O que são AWS CloudFormation ganchos?

AWS CloudFormation Hooks é um recurso que ajuda a garantir que seus CloudFormation recursos, pilhas e conjuntos de alterações estejam em conformidade com as melhores práticas de segurança, operação e otimização de custos de sua organização. CloudFormation Os ganchos também podem garantir esse mesmo nível de conformidade para seus AWS API Cloud Control recursos. Com o CloudFormation Hooks, você pode fornecer um código que inspeciona proativamente a configuração de seus AWS recursos antes do provisionamento. Se forem encontrados recursos não compatíveis, AWS CloudFormation a operação falhará e impedirá que os recursos sejam provisionados ou emitirá um aviso e permitirá que a operação de provisionamento continue.

Você pode usar Hooks para impor uma variedade de requisitos e diretrizes. Por exemplo, um Hook relacionado à segurança pode verificar se os grupos de segurança têm regras de tráfego de entrada e saída apropriadas para sua Amazon VPC. Um Hook relacionado ao custo pode restringir ambientes de desenvolvimento para usar somente tipos menores de EC2 instâncias da Amazon. Um Hook projetado para disponibilidade de dados pode impor backups automáticos para o Amazon RDS.

Opções de implementação do Hook

CloudFormation fornece várias opções para implementar Hooks, oferecendo flexibilidade para escolher a abordagem que melhor atenda às suas necessidades.

AWS Control Tower controles proativos

O Catálogo AWS Control Tower de Controle oferece controles proativos padronizados que você pode implementar como Hooks. Essa abordagem economiza tempo de configuração e ajuda a validar as configurações de recursos em relação às AWS melhores práticas em sua organização sem escrever código.

Regras de guarda

AWS CloudFormation Guard é uma ferramenta policy-as-code de avaliação que fornece uma linguagem específica de domínio para escrever uma lógica de avaliação personalizada para Hooks. Essa abordagem permite definir verificações de conformidade usando a sintaxe declarativa do Guard, facilitando a criação e a manutenção de sua lógica de avaliação sem amplo conhecimento de programação.

Funções do Lambda

Você também pode implementar Hooks usando funções do Lambda, permitindo que você aproveite todo o poder e a flexibilidade do Lambda para sua lógica de avaliação. Você pode usar qualquer linguagem de tempo de execução compatível com o Lambda e integrar-se a outros AWS serviços conforme necessário.

Ganchos personalizados

Para casos de uso avançados, você pode escrever sua própria lógica de avaliação usando linguagens de programação suportadas pela CloudFormation CLI. Essa abordagem fornece flexibilidade máxima para implementar os requisitos de governança específicos da organização. Como um tipo de extensão compatível no AWS CloudFormation registro, seus Hooks personalizados podem ser distribuídos e ativados de forma pública e privada.