cloudcustodian/c7n-org Docker Image Overview

cloudcustodian/c7n-org

cloudcustodian

c7n-org是Cloud Custodian的多账户策略执行工具，支持在AWS、Azure、GCP等云平台的多个账户/订阅/项目中批量执行策略，实现跨账户云资源的统一合规管理、安全检查和成本优化。

3 次收藏下载次数: 0状态：社区镜像维护者：cloudcustodian仓库类型：镜像最近更新：4 天前

使用轩辕镜像，把时间还给真正重要的事。点击查看

中文简介版本下载

使用轩辕镜像，把时间还给真正重要的事。点击查看

c7n-org：Cloud Custodian多账户策略执行工具

概述

c7n-org是Cloud Custodian生态系统中的核心工具之一，专为多账户云环境设计，提供跨账户/订阅/项目的策略批量执行能力。作为Cloud Custodian的扩展，它允许用户在复杂的企业级云架构中统一部署安全策略、成本优化规则和资源管理策略，确保所有账户的云资源均符合组织规范。支持AWS、Azure、GCP等主流公有云平台，是企业云治理的关键工具。

核心功能

多账户统一管理：无缝对接AWS组织、Azure订阅和GCP项目，支持批量执行策略。
与Cloud Custodian策略兼容：直接使用Cloud Custodian的YAML策略文件，无需额外适配。
并行执行引擎：支持多线程并行处理多个账户，提升大规模环境下的执行效率。
结构化报告输出：生成跨账户的策略执行报告，包含资源匹配详情和动作执行结果。
灵活账户发现：支持通过配置文件、云提供商API或外部数据源动态发现目标账户。
权限隔离机制：为不同账户配置独立执行权限，确保跨账户操作的安全性。
策略Dry Run：支持在实际执行前模拟策略效果，验证策略逻辑正确性。

使用场景

企业多账户治理：在拥有数十至数百个云账户的企业中，统一执行安全基线和成本策略。
跨账户合规检查：确保所有业务部门账户符合公司统一的安全策略（如加密要求、访问控制列表）。
批量资源优化：在多个账户中同时执行未使用资源清理、闲置资源关闭等成本优化操作。
统一标签管理：跨账户强制执行标签策略，确保资源可追溯性和成本分摊准确性。
云迁移后治理：在云迁移项目中，对新迁移的多个账户进行合规性扫描和配置调整。

使用方法

前提条件

已安装Cloud Custodian（c7n）
配置目标云平台凭证（如AWS凭证、Azure CLI登录、GCP应用默认凭证）
准备账户配置文件（定义目标账户信息）

安装方式

Docker安装

shell
docker pull cloudcustodian/c7n

pip安装（需先安装c7n）

shell
pip install c7n-org

账户配置文件

创建YAML格式的账户配置文件（如accounts.yml），指定目标账户信息。以下为AWS环境示例：

yaml
accounts:
  - name: production-account
    id: 123456789012  # AWS账户ID
    region: us-east-1
    role: arn:aws:iam::123456789012:role/CloudCustodian-Execution  # 执行角色ARN
  - name: staging-account
    id: 987654321098
    region: us-west-2
    role: arn:aws:iam::987654321098:role/CloudCustodian-Execution
  - name: dev-account
    id: 456789012345
    region: eu-west-1
    role: arn:aws:iam::456789012345:role/CloudCustodian-Execution

策略执行流程

1. 准备Cloud Custodian策略文件

使用标准Cloud Custodian YAML策略（如policy.yml），示例如下（AWS EC2标签合规检查）：

yaml
policies:
  - name: ec2-tag-compliance
    resource: aws.ec2
    description: 检查EC2实例是否包含必填标签
    filters:
      - "tag:Environment": absent  # 缺少Environment标签
      - "tag:Owner": absent        # 缺少Owner标签
      - State.Name: running        # 仅检查运行中的实例
    actions:
      - type: mark-for-op          # 标记不合规实例，3天后停止
        op: stop
        days: 3

2. 执行多账户策略

通过c7n-org run命令在目标账户中批量执行策略：

基本命令格式

shell
c7n-org run -c <账户配置文件> -s <输出目录> <策略文件>

本地执行示例

shell
# 执行策略并生成报告到output目录
c7n-org run -c accounts.yml -s ./output policy.yml

# 干运行模式（仅检查不执行动作）
c7n-org run -c accounts.yml -s ./output --dryrun policy.yml

# 指定并行执行账户数量（默认4个）
c7n-org run -c accounts.yml -s ./output --parallel 8 policy.yml

Docker执行示例

shell
docker run -it \
  -v $(pwd)/accounts.yml:/home/custodian/accounts.yml \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  -v $(pwd)/output:/home/custodian/output \
  -v ~/.aws/credentials:/home/custodian/.aws/credentials  # 挂载云凭证
  cloudcustodian/c7n \
  c7n-org run -c /home/custodian/accounts.yml -s /home/custodian/output /home/custodian/policy.yml

3. 查看执行报告

执行完成后，在指定的输出目录（如./output）中生成结构化报告，包含：

各账户的策略执行状态
匹配策略的资源列表
执行的动作详情
错误日志（如有）

常用参数说明

参数	说明
`-c, --config`	指定账户配置文件路径（必填）
`-s, --output-dir`	指定报告输出目录
`--dryrun`	干运行模式，仅模拟策略执行不实际操作资源
`--parallel`	并行执行的账户数量（默认4）
`--account`	指定单个账户执行（用于测试，如`--account production-account`）
`--region`	覆盖配置文件中的默认区域
`--verbose`	显示详细执行日志

轩辕镜像配置手册

探索更多轩辕镜像的使用方法，找到最适合您系统的配置方式

Docker 配置

登录仓库拉取

通过 Docker 登录认证访问私有仓库

专属域名拉取

无需登录使用专属域名

K8s Containerd

Kubernetes 集群配置 Containerd

K3s

K3s 轻量级 Kubernetes 镜像加速

Dev Containers

VS Code Dev Containers 配置

Podman

Podman 容器引擎配置

Singularity/Apptainer

HPC 科学计算容器配置

其他仓库配置

ghcr、Quay、nvcr 等镜像仓库

系统配置

Linux

在 Linux 系统配置镜像服务

Windows/Mac

在 Docker Desktop 配置镜像

MacOS OrbStack

MacOS OrbStack 容器配置

Docker Compose

Docker Compose 项目配置

NAS 设备

群晖

Synology 群晖 NAS 配置

飞牛

飞牛 fnOS 系统配置镜像

绿联

绿联 NAS 系统配置镜像

威联通

QNAP 威联通 NAS 配置

极空间

极空间 NAS 系统配置服务

网络设备

爱快路由

爱快 iKuai 路由系统配置

宝塔面板

在宝塔面板一键配置镜像

需要其他帮助？请查看我们的常见问题Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

使用与功能问题

docker search 报错：专属域名下仅支持 Docker Hub 查询

docker search 报错问题

网页搜不到镜像：Docker Hub 有但轩辕镜像搜索无结果

镜像搜索不到

离线传输镜像：无法直连时用 docker save/load 迁移

离线传输镜像

Docker 插件安装错误：application/vnd.docker.plugin.v1+json

Docker 插件安装错误

WSL 下 Docker 拉取慢：网络与挂载目录影响及优化

WSL 拉取镜像慢

轩辕镜像是否安全？镜像完整性校验（digest）说明

镜像安全性

如何用轩辕镜像拉取镜像？登录方式与专属域名配置

如何拉取镜像

错误码与失败问题

manifest unknown 错误：镜像不存在或标签错误

manifest unknown 错误

TLS/SSL 证书验证失败：Docker pull 时 HTTPS 证书错误

TLS 证书验证失败

DNS 解析超时：无法解析镜像仓库地址或连接超时

DNS 解析超时

410 Gone 错误：Docker 版本过低导致协议不兼容

410 错误：版本过低

402 Payment Required 错误：流量耗尽错误提示

402 错误：流量耗尽

401 UNAUTHORIZED 错误：身份认证失败或登录信息错误

身份认证失败错误

429 Too Many Requests 错误：请求频率超出专业版限制

429 限流错误

Docker login 凭证保存错误：Cannot autolaunch D-Bus（不影响登录）

凭证保存错误

账号 / 计费 / 权限

免费版与专业版区别：功能、限额与使用场景对比

免费版与专业版区别

支持的镜像仓库：Docker Hub、GCR、GHCR、K8s 等列表

轩辕镜像支持的镜像仓库

拉取失败是否扣流量？计费规则说明

拉取失败流量计费

KYSEC 权限不够：麒麟 V10/统信 UOS 下脚本执行被拦截

KYSEC 权限错误

如何申请开具发票？（增值税普票/专票）

开具发票

如何修改网站与仓库登录密码？

修改网站和仓库密码

配置与原理类

registry-mirrors 未生效：仍访问官方仓库或报错的原因

registry-mirrors 未生效

如何去掉镜像名称中的轩辕域名前缀？（docker tag）

去掉域名前缀

如何拉取指定架构镜像？（ARM64/AMD64 等多架构）

拉取指定架构镜像

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"