AWS CDK v2 개발자 안내서입니다. 구형 CDK v1은 2022년 6월 1일에 유지 보수에 들어갔고 2023년 6월 1일에 지원이 종료되었습니다.
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS CDK 합성 시 정책 검증
합성 시 정책 검증
사용자 또는 조직에서 OPA와
합성 AWS CDK 시 수행한 검증은 배포 수명 주기의 한 시점에서 제어를 검증하지만 합성 외부에서 발생하는 작업에는 영향을 미치지 않습니다. 콘솔에서 직접 또는 서비스 API를 통해 수행한 작업을 예로 들 수 있습니다. 합성 후 AWS CloudFormation 템플릿이 변경되는 것을 거부하지 않습니다. 동일한 규칙 세트를 더 신뢰할 수 있게 검증할 수 있는 다른 메커니즘 (예: 후크 또는) 은 독립적으로 설정해야 합니다.AWS CloudFormationAWS Config 하지만 개발 중에 규칙 세트를 평가하는 기능은 탐지 속도와 개발자 생산성을 향상시키므로 여전히 유용합니다. AWS CDK
AWS CDK 정책 검증의 목표는 개발 중에 필요한 설정의 양을 최소화하고 가능한 한 쉽게 만드는 것입니다.
참고
이 기능은 실험용으로 간주되며 플러그인 API와 검증 보고서 형식은 향후 변경될 수 있습니다.
애플리케이션 개발자용
애플리케이션에서 하나 이상의 유효성 검사 플러그인을 사용하려면 다음 policyValidationBeta1 속성을 사용하십시오Stage.
import { CfnGuardValidator } from '@cdklabs/cdk-validator-cfnguard'; const app = new App({ policyValidationBeta1: [ new CfnGuardValidator() ], }); // only apply to a particular stage const prodStage = new Stage(app, 'ProdStage', { policyValidationBeta1: [...], });
합성 직후 이 방법으로 등록된 모든 플러그인이 호출되어 정의한 범위에서 생성된 모든 템플릿의 유효성을 검사합니다. 특히, App 객체에 템플릿을 등록하면 모든 템플릿이 검증 대상이 됩니다.
주의
클라우드 어셈블리를 수정하는 것 외에 플러그인은 AWS CDK 애플리케이션이 할 수 있는 모든 작업을 수행할 수 있습니다. 파일 시스템에서 데이터를 읽고 네트워크에 액세스하는 등의 작업을 수행할 수 있습니다. 플러그인을 안전하게 사용할 수 있는지 확인하는 것은 플러그인 소비자인 귀하의 책임입니다.
AWS CloudFormation Guard 플러그인
CfnGuardValidatorCfnGuardValidator플러그인에는 엄선된 AWS Control Tower 사전 예방 제어 세트가 내장되어 있습니다. 현재 규칙 세트는 프로젝트 문서에서
AWS Control Tower고객의 경우 이와 동일한 사전 예방 제어 기능을 조직 전체에 배포할 수 있습니다. AWS Control Tower 환경에서 AWS Control Tower 사전 예방적 제어를 활성화하면 제어를 통해 배포된 규정을 준수하지 않는 리소스의 배포가 중단될 수 있습니다. AWS CloudFormation관리형 사전 제어 및 작동 방식에 대한 자세한 내용은 설명서를 참조하십시오.AWS Control Tower
이러한 AWS CDK 번들 제어와 관리형 AWS Control Tower 사전 예방적 제어는 함께 사용하는 것이 가장 좋습니다. 이 시나리오에서는 클라우드 환경에서 활성화된 것과 동일한 사전 예방적 제어를 사용하여 이 검증 플러그인을 구성할 수 있습니다 AWS Control Tower . 그러면 cdk synth 로컬에서 실행하여 AWS CDK 애플리케이션이 AWS Control Tower 제어를 통과할 것이라는 확신을 빠르게 확보할 수 있습니다.
검증 보고서
AWS CDK 앱을 합성하면 유효성 검사기 플러그인이 호출되고 결과가 인쇄됩니다. 예제 보고서는 다음과 같습니다.
Validation Report (CfnGuardValidator) ------------------------------------- (Summary) ╔═══════════╤════════════════════════╗ ║ Status │ failure ║ ╟───────────┼────────────────────────╢ ║ Plugin │ CfnGuardValidator ║ ╚═══════════╧════════════════════════╝ (Violations) Ensure S3 Buckets are encrypted with a KMS CMK (1 occurrences) Severity: medium Occurrences: - Construct Path: MyStack/MyCustomL3Construct/Bucket - Stack Template Path: ./cdk.out/MyStack.template.json - Creation Stack: └── MyStack (MyStack) │ Library: aws-cdk-lib.Stack │ Library Version: 2.50.0 │ Location: Object.<anonymous> (/home/johndoe/tmp/cdk-tmp-app/src/main.ts:25:20) └── MyCustomL3Construct (MyStack/MyCustomL3Construct) │ Library: N/A - (Local Construct) │ Library Version: N/A │ Location: new MyStack (/home/johndoe/tmp/cdk-tmp-app/src/main.ts:15:20) └── Bucket (MyStack/MyCustomL3Construct/Bucket) │ Library: aws-cdk-lib/aws-s3.Bucket │ Library Version: 2.50.0 │ Location: new MyCustomL3Construct (/home/johndoe/tmp/cdk-tmp-app/src/main.ts:9:20) - Resource Name: my-bucket - Locations: > BucketEncryption/ServerSideEncryptionConfiguration/0/ServerSideEncryptionByDefault/SSEAlgorithm Recommendation: Missing value for key `SSEAlgorithm` - must specify `aws:kms` How to fix: > Add to construct properties for `cdk-app/MyStack/Bucket` `encryption: BucketEncryption.KMS` Validation failed. See above reports for details
기본적으로 보고서는 사람이 읽을 수 있는 형식으로 인쇄됩니다. JSON 형식의 보고서를 원하는 경우 CLI를 통해 활성화하거나 애플리케이션에 직접 전달하십시오. @aws-cdk/core:validationReportJson
const app = new App({ context: { '@aws-cdk/core:validationReportJson': true }, });
또는 프로젝트 디렉터리의 cdk.json or cdk.context.json 파일을 사용하여 이 컨텍스트 키-값 쌍을 설정할 수 있습니다 (참조). 컨텍스트 값 및 AWS CDK
JSON 형식을 선택하면 클라우드 어셈블리 AWS CDK policy-validation-report.json 디렉터리에 있는 파일에 정책 검증 보고서가 인쇄됩니다. 사람이 읽을 수 있는 기본 형식의 경우 보고서는 표준 출력으로 인쇄됩니다.
플러그인 작성자용
플러그인
AWS CDK 핵심 프레임워크는 플러그인을 등록하고 호출한 다음 형식이 지정된 검증 보고서를 표시하는 역할을 합니다. 플러그인의 책임은 AWS CDK 프레임워크와 정책 검증 도구 사이의 번역 계층 역할을 하는 것입니다. 에서 지원하는 모든 언어로 플러그인을 만들 수 AWS CDK있습니다. 여러 언어에서 사용할 수 있는 플러그인을 만드는 경우 JSII를 사용하여 각 AWS CDK 언어로 플러그인을 게시할 수 TypeScript 있도록 에서 플러그인을 만드는 것이 좋습니다.
플러그인 생성
AWS CDK 코어 모듈과 정책 도구 간의 통신 프로토콜은 IPolicyValidationPluginBeta1 인터페이스에 의해 정의됩니다. 새 플러그인을 만들려면 이 인터페이스를 구현하는 클래스를 작성해야 합니다. 두 가지를 구현해야 합니다. 바로 플러그인 이름 (name속성을 재정의하여) 과 메서드입니다. validate()
프레임워크는 IValidationContextBeta1 객체를 validate() 전달하여 호출합니다. 검증할 템플릿의 위치는 에 의해 지정됩니다. templatePaths 플러그인은 의 인스턴스를 반환해야 합니다. ValidationPluginReportBeta1 이 객체는 합성이 끝날 때 사용자가 받게 될 보고서를 나타냅니다.
validate(context: IPolicyValidationContextBeta1): PolicyValidationReportBeta1 { // First read the templates using context.templatePaths... // ...then perform the validation, and then compose and return the report. // Using hard-coded values here for better clarity: return { success: false, violations: [{ ruleName: 'CKV_AWS_117', description: 'Ensure that AWS Lambda function is configured inside a VPC', fix: 'https://docs.bridgecrew.io/docs/ensure-that-aws-lambda-function-is-configured-inside-a-vpc-1', violatingResources: [{ resourceName: 'MyFunction3BAA72D1', templatePath: '/home/johndoe/myapp/cdk.out/MyService.template.json', locations: 'Properties/VpcConfig', }], }], }; }
참고로 플러그인은 클라우드 어셈블리의 어떤 내용도 수정할 수 없습니다. 그렇게 하려고 하면 합성에 실패하게 됩니다.
플러그인이 외부 도구에 의존하는 경우 일부 개발자의 워크스테이션에 해당 도구가 아직 설치되어 있지 않을 수 있다는 점을 염두에 두세요. 마찰을 최소화하려면 플러그인 패키지와 함께 설치 스크립트를 제공하여 전체 프로세스를 자동화하는 것이 좋습니다. 더 나은 방법은 해당 스크립트를 패키지 설치의 일부로 실행하는 것입니다. 예를 npm 들어 를 사용하여 package.json 파일의 postinstall 스크립트에
예외 처리
조직에 면제를 처리하는 메커니즘이 있는 경우 유효성 검사기 플러그인의 일부로 구현할 수 있습니다.
가능한 면제 메커니즘을 설명하는 예제 시나리오:
-
조직에는 특정 시나리오를 제외하고 퍼블릭 Amazon S3 버킷은 허용되지 않는다는 규칙이 있습니다.
-
개발자가 이러한 시나리오 중 하나에 해당하는 Amazon S3 버킷을 생성하고 면제를 요청합니다 (예: 티켓 생성).
-
보안 도구는 면제를 등록하는 내부 시스템에서 데이터를 읽는 방법을 알고 있습니다.
이 시나리오에서는 개발자가 내부 시스템에 예외를 요청한 다음 해당 예외를 “등록”할 방법이 필요합니다. 가드 플러그인 예제에 더해 내부 티켓팅 시스템에서 일치하는 면제가 있는 위반을 필터링하여 면제를 처리하는 플러그인을 만들 수 있습니다.
예제 구현은 기존 플러그인을 참조하십시오.
