とは AWS CloudFormation Guard - AWS CloudFormation Guard

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

とは AWS CloudFormation Guard

AWS CloudFormation Guard は、オープンソースの汎用ポリシーアズコード評価ツールです。Guard コマンドラインインターフェイス (CLI) は、ポリシーをコードとして表現するために使用できるsimple-to-use宣言的なドメイン固有の言語 (DSL) を提供します。さらに、CLI コマンドを使用して、構造化された階層 JSON または YAML データをそれらのルールに対して検証できます。Guard には、ルールが意図したとおりに機能することを検証するためのユニットテストフレームワークも組み込まれています。

Guard は、有効な構文または許可されたプロパティ値について CloudFormation テンプレートを検証しません。cfn-lint ツールを使用して、テンプレート構造を徹底的に検査できます。

Guard はサーバー側の強制を提供しません。CloudFormation フックを使用して、サーバー側の検証と強制を実行できます。ここでは、オペレーションをブロックまたは警告できます。

AWS CloudFormation Guard 開発の詳細については、Guard GitHub リポジトリを参照してください。

Guard を初めてお使いになる方向けの情報

Guard を初めて使用する場合は、まず以下のセクションを読むことをお勧めします。

  • Guard のセットアップ – このセクションでは、Guard をインストールする方法について説明します。Guard を使用すると、Guard DSL を使用してポリシールールを記述し、JSON 形式または YAML 形式の構造化データをそれらのルールに対して検証できます。

  • ガードルールの記述 – このセクションでは、ポリシールールを記述するための詳細なチュートリアルを提供します。

  • Guard ルールのテスト – このセクションでは、ルールをテストして意図したとおりに動作することを検証し、JSON 形式または YAML 形式の構造化データをルールに対して検証するための詳細なチュートリアルを提供します。

  • Guard ルールに対する入力データの検証 – このセクションでは、JSON 形式または YAML 形式の構造化データをルールに照らして検証するための詳細なチュートリアルを提供します。

  • Guard CLI リファレンス – このセクションでは、Guard CLI で使用できるコマンドについて説明します。

ガード機能

Guard を使用すると、JSON 形式または YAML 形式の構造化データを検証するためのポリシールールを作成できます。これには、 AWS CloudFormation テンプレートが含まれますが、これらに限定されません。Guard は、ポリシーチェックのend-to-end評価の全範囲をサポートします。ルールは、以下のビジネスドメインで役立ちます。

  • 予防的ガバナンスとコンプライアンス (シフト左テスト) — セキュリティとコンプライアンスに関する組織のベストプラクティスを表すポリシールールに照らして、Infrastructure as Code (IaC) またはインフラストラクチャとサービスの構成を検証します。例えば、CloudFormation テンプレート、CloudFormation 変更セット、JSON ベースの Terraform 設定ファイル、Kubernetes 設定を検証できます。

  • 検出ガバナンスとコンプライアンス — AWS Configベースの設定項目 (CIs。例えば、デベロッパーは AWS Config CIs に対する Guard ポリシーを使用して、デプロイされたAWS リソース AWS とリソース以外の状態を継続的にモニタリングし、ポリシーから違反を検出して修復を開始できます。

  • デプロイの安全性 — デプロイ前に変更が安全であることを確認します。例えば、CloudFormation の変更セットをポリシールールと照合して検証し、Amazon DynamoDB テーブルの名前変更など、リソースの置き換えにつながる変更を防止します。

CloudFormation フックでの Guard の使用

CloudFormation Guard を使用して、CloudFormation フックでフックを作成できます。CloudFormation フックを使用すると、CloudFormation がオペレーションを作成、更新、または削除したり、オペレーション AWS クラウドコントロール API を作成または更新したりする前に、Guard ルールを事前に適用できます。フックにより、リソース設定が組織のセキュリティ、運用、コスト最適化のベストプラクティスに準拠していることを確認できます。

Guard を使用して CloudFormation ガードフックを作成する方法の詳細については、「 フックユーザーガイド」の「ガードフックのリソースを評価するためのガードルールの記述」を参照してください。 AWS CloudFormation

Guard へのアクセス

Guard DSL および コマンドにアクセスするには、Guard CLI をインストールする必要があります。Guard CLI のインストールについては、「」を参照してくださいGuard のセットアップ

ベストプラクティス

シンプルなルールを作成し、名前付きルールを使用して他のルールで参照します。複雑なルールは、保守とテストが困難な場合があります。