Cloudquery:轻松询问有关您的云基础架构的问题

2020-12-16 03:15:47

cloudquery将您的云基础架构转换为可查询的SQL表,以便于监视,治理和安全性。

cloudquery作为SQL数据库提取,规范化,公开和监视您的云基础架构和SaaS应用程序。这抽象了各种分散的API,使您可以使用SQL定义安全性,治理,成本和合规性策略。

将cloudquery视为受osquery和terraform等工具启发的合规性代码工具,对吗?

目前,我们支持:AWS,GCP,Okta(Azure和DigitalOcean正在开发中)如果要我们添加新的提供商,请打开问题。

export OS = Darwin#可能的值:Linux,Windows,Darwincurl -L https://github.com/cloudquery/cloudquery/releases/latest/download/cloudquery_ $ {OS} _x86_64 -o cloudquerychmod a + x cloudquery./cloudquery- -help#如果要下载特定版本而不是最新版本,请使用以下端点export VERSION =#指定版本curl -L https://github.com/cloudquery/cloudquery/releases/download/ $ {VERSION} / cloudquery_ $ {OS} _x86_64 -o cloudquery

首先生成一个config.yml文件,该文件将描述您希望cloudquery提取哪些资源,通过运行以下命令来规范化资源并将其转换为指定的SQL数据库:

./cloudquery gen config aws#./cloudquery gen config gcp okta#这将生成包含gcp和okta提供程序的配置#./cloudquery gen config --help#显示所有可能的自动生成的配置和标志

cloudquery附带了一些现成的合规性策略包,您可以直接使用它,也可以对其进行修改以适合您的用例。 目前,cloudquery支持AWS CISpolicy包(正在积极开发中,因此尚不能涵盖整个规范)。 要运行AWS CIS Pack,请输入以下命令(确保您事先通过fetch命令获取了所有资源): 您应该使用具有任一选项的正确权限的AWS账户进行身份验证(请参阅完整文档): 通过使用可以将AssumeRole分配给其他账户的账户,可以使用多账户AWS支持。 如果要通过以下方式查询多个帐户,则在config.yml中需要指定role_arns: 您应该使用对要提取的数据具有正确权限的GCP进行身份验证。您应该将GOOGLE_APPLICATION_CREDENTIALS设置为指向已下载的凭据文件。

选择gcp_storage_buckets。 名称来自gcp_storage_buckets加入gcp_storage_bucket_policy_bindings开启gcp_storage_bucket_policy_bindings。 bucket_id = gcp_storage_buckets。 id在gcp_storage_bucket_policy_bindings_members上加入gcp_storage_bucket_policy_bindings_members。 bucket_policy_binding_id = gcp_storage_bucket_policy_bindings。 在gcp_storage_bucket_policy_bindings_members的ID。 名称=' allUsers' 和gcp_storage_bucket_policy_bindings。 角色=&roles / storage.objectViewer&#39 ;; 在examples / aws_compliance_packs下有越来越多的合规查询包。您可以使用以下命令运行它们: 通过向cloudquery捐款,您同意您的捐款将按照LICENSE文件中的定义进行许可。 随意打开Pull-Request进行小的修复和更改。 对于较大的更改和新的提供者,请首先打开一个问题,以防止重复工作并讨论相关内容。