cloud-infrastructure-security 快速入门

你的云上资源安全吗?让 AI 帮你做 AWS/Azure/GCP 全扫描。

这是什么?解决什么问题?

AWS S3 桶配置错权限导致数据泄露、IAM 策略过宽导致权限失控、KMS 密钥不轮换导致长期泄露风险、Security Group 开放 0.0.0.0/0 导致整个 VPC 被穿透——这些是云上最常见的安全事故,每年都让无数公司损失数百万。

问题是,AWS 提供了 200+ 服务、每个服务几十种配置项,人工审查几乎不可能。cloud-infrastructure-security 是一个社区维护的 Skill,它把 CIS Benchmarks、AWS Well-Architected Framework、安全最佳实践总结成 AI 能直接调用的检查清单。

它能帮你:

• 扫描 Terraform/CloudFormation 模板中的安全错误配置
• 审查 IAM 策略是否符合最小权限原则
• 检查加密配置(KMS、SSL/TLS)
• 验证网络隔离(VPC、Security Group、NACL)
• 给出具体的修复建议和示例代码

适合运维、SRE、DevOps、安全工程师使用。

准备工作

• 已配置 AWS CLI(或 Azure CLI / gcloud)
• 待审查的 Terraform 代码或 CloudFormation 模板
• 一个支持 Skill 的 AI 客户端
• 基本的云服务知识(知道什么是 IAM、VPC)
• 至少 30 分钟时间

3 步快速上手

第 1 步:克隆仓库

git clone https://github.com/affaan-m/everything-claude-code.git
cd everything-claude-code
ls skills/cloud-infrastructure-security/

你会看到 SKILL.md、rules/(按服务分类的规则)、examples/。

第 2 步:加载 Skill

claude --skill cloud-infrastructure-security

第 3 步:提交 IaC 代码审查

准备一个简单的 Terraform 文件:

resource "aws_s3_bucket" "data" {
  bucket = "my-company-data"
}

resource "aws_s3_bucket_public_access_block" "data" {
  bucket = aws_s3_bucket.data.id
  block_public_acls       = false
  block_public_policy     = false
  ignore_public_acls      = false
  restrict_public_buckets = false
}

告诉 AI:

“请审查这段 Terraform 的安全性。”

AI 会输出:

[CRITICAL] aws_s3_bucket_public_access_block - 所有 block 选项都设为 false,
            允许公开访问,违反 CIS AWS 1.22 基准
[SUGGESTION] aws_s3_bucket - 未启用服务端加密 (server_side_encryption_configuration)
[SUGGESTION] aws_s3_bucket - 未启用版本控制 (versioning)
[SUGGESTION] aws_s3_bucket - 未启用访问日志 (logging)

并附修复后的代码。

常见踩坑

1. 过度信任 AI 修复建议:Skill 给出的是建议,不是法律。具体业务场景(开发环境 vs 生产环境)需要人工判断。
2. 只检查 Terraform,不检查运行时配置:Skill 主要审查 IaC 代码,但实际部署后的配置可能 drift(偏离代码)。还要用 AWS Config 做持续合规。
3. 忽略 IAM 角色 vs IAM 用户的区别:角色(role)用 assumeRole,用户(user)用 access key。新手经常搞混。
4. KMS 密钥共享:很多公司所有服务共用一个 KMS 密钥,一旦泄露全部失守。Skill 会建议按服务拆。
5. Security Group “any-any” 规则:0.0.0.0/0 + 任意端口是大忌,Skill 会重点标出。
6. 没启用 CloudTrail:CloudTrail 是 AWS 操作审计的基础,关闭后所有操作不可追溯。

初级用法

• 新模块上线审查:每写完一段 Terraform,用 Skill 跑一遍,确认没明显问题。
• 老项目体检:半年没审查的项目跑一次,会发现一堆累积问题。
• PR 检查:把 Skill 集成到 CI,每次 PR 自动跑安全检查。

高级玩法

• 多云支持:Skill 支持 AWS、Azure、GCP,把 IaC 跨云审查一并搞定。
• CIS 合规报告:把多次审查结果汇总,生成合规差距报告,作为安全审计证据。
• 持续合规监控:配合 AWS Config / Azure Policy,把 Skill 规则转成云原生策略,实时告警。

小技巧

• 修复 Critical 之后,Warning 类问题优先按”攻击面”排序:暴露在公网的资源先改。
• IAM 策略遵循”最小权限 + 角色分离”:不要给单个用户全公司权限,要用角色 + assumeRole。
• KMS 密钥轮换周期建议 ≤ 365 天,高敏感数据 ≤ 90 天。
• Security Group 改完后,务必在测试环境验证应用没被影响,再上生产。
• 把 Skill 输出的报告归档,作为合规审计和团队培训材料。
• 配合 supabase 或其他云平台 Skill,做多平台统一安全审查。

常见问题 FAQ

Q1: 这个 Skill 跟 cloud-infrastructure-security 有什么关系?必须装吗?

A: Skill 是给 AI Agent 用的”技能包”,能告诉 Agent 怎么按特定规范工作。不是必须装——如果你的项目规模小、要求不高,不装也能用。但装上能让 Agent 输出的质量更高、更符合最佳实践,推荐装。

Q2: 这个 Skill 适合哪些 AI Agent?Cursor?Claude Code?其他?

A: cloud-infrastructure-security 来自 community,主要面向支持 Skill 机制的 Agent。常见兼容 Agent 包括 Claude Code、Cursor、OpenCode、Windsurf 等。具体兼容性请查 Skill 官方文档。

Q3: 装了这个 Skill 后,会拖慢 Agent 响应吗?

A: 会的——Skill 通常会增加 prompt 长度,导致响应变慢、token 消耗增加。但质量提升明显。建议:1) 只装项目必需的 Skill;2) 用 Skill 启动/加载/卸载机制按需加载;3) 定期清理不用的 Skill。

Q4: 怎么验证 Skill 装对了?

A: 在 Agent 中输入”列出已加载的 Skill”或类似命令。如果 Skill 出现在列表里,说明装对了。然后用 Skill 跑一个相关任务,看输出是否符合 Skill 规范。

Q5: 这个 Skill 有许可证吗?能商用吗?

A: 取决于 cloud-infrastructure-security 的许可证。常见许可证包括 MIT(完全自由)、Apache-2.0(自由但有专利条款)、源可用(可看不能用)、GPL(强开源)。商用前请查仓库 LICENSE 文件。

进阶学习建议

如果想进一步用好 cloud-infrastructure-security,建议按以下路径学习:

第 1 周:熟练使用

• 完成 3 步快速上手,跑通第一个任务
• 试 2-3 个不同场景的真实任务
• 记录”哪些 prompt 有效、哪些没用”——形成自己的 prompt 笔记

第 2 周:理解机制

• 阅读 Skill 的官方文档(README、SKILL.md)
• 了解 Skill 的”触发关键词”和”输出格式”
• 学习”如何用更具体的描述触发 Skill”

第 3-4 周:组合使用

• 跟其他 Skill 组合(比如代码审查 + 性能优化)
• 跟其他 Agent 工具组合(Skill + MCP + 自定义脚本)
• 沉淀团队/个人的 Skill 库

长期:贡献社区

• 把自定义的 Skill 开源到 GitHub
• 提 PR 改进现有 Skill
• 写使用心得分享到 CSDN/掘金/知乎

推荐资源:

• 官方文档:https://github.com/affaan-m/everything-claude-code
• 官方仓库 README 里的 Examples
• 社区最佳实践:Anthropic 官方博客 https://www.anthropic.com/blog
• 国内社区:CSDN AI 板块、掘金 AI 板块

避免的坑:

• 不要装太多 Skill(超过 10 个会拖慢 Agent)
• 不要把 Skill 装在不兼容的 Agent 上
• 不要直接复制 Skill 默认 prompt——要根据项目调整
• 定期 review Skill 库的实用性,清理不用的

参考链接

• 仓库:https://github.com/affaan-m/everything-claude-code
• AWS Well-Architected 安全支柱:https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html
• CIS AWS Foundations Benchmark:https://www.cisecurity.org/benchmark/amazon_web_services
• Terraform 安全最佳实践:https://developer.hashicorp.com/terraform/cloud-docs/sentinel
• AWS Config 持续合规:https://aws.amazon.com/config/

我的个人推荐(测试编辑 Mnet)

最常用的 1 个核心用法:每天打开 Agent 第一时间加载这个 Skill,既不消耗太多 token 也能规范输出。

最容易踩的坑:别把 Skill 提示词当”开箱即用”的最终答案——它只是给你一个”标准框架”,具体项目还得你自己调整。

适合人群:做过 3+ 个实际项目的开发者,而不是”看一遍文档就完事”的小白。

3 个月使用心得:刚开始用时觉得”规范是约束”,用了 3 个月后才发现”规范是省时间”——避免每次重新决策同样的细节。

推荐配合的工具:Claude Code / Cursor / OpenCode 任选一个主流 Agent 即可,不要在工具选择上纠结太久。

长期价值:这类 Skill 的核心价值不是”立竿见影的输出”,而是”持续一致的质量”——长期用下来,你的项目质量会稳定在专业水平。

本文基于官方文档和公开资料整理，AI辅助生成，MagicNetWorld 尚未完成独立实测。如有错误或过时信息，请通过 contact@magicnetworld.com 反馈。