Cloud Custodian
0.9.50.0SecurityAWS 리소스 12종 신규 추가, EKS/Elasticsearch 업그레이드 가능 여부 필터, Azure Entra ID 리소스, GCP Vertex AI 지원이 포함된 대규모 기능 릴리스입니다. S3 캐시 오염, GuardDuty 검증 오류, IAM 사용자 오류 등 주요 버그도 수정됐습니다.
enhancementEKS·Elasticsearch 업그레이드 대상 클러스터 즉시 점검
upgrade-available 필터를 활용하면 신규 버전이 존재하는 클러스터를 정책으로 자동 탐지할 수 있습니다. 지금까지 버전 컴플라이언스를 수동으로 확인했다면, 이 필터를 적용한 정책으로 교체하고 결과를 알림 또는 태깅으로 연결하세요. 지원 종료 일정이 다가오는 클러스터가 있다면 지금이 적기입니다.
enhancementcross-account 정책에 whitelist_patterns 추가해 오탐 제거
삭제된 IAM 주체가 cross-account 정책에서 반복적으로 위반으로 잡혔다면, whitelist_patterns 파라미터로 해당 ARN 패턴을 제외할 수 있습니다. 기존 cross-account 정책을 검토해 결과에 자주 등장하는 삭제된 계정이나 서비스 연결 역할의 패턴을 추가하세요.
enhancementAzure Entra ID 보안 상태를 정책으로 감시
conditional-access-policy, authorization-policy, named-location, security-defaults 네 가지 Entra ID 리소스가 새로 추가됐습니다. Azure 보안 기준선을 관리한다면, 보안 기본값 활성화 여부와 조건부 액세스 정책이 조직 요구사항에 맞는지 확인하는 정책을 작성하세요. 기존에는 별도 도구가 필요했던 영역이 c7n으로 통합됩니다.
주요 변경 (5)
- EKS, Elasticsearch에 upgrade-available 필터 추가 — 구버전 클러스터를 정책으로 탐지 가능
- savings-plan, vpc-lattice-listener, directconnect-gateway, bedrock-inference-profile, transfer-connector 등 AWS 리소스 12종 신규 추가
- Azure Entra ID 리소스 관리 지원: conditional-access-policy, authorization-policy, named-location, security-defaults
- GCP Vertex AI 리소스(엔드포인트, 배치 예측 작업) 추가 및 BigQuery, BigTable, KMS, GCS 버킷에 set-labels 지원 확대
- cross-account 필터에 whitelist_patterns 추가로 삭제된 IAM 주체 오탐 방지, org-id + 와일드카드 조합 조건 버그 수정