CloudFormation DevSecOps

越来越多企业希望部署具有高度安全性的 DevOps CI/CD工作流,本章会介绍DevSecOps CI/CD 管道,将安全性和合规性测试集成到CloudFormation代码的开发和部署过程中。

我们将:

  • 创建 CI/CD 管道,该管道将使用git分支,为AWS账户提交经过测试且安全的IaaC( infrastructure as code)。
  • 使用 Github Actions,集成 CFN-Guard 来运行策略验证 ,确保满足组织的合规性标准。

实验架构如下:

Architecture Overview

  1. github仓库里存储了IaaC代码,当有新的IaaS代码(这里是cloudformation yaml)提交时,会触发对它的检查。
  2. 当检查通过后,才能合并到main分支;如果检查不通过,开发人员需要进行更改,以满足安全性要求;
  3. 合并到main分支后,自动触发上流,Github会联动AWS,将新的IaaC代码上线。