── s3-encryption-required-template.yaml └── constraints/ ← Constraint CRDs (enforcement rules + parameters) ├── ack-required-labels.yaml ├── rds-approved-instance-types.yaml └── s3-encryption-required.yaml ``` ## 部署 ``` # 安装 Gatekeeper（如尚未安装） helm repo add gatekeeper https://open-policy-agent.github.io/gatekeeper/charts helm install gatekeeper gatekeeper/gatekeeper \ --namespace gatekeeper-system --create-namespace # 应用所有策略 kubectl apply -f templates/ kubectl apply -f constraints/ # 验证 kubectl get constrainttemplates kubectl get constraints ``` ## 测试 ``` # 测试 1：创建不带必需标签的 ACK S3 bucket → 应被 REJECTED kubectl apply -f - <

标签：ACK, AWS, DevSecOps, DPI, Groq API, IDP, K8s安全, OPA, RDS管理, Rego, S3加密, Webhook, 上游代理, 人工智能安全, 内部开发者平台, 力导向图, 合规性, 子域名突变, 强制标签, 成本控制, 策略即代码, 结构化提示词, 聊天机器人安全, 资源治理, 靶场