NiteOpsTech/local_terraform_sandbox

# 本地 Terraform 沙箱 用于 NiteOpsTech / NanoMesh 路线图的 IaC 实验室。 ## 目的 本仓库定义了一个小型的 AWS 沙箱，用于安全实验室实验。它旨在优先执行 **plan-first** 并遵循最小权限原则。 ## 安全默认设置 - 使用名为 `niteops-lab` 的 AWS CLI profile。 - 不在 Terraform 文件中存储 AWS 凭证。 - 默认不创建入站 SSH 访问。 - 默认不为 EC2 实例分配公网 IP。 - 忽略 Terraform state 和本地变量文件。 ## 前置条件 配置带有命名 profile 的 AWS CLI： ``` aws configure --profile niteops-lab ``` 验证身份： ``` aws sts get-caller-identity --profile niteops-lab ``` ## 本地验证 ``` terraform fmt terraform init terraform validate ``` ## 仅执行 Plan 从 plan 开始。在刻意设定 IAM policy 以进行资源创建范围限定，并且您已审查成本影响之前，请勿执行 apply。 ``` $env:AWS_PROFILE="niteops-lab" terraform plan ``` 可选的 SSH 访问需要您信任的公网 IP CIDR： ``` terraform plan -var="allowed_ssh_cidr=x.x.x.x/32" ``` ## NanoMesh 角色 本仓库是云沙箱层： ``` Terraform VPC/subnet/security group -> controlled lab host -> telemetry experiments -> detection/SOAR/matrix validation ``` ## 成本护栏 在执行 `terraform apply` 之前，请在 AWS Budgets 中创建一个账单警报，并审查 plan 输出中的所有资源。

标签：AWS, DPI, ECS, Terraform, 安全实验环境, 漏洞利用检测, 网络安全靶场, 运维工具