Que sont les AWS CloudFormation Hooks ?

AWS CloudFormation Hooks est une fonctionnalité qui permet de garantir que vos CloudFormation ressources, vos piles et vos ensembles de modifications sont conformes aux meilleures pratiques de votre organisation en matière de sécurité, d'exploitation et d'optimisation des coûts. CloudFormation Les Hooks peuvent également garantir ce même niveau de conformité pour vos API de commande du Cloud AWS ressources. Avec CloudFormation Hooks, vous pouvez fournir du code qui inspecte de manière proactive la configuration de vos AWS ressources avant le provisionnement. Si des ressources non conformes sont détectées, AWS CloudFormation l'opération échoue et empêche le provisionnement des ressources ou émet un avertissement et permet à l'opération de provisionnement de se poursuivre.

Vous pouvez utiliser les Hooks pour appliquer diverses exigences et directives. Par exemple, un Hook lié à la sécurité peut vérifier que les groupes de sécurité disposent de règles de trafic entrant et sortant appropriées pour votre Amazon VPC. Un Hook lié aux coûts peut limiter les environnements de développement à n'utiliser que des types d' EC2instances Amazon plus petits. Un Hook conçu pour la disponibilité des données peut imposer des sauvegardes automatiques pour Amazon RDS.

Options d'implémentation de Hook

CloudFormation propose plusieurs options pour implémenter des Hooks, ce qui vous permet de choisir l'approche la mieux adaptée à vos besoins.

AWS Control Tower contrôles proactifs

Le catalogue AWS Control Tower de contrôles propose des contrôles proactifs standardisés que vous pouvez implémenter sous forme de Hooks. Cette approche permet de gagner du temps de configuration et de valider les configurations des ressources par rapport aux AWS meilleures pratiques au sein de votre organisation sans écrire de code.

Règles de garde

AWS CloudFormation Guard est un outil policy-as-code d'évaluation qui fournit un langage spécifique au domaine pour écrire une logique d'évaluation personnalisée pour Hooks. Cette approche vous permet de définir des contrôles de conformité à l'aide de la syntaxe déclarative de Guard, ce qui facilite la création et la maintenance de votre logique d'évaluation sans connaissances approfondies en programmation.

Fonctions Lambda

Vous pouvez également implémenter des Hooks à l'aide des fonctions Lambda, ce qui vous permet de tirer parti de toute la puissance et de la flexibilité de Lambda pour votre logique d'évaluation. Vous pouvez utiliser n'importe quel langage d'exécution compatible avec Lambda et intégrer d'autres AWS services selon vos besoins.

Crochets personnalisés

Pour les cas d'utilisation avancés, vous pouvez écrire votre propre logique d'évaluation à l'aide des langages de programmation pris en charge par la CloudFormation CLI. Cette approche offre une flexibilité maximale pour la mise en œuvre des exigences de gouvernance spécifiques à l'organisation. En tant que type d'extension pris en charge dans le AWS CloudFormation registre, vos Hooks personnalisés peuvent être distribués et activés à la fois publiquement et en privé.