Apa itu AWS CloudFormation Guard? - AWS CloudFormation Guard
Apakah Anda pengguna Guard pertama kali?Fitur penjagaMenggunakan Guard dengan CloudFormation HooksMengakses GuardPraktik terbaik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu AWS CloudFormation Guard?

AWS CloudFormation Guard adalah alat evaluasi open-source, tujuan umum, dan evaluasi. policy-as-code Antarmuka baris perintah Guard (CLI) menyediakan bahasa khusus domain (DSL) simple-to-use dan deklaratif yang dapat Anda gunakan untuk mengekspresikan kebijakan sebagai kode. Selain itu, Anda dapat menggunakan CLI perintah untuk memvalidasi hierarkis terstruktur JSON atau YAML data terhadap aturan tersebut. Guard juga menyediakan kerangka pengujian unit bawaan untuk memverifikasi bahwa aturan Anda berfungsi sebagaimana dimaksud.

Guard tidak memvalidasi CloudFormation template untuk sintaks yang valid atau nilai properti yang diizinkan. Anda dapat menggunakan alat cfn-lint untuk melakukan pemeriksaan menyeluruh terhadap struktur template.

Penjaga tidak menyediakan penegakan sisi server. Anda dapat menggunakan CloudFormation Hooks untuk melakukan validasi dan penegakan sisi server, di mana Anda dapat memblokir atau memperingatkan operasi.

Untuk informasi rinci tentang AWS CloudFormation Guard pengembangan, lihat GitHub repositori Guard.

Apakah Anda pengguna Guard pertama kali?

Jika Anda adalah pengguna pertama kali Guard, kami sarankan Anda mulai dengan membaca bagian berikut:

  • Menyiapkan Penjaga— Bagian ini menjelaskan cara menginstal Guard. Dengan Guard, Anda dapat menulis aturan kebijakan menggunakan Guard DSL dan memvalidasi data terstruktur Anda JSON - atau YAML -format terhadap aturan tersebut.

  • Aturan Penjaga Menulis— Bagian ini memberikan panduan terperinci untuk menulis aturan kebijakan.

  • Aturan Pengujian Guard— Bagian ini memberikan panduan terperinci untuk menguji aturan Anda guna memverifikasi bahwa aturan tersebut berfungsi sebagaimana dimaksud, dan memvalidasi data terstruktur Anda JSON - atau YAML -format terhadap aturan Anda.

  • Memvalidasi data input terhadap aturan Guard— Bagian ini memberikan panduan terperinci untuk memvalidasi data terstruktur Anda JSON - atau YAML -format terhadap aturan Anda.

  • CLIReferensi penjaga— Bagian ini menjelaskan perintah yang tersedia di GuardCLI.

Fitur penjaga

Dengan menggunakan Guard, Anda dapat menulis aturan kebijakan untuk memvalidasi data terstruktur apa pun JSON - atau YAML -format, termasuk namun tidak terbatas pada templat. AWS CloudFormation Guard mendukung seluruh spektrum end-to-end evaluasi pemeriksaan kebijakan. Aturan berguna dalam domain bisnis berikut:

  • Tata kelola dan kepatuhan preventif (pengujian shift-left) — Validasi infrastruktur sebagai kode (IAc) atau komposisi infrastruktur dan layanan terhadap aturan kebijakan yang mewakili praktik terbaik organisasi Anda untuk keamanan dan kepatuhan. Misalnya, Anda dapat memvalidasi CloudFormation template, CloudFormation mengubah set, JSON berbasis file konfigurasi Terraform, atau konfigurasi Kubernetes.

  • Tata kelola dan kepatuhan Detektif — Validasi kesesuaian sumber daya Configuration Management Database (CMDB) seperti AWS Config item konfigurasi berbasis (). CIs Misalnya, pengembang dapat menggunakan kebijakan Guard terhadap AWS Config CIs untuk terus memantau keadaan yang dikerahkan AWS dan AWS non-sumber daya, mendeteksi pelanggaran dari kebijakan, dan memulai remediasi.

  • Keamanan penerapan — Pastikan bahwa perubahan aman sebelum penerapan. Misalnya, validasi set CloudFormation perubahan terhadap aturan kebijakan untuk mencegah perubahan yang mengakibatkan penggantian sumber daya, seperti mengganti nama tabel Amazon DynamoDB.

Menggunakan Guard dengan CloudFormation Hooks

Anda dapat menggunakan CloudFormation Guard untuk membuat Hook in CloudFormation Hooks. CloudFormation Hooks memungkinkan Anda untuk secara proaktif menegakkan aturan Guard Anda sebelum CloudFormation membuat, memperbarui, atau menghapus operasi dan AWS Cloud Control API membuat atau memperbarui operasi. Hooks memastikan konfigurasi sumber daya Anda sesuai dengan praktik terbaik keamanan, operasional, dan pengoptimalan biaya organisasi Anda.

Untuk detail tentang cara menggunakan Guard untuk membuat CloudFormation Guard Hooks, lihat Menulis aturan Guard untuk mengevaluasi sumber daya untuk Guard Hooks di Panduan Pengguna AWS CloudFormation Hooks.

Mengakses Guard

Untuk mengakses Guard DSL dan perintah, Anda harus menginstal GuardCLI. Untuk informasi tentang menginstal GuardCLI, lihatMenyiapkan Penjaga.

Praktik terbaik

Tulis aturan sederhana, dan gunakan aturan bernama untuk mereferensikannya dalam aturan lain. Aturan yang rumit bisa sulit untuk dipelihara dan diuji.