AWS CloudFormation フックとは

AWS CloudFormation フックは、CloudFormation リソース、スタック、および変更セットが組織のセキュリティ、運用、コスト最適化のベストプラクティスに準拠することを保証する機能です。CloudFormation フックは、 AWS クラウドコントロール API リソースに対して同じレベルのコンプライアンスを確保することもできます。CloudFormation Hooks を使用すると、プロビジョニング前に AWS リソースの設定をプロアクティブに検査するコードを提供できます。非準拠のリソースが見つかった場合、 AWS CloudFormation オペレーションが失敗し、リソースのプロビジョニングが妨げられるか、警告が表示され、プロビジョニングオペレーションを続行できます。

フックを使用して、さまざまな要件とガイドラインを適用できます。例えば、セキュリティ関連のフックは、セキュリティグループが Amazon VPC に適切なインバウンドトラフィックルールとアウトバウンドトラフィックルールを持っていることを確認できます。コスト関連のフックは、より小さな Amazon EC2 インスタンスタイプのみを使用するように開発環境を制限できます。データ可用性のために設計されたフックは、Amazon RDS の自動バックアップを適用できます。

フック実装オプション

CloudFormation にはフックを実装するための複数のオプションが用意されているため、ニーズに最適なアプローチを柔軟に選択できます。

AWS Control Tower プロアクティブコントロール

AWS Control Tower Control Catalog には、フックとして実装できる標準化されたプロアクティブコントロールが用意されています。このアプローチにより、セットアップ時間が短縮され、コードを記述することなく、組織全体の AWS ベストプラクティスに照らしてリソース設定を検証するのに役立ちます。

ガードルール

AWS CloudFormation Guard は、フックのカスタム評価ロジックを記述するためのドメイン固有の言語を提供する policy-as-code 評価ツールです。このアプローチにより、Guard の宣言構文を使用してコンプライアンスチェックを定義できるため、プログラミングに関する広範な知識がなくても評価ロジックを簡単に作成および維持できます。

Lambda 関数

Lambda 関数を使用してフックを実装することもできます。これにより、評価ロジックに Lambda のフルパワーと柔軟性を活用できます。Lambda がサポートする任意のランタイム言語を使用し、必要に応じて他の AWS サービスと統合できます。

カスタムフック

高度なユースケースでは、CloudFormation CLI でサポートされているプログラミング言語を使用して独自の評価ロジックを作成できます。このアプローチは、組織固有のガバナンス要件を実装するための最大限の柔軟性を提供します。AWS CloudFormation レジストリでサポートされている拡張機能タイプとして、カスタムフックをパブリックとプライベートの両方で分散およびアクティブ化できます。