¿Qué es AWS CloudFormation Guard? - AWS CloudFormation Guard
¿Es la primera vez que utiliza Guard?Características de GuardUso de Guard with Hooks CloudFormation Acceder a GuardPrácticas recomendadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es AWS CloudFormation Guard?

AWS CloudFormation Guard es una herramienta de evaluación de código abierto y de uso general. policy-as-code La interfaz de línea de comandos (CLI) de Guard proporciona un simple-to-use lenguaje declarativo específico del dominio (DSL) que puede utilizar para expresar la política como código. Además, puede usar comandos CLI para validar datos JSON o YAML jerárquicos estructurados según esas reglas. Guard también proporciona un marco de pruebas unitarias integrado para comprobar que las reglas funcionan según lo previsto.

Guard no valida la sintaxis válida ni los valores de propiedad permitidos de las CloudFormation plantillas. Puede utilizar la herramienta cfn-lint para realizar una inspección exhaustiva de la estructura de la plantilla.

Guard no proporciona controles desde el lado del servidor. Puedes usar los CloudFormation Hooks para realizar la validación y el cumplimiento en el servidor, donde puedes bloquear o advertir una operación.

Para obtener información detallada sobre AWS CloudFormation Guard el desarrollo, consulta el repositorio de Guard GitHub .

¿Es la primera vez que utiliza Guard?

Si es la primera vez que utilizas Guard, te recomendamos que comiences leyendo las siguientes secciones:

  • Configuración de Guard— En esta sección se describe cómo instalar Guard. Con Guard, puede escribir reglas de políticas con el DSL de Guard y validar sus datos estructurados con formato JSON o YAML según esas reglas.

  • Reglas de Writing Guard— En esta sección se proporcionan tutoriales detallados para escribir reglas de políticas.

  • Reglas de Testing Guard— En esta sección se proporciona un tutorial detallado para probar las reglas y comprobar que funcionan según lo previsto y validar los datos estructurados con formato JSON o YAML con arreglo a las reglas.

  • Validar los datos de entrada según las reglas de Guard— En esta sección se proporciona un tutorial detallado para validar los datos estructurados con formato JSON o YAML con arreglo a las reglas.

  • Referencia CLI de Guard— Esta sección describe los comandos que están disponibles en la CLI de Guard.

Características de Guard

Con Guard, puedes escribir reglas de políticas para validar cualquier dato estructurado con formato JSON o YAML, incluidas, entre otras, las plantillas. CloudFormation Guard admite todo el espectro de end-to-end evaluación de las verificaciones de políticas. Las reglas son útiles en los siguientes ámbitos empresariales:

  • Gestión y cumplimiento preventivos (pruebas con turnos de izquierda): valide la infraestructura como código (IaC) o las composiciones de la infraestructura y los servicios con arreglo a las normas políticas que representan las mejores prácticas organizativas en materia de seguridad y cumplimiento. Por ejemplo, puede validar CloudFormation plantillas, conjuntos de CloudFormation cambios, archivos de configuración de Terraform basados en JSON o configuraciones de Kubernetes.

  • Control y conformidad de los Detectives: valide la conformidad de los recursos de la base de datos de gestión de la configuración (CMDB), como los elementos de configuración AWS Config basados (CIs). Por ejemplo, los desarrolladores pueden utilizar Guard Policy Against AWS Config CIs para supervisar de forma continua el estado de AWS los recursos desplegados AWS y no utilizados, detectar las infracciones de las políticas e iniciar las correcciones.

  • Seguridad en el despliegue: asegúrese de que los cambios sean seguros antes del despliegue. Por ejemplo, valide los conjuntos de CloudFormation cambios según las reglas de políticas para evitar cambios que provoquen la sustitución de recursos, como cambiar el nombre de una tabla de Amazon DynamoDB.

Uso de Guard with Hooks CloudFormation

Puedes usar CloudFormation Guard para crear un Hook in CloudFormation Hooks. CloudFormation Hooks te permite hacer cumplir tus reglas de Guard de forma proactiva antes de CloudFormation crear, actualizar o eliminar operaciones y API de control de nube de AWS crear o actualizar operaciones. Hooks garantiza que las configuraciones de tus recursos cumplan con las mejores prácticas de seguridad, operativas y de optimización de costes de tu organización.

Para obtener más información sobre cómo usar Guard para crear CloudFormation Guard Hooks, consulte las reglas de Write Guard para evaluar los recursos de la Guía del usuario de Guard CloudFormation Hooks in the Hooks.

Acceder a Guard

Para acceder al DSL y a los comandos de Guard, debe instalar Guard CLI. Para obtener información sobre la instalación de Guard CLI, consulteConfiguración de Guard.

Prácticas recomendadas

Escriba reglas sencillas y utilice reglas con nombre para hacer referencia a ellas en otras reglas. Las reglas complejas pueden ser difíciles de mantener y probar.