cloudcustodian/policystream Docker 镜像 - 轩辕镜像

Cloud Custodian

![]([] ![CI]([] ![]([] ![]([] ![]([] ![]([]

镜像概述与主要用途

Cloud Custodian是一个用于管理公共云账户和资源的规则引擎。它允许用户定义策略，以实现安全且成本优化的云基础设施管理。该工具将组织中许多临时脚本整合为轻量灵活的解决方案，并提供统一的指标和报告功能。

Custodian可用于管理AWS、Azure和GCP环境，通过确保实时符合安全策略（如加密和访问要求）、标签策略，以及通过清理未使用资源和非工作时间资源管理实现成本优化。

核心功能与特性

• 全面的云服务支持：提供对公共云服务和资源的全面支持，拥有丰富的操作和过滤器库用于构建策略。
• 灵活的资源过滤：支持基于嵌套布尔条件的任意资源过滤。
• 空运行验证：可对任何策略进行空运行，查看其执行效果。
• 自动部署无服务器功能：自动配置无服务器函数和事件源（如AWS CloudWatchEvents、AWS Config Rules、Azure EventGrid、GCP AuditLog & Pub/Sub等）。
• 原生指标输出：提供与策略匹配的资源的云提供商原生指标输出。
• 结构化输出：将匹配策略的资源信息结构化输出到云原生对象存储。
• 智能缓存使用：通过智能缓存减少API调用。
• 多账户/订阅/项目支持：支持跨多账户、订阅或项目使用。
• 经过实战检验：已在一些大型云环境中投入生产使用。

使用场景与适用范围

• 实时安全合规：确保云资源符合加密、访问控制等安全策略。
• 标签策略管理：强制资源遵循组织的标签规范，如环境、应用ID等标签要求。
• 成本优化：通过清理未使用资源、非工作时间资源管理（如自动关闭闲置实例）降低云成本。
• 多云环境管理：统一管理AWS、Azure和GCP等多云环境的资源。
• 大型云基础设施治理：适用于需要集中管理大规模云资源的企业和组织。

使用方法与配置说明

策略文件结构

Custodian策略通过简单的YAML配置文件定义，指定资源类型（如EC2、ASG、Redshift、CosmosDB、PubSub Topic），并由过滤器（filters）和操作（actions）构成。策略文件基本结构如下：

yaml
policies:
  - name: 策略名称
    resource: 资源类型（如aws.ec2、azure.cosmosdb）
    description: 策略描述
    filters: 资源过滤条件
    actions: 匹配资源后执行的操作
    mode: 执行模式（如serverless、cron）

策略示例

以下是AWS环境的策略示例，涵盖S3跨账户访问控制、EC2未加密卷终止和标签合规管理：

yaml
policies:
  - name: s3-cross-account
    description: 检查S3存储桶的跨账户访问并移除相关权限
    resource: aws.s3
    region: us-east-1
    filters:
      - type: cross-account
    actions:
      - type: remove-statements
        statement_ids: matched

  - name: ec2-require-non-public-and-encrypted-volumes
    resource: aws.ec2
    description: 部署Lambda和CloudWatch事件目标，终止带有未加密卷的新实例
    mode:
      type: cloudtrail
      role: CloudCustodian-QuickStart
      events:
        - RunInstances
    filters:
      - type: ebs
        key: Encrypted
        value: false
    actions:
      - terminate

  - name: tag-compliance
    resource: aws.ec2
    description: 标记不符合标签策略的资源，计划4天后停止
    filters:
      - State.Name: running
      - "tag:Environment": absent
      - "tag:AppId": absent
      - or:
          - "tag:OwnerContact": absent
          - "tag:DeptID": absent
    actions:
      - type: mark-for-op
        op: stop
        days: 4

基本命令

验证策略配置

shell
custodian validate policy.yml

空运行策略（查看匹配资源，不执行操作）

shell
custodian run --dryrun -s out policy.yml

执行策略

shell
custodian run -s out policy.yml

Docker部署示例

拉取镜像

shell
docker pull cloudcustodian/c7n

运行策略（使用环境变量认证）

shell
mkdir output
docker run -it \
  -v $(pwd)/output:/home/custodian/output \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  --env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE") \
  cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml

运行策略（使用AWS STS凭证）

shell
mkdir output
docker run -it \
  -v $(pwd)/output:/home/custodian/output \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  -v $(cd ~ && pwd)/.aws/credentials:/home/custodian/.aws/credentials \
  -v $(cd ~ && pwd)/.aws/config:/home/custodian/.aws/config \
  --env-file <(env | grep "^AWS") \
  cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml

额外工具

Custodian项目还开发和维护了一系列附加工具，扩展其功能：

• c7n-org：多账户策略执行工具。
• c7n-policystream：将Git历史作为策略逻辑变更流。
• c7n-salactus：大规模S3扫描工具。
• c7n-mailer：向用户发送通知消息的参考实现。
• c7n-trailcreator：通过CloudTrail追溯标记资源创建者。
• c7n-logexporter：将CloudWatch日志导出到S3。
• cask：通过Docker简化Custodian执行。
• c7n-guardian：自动化多账户Guard Duty设置。
• omnissm：EC2 Systems Manager自动化工具。

相关链接

• 官方主页
• 文档中心
• 开发者安装指南
• 演示视频

贡献与社区

Cloud Custodian由社区维护，拥有数百名贡献者，包括多家云提供商的专门团队。如需贡献代码或参与讨论，请访问：

• GitHub仓库
• Gitter社区
• 邮件列表
• 贡献指南

行为准则

本项目遵循Open Code of Conduct。参与本项目即表示您同意遵守此准则。