云托管人

对于临时执行，最好通过评估Cloud Custodian为您服务。当我以前尝试过这种方法时，我对最小化部署所能获得的立即价值印象深刻。

执行的自组织特性可以使您受益，因为您可以运行仅报告操作，或者实际上可以创建lambda函数来在某些情况下（如果需要）进行补救。

该工具是跨平台的，也经过docker化，并且规则的大多数配置都基于yaml，支持AWS Config，Security Hub，AWS SSM等。

如果您查看Run Your First Policy section in AWS，就会发现它很简单：

AWS_ACCESS_KEY_ID="foo" AWS_SECRET_ACCESS_KEY="bar" custodian run --output-dir=. custodian.yml

example-policies的清单非常广泛，其中包括诸如

AWS Config集成

• 对于config支持的任何资源类型，都可以作为config-rule部署。
• 可以将config用作资源数据库，而不用查询服务描述api。保管人通过Config的SQL表达式语言支持服务器端查询资源。
• 可以根据对一个或多个配置规则的符合性来过滤资源。
• 可以针对cloudformation支持的任何资源类型作为config-poll规则进行部署。 来源：AWS Config Integration

它也支持自定义配置规则。

注意：我没有参与该项目，只是发现它对您所描述的类似情况很有用且很有希望。似乎减少了从多个AWS服务中获取价值所需的大量“ DevOps管道”，而所需的服务特定知识和设置要少得多。