これは AWS CDK v2 デベロッパーガイドです。旧版の CDK v1 は 2022 年 6 月 1 日にメンテナンスを開始し、2023 年 6 月 1 日にサポートを終了しました。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS クラウド開発キット (AWS CDK) のセキュリティ
責任 AWS 共有モデル
クラウドセキュリティは Amazon Web Services (AWS) の最優先事項です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。セキュリティは、 AWS お客様とお客様の間の責任共有です。責任共有モデル
クラウドのセキュリティ – AWS クラウドで提供されているすべてのサービスを実行するインフラストラクチャ AWS を保護し、安全に使用できるサービスを提供します。における当社のセキュリティ責任は最優先事項であり AWS、当社のセキュリティの有効性は、AWS コンプライアンスプログラムの一環としてサードパーティーの監査者によって定期的にテストおよび検証されています
クラウド内のセキュリティ – お客様の責任は、使用している AWS サービス、データの機密性、組織の要件、適用される法律や規制などのその他の要因によって決まります。
AWS CDK は、サポートする特定の Amazon Web Services (AWS) サービスを通じて責任共有モデル
AWS CDK のセキュリティ
目的のインフラストラクチャの形状を記述する汎用プログラミング言語で記述されたプログラムがある場合、 AWS CDK はそのインフラストラクチャを作成する一連のデプロイ可能なアーティファクトを生成します。
デフォルトで生成されたインフラストラクチャのセキュリティ
(AWSの責任) コンストラクトライブラリの AWS コンストラクトは、権限のない第三者によるデータ開示、データ操作、特権の昇格、またはその他の改ざんを許可しないインフラストラクチャを生成するように設計されています (責任共有モデル
この期待に対する違反は、会社全体の脆弱性報告メカニズムを通じて
信頼された環境での実行
(お客様の責任) CDK は、信頼できる入力を持つ信頼できる環境で実行されるように設計されています。 ユーザーコード、メモリにロードされたライブラリ (NPM や pip などのパッケージマネージャーを介してインターネットからダウンロードされたものを含む)、または CDK コンストラクトライブラリへの入力が信頼できることを確認するのはユーザーの責任です。CDK は悪意のある意図からユーザーを保護することはできません。
信頼されていない作成者が CDK アプリケーションを駆動するコードの一部を記述する環境、または信頼されていない当事者が検証なしで CDK コンストラクトへの入力を制御する環境では、CDK を使用しないでください。
コンプライアンス検証は外部プロセスです
(お客様の責任) 汎用プログラミング言語には無制限の表現性があるため、カスタム CDK コンストラクトはセキュリティポリシーへのバイパス不可能なコンプライアンスを保証することはできません。CDK には、左のコンプライアンスチェックをシフトするメカニズムと、開発者が最小限の労力でコンプライアンス要件を満たすのに役立つメカニズムがあります。ただし、決定された十分な開発者は常に、特別に設計されたコンストラクトの出力をバイパスできます。
コンプライアンスの保証が必要な場合は、CloudFormation Hooks などの CDK アプリケーションの外部プロセス、または CI Pipeline の別の CloudFormation テンプレート検証ステップを介して強制します。