Ansichten:
Standort Obere Navigationsleiste > Template Scanner
Template Scanner ermöglicht es Ihnen, Trend Vision One™ – Cloud Risk Management Regeln auf Ihren Terraform, AWS Cloud Development Kit (CDK), Serverless Framework und AWS CloudFormation Vorlagen auszuführen, um Risiken in Ihren AWS-, Azure- und GCP-Konten zu erkennen. Sie können präventive Sicherheits- und Governance-Kontrollen zum Workflow hinzufügen, um Probleme zu identifizieren und zu beheben, bevor Dienste und Ressourcen gestartet werden.

Was ist Template Scanner?

Template Scanner bietet eine präventive Maßnahme, um sicherzustellen, dass Ihre Cloud-Infrastruktur für Azure, AWS und GCP konform bleibt, indem Risiken in Ihrem Infrastructure as Code (IaC) erkannt werden, bevor es bereitgestellt wird.
Sie können diesen Dienst verwenden, um Cloudformation-Vorlagen und Terraform-Konfigurationsdateien zu durchsuchen.

Unterstützte Cloud-Anbieter

Template Scanner unterstützt derzeit die folgenden Cloud-Anbieter. Einzelheiten zur spezifischen Abdeckung für jeden Cloud-Anbieter finden Sie unter: Template Scanner Abdeckung
  1. AWS
  2. Azure
  3. GCP

Unterstützte Funktionen

Um Ihre IaC-Dateien zu DURCHSUCHEN, können Sie eine oder eine Kombination der folgenden Optionen verwenden:
  • Verwenden der Anwendungsoberfläche zum Hochladen von Vorlagen
  • Verwenden der API zum Senden von Anfragen mit Vorlagen
Funktion
Template Scanner UI/API
Grafische Schnittstelle zum Laden von Dateien
Öffentliche API
Einstellungen für Konto- und Profilregeln
GitHub-Integration
AWS CloudFormation
AWS Cloud Development Kit (CDK)
Serverless Framework (AWS)
Terraform (AWS, Azure und GCP)
Unterstützt durch Terraform-Plan-Dateien (.json) und HCL-Vorlagen (.tf)

Durchsuchen über die Benutzeroberfläche

  1. Wählen Sie aus, welche Art von Regel-Einstellungen Sie DURCHSUCHEN möchten:
    • Default rule settings: hochladen und mit den Regel-Einstellungen Ihrer Organisation DURCHSUCHEN.
    • Profile rule settings: Hochladen und DURCHSUCHEN mit Regel-Einstellungen aus einem ausgewählten Profil.
    • Account rule settings: hochladen und mit Regel-Einstellungen von einem ausgewählten Konto DURCHSUCHEN.

Scannen einer CloudFormation-Vorlage

  • CloudFormation-Vorlagen können entweder im JSON- oder YAML-Format hochgeladen werden.
  • Sie können auch die ! Bedingung in YAML-Vorlagen verwenden.

Scannen des AWS Cloud Development Kit (CDK)

Template Scanner unterstützt die Bewertung Ihrer CDK-Dateien, indem es eine Cloudformation-Vorlage aus dem CDK-Code synthetisiert.
  1. Installieren Sie die AWS CDK CLI
  2. Führen Sie im Verzeichnis mit Ihrem CDK-Code cdk synth aus. Dies gibt eine YAML-CloudFormation-Datei aus (kann bei Bedarf auch --json verwenden).
  3. Verwenden Sie die Template Scanner-Benutzeroberfläche oder API-Endpunkte, um die von cdk synth generierte CloudFormation-Datei zu durchsuchen.

Serverless Framework wird gescannt

Template Scanner unterstützt die Bewertung Ihrer Serverless-Framework-Anwendungen, indem es eine Cloudformation-Vorlage aus dem serverlosen Code synthetisiert.
  1. Im Verzeichnis mit Ihrer serverless-Datei führen Sie serverless package aus, um eine JSON-Datei in .serverless/cloudformation-template-update-stack.json zu generieren.
  2. Verwenden Sie die Template Scanner-Benutzeroberfläche oder API-Endpunkte, um die von serverless package generierte CloudFormation-Datei zu durchsuchen.

Scannen von Terraform-Plänen

  1. Terraform-Vorlagen müssen in einen Terraform-Plan im JSON-Format umgewandelt werden, indem Sie die folgenden Schritte in Ihrem Befehlszeilenwerkzeug ausführen:
    1. Im gleichen Verzeichnis wie die .tf-Vorlage exportieren Sie die access key, secret key, und export region Ihres Providers (z. B. `export AWS_REGION=us-east-1`)
    2. Führen Sie den Befehl terraform init aus
    3. Führen Sie den Befehl terraform plan -out=your_file aus
    4. Führen Sie den Befehl terraform show -json your_file > your_file.json aus. Ihr Terraform-JSON-Plan ist bereit, aus demselben Ordner wie Ihre .tf-Datei in den Template Scanner hochgeladen zu werden.
  2. Klicken Sie auf Upload and scan, um die DURCHSUCHEN-Ergebnisse für Ihre ausgewählten Regel-Einstellungen anzuzeigen.
  3. Sie erhalten eine Nachricht über fehlende Parameter beim Scannen Ihrer Vorlage. Entscheiden Sie, ob Sie den Scanvorgang Proceed oder Abbrechen möchten.
    Hinweis
    Hinweis
    Ressourcen mit fehlenden Parametern werden nicht durchsucht, was zu teilweisen Scanergebnissen führt.
  4. Überprüfen Sie Prüfungen aus den Scan-Ergebnissen. Fehlgeschlagene Prüfungen zeigen eine Beheben-Schaltfläche mit einem Link zu den Lösungsschritten an. Weitere Informationen zur Struktur der Regel finden Sie unter Regeln.
    Hinweis
    Hinweis
    Die bereitgestellten Lösungsschritte bei fehlgeschlagenen Prüfungen gelten für Workflows über CLI oder Konsole. Sie können diese Schritte auch als Leitfaden zur Lösung innerhalb von CloudFormation verwenden.

Scannen von Terraform HCL-Vorlagen

  1. Erstellen Sie eine ZIP-Datei, die Ihre .tf-Dateien enthält
  2. Klicken Sie auf das Menü Template Scanner
  3. Klicken Sie auf die Registerkarte Terraform
  4. Durchsuchen Sie Ihre ZIP-Datei
  5. Klicken Sie auf Hochladen und durchsuchen

Durchsuchen über API

Siehe API-Referenz, um zu erfahren, wie Sie die Template Scanner API in Ihren Automatisierungs- oder Build-Pipelines verwenden können.
Weitere Beispiele finden Sie unten:

Unterstützte Regeln

Die folgenden API-Endpunkte können verwendet werden, um eine Liste der vom Template Scanner unterstützten Regeln abzurufen:
Bitte beziehen Sie sich auf diese Seite für einen Überblick über die unterstützten Ressourcen.

Warum sehe ich keine DURCHSUCHEN-Ergebnisse?

Sie können eine leere Antwort oder einen Fehler aus einem der folgenden Gründe erhalten:
  1. Nicht unterstützter Ressourcentyp oder Regeln - Template Scanner unterstützt nur Regeln auf Ressourcenebene. Bitte beziehen Sie sich auf die APIs für eine Liste der unterstützten Regeln und Ressourcentypen. Wir planen, im Laufe der Zeit Unterstützung für weitere Quelltypen hinzuzufügen. Wenn es einen bestimmten Ressourcentyp gibt, den Sie vorrangig benötigen, wenden Sie sich bitte an Ihren Account Manager.
  2. Parameter(s) ohne Standardwert - CloudFormation-Vorlagen mit Parametern, die keine Standardwerte haben, können möglicherweise nicht verarbeitet werden.
  3. Nicht unterstützte AWS CloudFormation-Intrinsikfunktionen - CloudFormation-Vorlagen mit nicht unterstützten Intrinsikfunktionen können möglicherweise nicht verarbeitet werden oder keine vollständigen Ergebnisse erzeugen. Die folgenden sind die supported Intrinsikfunktionen in CloudFormation-Vorlagen:
    • Fn::Base64
    • Fn::And
    • Fn::Equals
    • Fn::If
    • Fn::Not
    • Fn::Oder
    • Fn::FindInMap
    • Fn::GetAtt
    • Fn::GetAZs
    • Fn::Join
    • Fn::Select
    • Fn::Split
    • Fn::Sub
    • Ref
Möglicherweise möchten Sie diese Funktionen vorübergehend durch statische Werte ersetzen, damit Ihre Vorlage korrekt DURCHSUCHT werden kann.