Облака - это модно и молодёжно. Однако, недостаточно просто перевезти свою инфраструктуру в облако, важно сохранить контроль над её состоянием и стоимостью. Мало определиться с принципами построения системы -- нужен ещё и способ проводить выбранную политику в жизнь. Владельцу любого облака важно понимать, что происходит с его ресурсами, запрещать сомнительные и/или дорогие практики, следить за безопасностью, пресекать подозрительную активность и т.п.

Именно это позволяет вам сделать Cloud Custodian - опенсорсный и бесплатный продукт, позволяющий админам настраивать политики контроля за облачными ресурсами в любом из трёх облачных сервисов - GCP, AWS, Azure. Можно задать и действия, которые будут автоматически выполняться по тому или иному интересующему вас событию. Cloud Custodian может отслеживать старт новых виртуальных машин в Compute Engine, развертывание новых кластеров Kubernetes, создание новых ролей в IAM, добавление прав пользователям, появление бесхозных бекапов и т.п.

Подобного рода задачи обычно решаются либо бдительным администратором-одиночкой, либо набором shell-скриптов, однако Cloud Custodian позволяет автоматизировать все эти операции, а также кодифицировать и версионировать ваши политики управления существующей инфраструктурой.