Cloud Custodian动作详解：从标记到删除的完整操作指南

Cloud Custodian作为云资源管理的强大规则引擎，其核心功能之一就是通过丰富的动作（Actions）来实现自动化治理。无论你是想要标记不合规资源、停止闲置实例，还是彻底删除无用的云资产，Cloud Custodian都能提供相应的动作支持。

🔍 Cloud Custodian动作基础概念

Cloud Custodian的动作是策略中定义的具体操作，它们对符合过滤条件的资源执行相应的管理动作。在c7n/actions目录下，你可以找到所有支持的动作类型，包括核心动作、通知动作、网络动作等。

Cloud Custodian编辑器界面

📋 常用动作类型详解

标记与通知类动作

标记动作（Mark & Tag） 是Cloud Custodian中最常用的动作类型之一：

• auto-tag-user：自动为资源添加创建者标签
• mark-for-op：标记资源以便后续执行特定操作
• notify：发送通知到指定渠道

资源管理类动作

资源操作动作 直接对云资源进行管理：

• stop：停止EC2实例
• terminate：终止EC2实例
• delete：删除各种云资源
• suspend：暂停自动扩展组

安全合规类动作

安全动作 确保资源符合安全标准：

• encrypt：为资源启用加密
• modify-security-groups：修改安全组配置

🛠️ 实战：从简单到复杂的动作配置

基础标记动作示例

policies:
  - name: mark-unencrypted-volumes
    resource: aws.ec2
    filters:
      - type: ebs
        key: Encrypted
        value: false
    actions:
      - type: mark-for-op
        op: terminate
        days: 7

这个策略会标记所有使用未加密EBS卷的EC2实例，并在7天后终止它们。

Cloud Custodian策略表格示例

自动化修复动作组合

对于更复杂的场景，你可以组合多个动作：

policies:
  - name: auto-fix-s3-buckets
    resource: aws.s3
    filters:
      - type: cross-account
    actions:
      - type: remove-statements
        statement_ids: matched
      - type: notify
        to: security-team@company.com
        subject: "Cross-account S3 access removed"

🎯 高级动作应用场景

成本优化动作

通过Cloud Custodian的off-hours动作，你可以自动停止非工作时间的实例，显著降低云成本。

安全合规自动化

结合AWS Config和CloudTrail，Cloud Custodian能够实时检测并修复安全违规，比如自动删除公开的S3桶或禁用不安全的IAM策略。

AWS OpsCenter资源管理

⚡ 动作执行模式选择

Cloud Custodian支持多种执行模式，确保动作能够在最适合的场景下运行：

• 周期性执行：适合批量处理现有资源
• 事件驱动：实时响应资源变更
• 基础设施即代码：在开发阶段就发现问题

🔧 最佳实践与注意事项

动作配置要点

1. 始终先进行dry-run：在执行任何破坏性动作前，使用custodian run --dryrun验证效果
2. 合理使用标记动作：为破坏性操作设置缓冲期
3. 配置适当的通知：确保团队了解自动化操作

安全考虑

• 对于删除类动作，建议先标记再删除
• 确保动作权限最小化原则
• 定期审查和测试动作策略

🚀 总结

Cloud Custodian的动作系统提供了从简单标记到复杂自动化修复的完整能力。通过合理配置c7n/actions目录下的各种动作类型，你可以构建出符合组织需求的云资源治理体系。

记住，良好的动作配置应该：

• 符合业务需求
• 遵循安全最佳实践
• 包含适当的通知机制
• 经过充分测试

通过掌握这些动作的使用方法，你将能够充分发挥Cloud Custodian在云资源管理方面的强大能力！