View a markdown version of this page

Sicurezza per AWS Cloud Development Kit (AWS CDK) - AWS Cloud Development Kit (AWS CDK) v2

Questa è la AWS CDK v2 Developer Guide. Il vecchio CDK v1 è entrato in manutenzione il 1° giugno 2022 e ha terminato il supporto il 1° giugno 2023.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza per AWS Cloud Development Kit (AWS CDK)

Il AWS Modello di responsabilità condivisa

La sicurezza cloud di Amazon Web Services (AWS) è la priorità più alta. In qualità di AWS cliente, puoi trarre vantaggio da un data center e da un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza. La sicurezza è una responsabilità condivisa tra AWS te e te. Il modello di responsabilità condivisa descrive questo come sicurezza del cloud e sicurezza nel cloud.

Security of the Cloud: AWS è responsabile della protezione dell'infrastruttura che gestisce tutti i servizi offerti nel AWS Cloud e della fornitura di servizi che è possibile utilizzare in modo sicuro. La nostra responsabilità in AWS materia di sicurezza è la massima priorità e l'efficacia della nostra sicurezza viene regolarmente testata e verificata da revisori di terze parti nell'ambito dei Programmi di AWS conformità.

Sicurezza nel cloud: la responsabilità dell'utente è determinata dal AWS servizio utilizzato e da altri fattori, tra cui la sensibilità dei dati, i requisiti dell'organizzazione e le leggi e i regolamenti applicabili.

Il AWS CDK segue il modello di responsabilità condivisa attraverso i servizi specifici di Amazon Web Services (AWS) che supporta. Per informazioni sulla sicurezza dei AWS servizi, consulta la pagina della documentazione sulla sicurezza del AWS servizio e AWS i servizi che rientrano nell'ambito delle iniziative di AWS conformità previste dal programma di conformità.

Sicurezza del AWS CDK

Dato un programma scritto in un linguaggio di programmazione generico che descrive la forma dell'infrastruttura desiderata, il AWS CDK genera una serie di elementi implementabili che creeranno tale infrastruttura.

Sicurezza dell'infrastruttura generata di default

(AWS'responsabilità) I costrutti della AWS Construct Library sono progettati per generare un'infrastruttura che non consenta la divulgazione dei dati, la manipolazione dei dati, l'elevazione dei privilegi o altre manomissioni da parte di terzi non autorizzati (salvo diversa configurazione esplicita, in linea con il modello di responsabilità condivisa).

Qualsiasi violazione di questa aspettativa può essere segnalata tramite i meccanismi di segnalazione delle vulnerabilità a livello aziendale.

Esecuzione in un ambiente affidabile

(Responsabilità dell'utente) CDK è progettato per funzionare in un ambiente affidabile con input affidabili. È responsabilità dell'utente garantire che il codice utente, tutte le librerie caricate in memoria (incluse quelle scaricate da Internet tramite un gestore di pacchetti come NPM o pip) o gli input nelle librerie di costrutti CDK siano affidabili. Il CDK non può proteggervi da intenzioni malevole.

Non dovreste usare CDK in un ambiente in cui autori non attendibili scrivono parti del codice che guida un'applicazione CDK o in cui parti non attendibili controllano gli input dei costrutti CDK senza convalida.

La verifica della conformità è un processo esterno

(Responsabilità dell'utente) A causa dell'espressività illimitata offerta da un linguaggio di programmazione generico, i costrutti CDK personalizzati non possono garantire una conformità inviolabile alle politiche di sicurezza. CDK dispone di meccanismi per spostare i controlli di conformità a sinistra e di meccanismi che possono aiutare gli sviluppatori a soddisfare i requisiti di conformità con il minimo sforzo; ma uno sviluppatore sufficientemente determinato sarà sempre in grado di aggirare l'output dei costrutti appositamente progettati.

Se hai bisogno di garanzie di conformità, imponile tramite un processo esterno all'applicazione CDK come CloudFormationHooks, o una fase di convalida del CloudFormation modello separata nella CI Pipeline.