ビュー:
Template Scannerを使用すると、 Trend Vision One™ – クラウドポスチャを実行できます。ルールあなたのテラフォームそしてAWS CloudFormationテンプレート。ワークフローに予防的なセキュリティとガバナンスの制御を追加して、サービスやリソースを起動する前に問題を特定して修正できます。
注意
注意
このドキュメントでは、 クラウドポスチャ アプリケーション内のテンプレート検索について説明します。 Infrastructure as Codeを検索するためのGithubアプリに関するドキュメントについては、Trend Vision One™ - テンプレートスキャナ

内容

テンプレートスキャナとは

クラウドポスチャ は、テンプレートファイルがAWSに起動される前にリスクを検出することで、AWSインフラストラクチャのコンプライアンスを維持するための予防手段としてテンプレートスキャナ機能を提供します。
APIエンドポイントは、CI/CDパイプラインと自動化に使用できます。
このサービスを使用して、テンプレートファイルを検索できます。現在、TerraformプランとCloudFormationテンプレートがサポートされています。 クラウドポスチャ プロファイルを使用してルールを設定できます。
パラメータを使用すると、スタックが作成されるたびにテンプレートへの入力値をカスタマイズできます。パラメータがテンプレートで定義されている場合は、argumentsフィールドを使用してパラメータ値を指定できます。

テンプレートスキャナの使用方法

Template Scannerは次の目的で使用できます。
  1. 検索中CloudFormationテンプレートまたはTerraformプラン
  2. テンプレートスキャナAPIを使用する

ルールを取得するAPIエンドポイント

次のAPIエンドポイントを使用して、検索可能なルールのリストを取得できます。

UIから検索

  1. 検索するルール設定の種類を選択します。
    • [初期設定のルール設定]: 組織のルール設定を使用してアップロードおよび検索します。
    • [プロファイルルールの設定]: 選択したプロファイルのルール設定を使用してアップロードおよび検索します。
    • [アカウントルールの設定]: 選択したアカウントのルール設定を使用してアップロードおよび検索します。

CloudFormationテンプレートの検索

  • CloudFormationテンプレートは、JSON形式またはYAML形式でアップロードできます。
  • を使用することもできます。 YAMLテンプレートの条件。

Terraformを検索しています

  • コマンドラインツールから次の手順に従って、TerraformテンプレートをJSON形式のTerraformプランに変換する必要があります。
    1. .tfテンプレートと同じディレクトリで、プロバイダの [アクセスキー][秘密鍵] 、および [輸出地域] をエクスポートします (例: 「AWS_REGION=us-east-1のエクスポート」)。
    2. コマンドを実行します。terraform init
    3. コマンドを実行します。terraform plan -out=your_file
    4. コマンドを実行しますterraform show -json your_file > your_file.json 。 Terraform JSON プランを .tf ファイルと同じフォルダーからテンプレート スキャナーにアップロードする準備ができました。
    5. 次のセクションの手順に従って、UI経由で検索するか、APIエンドポイントを使用します。
  • 選択したルール設定の検索結果を表示するには、 [アップロードして検索] をクリックします。
  • テンプレートの検索中にパラメータが見つからないというメッセージが表示されます。検索処理を [続行] または [キャンセル] のどちらにするかを決定します。
注意
注意
パラメータが指定されていないリソースは検索されないため、部分的な検索結果になります。
  1. レビューチェック検索結果からチェックに失敗すると、解決解決手順へのリンクが表示されたボタンをクリックします。ルールの詳細については、ルールを参照してください。
注意
注意
失敗したチェックで提供される解決手順は、CLIまたはコンソールを介したワークフロー用です。これらの手順は、CloudFormation内での解決のガイドとして使用することもできます。

検索結果が表示されないのはなぜですか?

次のいずれかの理由により、空の対応またはエラーが返されることがあります。
  1. サポートされていないリソースタイプまたはルール: テンプレートスキャナはリソースレベルのルールのみをサポートします。サポートされているルールとリソースタイプのリストのAPIを参照してください。今後、さらに多くのソースタイプのサポートを追加する予定です。優先度として必要な特定のリソースタイプがある場合は、 クラウドポスチャ にログインし、サポートチームにチケットを送信する
  2. 初期設定値のないパラメータ: 初期設定値のないパラメータを含むCloudFormationテンプレートは、処理に失敗することがあります。
  3. サポートされていない組み込み関数: 次の関数は完全にはサポートされていません。
    • Fn::ImportValue
    • Fn::Cidr
    • Fn::変換
    • Fn::ToJsonString
テンプレートが正しく検索されるように、これらの関数を一時的に静的な値に置き換えることができます。