AWS Nuke Docker镜像文档

1. 镜像概述

本镜像是基于 rebuy-de/aws-nuke 项目构建的Docker镜像，专门优化用于在Azure Pipeline环境中执行AWS资源清理任务。镜像满足Azure DevOps容器阶段的运行要求（参考 Azure容器阶段文档），内置必要依赖组件与配置，可直接集成至Azure Pipeline工作流。

2. 核心功能与特性

2.1 核心功能

• 集成aws-nuke工具核心能力，支持批量清理/重置AWS云资源
• 适配Azure Pipeline容器运行环境，满足Azure DevOps对容器的兼容性要求

2.2 关键特性

• 内置bash环境：预装bash shell，支持复杂shell脚本执行与命令链操作
• NodeJS依赖：集成NodeJS运行时，满足aws-nuke及相关工具链的依赖需求
• 权限管理：包含useradd二进制文件，支持容器内用户创建与权限配置
• 权限提升：支持容器内权限提升操作，满足高权限任务执行需求
• 入口点灵活配置：支持自定义入口点，适配Azure Pipeline任务调度模式

3. 使用场景与适用范围

3.1 主要场景

• 在Azure Pipeline中自动化执行AWS资源清理任务（如测试环境资源回收、临时资源清理）
• 需要在容器化环境中运行aws-nuke且依赖bash脚本与NodeJS的场景
• 需在Azure DevOps工作流中集成AWS资源生命周期管理的CI/CD流程

3.2 适用范围

• 基于Azure DevOps的CI/CD管道
• 需要通过aws-nuke管理AWS资源的团队或项目
• 依赖bash环境执行预处理/后处理脚本的AWS资源清理任务

4. 使用方法与配置说明

4.1 基础使用（Docker Run）

4.1.1 交互式运行（调试场景）

bash
docker run -it \
  --entrypoint /bin/bash \  # 重置入口点为bash
  -v $(pwd)/aws-nuke-config.yaml:/app/config.yaml \  # 挂载aws-nuke配置文件
  -e AWS_ACCESS_KEY_ID="your-aws-access-key" \  # AWS访问密钥
  -e AWS_SECRET_ACCESS_KEY="your-aws-secret-key" \  # AWS密钥
  -e AWS_REGION="us-west-2" \  # AWS区域
  aws-nuke-azure-pipeline:latest

4.1.2 直接执行清理任务

bash
docker run \
  --entrypoint /usr/local/bin/aws-nuke \  # 入口点设为aws-nuke可执行文件
  -v $(pwd)/aws-nuke-config.yaml:/app/config.yaml \
  -e AWS_ACCESS_KEY_ID="your-aws-access-key" \
  -e AWS_SECRET_ACCESS_KEY="your-aws-secret-key" \
  -e AWS_REGION="us-west-2" \
  aws-nuke-azure-pipeline:latest \
  --config /app/config.yaml --no-dry-run  # aws-nuke参数（--no-dry-run为实际执行，谨慎使用）

4.2 Azure Pipeline集成示例

在Azure Pipeline YAML配置中，通过container关键字指定镜像，结合script任务执行清理操作：

yaml
jobs:
- job: aws_nuke_cleanup
  container:
    image: aws-nuke-azure-pipeline:latest
    options: --user root  # 提升权限（如需）
  steps:
  - script: |
      # 验证环境依赖
      node -v  # 检查NodeJS版本
      bash --version  # 检查bash版本
      aws-nuke --version  # 检查aws-nuke版本
    displayName: '环境验证'

  - script: |
      # 执行AWS资源清理（使用挂载的配置文件）
      aws-nuke --config /azp/pipeline/config.yaml --dry-run  # 先执行dry-run验证配置
    displayName: 'AWS资源清理（Dry Run）'
    env:
      AWS_ACCESS_KEY_ID: $(AWS_ACCESS_KEY_ID)  # 从Azure Pipeline变量中获取
      AWS_SECRET_ACCESS_KEY: $(AWS_SECRET_ACCESS_KEY)
      AWS_REGION: $(AWS_REGION)
    # 如需实际执行，将--dry-run替换为--no-dry-run，并添加确认参数（如--force）

注意：在Azure Pipeline中，配置文件需通过mount或workspace挂载至容器内（如示例中的/azp/pipeline/config.yaml），具体路径需根据Pipeline代理配置调整。

4.3 环境变量与配置参数

4.3.1 必需环境变量

4.3.2 aws-nuke配置文件

需通过挂载方式提供aws-nuke配置文件（通常为config.yaml），配置格式参考 aws-nuke***文档，示例片段：

yaml
regions:
  - us-west-2
account-blocklist:
  - "123456789012"  # 排除的AWS账号
accounts:
  "987654321098":  # 目标清理账号
    filters:
      IAMUser:
        - "test-user-*"  # 清理匹配前缀的IAM用户

4.4 权限与安全注意事项

• 权限控制：建议在容器运行时通过--user参数限制权限，仅在必要时使用root用户
• 敏感信息：AWS密钥等敏感信息需通过Azure Pipeline变量或密钥管理服务注入，避免硬编码
• 执行确认：aws-nuke默认执行dry-run（仅模拟操作），实际清理需添加--no-dry-run参数，建议先通过dry-run验证配置正确性

5. 依赖与兼容性

• 基础镜像：基于rebuy-de/aws-nuke***镜像构建
• 预装组件：bash 5.1+, NodeJS 16+, useradd (from shadow-utils)
• 兼容环境：Azure DevOps Pipeline (agent version 2.200+)、Docker 20.10+