CDK AWS v2 개발자 안내서입니다. 이전 CDK v1은 2022년 6월 1일에 유지 관리에 들어갔으며 2023년 6월 1일에 지원이 종료되었습니다.
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 클라우드 개발 키트(AWS CDK) 보안
AWS 공동 책임 모델
Amazon Web Services(AWS)에서 가장 우선순위가 높은 것이 클라우드 보안입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다. 보안은 AWS 와 사용자 간의 공동 책임입니다. 공동 책임 모델
클라우드 보안 - AWS 는 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호하고 안전하게 사용할 수 있는 서비스를 AWS 제공할 책임이 있습니다. 당사의 보안 책임은에서 최우선 순위이며 AWS, 타사 감사자는 AWS 규정 준수 프로그램의
클라우드의 보안 - 사용자의 책임은 사용 중인 AWS 서비스와 데이터의 민감도, 조직의 요구 사항 및 관련 법률 및 규정을 비롯한 기타 요인에 따라 결정됩니다.
AWS CDK는 지원하는 특정 Amazon Web Services(AWS) 서비스를 통해 공동 책임 모델을
AWS CDK의 보안
원하는 인프라의 형태를 설명하는 범용 프로그래밍 언어로 작성된 프로그램이 주어지면 AWS CDK는 해당 인프라를 생성할 배포 가능한 아티팩트 세트를 생성합니다.
기본 생성 인프라의 보안
(AWS의 책임) Construct Library의 AWS 구문은 권한이 없는 타사의 데이터 공개, 데이터 조작, 권한 상승 또는 기타 변조를 허용하지 않는 인프라를 생성하도록 설계되었습니다(공동 책임 모델에
이러한 기대치를 위반하는 경우 전사적 취약성 보고 메커니즘을 통해
신뢰할 수 있는 환경에서 실행
(사용자의 책임) CDK는 신뢰할 수 있는 입력이 있는 신뢰할 수 있는 환경에서 실행되도록 설계되었습니다. 사용자 코드, 메모리에 로드된 라이브러리(NPM 또는 pip와 같은 패키지 관리자를 통해 인터넷에서 다운로드한 라이브러리 포함) 또는 CDK 구문 라이브러리에 대한 입력이 신뢰할 수 있는지 확인하는 것은 사용자의 책임입니다. CDK는 악의적인 의도로부터 사용자를 보호할 수 없습니다.
신뢰할 수 없는 작성자가 CDK 애플리케이션을 구동하는 코드의 일부를 작성하거나 신뢰할 수 없는 당사자가 검증 없이 CDK 구문에 대한 입력을 제어하는 환경에서는 CDK를 사용해서는 안 됩니다.
규정 준수 확인은 외부 프로세스입니다.
(사용자 책임) 범용 프로그래밍 언어에서 제공하는 무제한 표현식으로 인해 사용자 지정 CDK 구문은 보안 정책 준수를 제한 없이 보장할 수 없습니다. CDK에는 왼쪽 규정 준수 검사를 전환하는 메커니즘과 개발자가 최소한의 노력으로 규정 준수 요구 사항을 충족하는 데 도움이 되는 메커니즘이 있지만, 충분히 결정된 개발자는 항상 특별히 설계된 구문의 출력을 우회할 수 있습니다.
규정 준수 보장이 필요한 경우 CloudFormation 후크와 같은 CDK 애플리케이션 외부의 프로세스 또는 CI 파이프라인의 별도의 CloudFormation 템플릿 검증 단계를 통해 이를 적용합니다.