cloudcustodian/c7n-org
cloudcustodian
c7n-org是Cloud Custodian的多账户策略执行工具,支持在AWS、Azure、GCP等云平台的多个账户/订阅/项目中批量执行策略,实现跨账户云资源的统一合规管理、安全检查和成本优化。
3 次收藏下载次数: 0状态:社区镜像维护者:cloudcustodian仓库类型:镜像最近更新:5 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
c7n-org:Cloud Custodian多账户策略执行工具
概述
c7n-org是Cloud Custodian生态系统中的核心工具之一,专为多账户云环境设计,提供跨账户/订阅/项目的策略批量执行能力。作为Cloud Custodian的扩展,它允许用户在复杂的企业级云架构中统一部署安全策略、成本优化规则和资源管理策略,确保所有账户的云资源均符合组织规范。支持AWS、Azure、GCP等主流公有云平台,是企业云治理的关键工具。
核心功能
- 多账户统一管理:无缝对接AWS组织、Azure订阅和GCP项目,支持批量执行策略。
- 与Cloud Custodian策略兼容:直接使用Cloud Custodian的YAML策略文件,无需额外适配。
- 并行执行引擎:支持多线程并行处理多个账户,提升大规模环境下的执行效率。
- 结构化报告输出:生成跨账户的策略执行报告,包含资源匹配详情和动作执行结果。
- 灵活账户发现:支持通过配置文件、云提供商API或外部数据源动态发现目标账户。
- 权限隔离机制:为不同账户配置独立执行权限,确保跨账户操作的安全性。
- 策略Dry Run:支持在实际执行前模拟策略效果,验证策略逻辑正确性。
使用场景
- 企业多账户治理:在拥有数十至数百个云账户的企业中,统一执行安全基线和成本策略。
- 跨账户合规检查:确保所有业务部门账户符合公司统一的安全策略(如加密要求、访问控制列表)。
- 批量资源优化:在多个账户中同时执行未使用资源清理、闲置资源关闭等成本优化操作。
- 统一标签管理:跨账户强制执行标签策略,确保资源可追溯性和成本分摊准确性。
- 云迁移后治理:在云迁移项目中,对新迁移的多个账户进行合规性扫描和配置调整。
使用方法
前提条件
- 已安装Cloud Custodian(c7n)
- 配置目标云平台凭证(如AWS凭证、Azure CLI登录、GCP应用默认凭证)
- 准备账户配置文件(定义目标账户信息)
安装方式
Docker安装
shelldocker pull docker.xuanyuan.run/cloudcustodian/c7n
pip安装(需先安装c7n)
shellpip install c7n-org
账户配置文件
创建YAML格式的账户配置文件(如accounts.yml),指定目标账户信息。以下为AWS环境示例:
yamlaccounts: - name: production-account id: 123456789012 # AWS账户ID region: us-east-1 role: arn:aws:iam::123456789012:role/CloudCustodian-Execution # 执行角色ARN - name: staging-account id: 987654321098 region: us-west-2 role: arn:aws:iam::987654321098:role/CloudCustodian-Execution - name: dev-account id: 456789012345 region: eu-west-1 role: arn:aws:iam::456789012345:role/CloudCustodian-Execution
策略执行流程
1. 准备Cloud Custodian策略文件
使用标准Cloud Custodian YAML策略(如policy.yml),示例如下(AWS EC2标签合规检查):
yamlpolicies: - name: ec2-tag-compliance resource: aws.ec2 description: 检查EC2实例是否包含必填标签 filters: - "tag:Environment": absent # 缺少Environment标签 - "tag:Owner": absent # 缺少Owner标签 - State.Name: running # 仅检查运行中的实例 actions: - type: mark-for-op # 标记不合规实例,3天后停止 op: stop days: 3
2. 执行多账户策略
通过c7n-org run命令在目标账户中批量执行策略:
基本命令格式
shellc7n-org run -c <账户配置文件> -s <输出目录> <策略文件>
本地执行示例
shell# 执行策略并生成报告到output目录 c7n-org run -c accounts.yml -s ./output policy.yml # 干运行模式(仅检查不执行动作) c7n-org run -c accounts.yml -s ./output --dryrun policy.yml # 指定并行执行账户数量(默认4个) c7n-org run -c accounts.yml -s ./output --parallel 8 policy.yml
Docker执行示例
shelldocker run -it \ -v $(pwd)/accounts.yml:/home/custodian/accounts.yml \ -v $(pwd)/policy.yml:/home/custodian/policy.yml \ -v $(pwd)/output:/home/custodian/output \ -v ~/.aws/credentials:/home/custodian/.aws/credentials # 挂载云凭证 cloudcustodian/c7n \ c7n-org run -c /home/custodian/accounts.yml -s /home/custodian/output /home/custodian/policy.yml
3. 查看执行报告
执行完成后,在指定的输出目录(如./output)中生成结构化报告,包含:
- 各账户的策略执行状态
- 匹配策略的资源列表
- 执行的动作详情
- 错误日志(如有)
常用参数说明
| 参数 | 说明 |
|---|---|
-c, --config | 指定账户配置文件路径(必填) |
-s, --output-dir | 指定报告输出目录 |
--dryrun | 干运行模式,仅模拟策略执行不实际操作资源 |
--parallel | 并行执行的账户数量(默认4) |
--account | 指定单个账户执行(用于测试,如--account production-account) |
--region | 覆盖配置文件中的默认区域 |
--verbose | 显示详细执行日志 |
相关链接
- https://cloudcustodian.io/docs/tools/c7n-org.html
- https://cloudcustodian.io/
- https://github.com/cloud-custodian/cloud-custodian
- https://github.com/cloud-custodian/policy-library
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 c7n-org 镜像标签
docker pull docker.xuanyuan.run/cloudcustodian/c7n-org:<标签>
DockerHub 原生拉取命令
docker pull cloudcustodian/c7n-org:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"