Questa è la AWS CDK v2 Developer Guide. Il vecchio CDK v1 è entrato in manutenzione il 1° giugno 2022 e ha terminato il supporto il 1° giugno 2023.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sicurezza per AWS Cloud Development Kit (AWS CDK)
Il AWS Modello di responsabilità condivisa
La sicurezza cloud di Amazon Web Services (AWS) è la priorità più alta. In qualità di AWS cliente, puoi trarre vantaggio da un data center e da un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza. La sicurezza è una responsabilità condivisa tra AWS te e te. Il modello di responsabilità condivisa
Security of the Cloud: AWS è responsabile della protezione dell'infrastruttura che gestisce tutti i servizi offerti nel AWS Cloud e della fornitura di servizi che è possibile utilizzare in modo sicuro. La nostra responsabilità in AWS materia di sicurezza è la massima priorità e l'efficacia della nostra sicurezza viene regolarmente testata e verificata da revisori di terze parti nell'ambito dei Programmi di AWS conformità
Sicurezza nel cloud: la responsabilità dell'utente è determinata dal AWS servizio utilizzato e da altri fattori, tra cui la sensibilità dei dati, i requisiti dell'organizzazione e le leggi e i regolamenti applicabili.
Il AWS CDK segue il modello di responsabilità condivisa
Sicurezza del AWS CDK
Dato un programma scritto in un linguaggio di programmazione generico che descrive la forma dell'infrastruttura desiderata, il AWS CDK genera una serie di elementi implementabili che creeranno tale infrastruttura.
Sicurezza dell'infrastruttura generata di default
Esecuzione in un ambiente affidabile
(Responsabilità dell'utente) CDK è progettato per funzionare in un ambiente affidabile con input affidabili. È responsabilità dell'utente garantire che il codice utente, tutte le librerie caricate in memoria (incluse quelle scaricate da Internet tramite un gestore di pacchetti come NPM o pip) o gli input nelle librerie di costrutti CDK siano affidabili. Il CDK non può proteggervi da intenzioni malevole.
Non dovreste usare CDK in un ambiente in cui autori non attendibili scrivono parti del codice che guida un'applicazione CDK o in cui parti non attendibili controllano gli input dei costrutti CDK senza convalida.
La verifica della conformità è un processo esterno
(Responsabilità dell'utente) A causa dell'espressività illimitata offerta da un linguaggio di programmazione generico, i costrutti CDK personalizzati non possono garantire una conformità inviolabile alle politiche di sicurezza. CDK dispone di meccanismi per spostare i controlli di conformità a sinistra e di meccanismi che possono aiutare gli sviluppatori a soddisfare i requisiti di conformità con il minimo sforzo; ma uno sviluppatore sufficientemente determinato sarà sempre in grado di aggirare l'output dei costrutti appositamente progettati.
Se hai bisogno di garanzie di conformità, imponile tramite un processo esterno all'applicazione CDK come CloudFormationHooks, o una fase di convalida del CloudFormation modello separata nella CI Pipeline.