AWS CloudFormation Guard の特徴
AWS CloudFormation Guard は、CloudFormation テンプレートや各種 JSON/YAML の設定値が、組織のポリシーに違反していないかを事前にチェックするための Policy as Code ツールです。CloudFormation Guard は、オープンソースの汎用ポリシー評価ツールであり、専用の DSL でルールを書き、構造化データを検証できる CLI です。
例えば、「S3 バケットは必ず暗号化する」、「セキュリティグループで 0.0.0.0/0 を 22 番ポートに許可しない」などのルールを作り、デプロイしてから Config や Security Hub で違反を見つけるのではなく、デプロイ前にテンプレート段階で止めるために使用します。
一番のメリットはシフトレフト(Shift Left)です。インフラを作ってから修正するのではなく、Pull Request や CI/CD の段階で不適切な設定を弾けます。CloudFormation Guard のルールで IaC テンプレートやサービス構成を検証することで、ガバナンスとコンプライアンスを予防できます。
コメント