投稿日: Jun 16, 2020
2020 年 10 月 1 日現在の更新: AWS CloudFormation Guard の一般提供を開始しました。
AWS CloudFormation は、AWS CloudFormation Guard (cfn-guard) のプレビューを発表します。これは、企業が AWS インフラストラクチャとアプリケーションリソースを会社のポリシーガイドラインに準拠させるのに役立つオープンソースのコマンドラインインターフェイス (CLI) です。Cfn-guard は、コンプライアンス管理者に、必要なリソース構成と禁止されたリソース構成の両方をチェックできるルールを定義するためのシンプルなコードとしてポリシー言語を提供します。これにより、開発者は CloudFormation テンプレートを各々のルールに対して検証できます。
Cfn-guard は、運用コスト、セキュリティの脆弱性、法的問題などへの過剰な支出に関連する企業のリスクを最小限に抑えることができます。たとえば、管理者はルールを作成して、開発者が常に暗号化された Amazon S3 バケットを作成するようにできます。Cfn-guard には軽量で宣言型の構文があり、管理者はプログラミング言語を習得することなくすばやくルールを定義できます。
管理者は、cfn-guard-rulegen と呼ばれる 2 番目のオープンソース CLI を利用して、準拠している既存の CloudFormation テンプレートからルールを抽出することもできます。cfn-guard-rulegen を使用すると、管理者は最初からルールを作成する必要がなくなり、ルールの作成プロセスがスピードアップします。ルールは、管理者が GitHub などのソース管理にチェックインしてチーム間で共有できる、準拠リソース構成に関する整合性のある記録になります。
開発者は、テンプレートの編集中にローカルで、または CI/CD パイプラインの一部として自動的に cfn-guard を使用して、非準拠リソースのデプロイメントを停止できます。テンプレート内のリソースがルールに違反した場合、cfn-guard は非準拠リソースの特定に役立つ情報を開発者に提供します。
AWS CloudFormation チームは、AWS CloudFormation Guard のプレビューとオープンソースプロジェクトへの貢献に関するお意見をお待ちしております。はじめに、GitHub の cfn-guard にアクセスしてください。