2025最强AWS自动化脚本指南:从0到1精通S3安全检查与CLI实战
项目地址: https://gitcode.com/gh_mirrors/aw/aws 你是否正在经历这些AWS管理痛点?
作为AWS云架构师或DevOps工程师,你是否每天都在重复这些低效操作:
- 手动检查数十个S3 Bucket的ACL权限和CORS配置
- 为不同环境编写相似却又略有差异的CloudWatch告警脚本
- 在多账号切换时被AWS CLI的profile配置搞得晕头转向
- 面对突发安全事件时,缺乏自动化响应工具包
本文将彻底改变你的AWS管理方式!我们将通过剖析一个功能完备的S3安全检查脚本,带你掌握bash+AWS CLI的自动化精髓,最终能够独立开发符合企业需求的云资源管理工具。
读完本文你将获得:
- 3个核心AWS自动化场景的完整解决方案
- 10+企业级bash脚本编写技巧(含错误处理与参数解析)
- 5类AWS服务的自动化脚本模板(可直接复用)
- 1套脚本开发全流程方法论(从需求到测试部署)
AWS自动化脚本生态全景图
项目核心价值与技术栈
aw/aws项目是一个基于bash shell的AWS自动化工具集,通过AWS CLI和jq工具实现对AWS资源的批量管理。这类工具在企业环境中具有不可替代的价值:
核心技术组件 | 组件 | 功能 | 必要性 | 国内替代方案 | |------|------|--------|------------| | AWS CLI | AWS服务命令行接口 | ★★★★★ | 阿里云CLI/腾讯云CLI | | jq | JSON数据处理工具 | ★★★★☆ | 原生bash解析(复杂) | | bash 4+ | 脚本执行环境 | ★★★★★ | zsh(兼容) | | AWS SDK | 高级API调用 | ★★☆☆☆ | 各云厂商SDK |
项目文件结构解析
aw/aws/
├── s3-* # S3服务相关脚本(10个)
├── ec2-* # EC2服务相关脚本(8个)
├── cloudwatch-* # 云监控相关脚本(5个)
├── vpc-* # 网络相关脚本(5个)
├── iam-* # 身份权限相关脚本(1个)
└── 其他服务脚本 # Route53/WAF/EB等(7个)
高频使用场景分类
- 安全合规:s3-buckets-security-check.sh、s3-restrict-bucket-policy.sh
- 资源管理:ec2-ebs-create-snapshots.sh、cloudwatch-logs-cleanup.sh
- 监控告警:cloudwatch-create-alarms.sh、vpc-eni-monitor.sh
- 批量操作:iam-create-s3-users.sh、convert-iplist-cidr-json-array.sh
S3安全检查脚本深度剖析
脚本工作流可视化
核心功能模块解析
1. 健壮的初始化流程
# 函数定义 - 错误处理
function fail(){
tput setaf 1; echo "Failure: $*" && tput sgr0
exit 1
}
# 函数定义 - 依赖检查
function check_command {
type -P $1 &>/dev/null || fail "Unable to find $1, please install it and run this script again."
}
# 主流程 - 依赖验证
check_command "jq"
if ! grep -q aws_access_key_id ~/.aws/config && ! grep -q aws_access_key_id ~/.aws/credentials; then
fail "AWS config not found or CLI not installed. Please run \"aws configure\"."
fi
企业级脚本的必备要素:
- 彩色终端输出(tput)增强可读性
- 独立函数封装错误处理逻辑
- 前置依赖检查防止运行时错误
- 清晰的用户引导信息
2. AWS多账号支持实现
# 处理AWS CLI Profile参数
if [ $# -eq 0 ]; then
echo "Using default profile"
profile=default
else
profile=$1
SUBFOLDER=$SUBFOLDER-$1 # 为不同账号创建独立目录
fi
# 验证账号权限
LS=$(aws s3 ls --profile $profile 2>&1)
if echo "$LS" | egrep -q "Error|error|not"; then
fail "$LS"
fi
多账号管理最佳实践:
- 通过参数灵活切换AWS账号
- 为不同账号生成隔离的检查结果
- 提前验证账号权限避免批量操作失败
- 错误信息完整捕获便于问题诊断
3. 并行化资源处理机制
# 获取Bucket总数
TOTALNUMBERS3BUCKETS=$(echo "$BUCKETNAMES" | wc -l | rev | cut -d " " -f1 | rev)
# 循环处理所有Bucket
for (( COUNT=$START; COUNT<=$TOTALNUMBERS3BUCKETS; COUNT++ ))
do
CURRENTBUCKET=$(echo "$BUCKETNAMES" | grep -w [^0-9][[:space:]]$COUNT | cut -f2)
echo "Processing #$COUNT $CURRENTBUCKET"
# 并行获取多种配置信息(关键优化点)
ACL=$(aws s3api get-bucket-acl --bucket $CURRENTBUCKET --region $REGION --profile $profile 2>&1 &)
CORS=$(aws s3api get-bucket-cors --bucket $CURRENTBUCKET --region $REGION --profile $profile 2>&1 &)
wait # 等待所有并行操作完成
# JSON数据合并与输出
OUTPUT=$(echo $ACL $CORS $POLICY $WEBSITE | jq -s add)
echo "$OUTPUT" >> $OUTPUTFILENAME
done
性能优化关键点:
- 并行执行AWS API调用减少等待时间
- 按序号跟踪处理进度提升用户体验
- 错误结果标准化处理确保JSON格式统一
- 增量输出避免内存溢出
企业级AWS脚本开发实战指南
开发流程标准化
关键技术难点攻克
1. JSON数据处理高级技巧
# jq实战:提取特定条件的S3 Bucket
aws s3api list-buckets --output json | jq -r '.Buckets[] |
select(.CreationDate | contains("2024")) |
.Name'
# 复杂JSON合并与转换
jq -s '.[0] * .[1] | {
bucket: .Name,
region: .LocationConstraint,
creation_date: .CreationDate,
acl: .Grants[].Grantee.DisplayName
}' bucket_info.json acl_info.json
2. AWS CLI跨区域处理方案
# 智能区域识别与处理
get_bucket_region() {
local bucket=$1
local region=$(aws s3api get-bucket-location --bucket $bucket --output text 2>/dev/null)
# 特殊处理US East (N. Virginia)区域
if [[ $region == "None" ]]; then
echo "us-east-1"
else
echo $region
fi
}
# 跨区域资源操作示例
for bucket in $(aws s3 ls | awk '{print $3}'); do
region=$(get_bucket_region $bucket)
aws s3api put-bucket-tagging \
--bucket $bucket \
--region $region \
--tagging 'TagSet=[{Key=Environment,Value=Production}]'
done
3. 企业级错误处理框架
# 增强版错误处理系统
error_handling() {
local error_code=$1
local error_msg=$2
local command=$3
# 记录错误到日志
echo "[$(date +%Y-%m-%dT%H:%M:%S)] ERROR $error_code: $error_msg" >> aws_script_errors.log
# 根据错误类型采取不同策略
case $error_code in
255) # AWS认证错误
echo "AWS认证失败,请检查凭证配置"
exit 1
;;
200) # 资源不存在
echo "警告: 资源不存在,跳过处理"
return 0
;;
*) # 其他错误
echo "执行失败: $command"
echo "错误详情: $error_msg"
# 询问用户是否继续
read -p "是否继续执行? [y/N] " -n 1 -r
if [[ ! $REPLY =~ ^[Yy]$ ]]; then
exit $error_code
fi
;;
esac
}
# 使用示例
aws s3api get-bucket-acl --bucket $bucket || error_handling $? "获取ACL失败" "get-bucket-acl $bucket"
五大核心AWS服务自动化模板
1. EC2实例管理模板
#!/usr/bin/env bash
# EC2实例批量操作模板
# 支持: 启动/停止/重启/标签管理
set -eo pipefail
# 配置区域
REGION="cn-northwest-1"
# 实例ID列表文件
INSTANCE_FILE="instance_ids.txt"
# 操作类型: start|stop|reboot|terminate
ACTION="start"
# 参数解析
while getopts "r:f:a:" opt; do
case $opt in
r) REGION="$OPTARG" ;;
f) INSTANCE_FILE="$OPTARG" ;;
a) ACTION="$OPTARG" ;;
*) echo "Usage: $0 -r <region> -f <instance_file> -a <action>" && exit 1 ;;
esac
done
# 验证实例文件存在
[ -f "$INSTANCE_FILE" ] || { echo "实例文件不存在: $INSTANCE_FILE"; exit 1; }
# 执行操作
while IFS= read -r instance_id; do
echo "对实例 $instance_id 执行 $ACTION 操作..."
case $ACTION in
start)
aws ec2 start-instances --instance-ids $instance_id --region $REGION
;;
stop)
aws ec2 stop-instances --instance-ids $instance_id --region $REGION
;;
reboot)
aws ec2 reboot-instances --instance-ids $instance_id --region $REGION
;;
terminate)
# 终止操作二次确认
read -p "确定要终止实例 $instance_id 吗? [y/N] " -n 1 -r
echo
if [[ $REPLY =~ ^[Yy]$ ]]; then
aws ec2 terminate-instances --instance-ids $instance_id --region $REGION
fi
;;
*)
echo "不支持的操作: $ACTION"
exit 1
;;
esac
done < "$INSTANCE_FILE"
echo "所有实例操作已提交"
2. CloudWatch告警自动化模板
#!/usr/bin/env bash
# CloudWatch告警批量创建模板
# 支持: CPU/内存/磁盘/网络指标监控
# 基础配置
ALARM_NAME_PREFIX="Production-Alert-"
NAMESPACE="AWS/EC2"
PERIOD=300 # 5分钟
EVALUATION_PERIODS=2
THRESHOLD=80
COMPARISON_OPERATOR="GreaterThanThreshold"
STATISTIC="Average"
ALARM_DESCRIPTION="自动创建的资源监控告警"
ALARM_ACTIONS="arn:aws-cn:sns:cn-northwest-1:123456789012:Ops-Alert"
# 创建CPU使用率告警
create_cpu_alarm() {
local instance_id=$1
local instance_name=$2
aws cloudwatch put-metric-alarm \
--alarm-name "${ALARM_NAME_PREFIX}CPU-${instance_name}" \
--alarm-description "$ALARM_DESCRIPTION" \
--metric-name CPUUtilization \
--namespace $NAMESPACE \
--statistic $STATISTIC \
--period $PERIOD \
--evaluation-periods $EVALUATION_PERIODS \
--threshold $THRESHOLD \
--comparison-operator $COMPARISON_OPERATOR \
--dimensions "Name=InstanceId,Value=$instance_id" \
--alarm-actions $ALARM_ACTIONS \
--unit Percent
}
# 获取所有运行中的实例
aws ec2 describe-instances --filters "Name=instance-state-name,Values=running" \
--query "Reservations[].Instances[].{ID:InstanceId,Name:Tags[?Key=='Name'].Value|[0]}" \
--output json | jq -r '.[] | "\(.ID) \(.Name)"' | while read -r instance_id instance_name; do
echo "为实例 $instance_name 创建CPU告警..."
create_cpu_alarm $instance_id $instance_name
done
3. VPC安全组管理模板
#!/usr/bin/env bash
# VPC安全组规则批量导入工具
# 支持: 从JSON文件导入规则/跨区域复制规则
set -eo pipefail
# 配置参数
SOURCE_REGION="cn-northwest-1"
DEST_REGION="cn-north-1"
SOURCE_SG_ID="sg-0123456789abcdef0"
DEST_SG_ID="sg-9876543210fedcba0"
RULES_FILE="sg_rules.json"
# 导出源安全组规则
export_sg_rules() {
echo "从 $SOURCE_REGION 导出安全组规则..."
aws ec2 describe-security-groups --group-ids $SOURCE_SG_ID --region $SOURCE_REGION \
--query "SecurityGroups[].IpPermissions" --output json > $RULES_FILE
# 移除规则中的GroupId引用(避免跨区域问题)
jq 'del(.[].UserIdGroupPairs)' $RULES_FILE > temp.json && mv temp.json $RULES_FILE
}
# 导入规则到目标安全组
import_sg_rules() {
echo "导入规则到 $DEST_REGION 的安全组..."
# 先移除现有入站规则
aws ec2 revoke-security-group-ingress --group-id $DEST_SG_ID \
--ip-permissions "$(aws ec2 describe-security-groups --group-ids $DEST_SG_ID --region $DEST_REGION \
--query "SecurityGroups[].IpPermissions" --output json)" --region $DEST_REGION
# 应用新规则
aws ec2 authorize-security-group-ingress --group-id $DEST_SG_ID \
--ip-permissions file://$RULES_FILE --region $DEST_REGION
}
# 执行主流程
export_sg_rules
import_sg_rules
echo "安全组规则复制完成!"
echo "源: $SOURCE_REGION/$SOURCE_SG_ID"
echo "目标: $DEST_REGION/$DEST_SG_ID"
脚本部署与版本管理最佳实践
环境配置标准化
#!/usr/bin/env bash
# AWS脚本运行环境初始化脚本
# 支持CentOS/Ubuntu/macOS
# 检查操作系统类型
check_os() {
if [[ "$OSTYPE" == "linux-gnu"* ]]; then
if [ -f /etc/redhat-release ]; then
echo "centos"
elif [ -f /etc/lsb-release ]; then
echo "ubuntu"
fi
elif [[ "$OSTYPE" == "darwin"* ]]; then
echo "macos"
else
echo "unsupported"
fi
}
OS=$(check_os)
if [ "$OS" == "unsupported" ]; then
echo "不支持的操作系统"
exit 1
fi
# 安装依赖
install_dependencies() {
echo "安装必要依赖..."
case $OS in
centos)
yum update -y
yum install -y awscli jq git
;;
ubuntu)
apt-get update -y
apt-get install -y awscli jq git
;;
macos)
brew update
brew install awscli jq git
;;
esac
# 验证安装
aws --version || { echo "AWS CLI安装失败"; exit 1; }
jq --version || { echo "jq安装失败"; exit 1; }
}
# 配置AWS CLI
configure_aws_cli() {
if [ ! -d ~/.aws ]; then
echo "配置AWS CLI..."
aws configure
else
echo "AWS CLI已配置,跳过设置"
fi
}
# 主流程
install_dependencies
configure_aws_cli
# 克隆项目仓库
if [ ! -d "aw-aws-scripts" ]; then
git clone https://gitcode.com/gh_mirrors/aw/aws aw-aws-scripts
fi
echo "环境准备完成! 脚本目录: $(pwd)/aw-aws-scripts"
版本控制与更新机制
#!/usr/bin/env bash
# 脚本自动更新工具
# 支持: 版本检查/自动更新/变更日志
REPO_DIR="aw-aws-scripts"
REMOTE_URL="https://gitcode.com/gh_mirrors/aw/aws.git"
# 检查更新
check_updates() {
echo "检查脚本更新..."
# 确保在仓库目录
[ -d "$REPO_DIR" ] || { echo "未找到项目目录"; exit 1; }
cd $REPO_DIR
# 获取本地和远程版本
local_local=$(git rev-parse HEAD)
git fetch origin > /dev/null 2>&1
local_remote=$(git rev-parse origin/main)
if [ "$local_local" != "$local_remote" ]; then
echo "发现新版本! 本地: $(git log -1 --format=%h) 远程: $(git log origin/main -1 --format=%h)"
return 0 # 有更新
else
echo "当前已是最新版本"
return 1 # 无更新
fi
}
# 执行更新
perform_update() {
cd $REPO_DIR
echo "正在更新脚本...";
git pull --rebase origin main
# 显示更新日志
echo -e "\n更新内容:"
git log --pretty=format:"- %s (%cr)" HEAD@{1}..HEAD
# 设置执行权限
find . -name "*.sh" -exec chmod +x {} \;
echo -e "\n更新完成!"
}
# 主流程
if check_updates; then
read -p "是否更新? [Y/n] " -n 1 -r
echo
if [[ ! $REPLY =~ ^[Nn]$ ]]; then
perform_update
fi
fi
进阶场景与未来展望
多账号管理架构
与AWS CDK/CloudFormation集成
aw/aws项目的bash脚本与AWS CDK/CloudFormation并不是互斥关系,而是互补的自动化方案:
混合使用策略:
- 使用CDK/CloudFormation创建静态基础设施
- 使用aw/aws脚本处理日常运维任务
- 通过Lambda+SNS实现自动化告警响应
- 用CloudWatch Logs集中管理脚本输出
总结与行动指南
通过本文的学习,你已经掌握了AWS自动化脚本开发的核心技术和最佳实践。现在是时候将这些知识应用到实际工作中了!
下一步行动计划
-
环境搭建(1小时)
- 按照文中环境配置脚本完成依赖安装
- 克隆项目仓库并配置AWS CLI
-
基础实践(3小时)
- 运行s3-buckets-security-check.sh检查现有S3资源
- 修改脚本参数适应你的AWS环境
- 分析生成的JSON报告并修复安全问题
-
进阶开发(1天)
- 基于提供的模板开发一个EC2快照自动化脚本
- 添加错误处理和日志记录功能
- 测试并部署到生产环境
-
持续优化(持续)
- 参与aw/aws项目贡献
- 建立脚本版本控制和更新机制
- 定期回顾和优化自动化流程
资源获取
- 项目仓库:
git clone https://gitcode.com/gh_mirrors/aw/aws - 问题反馈:项目Issues页面提交
- 学习社区:AWS官方论坛/AWS中国技术社区
收藏本文,下次遇到AWS批量管理需求时,它将成为你的救星!你还希望看到哪些AWS服务的自动化脚本解析?欢迎在评论区留言。
附录:常用脚本速查表
| 脚本名称 | 功能描述 | 使用示例 |
|---|---|---|
| s3-buckets-security-check.sh | S3安全配置检查 | ./s3-buckets-security-check.sh production-profile |
| ec2-ebs-create-snapshots.sh | EBS快照批量创建 | ./ec2-ebs-create-snapshots.sh --tag Environment=Production |
| cloudwatch-create-alarms.sh | 告警批量创建 | ./cloudwatch-create-alarms.sh --type high-cpu |
| vpc-sg-import-rules.sh | 安全组规则导入 | ./vpc-sg-import-rules.sh --source sg-123 --dest sg-456 |
| iam-create-s3-users.sh | S3用户批量创建 | ./iam-create-s3-users.sh users.csv |
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
