RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

프로젝트: Cloud Custodian해제 ×

Cloud Custodian

Security2026년 5월 29일

0.9.51.0은 AWS AI/ML 관련 신규 리소스 추가, iam-access-key 스키마 breaking change, GCP 레이블 관리 대상 리소스 대폭 확대를 담은 기능 위주 릴리스입니다.

  • breaking업그레이드 전 iam-access-key 정책에서 json-diff 필터 제거 필수

    `aws.iam-access-key` 리소스에서 `json-diff` 필터가 완전히 제거됐습니다. 이 필터를 쓰는 정책은 업그레이드 후 런타임 오류가 납니다. 업그레이드 전에 `iam-access-key` 관련 정책 파일을 검색해 `json-diff` 필터 사용 여부를 확인하고 제거하거나 대체 필터로 바꾸세요.

  • enhancementCross-account IAM 정책 검사에 org path 지원 활용

    AWS cross-account 정책 평가에서 `aws:PrincipalOrgPaths`와 화이트리스트 계정을 지원하기 시작했습니다. 조직 경로 기반 principal 체크를 위해 별도 우회 방법을 쓰고 있었다면, 이 기능으로 정책을 단순화할 수 있습니다. cross-account 거버넌스 정책을 운영 중이라면 검토해 보세요.

  • enhancementGCP 레이블 컴플라이언스 정책을 새로 지원하는 리소스 타입으로 확장

    이번 릴리스에서 GCP 레이블 관리 대상 리소스가 대폭 늘었습니다. Cloud Run 서비스/잡, Pub/Sub 토픽/구독, Redis, Secrets Manager 시크릿, 스냅샷, DNS 관리 영역, 인터커넥트, 로드밸런서 주소 및 포워딩 룰, Cloud Functions 등 약 15개 리소스 타입에 `set-labels`와 `mark-for-op` 액션이 추가됐습니다. GCP 레이블 컴플라이언스 정책을 운영 중이라면 지금까지 커버하지 못했던 리소스를 정책에 추가하세요.

주요 변경 (5)
  • Breaking change: `aws.iam-access-key`에서 `json-diff` 필터 제거 — 사용 중인 정책은 업그레이드 시 오류 발생
  • 신규 AWS 리소스: `bedrock-foundation-model`, `bedrock-guardrail`, `devops-agent-space` 추가; Bedrock 추론 프로파일에 `metrics` 필터 추가
  • AWS EKS에 `addon` 및 `metrics`(컨테이너 인사이트) 필터 추가; RDS에 `recommendations` 필터 추가; `rds-param-group`, `rds-cluster-param-group` 모두 `unused` 필터 추가
  • EC2와 Lambda에 `iam-role`, `iam-role-tag-mirror` 필터 추가 — 기존 리소스/역할 속성 불일치 버그 수정
  • GCP에서 Firestore, NCC spoke, Redis 클러스터, Vertex AI Model Garden 등 신규 리소스 추가; ~15개 리소스 타입에 레이블 액션 일괄 추가
원문

Cloud Custodian

Security2026년 3월 19일

AWS 리소스 12종 신규 추가, EKS/Elasticsearch 업그레이드 가능 여부 필터, Azure Entra ID 리소스, GCP Vertex AI 지원이 포함된 대규모 기능 릴리스입니다. S3 캐시 오염, GuardDuty 검증 오류, IAM 사용자 오류 등 주요 버그도 수정됐습니다.

  • enhancementEKS·Elasticsearch 업그레이드 대상 클러스터 즉시 점검

    upgrade-available 필터를 활용하면 신규 버전이 존재하는 클러스터를 정책으로 자동 탐지할 수 있습니다. 지금까지 버전 컴플라이언스를 수동으로 확인했다면, 이 필터를 적용한 정책으로 교체하고 결과를 알림 또는 태깅으로 연결하세요. 지원 종료 일정이 다가오는 클러스터가 있다면 지금이 적기입니다.

  • enhancementcross-account 정책에 whitelist_patterns 추가해 오탐 제거

    삭제된 IAM 주체가 cross-account 정책에서 반복적으로 위반으로 잡혔다면, whitelist_patterns 파라미터로 해당 ARN 패턴을 제외할 수 있습니다. 기존 cross-account 정책을 검토해 결과에 자주 등장하는 삭제된 계정이나 서비스 연결 역할의 패턴을 추가하세요.

  • enhancementAzure Entra ID 보안 상태를 정책으로 감시

    conditional-access-policy, authorization-policy, named-location, security-defaults 네 가지 Entra ID 리소스가 새로 추가됐습니다. Azure 보안 기준선을 관리한다면, 보안 기본값 활성화 여부와 조건부 액세스 정책이 조직 요구사항에 맞는지 확인하는 정책을 작성하세요. 기존에는 별도 도구가 필요했던 영역이 c7n으로 통합됩니다.

주요 변경 (5)
  • EKS, Elasticsearch에 upgrade-available 필터 추가 — 구버전 클러스터를 정책으로 탐지 가능
  • savings-plan, vpc-lattice-listener, directconnect-gateway, bedrock-inference-profile, transfer-connector 등 AWS 리소스 12종 신규 추가
  • Azure Entra ID 리소스 관리 지원: conditional-access-policy, authorization-policy, named-location, security-defaults
  • GCP Vertex AI 리소스(엔드포인트, 배치 예측 작업) 추가 및 BigQuery, BigTable, KMS, GCS 버킷에 set-labels 지원 확대
  • cross-account 필터에 whitelist_patterns 추가로 삭제된 IAM 주체 오탐 방지, org-id + 와일드카드 조합 조건 버그 수정
원문