Che cos'è AWS CloudFormation Guard? - AWS CloudFormation Guard
Sei un utente di Guard per la prima volta?Funzionalità di GuardUtilizzo di Guard with Hooks CloudFormation Accesso a GuardBest practice

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Che cos'è AWS CloudFormation Guard?

AWS CloudFormation Guard è uno strumento di valutazione open source, generico. policy-as-code L'interfaccia a riga di comando (CLI) Guard fornisce un simple-to-use linguaggio dichiarativo specifico del dominio (DSL) che è possibile utilizzare per esprimere le politiche sotto forma di codice. Inoltre, puoi utilizzare i comandi CLI per convalidare dati JSON o YAML gerarchici strutturati rispetto a tali regole. Guard fornisce anche un framework di unit testing integrato per verificare che le regole funzionino come previsto.

Guard non convalida i CloudFormation modelli per una sintassi valida o per i valori di proprietà consentiti. È possibile utilizzare lo strumento cfn-lint per eseguire un'ispezione approfondita della struttura del modello.

Guard non fornisce l'applicazione sul lato server. È possibile utilizzare gli CloudFormation Hooks per eseguire la convalida e l'applicazione sul lato server, dove è possibile bloccare o avvisare un'operazione.

Per informazioni dettagliate AWS CloudFormation Guard sullo sviluppo, consulta il repository Guard. GitHub

Sei un utente di Guard per la prima volta?

Se utilizzi Guard per la prima volta, ti consigliamo di iniziare leggendo le seguenti sezioni:

  • Configurazione di Guard— Questa sezione descrive come installare Guard. Con Guard, puoi scrivere regole di policy utilizzando Guard DSL e convalidare i tuoi dati strutturati in formato JSON o YAML rispetto a tali regole.

  • regole di Writing Guard— Questa sezione fornisce procedure dettagliate per la stesura delle regole politiche.

  • Regole di Testing Guard— Questa sezione fornisce una procedura dettagliata per testare le regole per verificare che funzionino come previsto e per convalidare i dati strutturati in formato JSON o YAML rispetto alle regole.

  • Convalida dei dati di input rispetto alle regole di Guard— Questa sezione fornisce una procedura dettagliata per la convalida dei dati strutturati in formato JSON o YAML rispetto alle regole stabilite.

  • Riferimento alla CLI di Guard— Questa sezione descrive i comandi disponibili nella CLI Guard.

Funzionalità di Guard

Usando Guard, puoi scrivere regole di policy per convalidare qualsiasi dato strutturato in formato JSON o YAML, inclusi ma non limitati ai modelli. CloudFormation Guard supporta l'intero spettro di valutazione dei controlli delle politiche. end-to-end Le regole sono utili nei seguenti settori aziendali:

  • Governance e conformità preventive (shift-left testing): convalida le composizioni dell'infrastruttura come codice (IaC) o delle composizioni di infrastrutture e servizi in base alle regole politiche che rappresentano le migliori pratiche organizzative per la sicurezza e la conformità. Ad esempio, puoi convalidare CloudFormation modelli, set di CloudFormation modifiche, file di configurazione Terraform basati su JSON o configurazioni Kubernetes.

  • Detective governance e conformità: convalida la conformità delle risorse del Configuration Management Database (CMDB), come gli elementi di configurazione AWS Config basati (CIs). Ad esempio, gli sviluppatori possono utilizzare le policy di Guard AWS Config CIs per monitorare continuamente lo stato delle AWS risorse distribuite AWS e non, rilevare le violazioni delle policy e avviare la correzione.

  • Sicurezza dell'implementazione: assicurati che le modifiche siano sicure prima della distribuzione. Ad esempio, convalida i set di CloudFormation modifiche in base alle regole delle policy per evitare modifiche che comportino la sostituzione di risorse, come la ridenominazione di una tabella Amazon DynamoDB.

Utilizzo di Guard with Hooks CloudFormation

Puoi usare CloudFormation Guard per creare un Hook in CloudFormation Hooks. CloudFormation Hooks ti consente di applicare in modo proattivo le regole di Guard prima di CloudFormation creare, aggiornare o eliminare operazioni e AWS Cloud Control API creare o aggiornare operazioni. Hooks garantisce che le configurazioni delle risorse siano conformi alle migliori pratiche di sicurezza, operative e di ottimizzazione dei costi dell'organizzazione.

Per i dettagli su come utilizzare Guard per creare Guard Hooks, consulta le regole di Write CloudFormation Guard per valutare le risorse per Guard Hooks nella Guida per l'utente di Hooks.CloudFormation

Accesso a Guard

Per accedere a Guard DSL e ai comandi, è necessario installare la GUARD CLI. Per informazioni sull'installazione della CLI Guard, consulta. Configurazione di Guard

Best practice

Scrivi regole semplici e usa regole denominate per farvi riferimento in altre regole. Le regole complesse possono essere difficili da mantenere e testare.