投稿日: Apr 3, 2023
AWS Cloud Development Kit (CDK) で、開発ライフサイクル中に Infrastructure as Code (IaC) テンプレートをコードとしてのポリシーツールと照合して検証できるようになりました。デベロッパーは、CDK アプリケーションの開発サイクル中に、組織のポリシーで定義されているセキュリティや設定の問題について、迅速で実用的なフィードバックを受け取ることができます。開発の初期段階で組織のポリシーへの準拠を検証するので、チームは CDK アプリケーションのデプロイフェーズの成功率を高めることができます。
リリース時に、AWS CDK には CfnGuardValidator による AWS CloudFormation Guard のサポートが含まれます。CfnGuardValidator とは、AWS CloudFormation Guard を使用してポリシーを検証するための、ポリシー検証プラグインです。プラグインには、事前に定義された AWS Control Tower のプロアクティブコントロールのセットが含まれています。
プラグインを有効にすると、CDK アプリケーションがテンプレートの合成を完了した際にプラグインが自動的にトリガーされます。これにより、生成された CloudFormation テンプレートはポリシーに照らして検証されます。プラグインはポリシーの検証を実行し、結果を解釈し、最終レポートを提供します。レポートには、検証結果 (許可/拒否) の概要と、検出された設定ミスに関する詳細が提示されます。特定のポリシーに関して違反が見つかった場合は、根本原因の分析と軽減策が提供されます。お客様は、例えば KICS、Open Policy Agent (OPA)、Checkov など、その他のツールでこの機能を利用できます。デベロッパーは、組織の特定の要件や設定に基づいて、これらのツール用の検証プラグインを作成できます。
合成中の AWS CDK ポリシー検証の詳細については、AWS CDK のドキュメントをご覧ください。