Esta es la guía para desarrolladores de AWS CDK v2. La primera versión del CDK pasó a la etapa de mantenimiento el 1.° de junio de 2022 y no cuenta con soporte desde el 1.° de junio de 2023.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Seguridad para el AWS Kit de Desarrollo en la Nube (AWS CDK)
La AWS Modelo de responsabilidad compartida
La seguridad en la nube de Amazon Web Services (AWS) es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad. La seguridad es una responsabilidad compartida entre usted AWS y usted. En el modelo de responsabilidad compartida
Seguridad de la nube: AWS se encarga de proteger la infraestructura en la que se ejecutan todos los servicios que se ofrecen en la AWS nube y de proporcionarle servicios que pueda utilizar de forma segura. Nuestra responsabilidad en materia de seguridad es nuestra máxima prioridad AWS, y auditores externos comprueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los programas de AWS conformidad
Seguridad en la nube: su responsabilidad viene determinada por el AWS servicio que utilice y otros factores, como la confidencialidad de sus datos, los requisitos de su organización y las leyes y reglamentos aplicables.
La AWS CDK sigue el modelo de responsabilidad compartida
Seguridad del AWS CDK
Si se trata de un programa escrito en un lenguaje de programación de uso general que describe la forma de la infraestructura deseada, el AWS CDK genera un conjunto de artefactos desplegables que crearán esa infraestructura.
Seguridad de la infraestructura generada por defecto
(AWS'responsabilidad) Los componentes de la biblioteca AWS Construct están diseñados para generar una infraestructura que no permita la divulgación de datos, la manipulación, la elevación de privilegios o cualquier otro tipo de manipulación por parte de terceros no autorizados (a menos que se configure explícitamente lo contrario, lo que está en línea con el modelo de responsabilidad compartida
Cualquier incumplimiento de esta expectativa se puede denunciar a través de los mecanismos de notificación de vulnerabilidades de toda la empresa
Ejecución en un entorno de confianza
(Su responsabilidad) El CDK está diseñado para funcionar en un entorno confiable con entradas confiables. Es su responsabilidad garantizar que el código de usuario, las bibliotecas cargadas en la memoria (incluidas las que se descargan de Internet mediante un administrador de paquetes como NPM o pip) o las entradas de las bibliotecas de construcción del CDK sean fiables. El CDK no puede protegerlo de cualquier intención maliciosa.
No debe utilizar la CDK en un entorno en el que autores no confiables escriban partes del código que impulsa una aplicación de CDK o en el que personas que no sean de confianza controlen las entradas de las construcciones de la CDK sin validarlas.
La verificación del cumplimiento es un proceso externo
(Su responsabilidad) Debido a la expresividad ilimitada que ofrece un lenguaje de programación de uso general, las construcciones CDK personalizadas no pueden garantizar un cumplimiento ineludible de las políticas de seguridad. CDK cuenta con mecanismos que permiten prescindir de las comprobaciones de conformidad y de mecanismos que pueden ayudar a los desarrolladores a cumplir los requisitos de conformidad con un mínimo esfuerzo; sin embargo, un desarrollador con la suficiente determinación siempre será capaz de evitar el resultado de las construcciones especialmente diseñadas.
Si necesita garantías de conformidad, impóngalas a través de un proceso externo a la aplicación CDK, como CloudFormationHooks, o mediante un paso independiente de validación de CloudFormation plantillas (CI Pipeline).