Terraform合规控制模块
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
Compliance.tf 是一个面向 Terraform AWS 基础设施的合规模块注册表。它基于 terraform-aws-modules 提供 drop-in replacement,通过把 module source 改为 compliance.tf 的 registry endpoint,将 SOC 2、PCI DSS、HIPAA、CIS、NIST、FedRAMP、ISO 27001、GDPR 等框架控制内置到模块代码中。其核心思路不是“部署后扫描”,而是在 terraform plan/apply 前让不合规配置无法进入生产。
对工程团队而言,最大卖点是低迁移成本:同样的变量、输出和工作流,通常只需改一行 source,再运行 terraform init。当前覆盖 34 个 AWS 模块,包括 S3、VPC、EKS、RDS、Lambda 等,提供 300+ 控制与 35+/36 个框架。它还支持 Operational Rules,如 lifecycle blocks、标签标准、实例限制和 provisioner 移除。CI/CD 方面,只要能运行 terraform init,即可用于 GitHub Actions、GitLab CI、Atlantis、Terraform Cloud;并兼容 OpenTofu、Terragrunt、Terramate。
免费层永久提供 CIS AWS Foundations Benchmark v6.0、27 个控制、5 名成员和每月 100 次下载,并附带全框架 30 天试用。Full Access 为 1,000 美元/年,包含所有框架、25 名成员、无限下载和邮件支持,可通过 AWS Marketplace 购买。企业版提供 BYOM、自定义框架/控制、SSO/SAML 和优先支持,但需联系销售。
优点是将合规前移到模块层,减少审计发现和后期修复;无需新 CLI、policy agent 或 sidecar;并可通过 AWS Config、Security Hub、Audit Manager 生成审计证据。缺点也很明确:它只覆盖目录内模块和基础设施配置层,不处理 IAM 策略、网络架构、应用安全、运行时漂移、事件响应等问题;非 Terraform 资源和原生 aws_* 资源仍需 Checkov、Trivy、Prowler、Wiz 等补位。它也是付费 SaaS/私有 registry,存在外部依赖。
最适合已经标准化使用 terraform-aws-modules、准备 SOC 2/PCI/HIPAA 等审计的平台、安全和 GRC 团队;不适合多云或大量自研模块且不愿依赖外部 registry 的团队。中国访问情况文本未说明,网络与支付可用性未知;替代或互补方案包括 Checkov、Trivy、Prowler、OPA/Sentinel、AWS Control Tower,以及 Vanta、Drata、Sprinto 等 GRC 平台。
本测评基于公开资料整理,不构成购买建议,请以 compliance.tf 官网实际信息为准。
面向云原生合规,免费层可试用。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。