Was ist AWS CloudFormation Guard? - AWS CloudFormation Guard
Benutzen Sie Guard zum ersten Mal?Guard-FunktionenGuard mit Hooks verwenden CloudFormation Zugriff auf GuardBest Practices

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist AWS CloudFormation Guard?

AWS CloudFormation Guard ist ein Open-Source-Evaluierungstool für allgemeine Zwecke. policy-as-code Die Guard-Befehlszeilenschnittstelle (CLI) bietet eine simple-to-use deklarative domänenspezifische Sprache (DSL), mit der Sie Richtlinien als Code ausdrücken können. Darüber hinaus können Sie CLI-Befehle verwenden, um strukturierte hierarchische JSON- oder YAML-Daten anhand dieser Regeln zu validieren. Guard bietet auch ein integriertes Unit-Test-Framework, mit dem Sie überprüfen können, ob Ihre Regeln wie vorgesehen funktionieren.

Guard überprüft CloudFormation Vorlagen nicht auf gültige Syntax oder zulässige Eigenschaftswerte. Sie können das Tool cfn-lint verwenden, um eine gründliche Überprüfung der Vorlagenstruktur durchzuführen.

Guard bietet keine serverseitige Durchsetzung. Sie können die CloudFormation Hooks verwenden, um serverseitige Überprüfungen und Erzwingungen durchzuführen, wobei Sie einen Vorgang blockieren oder davor warnen können.

Detaillierte Informationen zur AWS CloudFormation Guard Entwicklung finden Sie im GitHub Guard-Repository.

Benutzen Sie Guard zum ersten Mal?

Wenn Sie Guard zum ersten Mal verwenden, empfehlen wir Ihnen, zunächst die folgenden Abschnitte zu lesen:

  • Guard einrichten— In diesem Abschnitt wird beschrieben, wie Sie Guard installieren. Mit Guard können Sie mithilfe von Guard DSL Richtlinienregeln schreiben und Ihre strukturierten Daten im JSON- oder YAML-Format anhand dieser Regeln validieren.

  • Writing Guard-Regeln— Dieser Abschnitt enthält detaillierte Anleitungen zum Schreiben von Richtlinienregeln.

  • Testing Guard-Regeln— Dieser Abschnitt enthält eine detaillierte Anleitung zum Testen Ihrer Regeln, um sicherzustellen, dass sie wie vorgesehen funktionieren, und zum Überprüfen Ihrer strukturierten Daten im JSON- oder YAML-Format anhand Ihrer Regeln.

  • Validierung der Eingabedaten anhand der Guard-Regeln— Dieser Abschnitt enthält eine detaillierte Anleitung zur Validierung Ihrer strukturierten Daten im JSON- oder YAML-Format anhand Ihrer Regeln.

  • Guard CLI-Referenz— In diesem Abschnitt werden die Befehle beschrieben, die in der Guard-CLI verfügbar sind.

Guard-Funktionen

Mit Guard können Sie Richtlinienregeln schreiben, um alle strukturierten Daten im JSON- oder YAML-Format anhand von Vorlagen zu validieren. CloudFormation Guard unterstützt das gesamte Spektrum der end-to-end Auswertung von Policy-Checks. Regeln sind in den folgenden Geschäftsbereichen nützlich:

  • Präventive Steuerung und Einhaltung von Vorschriften (Shift-Left-Tests) — Überprüfen Sie die Infrastruktur als Code (IaC) oder die Zusammensetzung von Infrastruktur und Diensten anhand von Richtlinienregeln, die Ihre organisatorischen Best Practices für Sicherheit und Compliance darstellen. Sie können beispielsweise CloudFormation Vorlagen, CloudFormation Änderungssätze, JSON-basierte Terraform-Konfigurationsdateien oder Kubernetes-Konfigurationen validieren.

  • Detective Governance und Compliance — Überprüfen Sie die Konformität von Ressourcen der Configuration Management Database (CMDB), z. B. von AWS Config basierten Konfigurationselementen (CIs). Entwickler können beispielsweise Guard-Richtlinien verwenden, AWS Config CIs um den Status bereitgestellter und nicht vorhandener AWS Ressourcen kontinuierlich zu überwachen, Verstöße gegen Richtlinien zu erkennen AWS und mit der Problembehebung zu beginnen.

  • Sicherheit bei der Bereitstellung — Stellen Sie vor der Implementierung sicher, dass Änderungen sicher sind. Überprüfen Sie beispielsweise CloudFormation Änderungssätze anhand von Richtlinienregeln, um Änderungen zu verhindern, die zu einem Ersatz von Ressourcen führen, wie z. B. das Umbenennen einer Amazon DynamoDB-Tabelle.

Guard mit Hooks verwenden CloudFormation

Sie können CloudFormation Guard verwenden, um einen Hook in CloudFormation Hooks zu erstellen. CloudFormation Hooks ermöglicht es Ihnen, Ihre Guard-Regeln proaktiv durchzusetzen, bevor CloudFormation Sie Operationen erstellen, aktualisieren oder löschen und Operationen AWS -Cloud-Control- API erstellen oder aktualisieren. Hooks stellen sicher, dass Ihre Ressourcenkonfigurationen den Best Practices Ihrer Organisation in Bezug auf Sicherheit, Betrieb und Kostenoptimierung entsprechen.

Einzelheiten zur Verwendung von Guard zur Erstellung von CloudFormation Guard Hooks finden Sie unter Write Guard-Regeln zur Bewertung von Ressourcen für Guard Hooks im CloudFormation Hooks User Guide.

Zugriff auf Guard

Um auf Guard DSL und Befehle zugreifen zu können, müssen Sie die Guard CLI installieren. Informationen zur Installation der Guard-CLI finden Sie unterGuard einrichten.

Best Practices

Schreiben Sie einfache Regeln und verwenden Sie benannte Regeln, um sie in anderen Regeln zu referenzieren. Es kann schwierig sein, komplexe Regeln zu verwalten und zu testen.