安全智能的 Azure 云管助手

通过 Azure CLI 和门户上下文，安全地查询、审计和监控 Azure 云资源（VM、存储、IAM、AKS、Key Vault 等），支持只读操作，变更需显式确认。

基本信息

• 技能名称?Azure Infra
• 中文名称?安全智能的 Azure 云管助手
• 作者?bmdhodl
• 分类?专业技能
• 版本?1.0.0
• 标签?azure, cloud, infrastructure, cli, devops, sre, security-audit, cost-management, kubernetes, iam

使用方法

使用说明
核心功能与用法
Azure Infra 是一款面向 Azure 云环境的智能基础设施管理技能，主要通过本地 Azure CLI 与 Azure 门户上下文交互。其核心能力涵盖资源清单查询、健康监控、安全审计、成本分析以及受控的变更管理。
核心用法：
资源查询 ：使用 list / show / get 类命令快速获取 VM、存储账户、应用服务、Kubernetes 集群、Key Vault 等资源状态
健康诊断 ：集成 Azure Monitor 查询指标和日志，排查故障
安全检查 ：审计 RBAC 角色分配、公开暴露的存储、网络安全组(NSG)配置、Key Vault 访问策略
成本管理 ：读取 Cost Management 数据，分析订阅级消费
变更提案 ：对于任何写操作（创建、修改、删除、扩缩容、IAM 凭证变更），先展示精确 CLI 命令，待用户显式确认后执行
显著优点：
安全优先 ：默认只读模式，所有破坏性操作强制二次确认，符合最小权限原则
上下文感知 ：自动处理多订阅/多租户场景，支持指定订阅或默认订阅
计划预览 ：优先使用 --dry-run 展示变更计划，降低误操作风险
保密合规 ：严禁记录或泄露密钥、客户端机密、令牌等敏感信息
潜在局限：
依赖本地 Azure CLI 环境，若 CLI 未安装或版本过旧会导致功能受限
复杂多步骤编排（如完整的 CI/CD 流水线部署）超出单次对话处理范围
大规模资源查询（数千级）可能受 Azure API 速率限制或超时影响
图形化门户特有功能（如 Azure 架构设计器）无法通过 CLI 复现
适合人群：
云运维工程师（SRE）、DevOps 工程师、Azure 管理员
需要快速排查生产环境问题的技术支持人员
进行安全合规审计的架构师
学习 Azure CLI 的云从业者
常规风险与注意事项：

1. 权限风险 ：用户需具备足够 RBAC 权限（如 Reader/Contributor），否则查询或操作将失败
2. 订阅误操作 ：多订阅环境下若未明确指定，可能误操作非目标环境
3. CLI 版本差异 ：不同 az 版本命令参数可能变更，建议保持 CLI 更新
4. 成本查询延迟 ：账单数据通常有 24-48 小时延迟，非实时数据
5. 确认链依赖 ：自动化脚本场景下，"显式确认"机制可能中断流水线，需人工介入