热门搜索:

cloudcustodian/c7n-org

cloudcustodian

c7n-org是Cloud Custodian的多账户策略执行工具，支持在AWS、Azure、GCP等云平台的多个账户/订阅/项目中批量执行策略，实现跨账户云资源的统一合规管理、安全检查和成本优化。

3 次收藏下载次数: 0状态：社区镜像维护者：cloudcustodian仓库类型：镜像最近更新：7 天前

使用轩辕镜像，把时间还给真正重要的事。点击查看

中文简介

标签下载

镜像标签列表与下载命令

使用轩辕镜像，把时间还给真正重要的事。点击查看

c7n-org：Cloud Custodian多账户策略执行工具

概述

c7n-org是Cloud Custodian生态系统中的核心工具之一，专为多账户云环境设计，提供跨账户/订阅/项目的策略批量执行能力。作为Cloud Custodian的扩展，它允许用户在复杂的企业级云架构中统一部署安全策略、成本优化规则和资源管理策略，确保所有账户的云资源均符合组织规范。支持AWS、Azure、GCP等主流公有云平台，是企业云治理的关键工具。

核心功能

多账户统一管理：无缝对接AWS组织、Azure订阅和GCP项目，支持批量执行策略。
与Cloud Custodian策略兼容：直接使用Cloud Custodian的YAML策略文件，无需额外适配。
并行执行引擎：支持多线程并行处理多个账户，提升大规模环境下的执行效率。
结构化报告输出：生成跨账户的策略执行报告，包含资源匹配详情和动作执行结果。
灵活账户发现：支持通过配置文件、云提供商API或外部数据源动态发现目标账户。
权限隔离机制：为不同账户配置独立执行权限，确保跨账户操作的安全性。
策略Dry Run：支持在实际执行前模拟策略效果，验证策略逻辑正确性。

使用场景

企业多账户治理：在拥有数十至数百个云账户的企业中，统一执行安全基线和成本策略。
跨账户合规检查：确保所有业务部门账户符合公司统一的安全策略（如加密要求、访问控制列表）。
批量资源优化：在多个账户中同时执行未使用资源清理、闲置资源关闭等成本优化操作。
统一标签管理：跨账户强制执行标签策略，确保资源可追溯性和成本分摊准确性。
云迁移后治理：在云迁移项目中，对新迁移的多个账户进行合规性扫描和配置调整。

使用方法

前提条件

已安装Cloud Custodian（c7n）
配置目标云平台凭证（如AWS凭证、Azure CLI登录、GCP应用默认凭证）
准备账户配置文件（定义目标账户信息）

安装方式

Docker安装

shell
docker pull cloudcustodian/c7n

pip安装（需先安装c7n）

shell
pip install c7n-org

账户配置文件

创建YAML格式的账户配置文件（如accounts.yml），指定目标账户信息。以下为AWS环境示例：

yaml
accounts:
  - name: production-account
    id: 123456789012  # AWS账户ID
    region: us-east-1
    role: arn:aws:iam::123456789012:role/CloudCustodian-Execution  # 执行角色ARN
  - name: staging-account
    id: 987654321098
    region: us-west-2
    role: arn:aws:iam::987654321098:role/CloudCustodian-Execution
  - name: dev-account
    id: 456789012345
    region: eu-west-1
    role: arn:aws:iam::456789012345:role/CloudCustodian-Execution

策略执行流程

1. 准备Cloud Custodian策略文件

使用标准Cloud Custodian YAML策略（如policy.yml），示例如下（AWS EC2标签合规检查）：

yaml
policies:
  - name: ec2-tag-compliance
    resource: aws.ec2
    description: 检查EC2实例是否包含必填标签
    filters:
      - "tag:Environment": absent  # 缺少Environment标签
      - "tag:Owner": absent        # 缺少Owner标签
      - State.Name: running        # 仅检查运行中的实例
    actions:
      - type: mark-for-op          # 标记不合规实例，3天后停止
        op: stop
        days: 3

2. 执行多账户策略

通过c7n-org run命令在目标账户中批量执行策略：

基本命令格式

shell
c7n-org run -c <账户配置文件> -s <输出目录> <策略文件>

本地执行示例

shell
# 执行策略并生成报告到output目录
c7n-org run -c accounts.yml -s ./output policy.yml

# 干运行模式（仅检查不执行动作）
c7n-org run -c accounts.yml -s ./output --dryrun policy.yml

# 指定并行执行账户数量（默认4个）
c7n-org run -c accounts.yml -s ./output --parallel 8 policy.yml

Docker执行示例

shell
docker run -it \
  -v $(pwd)/accounts.yml:/home/custodian/accounts.yml \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  -v $(pwd)/output:/home/custodian/output \
  -v ~/.aws/credentials:/home/custodian/.aws/credentials  # 挂载云凭证
  cloudcustodian/c7n \
  c7n-org run -c /home/custodian/accounts.yml -s /home/custodian/output /home/custodian/policy.yml

3. 查看执行报告

执行完成后，在指定的输出目录（如./output）中生成结构化报告，包含：

各账户的策略执行状态
匹配策略的资源列表
执行的动作详情
错误日志（如有）

常用参数说明

参数	说明
`-c, --config`	指定账户配置文件路径（必填）
`-s, --output-dir`	指定报告输出目录
`--dryrun`	干运行模式，仅模拟策略执行不实际操作资源
`--parallel`	并行执行的账户数量（默认4）
`--account`	指定单个账户执行（用于测试，如`--account production-account`）
`--region`	覆盖配置文件中的默认区域
`--verbose`	显示详细执行日志

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 c7n-org 镜像标签

docker pull docker.xuanyuan.run/cloudcustodian/c7n-org:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull cloudcustodian/c7n-org:<标签>

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

Harbor 镜像源配置

Harbor Proxy Repository 对接专属域名

Portainer 镜像源配置

Portainer Registries 加速拉取

Nexus 镜像源配置

Nexus3 Docker Proxy 内网缓存

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

docker search 限制

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

站内搜不到镜像

机器不能直连外网时，怎么用 docker save / load 迁镜像？

离线 save/load

docker pull 拉插件报错（plugin v1+json）怎么办？

插件要用 plugin install

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

WSL 拉取慢

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

安全与 digest

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

新手拉取配置

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

镜像合规机制

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

manifest unknown

docker pull 提示 no matching manifest 怎么办？

no matching manifest（架构）

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

invalid tar header（解压）

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

TLS 证书失败

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

DNS 超时

docker 无法连接轩辕镜像域名怎么办？

域名连通性排查

Docker 拉取出现 410 Gone 怎么办？

410 Gone 排查

出现 402 或「流量用尽」提示怎么办？

402 与流量用尽

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

401 认证失败

遇到 429 Too Many Requests（请求太频繁）怎么办？

429 限流

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

D-Bus 凭证提示

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

413 与超大单层

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

免费版与专业版区别

轩辕镜像支持哪些 Docker 镜像仓库？

支持的镜像仓库

镜像拉取失败还会不会扣流量？

失败是否计费

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

KYSEC 拦截脚本

如何在轩辕镜像申请开具发票？

申请开票

怎么修改轩辕镜像的网站登录和仓库登录密码？

修改登录密码

如何注销轩辕镜像账户？要注意什么？

注销账户

配置与原理类

写了 registry-mirrors，为什么还是走官方或仍然报错？

mirrors 不生效

怎么用 docker tag 去掉镜像名里的轩辕域名前缀？

去掉域名前缀

如何拉取指定 CPU 架构的镜像（如 ARM64、AMD64）？

指定架构拉取

用轩辕镜像拉镜像时快时慢，常见原因有哪些？

拉取速度原因

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"

热门搜索:

cloudcustodian/c7n-org

cloudcustodian

c7n-org是Cloud Custodian的多账户策略执行工具，支持在AWS、Azure、GCP等云平台的多个账户/订阅/项目中批量执行策略，实现跨账户云资源的统一合规管理、安全检查和成本优化。

3 次收藏下载次数: 0状态：社区镜像维护者：cloudcustodian仓库类型：镜像最近更新：7 天前

使用轩辕镜像，把时间还给真正重要的事。点击查看

中文简介

标签下载

镜像标签列表与下载命令

使用轩辕镜像，把时间还给真正重要的事。点击查看

c7n-org：Cloud Custodian多账户策略执行工具

概述

核心功能

多账户统一管理：无缝对接AWS组织、Azure订阅和GCP项目，支持批量执行策略。
与Cloud Custodian策略兼容：直接使用Cloud Custodian的YAML策略文件，无需额外适配。
并行执行引擎：支持多线程并行处理多个账户，提升大规模环境下的执行效率。
结构化报告输出：生成跨账户的策略执行报告，包含资源匹配详情和动作执行结果。
灵活账户发现：支持通过配置文件、云提供商API或外部数据源动态发现目标账户。
权限隔离机制：为不同账户配置独立执行权限，确保跨账户操作的安全性。
策略Dry Run：支持在实际执行前模拟策略效果，验证策略逻辑正确性。

使用场景

企业多账户治理：在拥有数十至数百个云账户的企业中，统一执行安全基线和成本策略。
跨账户合规检查：确保所有业务部门账户符合公司统一的安全策略（如加密要求、访问控制列表）。
批量资源优化：在多个账户中同时执行未使用资源清理、闲置资源关闭等成本优化操作。
统一标签管理：跨账户强制执行标签策略，确保资源可追溯性和成本分摊准确性。
云迁移后治理：在云迁移项目中，对新迁移的多个账户进行合规性扫描和配置调整。

使用方法

前提条件

已安装Cloud Custodian（c7n）
配置目标云平台凭证（如AWS凭证、Azure CLI登录、GCP应用默认凭证）
准备账户配置文件（定义目标账户信息）

安装方式

Docker安装

shell
docker pull cloudcustodian/c7n

pip安装（需先安装c7n）

shell
pip install c7n-org

账户配置文件

创建YAML格式的账户配置文件（如accounts.yml），指定目标账户信息。以下为AWS环境示例：

yaml
accounts:
  - name: production-account
    id: 123456789012  # AWS账户ID
    region: us-east-1
    role: arn:aws:iam::123456789012:role/CloudCustodian-Execution  # 执行角色ARN
  - name: staging-account
    id: 987654321098
    region: us-west-2
    role: arn:aws:iam::987654321098:role/CloudCustodian-Execution
  - name: dev-account
    id: 456789012345
    region: eu-west-1
    role: arn:aws:iam::456789012345:role/CloudCustodian-Execution

策略执行流程

1. 准备Cloud Custodian策略文件

使用标准Cloud Custodian YAML策略（如policy.yml），示例如下（AWS EC2标签合规检查）：

yaml
policies:
  - name: ec2-tag-compliance
    resource: aws.ec2
    description: 检查EC2实例是否包含必填标签
    filters:
      - "tag:Environment": absent  # 缺少Environment标签
      - "tag:Owner": absent        # 缺少Owner标签
      - State.Name: running        # 仅检查运行中的实例
    actions:
      - type: mark-for-op          # 标记不合规实例，3天后停止
        op: stop
        days: 3

2. 执行多账户策略

通过c7n-org run命令在目标账户中批量执行策略：

基本命令格式

shell
c7n-org run -c <账户配置文件> -s <输出目录> <策略文件>

本地执行示例

shell
# 执行策略并生成报告到output目录
c7n-org run -c accounts.yml -s ./output policy.yml

# 干运行模式（仅检查不执行动作）
c7n-org run -c accounts.yml -s ./output --dryrun policy.yml

# 指定并行执行账户数量（默认4个）
c7n-org run -c accounts.yml -s ./output --parallel 8 policy.yml

Docker执行示例

shell
docker run -it \
  -v $(pwd)/accounts.yml:/home/custodian/accounts.yml \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  -v $(pwd)/output:/home/custodian/output \
  -v ~/.aws/credentials:/home/custodian/.aws/credentials  # 挂载云凭证
  cloudcustodian/c7n \
  c7n-org run -c /home/custodian/accounts.yml -s /home/custodian/output /home/custodian/policy.yml

3. 查看执行报告

执行完成后，在指定的输出目录（如./output）中生成结构化报告，包含：

各账户的策略执行状态
匹配策略的资源列表
执行的动作详情
错误日志（如有）

常用参数说明

参数	说明
`-c, --config`	指定账户配置文件路径（必填）
`-s, --output-dir`	指定报告输出目录
`--dryrun`	干运行模式，仅模拟策略执行不实际操作资源
`--parallel`	并行执行的账户数量（默认4）
`--account`	指定单个账户执行（用于测试，如`--account production-account`）
`--region`	覆盖配置文件中的默认区域
`--verbose`	显示详细执行日志

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 c7n-org 镜像标签

docker pull docker.xuanyuan.run/cloudcustodian/c7n-org:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull cloudcustodian/c7n-org:<标签>

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

Harbor 镜像源配置

Harbor Proxy Repository 对接专属域名

Portainer 镜像源配置

Portainer Registries 加速拉取

Nexus 镜像源配置

Nexus3 Docker Proxy 内网缓存

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

docker search 限制

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

站内搜不到镜像

机器不能直连外网时，怎么用 docker save / load 迁镜像？

离线 save/load

docker pull 拉插件报错（plugin v1+json）怎么办？

插件要用 plugin install

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

WSL 拉取慢

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

安全与 digest

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

新手拉取配置

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

镜像合规机制

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

manifest unknown

docker pull 提示 no matching manifest 怎么办？

no matching manifest（架构）

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

invalid tar header（解压）

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

TLS 证书失败

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

DNS 超时

docker 无法连接轩辕镜像域名怎么办？

域名连通性排查

Docker 拉取出现 410 Gone 怎么办？

410 Gone 排查

出现 402 或「流量用尽」提示怎么办？

402 与流量用尽

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

401 认证失败

遇到 429 Too Many Requests（请求太频繁）怎么办？

429 限流

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

D-Bus 凭证提示

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

413 与超大单层

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

免费版与专业版区别

轩辕镜像支持哪些 Docker 镜像仓库？

支持的镜像仓库

镜像拉取失败还会不会扣流量？

失败是否计费

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

KYSEC 拦截脚本

如何在轩辕镜像申请开具发票？

申请开票

怎么修改轩辕镜像的网站登录和仓库登录密码？

修改登录密码

如何注销轩辕镜像账户？要注意什么？

注销账户

配置与原理类

写了 registry-mirrors，为什么还是走官方或仍然报错？

mirrors 不生效

怎么用 docker tag 去掉镜像名里的轩辕域名前缀？

去掉域名前缀

如何拉取指定 CPU 架构的镜像（如 ARM64、AMD64）？

指定架构拉取

用轩辕镜像拉镜像时快时慢，常见原因有哪些？

拉取速度原因

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"

cloudcustodian/c7n-org

c7n-org是Cloud Custodian的多账户策略执行工具，支持在AWS、Azure、GCP等云平台的多个账户/订阅/项目中批量执行策略，实现跨账户云资源的统一合规管理、安全检查和成本优化。

c7n-org：Cloud Custodian多账户策略执行工具

概述

核心功能

使用场景

使用方法

前提条件

安装方式

账户配置文件

策略执行流程

常用参数说明

相关链接

镜像拉取方式

轩辕镜像加速拉取命令点我查看更多 c7n-org 镜像标签

DockerHub 原生拉取命令

更多 c7n-org 镜像推荐

cloudcustodian/c7n

cloudcustodian/mailer

cloudcustodian/policystream

cloudcustodian/c7n-left

查看更多 c7n-org 相关镜像

轩辕镜像配置手册

Docker 配置

登录仓库拉取

专属域名拉取

K8s Containerd

K3s

Dev Containers

Podman

Singularity/Apptainer

其他仓库配置

Harbor 镜像源配置

Portainer 镜像源配置

Nexus 镜像源配置

系统配置

Linux

Windows/Mac

MacOS OrbStack

Docker Compose

NAS 设备

群晖

飞牛

绿联

威联通

极空间

网络设备

爱快路由

宝塔面板

镜像拉取常见问题

使用与功能问题

配置了专属域名后，docker search 为什么会报错？

Docker Hub 上有的镜像，为什么在轩辕镜像网站搜不到？

机器不能直连外网时，怎么用 docker save / load 迁镜像？

docker pull 拉插件报错（plugin v1+json）怎么办？

WSL 里 Docker 拉镜像特别慢，怎么排查和优化？

轩辕镜像安全吗？如何用 digest 校验镜像没被篡改？

第一次用轩辕镜像拉 Docker 镜像，要怎么登录和配置？

轩辕镜像合规吗？轩辕镜像的合规是怎么做的？

错误码与失败问题

docker pull 提示 manifest unknown 怎么办？

docker pull 提示 no matching manifest 怎么办？

镜像已拉取完成，却提示 invalid tar header 或 failed to register layer 怎么办？

Docker pull 时 HTTPS / TLS 证书验证失败怎么办？

Docker pull 时 DNS 解析超时或连不上仓库怎么办？

docker 无法连接轩辕镜像域名怎么办？

Docker 拉取出现 410 Gone 怎么办？

出现 402 或「流量用尽」提示怎么办？

Docker 拉取提示 UNAUTHORIZED（401）怎么办？

遇到 429 Too Many Requests（请求太频繁）怎么办？

docker login 提示 Cannot autolaunch D-Bus，还算登录成功吗？

为什么会出现「单层超过 20GB」或 413，无法加速拉取？

账号 / 计费 / 权限

轩辕镜像免费版和专业版有什么区别？

轩辕镜像支持哪些 Docker 镜像仓库？

镜像拉取失败还会不会扣流量？

麒麟 V10 / 统信 UOS 提示 KYSEC 权限不够怎么办？

如何在轩辕镜像申请开具发票？

怎么修改轩辕镜像的网站登录和仓库登录密码？

如何注销轩辕镜像账户？要注意什么？