Publicado en: Jun 30, 2022
AWS CloudFormation anuncia la disponibilidad general de AWS CloudFormation Guard 2.1 (cfn-guard), que introduce nuevas características que mejoran la versión Guard 2.0. CloudFormation Guard es un lenguaje específico de dominio (DSL) y una interfaz de línea de comandos (CLI) de código abierto que ayuda a las organizaciones a que los recursos de infraestructura y aplicaciones de AWS cumplan con las directrices de las políticas de la empresa. CloudFormation Guard ofrece a los administradores de cumplimiento un sencillo lenguaje de política como código que permite definir reglas capaces de comprobar las configuraciones de recursos obligatorias y las prohibidas. Los desarrolladores pueden validar sus plantillas (las plantillas de CloudFormation y la configuración de K8s y de Terraform JSON) de acuerdo con estas reglas.
Esta disponibilidad general es compatible en forma retroactiva con la versión cfn-guard 2.0 y mejora la experiencia de los desarrolladores. Además de optimizar la estabilidad y el rendimiento de cfn-guard, este lanzamiento introduce cuatro nuevas características. En primer lugar, los desarrolladores tienen la opción de ver los resultados detallados según códigos de colores durante la validación de plantillas, que muestran fragmentos de códigos al presentarse una falla. De este modo, los usuarios pueden definir acciones correctivas. En segundo lugar, este lanzamiento introduce reglas parametrizadas en las que los responsables de crear las políticas pueden escribir una regla polimórfica común que cambia de naturaleza de manera transparente según el tipo de plantilla que se transfiere. Por ejemplo, los desarrolladores pueden escribir reglas de cfn-guard que funcionen para plantillas de AWS CloudFormation, para planes de Terraform que utilicen AWS CodeCommit y para AWS Config a fin de afirmar condiciones. En tercer lugar, este lanzamiento es compatible con paquetes de directorios para realizar validaciones para las plantillas. Esto permite a los usuarios transferir un directorio como valor de entrada para analizar todos los tipos de archivos que contienen reglas de cfn-guard, plantillas de datos o parámetros de entrada. En cuarto lugar, este lanzamiento introduce la búsqueda dinámica de datos para la inspección por medio de múltiples archivos de datos. Por ejemplo, los usuarios pueden extraer de una plantilla una lista de grupos de seguridad permitidos, introducir los valores en un conjunto de reglas y validar la plantilla. El mismo conjunto de reglas se puede usar al transferir valores de búsqueda de una etapa específica como valores de entrada (DEV vs. PROD).
El equipo de AWS CloudFormation agradece los comentarios sobre AWS CloudFormation Guard y las contribuciones al proyecto de código abierto. Para comenzar, instale cfn-guard siguiendo las instrucciones del repositorio Guard GitHub.