¿Qué es AWS CloudFormation Guard? - AWS CloudFormation Guard
¿Es la primera vez que utiliza Guard?Características de la protecciónUso de Guard with Hooks CloudFormation Acceder a GuardPrácticas recomendadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es AWS CloudFormation Guard?

AWS CloudFormation Guard es una herramienta de evaluación de código abierto y de uso general. policy-as-code La interfaz de línea de comandos Guard (CLI) proporciona un lenguaje simple-to-use declarativo específico del dominio (DSL) que se puede utilizar para expresar la política en forma de código. Además, puede usar CLI comandos para validar YAML datos JSON o jerárquicos estructurados según esas reglas. Guard también proporciona un marco de pruebas unitarias integrado para comprobar que las reglas funcionan según lo previsto.

Guard no valida la sintaxis válida ni los valores de propiedad permitidos de las CloudFormation plantillas. Puede utilizar la herramienta cfn-lint para realizar una inspección exhaustiva de la estructura de la plantilla.

Guard no proporciona controles desde el lado del servidor. Puedes usar los CloudFormation Hooks para realizar la validación y el cumplimiento en el servidor, donde puedes bloquear o advertir una operación.

Para obtener información detallada sobre AWS CloudFormation Guard el desarrollo, consulta el repositorio de Guard GitHub .

¿Es la primera vez que utiliza Guard?

Si es la primera vez que utilizas Guard, te recomendamos que comiences leyendo las siguientes secciones:

  • Configuración de Guard— En esta sección se describe cómo instalar Guard. Con Guard, puede redactar reglas de políticas con Guard DSL y validar sus datos estructurados JSON (o YAML formateados) según esas reglas.

  • Reglas de Writing Guard— En esta sección se proporcionan tutoriales detallados para redactar reglas políticas.

  • Reglas de Testing Guard— En esta sección se proporciona un tutorial detallado para probar las reglas y comprobar que funcionan según lo previsto y validar los datos estructurados (o YAML formateadosJSON) con arreglo a las reglas.

  • Validar los datos de entrada según las reglas de Guard— Esta sección proporciona un recorrido detallado para validar sus datos estructurados (o YAML formateadosJSON) con arreglo a sus reglas.

  • CLIReferencia de guardia— En esta sección se describen los comandos que están disponibles en el Guard. CLI

Características de la protección

Con Guard, puede escribir reglas de políticas para validar cualquier JSON dato estructurado YAML con formato o con cualquier dato estructurado, incluidas, entre otras, las AWS CloudFormation plantillas. Guard es compatible con todo el espectro de end-to-end evaluación de las verificaciones de políticas. Las reglas son útiles en los siguientes ámbitos empresariales:

  • Gestión y cumplimiento preventivos (pruebas con turnos de izquierda): valide la infraestructura como código (IaC) o las composiciones de la infraestructura y los servicios con arreglo a las normas políticas que representen las mejores prácticas organizativas en materia de seguridad y cumplimiento. Por ejemplo, puede validar CloudFormation plantillas, conjuntos de CloudFormation cambios, archivos de configuración JSON basados en Terraform o configuraciones de Kubernetes.

  • Control y conformidad de los Detectives: valide la conformidad de los recursos de la base de datos de gestión de la configuración (CMDB), como los elementos de configuración AWS Config basados (CIs). Por ejemplo, los desarrolladores pueden usar Guard Policy Against AWS Config CIs para monitorear continuamente el estado de los AWS recursos desplegados AWS y los que no lo son, detectar las infracciones de las políticas e iniciar las correcciones.

  • Seguridad en el despliegue: asegúrese de que los cambios sean seguros antes del despliegue. Por ejemplo, valide los conjuntos de CloudFormation cambios según las reglas de políticas para evitar cambios que provoquen la sustitución de recursos, como cambiar el nombre de una tabla de Amazon DynamoDB.

Uso de Guard with Hooks CloudFormation

Puedes usar CloudFormation Guard para crear un Hook in CloudFormation Hooks. CloudFormation Hooks te permite hacer cumplir tus reglas de Guard de forma proactiva antes de CloudFormation crear, actualizar o eliminar operaciones y AWS Cloud Control API crear o actualizar operaciones. Hooks garantiza que las configuraciones de tus recursos cumplan con las mejores prácticas de seguridad, operativas y de optimización de costes de tu organización.

Para obtener más información sobre cómo usar Guard para crear CloudFormation Guard Hooks, consulte las reglas de Write Guard para evaluar los recursos de la Guía del usuario de Guard AWS CloudFormation Hooks in the Hooks.

Acceder a Guard

Para acceder a la Guardia DSL y a los comandos, debe instalar la GuardiaCLI. Para obtener información sobre la instalación del protectorCLI, consulteConfiguración de Guard.

Prácticas recomendadas

Escriba reglas sencillas y utilice reglas con nombre para hacer referencia a ellas en otras reglas. Las reglas complejas pueden ser difíciles de mantener y probar.