Esta es la guía para AWS CDK desarrolladores de la versión 2. La CDK versión anterior entró en mantenimiento el 1 de junio de 2022 y finalizó el soporte el 1 de junio de 2023.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Validación de políticas de AWS CDK en el momento de la síntesis
Temas
Validación de políticas en el momento de la síntesis
Si usted o su organización utilizan alguna herramienta de validación de políticas, como AWS CloudFormation Guard u OPA
La validación realizada por el AWS CDK en el momento de la síntesis valida los controles en un momento del ciclo de vida de la implementación, pero no puede afectar a las acciones que se producen fuera de la síntesis. Entre los ejemplos se incluyen las acciones que se toman directamente en la consola o mediante las API de servicio. No son resistentes a la alteración de las plantillas de AWS CloudFormation después de la síntesis. Algún otro mecanismo para validar el mismo conjunto de reglas con más autoridad debería configurarse de forma independiente, como los AWS CloudFormationenlaces o AWS Config. Sin embargo, la capacidad del AWS CDK de evaluar el conjunto de reglas durante el desarrollo sigue siendo útil, ya que mejorará la velocidad de detección y la productividad de los desarrolladores.
El objetivo de la validación de las políticas de AWS CDK es minimizar la cantidad de configuración necesaria durante el desarrollo y hacerlo lo más fácil posible.
nota
Esta característica se considera experimental y tanto la API del complemento como el formato del informe de validación están sujetos a cambios en el futuro.
Para desarrolladores de aplicaciones
Para usar uno o más complementos de validación en su aplicación, use la propiedad policyValidationBeta1 de Stage:
import { CfnGuardValidator } from '@cdklabs/cdk-validator-cfnguard'; const app = new App({ policyValidationBeta1: [ new CfnGuardValidator() ], }); // only apply to a particular stage const prodStage = new Stage(app, 'ProdStage', { policyValidationBeta1: [...], });
Inmediatamente después de la síntesis, se invocarán todos los complementos registrados de esta manera para validar todas las plantillas generadas en el ámbito que haya definido. En concreto, si registra las plantillas en el objeto App, todas las plantillas estarán sujetas a validación.
aviso
Además de modificar el ensamblaje de la nube, los complementos pueden hacer cualquier cosa que pueda hacer su aplicación AWS CDK. Pueden leer datos del sistema de archivos, acceder a la red, etc. Como consumidor de un complemento, es su responsabilidad comprobar que su uso es seguro.
Complemento de AWS CloudFormation Guard
El uso del complemento CFNGuardValidatorCfnGuardValidator viene con un conjunto selecto de controles AWS Control Tower proactivos integrados. El conjunto de reglas actual se encuentra en la documentación del proyecto
Para los clientes AWS Control Tower, estos mismos controles proactivos se pueden implementar en toda la organización. Cuando habilita controles proactivos AWS Control Tower en su entorno AWS Control Tower, los controles pueden detener la implementación de los recursos no conformes que se implementen a través de AWS CloudFormation. Para obtener más información sobre los controles proactivos administrados y su funcionamiento, consulte la documentación de AWS Control Tower.
Es mejor utilizar estos controles de AWS CDK agrupados y los controles AWS Control Tower proactivos administrados juntos. En este escenario, puede configurar este complemento de validación con los mismos controles proactivos que están activos en su entorno de nube AWS Control Tower. De este modo, podrá confiar rápidamente en que su aplicación de AWS CDK superará los controles AWS Control Tower ejecutando cdk synth de manera local.
Informe de validación
Al sintetizar la aplicación de AWS CDK, se llamarán los complementos de validación y se imprimirán los resultados. A continuación, se muestra un ejemplo de informe.
Validation Report (CfnGuardValidator) ------------------------------------- (Summary) ╔═══════════╤════════════════════════╗ ║ Status │ failure ║ ╟───────────┼────────────────────────╢ ║ Plugin │ CfnGuardValidator ║ ╚═══════════╧════════════════════════╝ (Violations) Ensure S3 Buckets are encrypted with a KMS CMK (1 occurrences) Severity: medium Occurrences: - Construct Path: MyStack/MyCustomL3Construct/Bucket - Stack Template Path: ./cdk.out/MyStack.template.json - Creation Stack: └── MyStack (MyStack) │ Library: aws-cdk-lib.Stack │ Library Version: 2.50.0 │ Location: Object.<anonymous> (/home/johndoe/tmp/cdk-tmp-app/src/main.ts:25:20) └── MyCustomL3Construct (MyStack/MyCustomL3Construct) │ Library: N/A - (Local Construct) │ Library Version: N/A │ Location: new MyStack (/home/johndoe/tmp/cdk-tmp-app/src/main.ts:15:20) └── Bucket (MyStack/MyCustomL3Construct/Bucket) │ Library: aws-cdk-lib/aws-s3.Bucket │ Library Version: 2.50.0 │ Location: new MyCustomL3Construct (/home/johndoe/tmp/cdk-tmp-app/src/main.ts:9:20) - Resource Name: amzn-s3-demo-bucket - Locations: > BucketEncryption/ServerSideEncryptionConfiguration/0/ServerSideEncryptionByDefault/SSEAlgorithm Recommendation: Missing value for key `SSEAlgorithm` - must specify `aws:kms` How to fix: > Add to construct properties for `cdk-app/MyStack/Bucket` `encryption: BucketEncryption.KMS` Validation failed. See above reports for details
De forma predeterminada, el informe se imprimirá en un formato legible para las personas. Si desea un informe en formato JSON, habilite @aws-cdk/core:validationReportJson mediante la CLI o pasándolo directamente a la aplicación:
const app = new App({ context: { '@aws-cdk/core:validationReportJson': true }, });
Como alternativa, puede establecer este par clave-valor del contexto mediante los archivos cdk.json o cdk.context.json del directorio de su proyecto (consulteLos valores de contexto y el AWS CDK).
Si elige el formato JSON, el AWS CDK imprimirá el informe de validación de políticas en un archivo llamado policy-validation-report.json en el directorio de ensamblaje de la nube. En el formato predeterminado, legible por humanos, el informe se imprimirá en la salida estándar.
Para los autores de complementos
Complementos
El marco principal del AWS CDK es responsable de registrar e invocar los complementos y, a continuación, mostrar el informe de validación formateado. La responsabilidad del complemento es actuar como capa de traducción entre el marco del AWS CDK y la herramienta de validación de políticas. Se puede crear un complemento en cualquier idioma compatible con AWS CDK. Si va a crear un complemento que se pueda utilizar en varios idiomas, le recomendamos que lo cree en TypeScript así puede usar JSII para publicarlo en cada idioma del AWS CDK.
Creación de complementos
La interfaz IPolicyValidationPluginBeta1 define el protocolo de comunicación entre el módulo principal del AWS CDK y la herramienta de políticas. Para crear un nuevo complemento, debe escribir una clase que implemente esta interfaz. Hay dos cosas que debe implementar: el nombre del complemento (anulando la propiedad name) y el método validate().
El marco llamará a validate() y pasará un objeto IValidationContextBeta1. templatePaths da la ubicación de las plantillas a validar. El complemento debería devolver una instancia de ValidationPluginReportBeta1. Este objeto representa el informe que recibirá el usuario al final de la síntesis.
validate(context: IPolicyValidationContextBeta1): PolicyValidationReportBeta1 { // First read the templates using context.templatePaths... // ...then perform the validation, and then compose and return the report. // Using hard-coded values here for better clarity: return { success: false, violations: [{ ruleName: 'CKV_AWS_117', description: 'Ensure that AWS Lambda function is configured inside a VPC', fix: 'https://docs.bridgecrew.io/docs/ensure-that-aws-lambda-function-is-configured-inside-a-vpc-1', violatingResources: [{ resourceName: 'MyFunction3BAA72D1', templatePath: '/home/johndoe/myapp/cdk.out/MyService.template.json', locations: 'Properties/VpcConfig', }], }], }; }
Tenga en cuenta que los complementos no pueden modificar nada en el ensamblaje de la nube. Cualquier intento de hacerlo provocará un fallo en la síntesis.
Si su complemento depende de una herramienta externa, tenga en cuenta que es posible que algunos desarrolladores aún no tengan esa herramienta instalada en sus estaciones de trabajo. Para minimizar la fricción, le recomendamos que proporcione algún script de instalación junto con su paquete de complementos, para automatizar todo el proceso. Mejor aún, ejecute ese script como parte de la instalación de su paquete. Con npm, por ejemplo, puede agregarlo al scriptpostinstall del archivo package.json.
Tratamiento de excepciones
Si su organización tiene un mecanismo para administrar las exenciones, puede implementarlo como parte del complemento de validación.
Un ejemplo de escenario para ilustrar un posible mecanismo de exención:
-
Una organización tiene una norma según la cual no se permiten los depósitos públicos de Amazon S3, excepto en determinadas situaciones.
-
Un desarrollador está creando un bucket de Amazon S3 que se encuadra en uno de esos escenarios y solicita una exención (por ejemplo, crear un ticket).
-
Las herramientas de seguridad saben cómo leer el sistema interno que registra las exenciones
En este escenario, el desarrollador solicitaría una excepción en el sistema interno y luego necesitaría alguna forma de “registrar” esa excepción. Si agregamos el ejemplo del complemento guard, podría crear un complemento que administre las exenciones filtrando las infracciones que cuenten con una exención equivalente en un sistema interno de venta de entradas.
Consulte los complementos existentes para ver ejemplos de implementaciones.
