cloudcustodian/policystream
cloudcustodian
Cloud Custodian是一个用于管理公共云账户和资源的规则引擎,允许用户定义策略以实现安全且成本优化的云基础设施管理,支持AWS、Azure和GCP,通过YAML配置文件指定资源类型的策略,结合过滤器和操作实现实时合规、资源清理及标签管理等功能。
1 次收藏下载次数: 0状态:社区镜像维护者:cloudcustodian仓库类型:镜像最近更新:4 天前
让 AI 帮你使用轩辕镜像? · 展开查看说明 · 点击收起说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Cloud Custodian
https://badges.gitter.im/cloud-custodian/cloud-custodian.svg](https://gitter.im/cloud-custodian/cloud-custodian?utm_source=badge&utm_medium=badge&utm_campaign=pr-badge&utm_content=badge) https://github.com/cloud-custodian/cloud-custodian/workflows/CI/badge.svg?event=push](https://github.com/cloud-custodian/cloud-custodian/actions?query=workflow%3ACI+branch%3Amaster+event%3Apush) https://dev.azure.com/cloud-custodian/cloud-custodian/_apis/build/status/Custodian%20-%20CI?branchName=master](https://dev.azure.com/cloud-custodian/cloud-custodian/_build) https://img.shields.io/badge/license-Apache%202-blue.svg](https://www.apache.org/licenses/LICENSE-2.0) https://codecov.io/gh/cloud-custodian/cloud-custodian/branch/master/graph/badge.svg](https://codecov.io/gh/cloud-custodian/cloud-custodian) https://requires.io/github/cloud-custodian/cloud-custodian/requirements.svg?branch=master](https://requires.io/github/cloud-custodian/cloud-custodian/requirements/?branch=master)
镜像概述与主要用途
Cloud Custodian是一个用于管理公共云账户和资源的规则引擎。它允许用户定义策略,以实现安全且成本优化的云基础设施管理。该工具将组织中许多临时脚本整合为轻量灵活的解决方案,并提供统一的指标和报告功能。
Custodian可用于管理AWS、Azure和GCP环境,通过确保实时符合安全策略(如加密和访问要求)、标签策略,以及通过清理未使用资源和非工作时间资源管理实现成本优化。
核心功能与特性
- 全面的云服务支持:提供对公共云服务和资源的全面支持,拥有丰富的操作和过滤器库用于构建策略。
- 灵活的资源过滤:支持基于嵌套布尔条件的任意资源过滤。
- 空运行验证:可对任何策略进行空运行,查看其执行效果。
- 自动部署无服务器功能:自动配置无服务器函数和事件源(如AWS CloudWatchEvents、AWS Config Rules、Azure EventGrid、GCP AuditLog & Pub/Sub等)。
- 原生指标输出:提供与策略匹配的资源的云提供商原生指标输出。
- 结构化输出:将匹配策略的资源信息结构化输出到云原生对象存储。
- 智能缓存使用:通过智能缓存减少API调用。
- 多账户/订阅/项目支持:支持跨多账户、订阅或项目使用。
- 经过实战检验:已在一些大型云环境中投入生产使用。
使用场景与适用范围
- 实时安全合规:确保云资源符合加密、访问控制等安全策略。
- 标签策略管理:强制资源遵循组织的标签规范,如环境、应用ID等标签要求。
- 成本优化:通过清理未使用资源、非工作时间资源管理(如自动关闭闲置实例)降低云成本。
- 多云环境管理:统一管理AWS、Azure和GCP等多云环境的资源。
- 大型云基础设施治理:适用于需要集中管理大规模云资源的企业和组织。
使用方法与配置说明
策略文件结构
Custodian策略通过简单的YAML配置文件定义,指定资源类型(如EC2、ASG、Redshift、CosmosDB、PubSub Topic),并由过滤器(filters)和操作(actions)构成。策略文件基本结构如下:
yamlpolicies: - name: 策略名称 resource: 资源类型(如aws.ec2、azure.cosmosdb) description: 策略描述 filters: 资源过滤条件 actions: 匹配资源后执行的操作 mode: 执行模式(如serverless、cron)
策略示例
以下是AWS环境的策略示例,涵盖S3跨账户访问控制、EC2未加密卷终止和标签合规管理:
yamlpolicies: - name: s3-cross-account description: 检查S3存储桶的跨账户访问并移除相关权限 resource: aws.s3 region: us-east-1 filters: - type: cross-account actions: - type: remove-statements statement_ids: matched - name: ec2-require-non-public-and-encrypted-volumes resource: aws.ec2 description: 部署Lambda和CloudWatch事件目标,终止带有未加密卷的新实例 mode: type: cloudtrail role: CloudCustodian-QuickStart events: - RunInstances filters: - type: ebs key: Encrypted value: false actions: - terminate - name: tag-compliance resource: aws.ec2 description: 标记不符合标签策略的资源,计划4天后停止 filters: - State.Name: running - "tag:Environment": absent - "tag:AppId": absent - or: - "tag:OwnerContact": absent - "tag:DeptID": absent actions: - type: mark-for-op op: stop days: 4
基本命令
验证策略配置
shellcustodian validate policy.yml
空运行策略(查看匹配资源,不执行操作)
shellcustodian run --dryrun -s out policy.yml
执行策略
shellcustodian run -s out policy.yml
Docker部署示例
拉取镜像
shelldocker pull docker.xuanyuan.run/cloudcustodian/c7n
运行策略(使用环境变量认证)
shellmkdir output docker run -it \ -v $(pwd)/output:/home/custodian/output \ -v $(pwd)/policy.yml:/home/custodian/policy.yml \ --env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE") \ cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml
运行策略(使用AWS STS凭证)
shellmkdir output docker run -it \ -v $(pwd)/output:/home/custodian/output \ -v $(pwd)/policy.yml:/home/custodian/policy.yml \ -v $(cd ~ && pwd)/.aws/credentials:/home/custodian/.aws/credentials \ -v $(cd ~ && pwd)/.aws/config:/home/custodian/.aws/config \ --env-file <(env | grep "^AWS") \ cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml
额外工具
Custodian项目还开发和维护了一系列附加工具,扩展其功能:
- c7n-org:多账户策略执行工具。
- c7n-policystream:将Git历史作为策略逻辑变更流。
- c7n-salactus:大规模S3扫描工具。
- c7n-mailer:向用户发送通知消息的参考实现。
- c7n-trailcreator:通过CloudTrail追溯标记资源创建者。
- c7n-logexporter:将CloudWatch日志导出到S3。
- cask:通过Docker简化Custodian执行。
- c7n-guardian:自动化多账户Guard Duty设置。
- omnissm:EC2 Systems Manager自动化工具。
相关链接
- http://cloudcustodian.io
- http://cloudcustodian.io/docs/index.html
- https://cloudcustodian.io/docs/developer/installing.html
- https://www.google.com/search?q=cloud+custodian&source=lnms&tbm=vid
贡献与社区
Cloud Custodian由社区维护,拥有数百名贡献者,包括多家云提供商的专门团队。如需贡献代码或参与讨论,请访问:
- https://github.com/cloud-custodian/cloud-custodian
- https://gitter.im/cloud-custodian/cloud-custodian
- https://groups.google.com/forum/#!forum/cloud-custodian
- https://cloudcustodian.io/docs/contribute.html
行为准则
本项目遵循Open Code of Conduct。参与本项目即表示您同意遵守此准则。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 policystream 镜像标签
docker pull docker.xuanyuan.run/cloudcustodian/policystream:<标签>
DockerHub 原生拉取命令
docker pull cloudcustodian/policystream:<标签>
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"