AWS安全扫描器

技能简介

AWS Security Scanner 是一款命令行安全审计工具，用于扫描 AWS 账户中的配置错误与安全漏洞。覆盖 S3、IAM、EC2、RDS、CloudTrail 等核心服务，支持 CIS 基准检查。

业务背景

AWS安全扫描器帮助企业快速发现云账户中的配置隐患，如公开暴露的存储桶、过度授权的访问策略及未加密的数据库。通过自动化审计替代人工排查，降低因配置失误导致的数据泄露与合规风险，让安全团队聚焦高优先级修复工作。

落地案例：某企业使用本工具对其生产环境进行例行检查：扫描发现3个S3存储桶存在公开读取权限，2个IAM用户未启用多因素认证，以及1条安全组规则对全网开放SSH端口。工具输出分级报告后，安全团队按严重度逐项整改，一周内完成全部高危项修复，避免了潜在的数据外泄入口。

能做什么

• 检测公开访问的 S3 存储桶与宽松 ACL/策略
• 识别未启用 MFA 的 IAM 用户及过度授权策略
• 发现对公网开放的 SSH/RDP 安全组规则
• 检查 CloudTrail 启用状态与日志验证配置
• 扫描 RDS 公网暴露与加密缺失问题
• 输出分级严重度的结构化审计报告

使用说明

安装前提

1. 安装并配置 AWS CLI：aws configure 或配置 IAM 角色
2. 确保具备目标资源的只读权限（如 s3:GetBucketAcl、iam:ListUsers 等）

快速扫描示例

S3 公开访问检测：

aws s3api list-buckets --query 'Buckets[].Name' --output text | tr '\t' '\n' | while read bucket; do
  acl=$(aws s3api get-bucket-acl --bucket "$bucket" 2>/dev/null)
  echo "$acl" | grep -q "AllUsers" && echo "⚠️ $bucket 存在公开ACL"
done

SSH 暴露检测：

aws ec2 describe-security-groups --filters "Name=ip-permission.from-port,Values=22" "Name=ip-permission.cidr,Values=0.0.0.0/0" --query 'SecurityGroups[].{ID:GroupId,Name:GroupName}' --output table

完整审计报告生成：组合上述各模块命令，输出 Markdown 格式报告。

输入与输出

见下方输入与输出表格。

风险提示

• 扫描操作可能触发 AWS CloudTrail 事件，建议在测试环境先行验证
• 部分 API 调用产生费用，大规模账户注意控制扫描频率
• 脚本依赖 AWS CLI 凭证，避免在共享环境中硬编码密钥
• 仅提供检测能力，修复操作需人工确认后执行

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/spclaudehome/aws-security-scanner/SKILL.md
来源类型：GitHub 开源项目