¿Qué son los AWS CloudFormation ganchos?

AWS CloudFormation Hooks es una función que ayuda a garantizar que sus CloudFormation recursos, pilas y conjuntos de cambios cumplan con las mejores prácticas de seguridad, operativas y de optimización de costes de su organización. CloudFormation Hooks también puede garantizar este mismo nivel de cumplimiento para tus API de control de nube de AWS recursos. Con CloudFormation Hooks, puedes proporcionar código que inspeccione de forma proactiva la configuración de tus AWS recursos antes del aprovisionamiento. Si se encuentran recursos que no cumplen con las normas, se produce un error en la operación y se impide el aprovisionamiento de los recursos, o AWS CloudFormation bien se emite una advertencia y se permite que la operación de aprovisionamiento continúe.

Puedes usar Hooks para hacer cumplir una variedad de requisitos y pautas. Por ejemplo, un Hook relacionado con la seguridad puede comprobar que los grupos de seguridad tienen las reglas de tráfico entrante y saliente adecuadas para su Amazon VPC. Un Hook relacionado con los costos puede restringir los entornos de desarrollo para que usen solo tipos de EC2 instancias de Amazon más pequeños. Un Hook diseñado para la disponibilidad de los datos puede imponer copias de seguridad automáticas para Amazon RDS.

Opciones de implementación de Hook

CloudFormation ofrece múltiples opciones para implementar Hooks, lo que le brinda flexibilidad para elegir el enfoque que mejor se adapte a sus necesidades.

AWS Control Tower controles proactivos

El catálogo AWS Control Tower de controles ofrece controles proactivos estandarizados que puede implementar como Hooks. Este enfoque ahorra tiempo de configuración y le ayuda a validar las configuraciones de los recursos comparándolas con las AWS mejores prácticas de su organización sin necesidad de escribir código.

Reglas de protección

AWS CloudFormation Guard es una herramienta policy-as-code de evaluación que proporciona un lenguaje de dominio específico para escribir una lógica de evaluación personalizada para Hooks. Este enfoque te permite definir las comprobaciones de conformidad utilizando la sintaxis declarativa de Guard, lo que facilita la creación y el mantenimiento de tu lógica de evaluación sin necesidad de tener amplios conocimientos de programación.

Funciones de Lambda

También puede implementar Hooks mediante funciones de Lambda, lo que le permitirá aprovechar toda la potencia y flexibilidad de Lambda para su lógica de evaluación. Puede utilizar cualquier lenguaje de ejecución compatible con Lambda e integrarlo con otros AWS servicios según sea necesario.

Ganchos personalizados

Para casos de uso avanzados, puede escribir su propia lógica de evaluación mediante lenguajes de programación compatibles con la CloudFormation CLI. Este enfoque proporciona la máxima flexibilidad para implementar los requisitos de gobierno específicos de la organización. Como tipo de extensión compatible en el AWS CloudFormation registro, tus Hooks personalizados se pueden distribuir y activar tanto de forma pública como privada.