As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Composição de blocos de regras nomeadas em AWS CloudFormation Guard
<a name="named-rule-block-composition"></a>

Ao escrever blocos de regras nomeadas usando AWS CloudFormation Guard, você pode usar os dois estilos de composição a seguir:
+ Dependência condicional
+ Dependência correlacional

Usar qualquer um desses estilos de composição de dependências ajuda a promover a reutilização e reduz a verbosidade e a repetição em blocos de regras nomeadas.

**Topics**
+ [Pré-requisitos](#named-rules-prerequisites)
+ [Composição de dependência condicional](#named-rules-conditional-dependency)
+ [Composição de dependência correlacional](#named-rules-correlational-dependency)

## Pré-requisitos
<a name="named-rules-prerequisites"></a>

Saiba mais sobre blocos de regras nomeadas em Como [escrever](writing-rules.md#named-rule-blocks) regras.

## Composição de dependência condicional
<a name="named-rules-conditional-dependency"></a>

Nesse estilo de composição, a avaliação de um `when` bloco ou bloco de regras nomeadas depende condicionalmente do resultado da avaliação de um ou mais outros blocos ou cláusulas de regras nomeadas. O exemplo de arquivo de regras do Guard a seguir contém blocos de regras nomeadas que demonstram dependências condicionais.

```
# Named-rule block, rule_name_A
rule rule_name_A {
    Guard_rule_1
    Guard_rule_2
    ...
}

# Example-1, Named-rule block, rule_name_B, takes a conditional dependency on rule_name_A
rule rule_name_B when rule_name_A {
    Guard_rule_3
    Guard_rule_4
    ...
}

# Example-2, when block takes a conditional dependency on rule_name_A
when rule_name_A {
    Guard_rule_3
    Guard_rule_4
    ...
}

# Example-3, Named-rule block, rule_name_C, takes a conditional dependency on rule_name_A ^ rule_name_B
rule rule_name_C when rule_name_A
                      rule_name_B {
    Guard_rule_3
    Guard_rule_4
    ...
}

# Example-4, Named-rule block, rule_name_D, takes a conditional dependency on (rule_name_A v clause_A) ^ clause_B ^ rule_name_B
rule rule_name_D when rule_name_A OR
                      clause_A
                      clause_B
                      rule_name_B {
    Guard_rule_3
    Guard_rule_4
    ...
}
```

No arquivo de regras de exemplo anterior, `Example-1` tem os seguintes resultados possíveis:
+ Se for `rule_name_A` avaliado como`PASS`, as regras do Guard encapsuladas por `rule_name_B` serão avaliadas.
+ Se for `rule_name_A` avaliado como`FAIL`, as regras do Guard encapsuladas por não `rule_name_B` serão avaliadas. `rule_name_B`avalia a. `SKIP`
+ Se for `rule_name_A` avaliado como`SKIP`, as regras do Guard encapsuladas por não `rule_name_B` serão avaliadas. `rule_name_B`avalia a. `SKIP`
**nota**  
Esse caso acontece se depender `rule_name_A` condicionalmente de uma regra que avalia `FAIL` e resulta na `rule_name_A` avaliação a. `SKIP`

Veja a seguir um exemplo de um item de configuração do banco de dados de gerenciamento de configuração (CMDB) de um AWS Config item para informações de grupos de segurança de entrada e saída. Este exemplo demonstra a composição da dependência condicional.

```
rule check_resource_type_and_parameter {
    resourceType == /AWS::EC2::SecurityGroup/
    InputParameters.TcpBlockedPorts NOT EMPTY 
}

rule check_parameter_validity when check_resource_type_and_parameter {
    InputParameters.TcpBlockedPorts[*] {
        this in r[0,65535] 
    }
}

rule check_ip_procotol_and_port_range_validity when check_parameter_validity {
    let ports = InputParameters.TcpBlockedPorts[*]

    # 
    # select all ipPermission instances that can be reached by ANY IP address
    # IPv4 or IPv6 and not UDP
    #
    let configuration = configuration.ipPermissions[ 
        some ipv4Ranges[*].cidrIp == "0.0.0.0/0" or
        some ipv6Ranges[*].cidrIpv6 == "::/0"
        ipProtocol != 'udp' ] 
    when %configuration !empty {
        %configuration {
            ipProtocol != '-1'

            when fromPort exists 
                toPort exists {
                let ip_perm_block = this
                %ports {
                    this < %ip_perm_block.fromPort or
                    this > %ip_perm_block.toPort
                }
            }
        }
    }
}
```

No exemplo anterior, `check_parameter_validity` depende condicionalmente `check_resource_type_and_parameter` e depende `check_ip_procotol_and_port_range_validity` condicionalmente de. `check_parameter_validity` A seguir está um item de configuração do banco de dados de gerenciamento de configuração (CMDB) que está em conformidade com as regras anteriores.

```
---
version: '1.3'
resourceType: 'AWS::EC2::SecurityGroup'
resourceId: sg-12345678abcdefghi
configuration:
  description: Delete-me-after-testing
  groupName: good-sg-test-delete-me
  ipPermissions:
    - fromPort: 172
      ipProtocol: tcp
      ipv6Ranges: []
      prefixListIds: []
      toPort: 172
      userIdGroupPairs: []
      ipv4Ranges:
        - cidrIp: 0.0.0.0/0
      ipRanges:
        - 0.0.0.0/0
    - fromPort: 89
      ipProtocol: tcp
      ipv6Ranges:
        - cidrIpv6: '::/0'
      prefixListIds: []
      toPort: 89
      userIdGroupPairs: []
      ipv4Ranges:
        - cidrIp: 0.0.0.0/0
      ipRanges:
        - 0.0.0.0/0
  ipPermissionsEgress:
    - ipProtocol: '-1'
      ipv6Ranges: []
      prefixListIds: []
      userIdGroupPairs: []
      ipv4Ranges:
        - cidrIp: 0.0.0.0/0
      ipRanges:
        - 0.0.0.0/0
  tags:
    - key: Name
      value: good-sg-delete-me
  vpcId: vpc-0123abcd
InputParameters:
  TcpBlockedPorts:
    - 3389
    - 20
    - 110
    - 142
    - 1434
    - 5500
supplementaryConfiguration: {}
resourceTransitionStatus: None
```

## Composição de dependência correlacional
<a name="named-rules-correlational-dependency"></a>

Nesse estilo de composição, a avaliação de um `when` bloco ou bloco de regras nomeadas tem uma dependência correlacional do resultado da avaliação de uma ou mais outras regras do Guard. A dependência correlacional pode ser alcançada da seguinte forma.

```
# Named-rule block, rule_name_A, takes a correlational dependency on all of the Guard rules encapsulated by the named-rule block
rule rule_name_A {
    Guard_rule_1
    Guard_rule_2
    ...
}

# when block takes a correlational dependency on all of the Guard rules encapsulated by the when block
when condition {
    Guard_rule_1
    Guard_rule_2
    ...
}
```

Para ajudá-lo a entender a composição de dependências correlacionais, revise o exemplo a seguir de um arquivo de regras do Guard.

```
#
# Allowed valid protocols for AWS::ElasticLoadBalancingV2::Listener resources
#
let allowed_protocols = [ "HTTPS", "TLS" ]

let elbs = Resources.*[ Type == 'AWS::ElasticLoadBalancingV2::Listener' ]

#
# If there are AWS::ElasticLoadBalancingV2::Listener resources present, ensure that they have protocols specified from the 
# list of allowed protocols and that the Certificates property is not empty
#
rule ensure_all_elbs_are_secure when %elbs !empty {
    %elbs.Properties {
        Protocol in %allowed_protocols
        Certificates !empty
    }
}

# 
# In addition to secure settings, ensure that AWS::ElasticLoadBalancingV2::Listener resources are private
#
rule ensure_elbs_are_internal_and_secure when %elbs !empty {
    ensure_all_elbs_are_secure
    %elbs.Properties.Scheme == 'internal'
}
```

No arquivo de regras anterior, `ensure_elbs_are_internal_and_secure` tem uma dependência correlacional de. `ensure_all_elbs_are_secure` Veja a seguir um exemplo de CloudFormation modelo que está em conformidade com as regras anteriores.

```
Resources:
  ServiceLBPublicListener46709EAA:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      Scheme: internal
      Protocol: HTTPS
      Certificates:
        - CertificateArn: 'arn:aws:acm...'
  ServiceLBPublicListener4670GGG:
    Type: 'AWS::ElasticLoadBalancingV2::Listener'
    Properties:
      Scheme: internal
      Protocol: HTTPS
      Certificates:
        - CertificateArn: 'arn:aws:acm...'
```