Cloud Custodian (c7n)

![slack]([] ![CI]([] ![]([] ![]([] ![]([] ![CII Best Practices]([]

镜像概述和主要用途

Cloud Custodian（简称c7n）是一款用于管理公共云账户和资源的规则引擎。它允许用户定义策略，以实现安全、成本优化的云基础设施管理，将组织中的临时脚本整合为轻量灵活的工具，并提供统一的指标和报告。

Custodian可用于管理AWS、Azure和GCP环境，确保实时符合安全策略（如加密和访问要求）、标签策略，以及通过清理未使用资源和非工作时间资源管理实现成本控制。同时支持对基础设施即代码（IaC）资产运行策略，直接在开发者工作站或CI流水线中提供反馈。

策略通过简单的YAML配置文件定义，针对特定资源类型（如EC2、ASG、Redshift、CosmosDB、PubSub Topic），由过滤器和操作构成。它可集成云服务商的无服务器能力实现实时策略执行，或作为定时任务在服务器上运行以处理大规模现有资源。Cloud Custodian是CNCF孵化项目，由数百名贡献者组成的社区主导。

核心功能和特性

• 全面云服务支持：支持公共云服务和资源，提供丰富的操作和过滤器库用于构建策略。
• IaC资产检查：可对基础设施即代码（如Terraform）资产运行策略。
• 灵活过滤：支持资源的任意过滤，包括嵌套布尔条件。
• 干运行模式：可预览策略执行效果，无需实际操作。
• 自动无服务器部署：自动配置无服务器函数和事件源（如AWS CloudWatchEvents、Azure EventGrid、GCP AuditLog等）。
• 原生指标输出：提供匹配策略的资源的云服务商原生指标。
• 结构化输出：将匹配策略的资源信息输出到云原生对象存储。
• 智能缓存：减少API调用，优化性能。
• 多账户/订阅/项目支持：支持跨账户、订阅或项目使用。
• 生产验证：已在大规模云环境中经过生产验证。

使用场景和适用范围

适用于需要管理公共云资源的组织和团队，包括：

• 云安全合规：实时检查和执行加密、访问控制等安全策略。
• 标签管理：确保资源符合标签规范，便于成本归属和资源识别。
• 成本优化：清理未使用资源、非工作时间自动关闭资源。
• IaC质量控制：在开发或CI阶段检查基础设施代码合规性。
• 多云管理：统一管理AWS、Azure、GCP等多平台资源。

使用方法和配置说明

策略文件示例

以下是AWS资源的示例策略（YAML格式）：

yaml
policies:
  - name: s3-cross-account
    description: |
      检查S3存储桶的跨账户访问权限并移除。
    resource: aws.s3
    region: us-east-1
    filters:
      - type: cross-account
    actions:
      - type: remove-statements
        statement_ids: matched

  - name: ec2-require-non-public-and-encrypted-volumes
    resource: aws.ec2
    description: |
      部署Lambda和CloudWatch事件目标，监控新实例并终止带未加密卷的实例。
    mode:
      type: cloudtrail
      role: CloudCustodian-QuickStart
      events:
        - RunInstances
    filters:
      - type: ebs
        key: Encrypted
        value: false
    actions:
      - terminate

  - name: tag-compliance
    resource: aws.ec2
    description: |
      对不符合标签规范的资源计划4天后停止（需配合`marked-for-op`过滤器的单独策略实际执行停止操作）。
    filters:
      - State.Name: running
      - "tag:Environment": absent
      - "tag:AppId": absent
      - or:
          - "tag:OwnerContact": absent
          - "tag:DeptID": absent
    actions:
      - type: mark-for-op
        op: stop
        days: 4

基本命令

验证策略

shell
custodian validate policy.yml

干运行策略（预览效果）

shell
custodian run --dryrun -s out policy.yml

运行策略

shell
custodian run -s out policy.yml

Docker部署示例

拉取镜像

shell
docker pull cloudcustodian/c7n

运行策略（使用环境变量认证）

shell
mkdir output
docker run -it \
  -v $(pwd)/output:/home/custodian/output \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  --env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE") \
  cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml

运行策略（使用AWS STS凭证）

shell
docker run -it \
  -v $(pwd)/output:/home/custodian/output \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  -v $(cd ~ && pwd)/.aws/credentials:/home/custodian/.aws/credentials \
  -v $(cd ~ && pwd)/.aws/config:/home/custodian/.aws/config \
  --env-file <(env | grep "^AWS") \
  cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml

云平台特定帮助

各云平台入门指南：

• AWS 入门
• Azure 入门
• GCP 入门

附加工具

Custodian项目还开发和维护了一系列附加工具（查看更多）：

• c7n-org：多账户策略执行。
• c7n-left：对IaC资产（如Terraform）运行策略。
• c7n-policystream：将Git历史作为策略变更的逻辑流。
• c7n-salactus：大规模S3扫描。
• c7n-mailer：向用户发送通知的参考实现。
• c7n-trailcreator：通过CloudTrail追溯资源创建者标签。
• c7n-logexporter：将CloudWatch日志导出到S3。
• cask：通过Docker简化Custodian执行。
• c7n-guardian：自动多账户Guard Duty设置。

相关链接

• 官网
• 文档
• 项目路线图
• 开发者安装
• 演示文稿
• ***频道

参与贡献

详见贡献指南

安全说明

如发现安全相关问题或漏洞，请联系Custodian安全团队，团队将确认并反馈处理结果。

行为准则

本项目遵循CNCF行为准则，参与者应遵守该准则。===SHORT_DESC=== Cloud Custodian（c7n）是管理公共云账户和资源的规则引擎，允许用户定义策略以实现安全且成本优化的云基础设施管理，支持AWS、Azure、GCP等平台，通过YAML配置文件实现合规检查、标签管理和资源清理。

===FULL_DESC===

Cloud Custodian (c7n)

![slack]([] ![CI]([] ![]([] ![]([] ![]([] ![CII Best Practices]([]

镜像概述和主要用途

Cloud Custodian（简称c7n）是一款用于管理公共云账户和资源的规则引擎，允许用户定义策略以实现安全且成本优化的云基础设施管理，将组织中的临时脚本整合为轻量灵活的工具，并提供统一的指标和报告。

支持AWS、Azure和GCP环境，确保实时符合安全策略（如加密和访问要求）、标签策略，以及通过清理未使用资源和非工作时间资源管理实现成本控制。同时支持对基础设施即代码（IaC）资产运行策略，直接在开发者工作站或CI流水线中提供反馈。

策略通过简单的YAML配置文件定义，针对特定资源类型（如EC2、ASG、Redshift等），由过滤器和操作构成。可集成云服务商的无服务器能力实现实时策略执行，或作为定时任务处理大规模现有资源。Cloud Custodian是CNCF孵化项目，由数百名贡献者组成的社区主导。

核心功能和特性

• 全面云服务支持：支持公共云服务和资源，提供丰富的操作和过滤器库用于构建策略。
• IaC资产检查：可对基础设施即代码（如Terraform）资产运行策略。
• 灵活过滤：支持资源的任意过滤，包括嵌套布尔条件。
• 干运行模式：可预览策略执行效果，无需实际操作。
• 自动无服务器部署：自动配置无服务器函数和事件源（如AWS CloudWatchEvents、Azure EventGrid等）。
• 原生指标输出：提供匹配策略的资源的云服务商原生指标。
• 结构化输出：将匹配策略的资源信息输出到云原生对象存储。
• 智能缓存：减少API调用，优化性能。
• 多账户/订阅/项目支持：支持跨账户、订阅或项目使用。
• 生产验证：已在大规模云环境中经过生产验证。

使用场景和适用范围

适用于需要管理公共云资源的组织和团队，包括：

• 云安全合规：实时检查和执行加密、访问控制等安全策略。
• 标签管理：确保资源符合标签规范，便于成本归属和资源识别。
• 成本优化：清理未使用资源、非工作时间自动关闭资源。
• IaC质量控制：在开发或CI阶段检查基础设施代码合规性。
• 多云管理：统一管理AWS、Azure、GCP等多平台资源。

使用方法和配置说明

策略文件示例（YAML）

yaml
policies:
  - name: s3-cross-account
    description: 检查S3存储桶的跨账户访问权限并移除
    resource: aws.s3
    region: us-east-1
    filters:
      - type: cross-account
    actions:
      - type: remove-statements
        statement_ids: matched

  - name: ec2-require-encrypted-volumes
    resource: aws.ec2
    description: 终止带未加密EBS卷的新EC2实例
    mode:
      type: cloudtrail
      role: CloudCustodian-QuickStart
      events: [RunInstances]
    filters:
      - type: ebs
        key: Encrypted
        value: false
    actions: [terminate]

  - name: tag-compliance
    resource: aws.ec2
    description: 对不符合标签规范的实例计划4天后停止
    filters:
      - State.Name: running
      - "tag:Environment": absent
      - "tag:AppId": absent
      - or:
          - "tag:OwnerContact": absent
          - "tag:DeptID": absent
    actions:
      - type: mark-for-op
        op: stop
        days: 4

基本命令

验证策略

shell
custodian validate policy.yml

干运行策略（预览效果）

shell
custodian run --dryrun -s out policy.yml

运行策略

shell
custodian run -s out policy.yml

Docker部署示例

拉取镜像

shell
docker pull cloudcustodian/c7n

运行策略（使用环境变量认证）

shell
mkdir output
docker run -it \
  -v $(pwd)/output:/home/custodian/output \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  --env-file <(env | grep "^AWS\|^AZURE\|^GOOGLE") \
  cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml

运行策略（使用AWS STS凭证）

shell
docker run -it \
  -v $(pwd)/output:/home/custodian/output \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  -v ~/.aws/credentials:/home/custodian/.aws/credentials \
  -v ~/.aws/config:/home/custodian/.aws/config \
  --env-file <(env | grep "^AWS") \
  cloudcustodian/c7n run -v -s /home/custodian/output /home/custodian/policy.yml

云平台特定帮助

• AWS 入门
• Azure 入门
• GCP 入门

相关链接

• 官网
• 文档
• 项目路线图
• 开发者安装
• ***频道

附加工具

项目提供多种附加工具（查看更多）：

• c7n-org：多账户策略执行
• **c7n