View a markdown version of this page

Apa itu AWS CloudFormation Guard? - AWS CloudFormation Guard
Apakah Anda pengguna Guard pertama kali?Fitur penjagaMenggunakan Guard dengan CloudFormation HooksMengakses GuardPraktik terbaik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Apa itu AWS CloudFormation Guard?

AWS CloudFormation Guard adalah alat evaluasi open-source, tujuan umum, dan evaluasi. policy-as-code Antarmuka baris perintah Guard (CLI) menyediakan bahasa khusus domain deklaratif (DSL) yang dapat Anda gunakan untuk mengekspresikan kebijakan sebagai kode. simple-to-use Selain itu, Anda dapat menggunakan perintah CLI untuk memvalidasi data JSON atau YAMB hierarkis terstruktur terhadap aturan tersebut. Guard juga menyediakan kerangka pengujian unit bawaan untuk memverifikasi bahwa aturan Anda berfungsi sebagaimana dimaksud.

Guard tidak memvalidasi CloudFormation template untuk sintaks yang valid atau nilai properti yang diizinkan. Anda dapat menggunakan alat cfn-lint untuk melakukan pemeriksaan menyeluruh terhadap struktur template.

Penjaga tidak menyediakan penegakan sisi server. Anda dapat menggunakan CloudFormation Hooks untuk melakukan validasi dan penegakan sisi server, di mana Anda dapat memblokir atau memperingatkan operasi.

Untuk informasi rinci tentang AWS CloudFormation Guard pengembangan, lihat GitHub repositori Guard.

Apakah Anda pengguna Guard pertama kali?

Jika Anda adalah pengguna pertama kali Guard, kami sarankan Anda memulai dengan membaca bagian berikut:

  • Menyiapkan Penjaga— Bagian ini menjelaskan cara menginstal Guard. Dengan Guard, Anda dapat menulis aturan kebijakan menggunakan DSL Guard dan memvalidasi data terstruktur berformat JSON atau YAML terhadap aturan tersebut.

  • Aturan Penjaga Menulis— Bagian ini memberikan panduan terperinci untuk menulis aturan kebijakan.

  • Aturan Pengujian Guard— Bagian ini menyediakan panduan terperinci untuk menguji aturan Anda guna memverifikasi bahwa aturan tersebut berfungsi sebagaimana dimaksud, dan memvalidasi data terstruktur berformat JSON atau YAML Anda terhadap aturan Anda.

  • Memvalidasi data input terhadap aturan Guard— Bagian ini menyediakan panduan terperinci untuk memvalidasi data terstruktur berformat JSON atau YAML Anda terhadap aturan Anda.

  • Referensi Guard CLI— Bagian ini menjelaskan perintah yang tersedia di CLI Penjaga.

Fitur penjaga

Menggunakan Guard, Anda dapat menulis aturan kebijakan untuk memvalidasi data terstruktur berformat JSON atau YAML, termasuk namun tidak terbatas pada templat. CloudFormation Guard mendukung seluruh spektrum end-to-end evaluasi pemeriksaan kebijakan. Aturan berguna dalam domain bisnis berikut:

  • Tata kelola dan kepatuhan preventif (pengujian shift-left) — Validasi infrastruktur sebagai kode (IAc) atau komposisi infrastruktur dan layanan terhadap aturan kebijakan yang mewakili praktik terbaik organisasi Anda untuk keamanan dan kepatuhan. Misalnya, Anda dapat memvalidasi CloudFormation template, CloudFormation mengubah set, file konfigurasi Terraform berbasis JSON, atau konfigurasi Kubernetes.

  • Tata kelola dan kepatuhan Detektif — Validasi kesesuaian sumber daya Configuration Management Database (CMDB) seperti item konfigurasi berbasis (). AWS Config CIs Misalnya, pengembang dapat menggunakan kebijakan Guard terhadap AWS Config CIs untuk terus memantau keadaan yang dikerahkan AWS dan AWS non-sumber daya, mendeteksi pelanggaran dari kebijakan, dan memulai remediasi.

  • Keamanan penerapan — Pastikan bahwa perubahan aman sebelum penerapan. Misalnya, validasi set CloudFormation perubahan terhadap aturan kebijakan untuk mencegah perubahan yang mengakibatkan penggantian sumber daya, seperti mengganti nama tabel Amazon DynamoDB.

Menggunakan Guard dengan CloudFormation Hooks

Anda dapat menggunakan CloudFormation Guard untuk membuat Hook in CloudFormation Hooks. CloudFormation Hooks memungkinkan Anda untuk secara proaktif menegakkan aturan Guard Anda sebelum CloudFormation membuat, memperbarui, atau menghapus operasi dan AWS Cloud Control API membuat atau memperbarui operasi. Hooks memastikan konfigurasi sumber daya Anda sesuai dengan praktik terbaik keamanan, operasional, dan pengoptimalan biaya organisasi Anda.

Untuk detail tentang cara menggunakan Guard untuk membuat CloudFormation Guard Hooks, lihat Menulis aturan Guard untuk mengevaluasi sumber daya untuk Guard Hooks di Panduan Pengguna CloudFormation Hooks.

Mengakses Guard

Untuk mengakses DSL Penjaga dan perintah, Anda harus menginstal CLI Penjaga. Untuk informasi tentang menginstal CLI Penjaga, lihat. Menyiapkan Penjaga

Praktik terbaik

Tulis aturan sederhana, dan gunakan aturan bernama untuk mereferensikannya dalam aturan lain. Aturan yang rumit bisa sulit untuk dipelihara dan diuji.