WKLD.15 – テンプレートでセキュリティコントロールを定義し、CI/CD プラクティスを使用してデプロイする

Infrastructure as code (IaC) は、ソフトウェア アプリケーションのデプロイに使用されるものと同じ継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインを使用してデプロイするテンプレートとコードであり、すべての AWS サービスリソースと設定を定義するプラクティスです。などの IaC サービスは、IAMアイデンティティベースのポリシーとリソースベースのポリシーの両方 AWS CloudFormationをサポートし、Amazon GuardDuty、 AWS WAF、および Amazon などの AWS セキュリティサービスをサポートしますVPC。これらのアーティファクトを IaC テンプレートとしてキャプチャし、テンプレートをソースコードリポジトリにコミットし、CI/CD パイプラインを使用してそれらをデプロイします。

特に必要でない限り、同じリポジトリ内のアプリケーションコードでアプリケーション権限ポリシーをコミットし、一般的なリソースポリシーとセキュリティサービス設定を別々のコードリポジトリとデプロイパイプラインで管理します。

での IaC の開始方法の詳細については AWS、「」のAWS Cloud Development Kit (AWS CDK) ドキュメントを参照してください。