发布于: Jun 30, 2022
AWS CloudFormation Guard 宣布推出通用版 (GA) AWS CloudFormation Guard 2.1 (cfn-guard),该版本利用新功能增强了 Guard 2.0。CloudFormation Guard 是一个开源的域特定语言 (DSL) 和命令行界面 (CLI),可帮助企业保证其 AWS 基础设施和应用程序资源符合其公司政策指导方针。CloudFormation Guard 为合规管理员提供了一种简单的策略即代码语言,用于定义可以检查必需和禁止的资源配置的规则。它支持开发人员依照这些规则验证他们的模板(CloudFormation 模板、K8s 配置和 Terraform JSON 配置)。
此 GA 版向后兼容 cfn-guard 2.0,并增强了开发人员体验。除了提高 cfn-guard 的稳定性和性能之外,此版本还引入了四项新功能。首先,开发人员可以选择在模板验证期间查看详细的颜色编码输出,这些输出将在失败时显示代码段;允许用户查明纠正措施。其次,该版本引入了参数化规则,让策略创建者可以编写一个通用多态规则,用于根据传递的模板类型透明地更改其性质。例如,开发人员可以编写跨 AWS CloudFormation 模板工作的 cfn-guard 规则、使用 AWS CodeCommit 的 Terraform 计划以及用于断言条件的 AWS Config。第三,该版本支持用于运行模板验证的目录包,允许用户将目录作为输入传递,以扫描所有受支持的文件类型,包括保护规则、数据模板或输入参数。第四,该版本引入了通过多个数据文件进行检查的动态数据查找。例如,用户可以从模板中提取允许的安全组列表,将这些值读入规则集,并验证该模板。将阶段特定的查找值作为输入(DEV 与 PROD)传递,即可使用相同的规则集。
AWS CloudFormation 团队欢迎就 AWS CloudFormation Guard 提供反馈,并为开源项目贡献力量。请按照 cfn-guard GitHub 存储库中的说明安装 cfn-guard,即可开始使用。