安全可控的云资源运维助手

本地 AWS CLI 驱动的云基础设施助手，支持 EC2、S3、IAM 等资源的只读查询与安全变更建议，需显式确认后才执行写操作。

基本信息

• 技能名称?AWS Infra
• 中文名称?安全可控的云资源运维助手
• 作者?bmdhodl
• 分类?专业技能
• 版本?1.0.0
• 标签?aws, infrastructure, cli, cloud-ops, devops, security-audit, cost-management, read-only-default, multi-service, iam, ec2, s3, lambda, kubernetes, monitoring

使用方法

使用说明
核心用法
AWS Infra 是一个基于本地 AWS CLI 的云基础设施辅助工具，通过对话形式帮助用户查询、审计和监控 AWS 资源。核心工作流程为：首先通过 aws sts get-caller-identity 确认身份，随后使用各服务的 list / describe / get 等只读命令响应查询需求。对于资源清单获取、健康状态检查、安全审计、成本分析等场景，均优先采用非破坏性操作。
当用户提出变更请求时，系统会严格遵循安全协议：展示精确的 CLI 命令预览，对删除、终止、修改、扩缩容、计费调整、IAM 凭证操作等高风险行为强制要求显式确认，并在支持 --dry-run 的情况下优先展示执行计划。
显著优点
本地执行 ：直接调用用户环境的 AWS CLI，无需额外服务部署，响应速度快
权限最小化 ：默认只读模式，大幅降低误操作风险
透明可控 ：所有变更命令可见可审，用户掌握最终执行权
全服务覆盖 ：支持计算（EC2/Lambda/ECS/EKS）、存储（S3）、网络、安全（IAM/KMS）、监控（CloudWatch）、计费等多类资源
配置灵活 ：自动识别 AWS_PROFILE 、 AWS_REGION 环境变量及 ~/.aws/config 配置
潜在局限
依赖本地配置 ：需预装 AWS CLI 并正确配置凭证，新手用户可能存在 setup 门槛
无图形界面 ：纯命令行交互，对复杂资源拓扑的可视化支持有限
变更需人工确认 ：批量自动化场景下，逐条确认机制可能降低效率
区域感知局限 ：跨区域资源查询需手动切换，无自动聚合能力
适合人群
云运维工程师与 DevOps 人员进行日常巡检与故障排查
安全团队执行 IAM、S3 公开访问、安全组暴露面审计
开发者在部署前后验证资源状态与配置合规性
FinOps 用户进行成本查询与预算监控
常规风险
凭证泄露风险 ：工具需访问本地 AWS 凭证文件，共享环境需确保文件权限正确（ ~/.aws 目录应设为 700）
区域误操作 ：未显式指定 region 时可能查询到非预期区域的资源
确认绕过隐患 ：若用户在对话中草率确认，仍可能导致非预期变更
会话令牌安全 ：遵循安全规则不记录 secrets，但用户需确保终端环境无键盘记录等风险