AWS CloudFormation 후크란 무엇입니까?

AWS CloudFormation 후크는 CloudFormation 리소스, 스택 및 변경 세트가 조직의 보안, 운영 및 비용 최적화 모범 사례를 준수하도록 하는 데 도움이 되는 기능입니다. CloudFormation 후크는 AWS Cloud Control API 리소스에 대해 이와 동일한 수준의 규정 준수를 보장할 수도 있습니다. CloudFormation 후크를 사용하면 프로비저닝 전에 AWS 리소스 구성을 사전에 검사하는 코드를 제공할 수 있습니다. 규정을 준수하지 않는 리소스가 발견되면 작업이 AWS CloudFormation 실패하고 리소스가 프로비저닝되지 않도록 하거나 경고를 내보내고 프로비저닝 작업을 계속할 수 있습니다.

후크를 사용하여 다양한 요구 사항 및 지침을 적용할 수 있습니다. 예를 들어 보안 관련 후크는 보안 그룹에 Amazon VPC에 대한 적절한 인바운드 및 아웃바운드 트래픽 규칙이 있는지 확인할 수 있습니다. 비용 관련 후크는 더 작은 Amazon EC2 인스턴스 유형만 사용하도록 개발 환경을 제한할 수 있습니다. 데이터 가용성을 위해 설계된 후크는 Amazon RDS에 자동 백업을 적용할 수 있습니다.

후크 구현 옵션

CloudFormation은 후크를 구현하기 위한 여러 옵션을 제공하므로 필요에 가장 적합한 접근 방식을 유연하게 선택할 수 있습니다.

AWS Control Tower 사전 예방적 제어

AWS Control Tower Control Catalog는 후크로 구현할 수 있는 표준화된 사전 예방적 제어를 제공합니다. 이 접근 방식은 설정 시간을 절약하고 코드를 작성하지 않고도 조직 전체의 AWS 모범 사례를 기준으로 리소스 구성을 검증하는 데 도움이 됩니다.

가드 규칙

AWS CloudFormation Guard 는 후크에 대한 사용자 지정 평가 로직을 작성하기 위한 도메인별 언어를 제공하는 policy-as-code 평가 도구입니다. 이 접근 방식을 사용하면 Guard의 선언적 구문을 사용하여 규정 준수 검사를 정의할 수 있으므로 광범위한 프로그래밍 지식 없이 평가 로직을 쉽게 생성하고 유지할 수 있습니다.

Lambda 함수

Lambda 함수를 사용하여 후크를 구현하여 평가 로직에 Lambda의 모든 기능과 유연성을 활용할 수도 있습니다. Lambda 지원 런타임 언어를 사용하고 필요에 따라 다른 AWS 서비스와 통합할 수 있습니다.

사용자 지정 후크

고급 사용 사례의 경우 CloudFormation CLI에서 지원하는 프로그래밍 언어를 사용하여 자체 평가 로직을 작성할 수 있습니다. 이 접근 방식은 조직별 거버넌스 요구 사항을 구현할 수 있는 유연성을 극대화합니다. AWS CloudFormation 레지스트리에서 지원되는 확장 유형으로 사용자 지정 후크를 공개 및 비공개로 배포하고 활성화할 수 있습니다.