c7n-org：Cloud Custodian多账户策略执行工具

概述

c7n-org是Cloud Custodian生态系统中的核心工具之一，专为多账户云环境设计，提供跨账户/订阅/项目的策略批量执行能力。作为Cloud Custodian的扩展，它允许用户在复杂的企业级云架构中统一部署安全策略、成本优化规则和资源管理策略，确保所有账户的云资源均符合组织规范。支持AWS、Azure、GCP等主流公有云平台，是企业云治理的关键工具。

核心功能

• 多账户统一管理：无缝对接AWS组织、Azure订阅和GCP项目，支持批量执行策略。
• 与Cloud Custodian策略兼容：直接使用Cloud Custodian的YAML策略文件，无需额外适配。
• 并行执行引擎：支持多线程并行处理多个账户，提升大规模环境下的执行效率。
• 结构化报告输出：生成跨账户的策略执行报告，包含资源匹配详情和动作执行结果。
• 灵活账户发现：支持通过配置文件、云提供商API或外部数据源动态发现目标账户。
• 权限隔离机制：为不同账户配置独立执行权限，确保跨账户操作的安全性。
• 策略Dry Run：支持在实际执行前模拟策略效果，验证策略逻辑正确性。

使用场景

• 企业多账户治理：在拥有数十至数百个云账户的企业中，统一执行安全基线和成本策略。
• 跨账户合规检查：确保所有业务部门账户符合公司统一的安全策略（如加密要求、访问控制列表）。
• 批量资源优化：在多个账户中同时执行未使用资源清理、闲置资源关闭等成本优化操作。
• 统一标签管理：跨账户强制执行标签策略，确保资源可追溯性和成本分摊准确性。
• 云迁移后治理：在云迁移项目中，对新迁移的多个账户进行合规性扫描和配置调整。

使用方法

前提条件

• 已安装Cloud Custodian（c7n）
• 配置目标云平台凭证（如AWS凭证、Azure CLI登录、GCP应用默认凭证）
• 准备账户配置文件（定义目标账户信息）

安装方式

Docker安装

shell
docker pull cloudcustodian/c7n

pip安装（需先安装c7n）

shell
pip install c7n-org

账户配置文件

创建YAML格式的账户配置文件（如accounts.yml），指定目标账户信息。以下为AWS环境示例：

yaml
accounts:
  - name: production-account
    id: 123456789012  # AWS账户ID
    region: us-east-1
    role: arn:aws:iam::123456789012:role/CloudCustodian-Execution  # 执行角色ARN
  - name: staging-account
    id: 987654321098
    region: us-west-2
    role: arn:aws:iam::987654321098:role/CloudCustodian-Execution
  - name: dev-account
    id: 456789012345
    region: eu-west-1
    role: arn:aws:iam::456789012345:role/CloudCustodian-Execution

策略执行流程

1. 准备Cloud Custodian策略文件

使用标准Cloud Custodian YAML策略（如policy.yml），示例如下（AWS EC2标签合规检查）：

yaml
policies:
  - name: ec2-tag-compliance
    resource: aws.ec2
    description: 检查EC2实例是否包含必填标签
    filters:
      - "tag:Environment": absent  # 缺少Environment标签
      - "tag:Owner": absent        # 缺少Owner标签
      - State.Name: running        # 仅检查运行中的实例
    actions:
      - type: mark-for-op          # 标记不合规实例，3天后停止
        op: stop
        days: 3

2. 执行多账户策略

通过c7n-org run命令在目标账户中批量执行策略：

基本命令格式

shell
c7n-org run -c <账户配置文件> -s <输出目录> <策略文件>

本地执行示例

shell
# 执行策略并生成报告到output目录
c7n-org run -c accounts.yml -s ./output policy.yml

# 干运行模式（仅检查不执行动作）
c7n-org run -c accounts.yml -s ./output --dryrun policy.yml

# 指定并行执行账户数量（默认4个）
c7n-org run -c accounts.yml -s ./output --parallel 8 policy.yml

Docker执行示例

shell
docker run -it \
  -v $(pwd)/accounts.yml:/home/custodian/accounts.yml \
  -v $(pwd)/policy.yml:/home/custodian/policy.yml \
  -v $(pwd)/output:/home/custodian/output \
  -v ~/.aws/credentials:/home/custodian/.aws/credentials  # 挂载云凭证
  cloudcustodian/c7n \
  c7n-org run -c /home/custodian/accounts.yml -s /home/custodian/output /home/custodian/policy.yml

3. 查看执行报告

执行完成后，在指定的输出目录（如./output）中生成结构化报告，包含：

• 各账户的策略执行状态
• 匹配策略的资源列表
• 执行的动作详情
• 错误日志（如有）

常用参数说明

相关链接

• c7n-org***文档
• Cloud Custodian主项目
• GitHub仓库
• 策略示例库