Veröffentlicht am: Jun 30, 2022
AWS CloudFormation kündigt die allgemeine Verfügbarkeit von AWS CloudFormation Guard 2.1 (cfn-guard) an, das Guard 2.0 um neue Funktionen ergänzt. CloudFormation Guard ist eine quelloffene domänenspezifische Sprache (DSL) und Befehlszeilenschnittstelle (CLI), die Unternehmen dabei unterstützt, die Compliance ihrer AWS-Infrastruktur und Anwendungsressourcen mit ihren Unternehmensrichtlinien sicherzustellen. CloudFormation Guard stellt Compliance-Administratoren eine einfache, Policy-as-Code-Sprache zur Verfügung, um Regeln zu definieren, die sowohl auf erforderliche als auch unzulässige Ressourcenkonfigurationen prüfen können. Es ermöglicht Entwicklern, ihre Vorlagen (CloudFormation-Vorlagen, K8s-Konfigurationen und Terraform-JSON-Konfigurationen) mit diesen Regeln abzugleichen.
Diese Veröffentlichung ist abwärtskompatibel zu cfn-guard 2.0 und verbessert das Entwicklererlebnis. Neben der Verbesserung der Stabilität und Performance von cfn-guard führt diese Version vier neue Funktionen ein. Erstens haben Entwickler die Option, bei der Vorlagenvalidierung ausführliche farbkodierte Ausgaben anzuzeigen, die bei Fehlern Code-Auszüge zeigen. So können Benutzer Korrekturmaßnahmen an der richtigen Stelle durchführen. Zweitens führt diese Version parametrisierte Regeln ein, wodurch Richtlinienautoren eine allgemeine polymorphe Regel schreiben können, die ihre Natur transparent basierend auf der übergebenen Vorlagenart ändert. Zum Beispiel können Entwickler Regeln für cfn-guard schreiben, die für AWS CloudFormation-Vorlagen, Terraform-Pläne mit Einsatz von AWS CodeCommit sowie AWS Config funktionieren, um Bedingungen geltend zu machen. Drittens führt diese Version eine Verzeichnispaketunterstützung zur Vorlagenvalidierung ein, womit Benutzer ein Verzeichnis als Eingabe übergeben können, um alle unterstützten Dateitypen mit Guard-Regeln, Datenvorlagen oder Eingabeparametern zu scannen. Viertens führt diese Version eine dynamische Datensuche zur Inspektion über mehrere Datendateien ein. So können Benutzer etwa eine Liste zulässiger Sicherheitsgruppen aus einer Vorlage abrufen, diese Werte in einen Regelsatz einlesen und die Vorlage validieren. Der gleiche Regelsatz kann durch die Übergabe phasenspezifischer Suchwerte als Eingabe (DEV vs. PROD) verwendet werden.
Das AWS CloudFormation Team begrüßt Feedback zur AWS CloudFormation Guard und zu den Beiträgen zum Open-Source-Projekt. Installieren Sie zum Einstieg cfn-guard gemäß den Anweisungen im GitHub-Repository für cfn-guard.