cfn-lint开发者指南：如何编写和扩展验证规则

张开发

• 2026/4/8 11:25:14 • 15 分钟阅读

分享文章

cfn-lint开发者指南如何编写和扩展验证规则【免费下载链接】cfn-lintCloudFormation Linter项目地址: https://gitcode.com/gh_mirrors/cf/cfn-lintCloudFormation Lintercfn-lint是AWS CloudFormation模板的静态代码分析工具帮助开发者检测模板中的错误、安全问题和最佳实践违规。作为开源项目cfn-lint提供了灵活的规则系统允许开发者自定义验证规则以满足特定需求。本文将深入探讨cfn-lint的规则系统教你如何编写和扩展验证规则。cfn-lint项目logo - 一个卡通化的滚筒刷清理云朵象征着清理CloudFormation模板中的问题 cfn-lint规则系统架构cfn-lint的规则系统采用模块化设计每个规则都是一个独立的Python类。规则主要分为两大类内置规则- 位于src/cfnlint/rules/目录下的各种验证规则自定义规则- 通过简单文本文件或Python类实现的用户自定义规则规则系统支持多种验证类型包括语法验证JSON Schema验证函数验证Ref、Fn::GetAtt等格式验证ARN、资源名称等条件验证映射验证参数验证编写简单自定义规则cfn-lint提供了最简单的自定义规则方式 - 使用文本文件。你只需要创建一个包含规则定义的文件然后通过-z参数加载它。自定义规则语法每个规则占一行格式如下资源类型属性路径操作符值 [错误级别] [自定义错误消息]例如要求所有EC2实例不使用p3.2xlarge实例类型AWS::EC2::Instance InstanceType ! p3.2xlarge要求所有Lambda函数必须设置NODE_ENV环境变量AWS::Lambda::Function Environment.Variables.NODE_ENV IS DEFINED支持的运算符运算符功能描述EQUALS / 检查属性等于给定值NOT_EQUALS / !检查属性不等于给定值REGEX_MATCH检查属性匹配正则表达式IN检查属性在数组中NOT_IN检查属性不在数组中, , , 数值比较IS检查属性是否定义DEFINED/NOT_DEFINED使用示例创建custom_rules.txt文件# 禁止使用特定EC2实例类型 AWS::EC2::Instance InstanceType ! p3.2xlarge # Lambda函数必须有环境变量 AWS::Lambda::Function Environment.Variables.NODE_ENV IS DEFINED # S3存储桶名称必须符合命名规范 AWS::S3::Bucket BucketName REGEX_MATCH ^[a-z0-9.-]$ # RDS实例必须启用加密 AWS::RDS::DBInstance StorageEncrypted true ERROR RDS实例必须启用存储加密运行cfn-lint时加载自定义规则cfn-lint -t template.yaml -z custom_rules.txt 编写Python自定义规则对于更复杂的验证逻辑你可以编写Python自定义规则。每个规则都是一个继承自CloudFormationLintRule的类。规则类结构查看examples/rules/PropertiesTagsRequired.py示例from cfnlint.decode.node import dict_node, list_node from cfnlint.rules import CloudFormationLintRule, RuleMatch class PropertiesTagsRequired(CloudFormationLintRule): 检查Tags是否包含必需的键 id E9000 # 规则ID以E9或W9开头 shortdesc Tags有正确的键值 description 检查资源的Tags tags [resources, tags] def match(self, cfn): 检查Tags的必需键 matches [] required_tags [CostCenter, ApplicationName] all_tags cfn.search_deep_keys(Tags) all_tags [x for x in all_tags if x[0] Resources] for all_tag in all_tags: if isinstance(all_tag[-1], list_node): all_keys [d.get(Key) for d in all_tag[-1]] elif isinstance(all_tag[-1], dict_node): all_keys all_tag[-1].keys() else: continue for required_tag in required_tags: if required_tag not in all_keys: message 缺少Tag {0} 在 {1} matches.append( RuleMatch( all_tag[:-1], message.format( required_tag, /.join(map(str, all_tag[:-1])) ), ) ) return matches规则属性说明id: 规则唯一标识符以E错误或W警告开头自定义规则使用E9XXX或W9XXX范围shortdesc: 简短描述显示在规则列表中description: 详细描述解释规则的目的tags: 规则标签用于分类和过滤source_url: 可选规则文档URLexperimental: 可选是否为实验性规则match方法match方法是规则的核心它接收一个Template对象返回一个RuleMatch对象列表。cfn参数提供了访问模板内容的多种方法cfn.search_deep_keys(key): 深度搜索指定键cfn.get_resources(): 获取所有资源cfn.get_parameters(): 获取所有参数cfn.get_conditions(): 获取所有条件高级规则开发技巧1. 使用JSON Schema验证cfn-lint内置了JSON Schema验证系统。你可以创建继承自CfnLintKeyword的规则查看src/cfnlint/rules/functions/RefFormat.py中的示例from cfnlint.rules.jsonschema import CfnLintKeyword class RefFormat(CfnLintKeyword): id E1041 shortdesc 检查Ref是否匹配目标格式 description 当源和目标格式存在时验证它们在Ref中是否匹配 source_url https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html#parmtypes tags [functions, ref] def __init__(self): super().__init__([*]) self.parent_rules [E1020] def validate(self, validator, _, instance, schema): # 验证逻辑 pass2. 处理复杂函数对于处理CloudFormation内置函数如Fn::GetAtt、Ref等可以使用_BaseFn基类查看src/cfnlint/rules/functions/Base64.pyfrom cfnlint.rules.functions._BaseFn import BaseFn class Base64(BaseFn): 检查Base64值是否正确 id E1021 shortdesc Base64参数验证 description 确保Base64函数正确配置 source_url https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/intrinsic-function-reference-base64.html tags [functions, base64] def __init__(self): super().__init__( Fn::Base64, # 函数名 (string,), # 支持的参数类型 tuple(FUNCTIONS_SINGLE), # 支持的子函数 ) self.fn_base64 self.validate3. 访问模板上下文规则可以访问模板的完整上下文信息def match(self, cfn): # 获取所有资源 resources cfn.get_resources() # 获取特定类型的资源 ec2_instances cfn.get_resources([AWS::EC2::Instance]) # 获取参数值 parameters cfn.get_parameters() # 获取映射 mappings cfn.get_mappings() # 获取条件 conditions cfn.get_conditions() 测试自定义规则1. 创建测试模板在test/fixtures/templates/bad/或test/fixtures/templates/good/中创建测试模板# test/fixtures/templates/bad/custom_rule_test.yaml Resources: MyInstance: Type: AWS::EC2::Instance Properties: InstanceType: p3.2xlarge # 应该触发规则2. 编写单元测试查看test/unit/rules/中的测试示例import unittest from cfnlint.rules.custom.Operators import GreaterThan from cfnlint.runner import Runner from cfnlint.template import Template class TestGreaterThan(unittest.TestCase): def test_greater_than_operator(self): rule GreaterThan() template Template( test.yaml, { Resources: { MyBucket: { Type: AWS::S3::Bucket, Properties: {VersioningConfiguration: {Status: Enabled}}, } } }, [us-east-1], ) errors rule.match(template) self.assertEqual(len(errors), 0)3. 运行测试# 运行特定规则测试 pytest test/unit/rules/custom/test_greater_operator.py # 运行所有规则测试 pytest test/unit/rules/ 集成自定义规则到工作流1. 本地开发环境将自定义规则放在项目目录中通过配置文件加载# .cfnlintrc.yaml append-rules: - path: ./my_custom_rules/ include-checks: - E9 - W92. CI/CD流水线集成在GitHub Actions中使用name: Lint CloudFormation on: [push, pull_request] jobs: cfn-lint: runs-on: ubuntu-latest steps: - uses: actions/checkoutv3 - name: Run cfn-lint with custom rules run: | pip install cfn-lint cfn-lint -t templates/*.yaml -z custom_rules.txt3. 编辑器集成在VSCode中配置{ cfn-lint.customRulesFile: [${workspaceFolder}/custom_rules.txt], cfn-lint.appendRules: [${workspaceFolder}/my_rules/] } 规则最佳实践1. 规则设计原则单一职责: 每个规则只检查一个特定问题明确错误消息: 提供具体、可操作的错误信息性能优化: 避免在规则中进行昂贵的计算向后兼容: 新规则不应破坏现有模板2. 错误级别选择ERROR: 阻止部署的严重问题WARN: 建议性改进不影响部署INFO: 信息性消息3. 规则标签使用合理使用标签帮助用户过滤规则resources- 资源相关规则functions- 内置函数相关规则parameters- 参数相关规则conditions- 条件相关规则security- 安全相关规则best-practices- 最佳实践高级扩展功能1. 创建规则插件你可以创建独立的规则插件包# my_cfn_rules/__init__.py from .security_rules import SecurityGroupOpenPorts __all__ [SecurityGroupOpenPorts] # setup.py from setuptools import setup, find_packages setup( namemy-cfn-rules, version1.0.0, packagesfind_packages(), entry_points{ cfn_lint.rules: [ security my_cfn_rules:SecurityGroupOpenPorts, ], }, )2. 使用规则配置规则可以支持配置参数class ConfigurableRule(CloudFormationLintRule): def __init__(self): super().__init__() self.config_definition { threshold: { type: integer, default: 10, description: 最大允许值 } } def configure(self, config): self.threshold config.get(threshold, 10) 总结cfn-lint的规则系统提供了强大的扩展能力无论是简单的文本规则还是复杂的Python类都能满足不同场景的需求。通过自定义规则你可以实施组织特定的最佳实践检查安全合规要求验证业务逻辑约束集成到CI/CD流水线中记住好的规则应该有明确的错误消息提供修复建议考虑性能影响包含充分的测试用例通过合理利用cfn-lint的规则扩展能力你可以创建适合自己团队和工作流的定制化CloudFormation模板验证系统。开始编写你的第一个自定义规则让CloudFormation模板更加可靠和安全【免费下载链接】cfn-lintCloudFormation Linter项目地址: https://gitcode.com/gh_mirrors/cf/cfn-lint创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考

更多文章

前端开发 2026/4/8 11:23:49

深度学习项目训练环境镜像实测：开箱即用，快速开启你的AI项目

深度学习项目训练环境镜像实测：开箱即用，快速开启你的AI项目 1. 镜像环境概览 1.1 核心配置说明这个深度学习项目训练环境镜像已经预装了完整的开发工具链，主要技术栈包括： 深度学习框架：PyTorch 1.13.0 TorchVi…

零基础科研实战：5分钟搭建LabVIEW电压采集系统与Python分析流水线实验室里闪烁的示波器曲线、密密麻麻的数据表格，往往是科研新手的第一道门槛。当我第一次需要采集电机转速传感器的电压信号时，面对陌生的数据采集卡和复杂的编程手册&#…

张开发

前端开发 2026/4/8 11:02:14

手把手教学：用星图AI算力平台训练PETRV2-BEV模型，小白也能轻松搞定

手把手教学：用星图AI算力平台训练PETRV2-BEV模型，小白也能轻松搞定 1. 前言：为什么选择PETRV2-BEV模型？ 在自动驾驶和机器人领域，鸟瞰图（BEV）感知技术正变得越来越重要。PETRV2作为当前最先进…

张开发

cfn-lint开发者指南：如何编写和扩展验证规则

最新文章

微信聊天记录完整导出指南：使用WeChatExporter免费备份你的数字记忆

科研作图不发愁：手把手教你用PyMOL给蛋白-DNA互作图‘美颜’（附完整配色与标注方案）

League-Toolkit：让英雄联盟游戏体验变得智能高效

AI读脸术部署问题全解：常见报错与修复实战指南

TS3380,G3810，G3800,MP288,G2810,TS3480,MG3680,IP4800,MX328,IX6580,MG7780清零软件，5B00,P07,E08，亲测软件好用，好评。

精读双模态目标检测论文系列四｜C²DFF-Net 架构的二次改进创新（附可运行代码 + 二次顶刊创新思路）

推荐文章

Flutter Shader 效果：GPU 加速的视觉盛宴

python copy

2026最新微软常用运行库合集下载安装教程

嵌入式RTP协议栈：面向实时音频的低延迟传输设计

MicroToolbox：嵌入式C语言轻量级固件工具箱

Keil多工程工作空间管理与实践技巧

相关文章

ESP32智能语音助手开发瓶颈突破：基于MCP协议的全栈硬件AI解决方案重构

turboacc：开源工具性能优化的创新方法 - OpenWrt用户指南

LibreCAD：为什么这款免费开源的2D CAD软件能替代昂贵的商业工具？

解锁AI编程新范式：7个颠覆认知的Continue插件实战场景

LA-PEG-SCM，硫辛酸PEG琥珀酰亚胺乙酸酯，一种新型异双功能PEG衍生物

从‘能用’到‘好用’：设计运放电路时，90%的人会忽略的输入/输出阻抗问题（以TI OPA2188为例）

分享文章

更多文章

深度学习项目训练环境镜像实测：开箱即用，快速开启你的AI项目

SeqGPT-560M参数详解与环境部署：CUDA加速+Supervisor自动启停实操手册

【实战指南】在openEuler 22.03上部署Docker Compose：从环境准备到一键启动

intv_ai_mk11可自主部署：脱离云API，数据不出内网的安全文本生成方案

革命性Jupyter扩展Mito：AI驱动的电子表格自动化工具完全指南

C#与三菱FX5U以太网通讯程序：可读X/Y/M/S/D数据，可写Y/M/S/D及M寄存器，带...

如何快速解决文件乱码问题：EncodingChecker终极文件编码检测指南

【日常运维】Java服务在Windows平台上作为常驻服务的启动方式【winsw.exe】

Windows下TensorFlow CPU加速终极方案：AVX2指令集优化版安装指南

Limine社区与生态：从Discord到Matrix的开发者支持体系

科研小白福音：用LabVIEW和NI采集卡5分钟搞定电压信号采集（附Python数据分析代码）

手把手教学：用星图AI算力平台训练PETRV2-BEV模型，小白也能轻松搞定