使用HashiCorp Sentinel将策略作为代码实现的HashiCorp Terraform用户一直在寻找改进的方法来编写足够广泛的策略，以适用于他们的整个组织，同时还能够满足组织内各个组的特定细节或需求。为了帮助支持这种需求，Sentinel策略现在支持基于策略运行上下文中的数据的强制决策。新的tfrun导入为策略作者提供了对运行本身上下文的访问权限，以根据正在评估的环境强制执行或忽略策略规则。以下是我们的客户要求我们支持的几个示例，最新版本现在可以支持：»标签强制执行为了保持一致性并提供清晰的审计跟踪，工作区本身的详细信息可以在其内配置的资源上强制执行，以使组织其他部门的可审计性和成本中心报告更加清晰和一致。在本例中，最终配置资源的工作区的名称被强制作为所有资源的强制标记：导入"tfrun"导入"字符串"导入"tfplan"has_workspace_tag=规则{全部tfplan.resources.aws_实例作为实例{所有实例均为{instance.applied.tags包含"工作区"和instance.applied.tags["工作区"]==tfrun.workspace.name}}主=规则{有"工作区"标签}»细粒度异常有些情况下，策略维护者希望跳过某个策略，或者只应用策略的一部分，这是基于对它们进行评估的工作区。在下面的示例中，我们将了解如何确保我们的数据库在静态时加密并配置为高可用性，但如果这是一个"dev"工作区，我们将放宽高可用性要求（假设您的工作区遵循一致的命名约定：导入"tfrun"导入"字符串"导入"tfplan"是不是发展=规则{不是strings.has_后缀(tfrun.workspace.name，"-dev"）}is_encrypted=规则{全部tfplan.resources.aws_db_实例星展银行{所有数据库均为{数据库存储加密是真的吗}}}is_highly_available=规则何时不开发{全部tfplan.resources.aws_db_实例星展银行{所有数据库均为{多功能配电箱是真的吗}}}主=规则{加密了吗？高度可用吗}在上面的示例中，我们定义了is_高度可用的规则，以便将when谓词与is_not_开发规则一起使用。这意味着只有在我们的工作区名称不以"-dev"结尾的情况下，才会评估is_highly_available的内容。如果我们的工作区名称以"-dev"结尾，那么规则将立即返回true，而不是实际检查数据库是否高度可用。»加强成本控制在允许团队灵活地提供所需的基础设施和使成本与项目的预期价值保持一致之间，很难找到正确的实际平衡。这可能会导致审批工作流，需要个人或团队的监督，以确定成本变化是否合理，这反过来会减慢交付速度，并增加实施成本。利用Terraform的成本估算特性的策略即代码方法意味着组织现在可以为哪些是可接受的变更制定指导方针，这些变更需要审查，然后只有在变更违反标准策略时才会升级。通过确保只将时间用于审核真正的上报，从而节省了审批工作流中的时间，并且负责实施的从业者能够自信地在策略更改中自助服务。我们可以通过以下措施实施限制成本增长的政策：导入"tfrun"导入"十进制"是否在预算内增加=规则{十进制.new(tfrun.cost_估算.delta_月费用）。少于（500）}主=规则{你在预算之内吗}在本例中，使用了tfrun导入和新的decimal导入，以确保使用与处理货币一致的数据类型。下一个部分是获取本次运行估计的月成本变化（tfrun.cost_估算.delta_monthly_cost）并确保其小于500。通过将此策略的强制执行级别设置为"强制执行"，我们可以允许小的更改自动进行，同时对任何更昂贵的更改保持监督和审批工作流。»现在可用这些示例只是简单介绍了在策略中使用tfrun数据的可能性；Terraform文档中包含了可用属性的完整列表。所有Terraform云和Terraform企业客户都可以在其策略中使用它们。我们将扩展tfrun导入的范围，如果您想在这里看到其他功能，我们很乐意与您交流。有关Terraform云和Terraform Enterprise的更多信息，或者要开始免费试用，请访问Terraform产品页面。要了解有关Terraform的更多信息，请访问HashiCorp学习平台并查看其实际操作。