Cloud CustodianAWS 资源管理工具

Cloud Custodian 是一个用于 AWS 资源管理的规则引擎。允许用户通过图表、格式化输出制定策略来增强云资源的管理。包含很多特别的脚本，这是一个轻量级而且灵活的工具。

用户可以通过它来管理 AWS 环境，确保安全策略、asg 以及无用资源垃圾收集策略被正确使用，降低资源管理的成本。

可以使用简单的 YAML 配置文件来编写 Custodian 策略和指定资源类型（ (ec2, asg, redshift 等)。Custodian 的出现是为了统一大量的各种脚本和工具来管理 AWS 账号。提供统一的操作和报表功能。

Custodian 集成了 lambda 和 cloudwatch 事件来提供实时增强策略和内置配置来查询和操作账号资源。

配置示例：

policies:
 - name: remediate-extant-keys
   description: |
     Scan through all s3 buckets in an account and ensure all objects
     are encrypted (default to AES256).  
   resources: s3
   actions:
     - encrypt-keys

 - name: ec2-require-non-public-and-encrypted-volumes
   resource: ec2 
   description: |
     Provision a lambda and cloud watch event target
     that looks at all new instances not in an autoscale group
     and terminates those with unencrypted volumes.
   mode:
     type: cloudtrail   
     events:
      - RunInstances
   filters:
     - Encrypted: false
   actions:
     - terminate

 - name: tag-compliance
   resources: ec2
   description:
     Schedule a resource that does not meet tag compliance policies
     to be stopped in four days.
   filters:
     - State.Name: running
     - "tag:Environment": absent
     - "tag:AppId": absent
     - or:
       - "tag:OwnerContact": absent
       - "tag:DeptID": absent
   actions:
     - type: mark-for-op
       op: stop
       days: 4

运行：

# Directory for outputs
$ mkdir out

# Validate the configuration
$ custodian validate -c policy.yml

# Dryrun on the policies (no actions executed)
$ custodian run --dryrun -c policy.yml -s out

# Run the policy 
$ custodian run -c policy.yml -s out