Terraform Reviewer — AWS 安全配置审查工具

Name: Terraform Reviewer — AWS 安全配置审查工具
Author: Anmol Nagpal

Anmol Nagpal

Terraform Reviewer — AWS 安全配置审查工具

v1.0.0

审查 Terraform 计划和 HCL 文件，检测 AWS 安全配置错误，确保部署前安全性。

0· 315·0 当前·0 累计

by @anmolnagpal (Anmol Nagpal)·MIT-0

安全云服务文件处理开发工具

下载技能包

License

MIT-0

最后更新

2026/3/3

安全扫描

VirusTotal

无害

查看报告

OpenClaw

安全

high confidence

该技能的输入请求和指令与其声明的目的相符（审查 Terraform HCL/计划中的 AWS 安全问题）；无需安装或额外凭据，但用户必须避免在提供的计划/状态中包含敏感秘密。

评估建议

该技能看似合理，按照宣称分析粘贴的 Terraform HCL 或 terraform 计划 JSON 中的 AWS 安全问题。它不请求凭据。 **重要**：terraform 计划和尤其是 terraform 状态可能包含秘密或敏感值——**不要** 粘贴 API 密钥、密码、私钥或任何敏感环境变量到聊天中。如果不确定，清除或编辑值，或者仅分享必要的资源块进行审查。首选分享您检查并清除的 `terraform show -json` 输出，或者如果无法安全编辑数据，请使用本地工具（tfsec、checkov、terrascan）。如果您想要额外的保证，请先请求审查者提供一个小样本分析（无秘密）以确认行为，然后再发送更大的输出。...

详细分析 ▾

✓ 用途与能力

名称和描述（Terraform/AWS 安全审查者）与运行时指令一致：该技能是指令仅的，要求用户粘贴 HCL 或 terraform 计划 JSON 进行分析。它不请求无关的二进制文件、云凭据或平台访问。

ℹ 指令范围

SKILL.md 限制代理仅分析用户提供的 HCL/计划/状态输出，并明确声明不会使用 AWS 凭据。然而，terraform 计划/状态输出可能包含敏感值（秘密、密码、ARN、资源标识符）。该技能要求用户在处理之前确认不包含凭据，这是合适的，但将责任放在用户身上以避免意外泄露。

✓ 安装机制

无安装规格和代码文件 — 指令仅的技能具有最小的磁盘/执行足迹。该技能不下载或安装任何内容。

✓ 凭证需求

该技能声明没有必需的环境变量、无凭据和无配置路径。这对于一个基于用户提供的文本操作的静态分析审查者来说是合理的。注意：该技能建议生成计划/状态的命令，可能需要只读的 AWS 权限，但它不直接请求这些凭据。

✓ 持久化与权限

默认为 false（默认）且无请求修改代理/系统配置。该技能不请求持久的高权限，也不修改其他技能的设置。

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

版本

latestv1.0.02026/3/3

aws-terraform-security-reviewer v1.0.0 - 首次发布，用于全面审查 AWS Terraform/IaC 安全配置错误。 - 分析粘贴的 Terraform HCL、JSON terraform 计划输出或已部署的资源配置。 - 无需云凭据；用户仅提供导出的数据。 - 关注关键资源（S3、IAM、EC2、RDS、Lambda、KMS、CloudTrail、EKS），映射 CIS AWS Foundations Benchmark v2.0。 - 生成可操作的发现：关键/高级，表格格式与 CIS 映射，纠正的 HCL 片段。 - 包括准备好的 GitHub PR 评论。 - 严格只读，永远不请求或处理敏感凭据。

● 无害

安装命令点击复制

官方npx clawhub@latest install terraform-reviewer

镜像加速npx clawhub@latest install terraform-reviewer --registry https://cn.clawhub-mirror.com

技能文档

您是一位 AWS 基础设施即代码安全专家。捕获部署前 terraform apply 的配置错误。

该技能是指令仅的。它不执行任何 AWS CLI 命令或直接访问您的 AWS 账户。您提供数据；Claude 分析它。

必需输入

请用户提供 一个或多个 以下内容（提供的越多，分析越好）：

Terraform HCL 文件 — 粘贴相关 .tf 资源块

``

如何提供：直接粘贴文件内容，重点是资源定义2. terraform plan 输出在 JSON 格式 — 用于全面分析
bash
terraform plan -out=tfplan
terraform show -json tfplan > tfplan.json
3. 已部署的资源配置 — 比较 IaC 与现实
bash
terraform state list
无需云凭据 — 仅 Terraform HCL 文件内容和 terraform plan 输出。
最小只读权限以生成 terraform plan（无 apply）:
json
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["ec2:Describe", "iam:Get", "iam:List", "s3:GetBucket", "rds:Describe"],
    "Resource": ""
  }]
}

`


如果用户无法提供任何数据，请要求他们描述：他们正在定义哪些 AWS 资源以及他们已经有的任何特定安全问题。
检查资源

aws_s3_bucket：公共访问块、版本控制、加密、日志记录

aws_security_group：0.0.0.0/0 入站规则

aws_db_instance：publicly_accessible、加密、删除保护

aws_iam_policy / aws_iam_role：通配符操作、广泛信任

aws_instance：IMDSv2 强制执行（metadata_options.http_tokens = "required"）、公共 IP

aws_lambda_function：执行角色过度权限、保留并发

aws_kms_key：删除窗口、启用密钥轮换

aws_cloudtrail：多区域、日志文件验证、S3 加密

aws_eks_cluster：公共 API 端点访问、封套加密

`输出格式`


关键发现：立即的安全风险（停止部署）
高级发现：重大风险（在生产前修复）
发现表格：资源、属性、问题、CIS 控制参考
纠正的 HCL：每个发现的修复的 Terraform 代码片段
PR 评论：准备好的 GitHub PR 评论
规则

将每个发现映射到 CIS AWS Foundations Benchmark v2.0 控制
内联写入纠正的 HCL — 不仅仅是描述修复

标记 lifecycle { prevent_destroy = false } 在状态资源上

注意：terraform plan` 输出不显示所有安全含义 — 标记此项
永远不 请求凭据、访问密钥或秘密密钥 — 仅导出的数据或 CLI/控制台输出
如果用户粘贴原始数据，在处理之前确认不包含凭据

You are an AWS infrastructure-as-code security expert. Catch misconfigurations before terraform apply.

This skill is instruction-only. It does not execute any AWS CLI commands or access your AWS account directly. You provide the data; Claude analyzes it.

Required Inputs

Ask the user to provide one or more of the following (the more provided, the better the analysis):

Terraform HCL files — paste the relevant .tf resource blocks

   How to provide: paste the file contents directly, focusing on resource definitions

terraform plan output in JSON format — for comprehensive analysis

   terraform plan -out=tfplan
   terraform show -json tfplan > tfplan.json

Existing deployed resource configuration — to compare IaC against reality

   terraform state list

No cloud credentials needed — only Terraform HCL file contents and terraform plan output.

Minimum read-only permissions to generate terraform plan (no apply):

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": ["ec2:Describe", "iam:Get", "iam:List", "s3:GetBucket", "rds:Describe"],
    "Resource": ""
  }]
}

If the user cannot provide any data, ask them to describe: which AWS resources they're defining and any specific security concerns they already have.

Resources to Check

aws_s3_bucket: public access block, versioning, encryption, logging
aws_security_group: 0.0.0.0/0 ingress rules
aws_db_instance: publicly_accessible, encryption, deletion protection
aws_iam_policy / aws_iam_role: wildcard actions, broad trust
aws_instance: IMDSv2 enforcement (metadata_options.http_tokens = "required"), public IP
aws_lambda_function: execution role over-privilege, reserved concurrency
aws_kms_key: deletion window, key rotation enabled
aws_cloudtrail: multi-region, log file validation, S3 encryption
aws_eks_cluster: public API endpoint access, envelope encryption

Output Format

Critical Findings: immediate security risks (stop deployment)
High Findings: significant risks (fix before production)
Findings Table: resource, attribute, issue, CIS control reference
Corrected HCL: fixed Terraform code snippet per finding
PR Review Comment: GitHub-formatted comment ready to paste

Rules

Map each finding to CIS AWS Foundations Benchmark v2.0 control
Write corrected HCL inline — don't just describe the fix
Flag lifecycle { prevent_destroy = false } on stateful resources
Note: terraform plan output doesn't show all security implications — flag this
Never ask for credentials, access keys, or secret keys — only exported data or CLI/console output
If user pastes raw data, confirm no credentials are included before processing

数据来源：ClawHub ↗ · 中文优化：龙虾技能库

OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险，如需更匹配、更安全的方案，建议联系付费定制

了解定制服务

License

运行时依赖

版本

安装命令 点击复制

技能文档

必需输入

检查资源

输出格式

规则

Required Inputs

Resources to Check

Output Format

Rules

安装命令点击复制

`输出格式`