Ceci est le guide du développeur du AWS CDK v2. L'ancien CDK v1 est entré en maintenance le 1er juin 2022 et a pris fin le 1er juin 2023.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité pour AWS Kit de développement Cloud (AWS CDK)
Le AWS Modèle de responsabilité partagée
Chez Amazon Web Services (AWS), la sécurité dans le cloud est la priorité principale. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité. La sécurité est une responsabilité partagée entre vous AWS et vous. Le modèle de responsabilité partagée
Sécurité du cloud : AWS est chargée de protéger l'infrastructure qui exécute tous les services proposés dans le AWS cloud et de vous fournir des services que vous pouvez utiliser en toute sécurité. Notre responsabilité en matière de sécurité est notre priorité absolue AWS, et l'efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des programmes de AWS conformité
Sécurité dans le cloud — Votre responsabilité est déterminée par le AWS service que vous utilisez et par d'autres facteurs, notamment la sensibilité de vos données, les exigences de votre organisation et les lois et réglementations applicables.
Le AWS CDK suit le modèle de responsabilité partagée
Sécurité du AWS CDK
À partir d'un programme écrit dans un langage de programmation à usage général qui décrit la forme de l'infrastructure souhaitée, le AWS CDK génère un ensemble d'artefacts déployables qui créeront cette infrastructure.
Sécurité de l'infrastructure générée par défaut
(AWS« responsabilité ») Les constructions de la bibliothèque AWS Construct sont conçues pour générer une infrastructure qui n'autorise pas la divulgation de données, la manipulation de données, l'élévation de privilèges ou toute autre altération par des tiers non autorisés (sauf configuration contraire explicite, conformément au modèle de responsabilité partagée
Toute violation de cette attente peut être signalée par le biais des mécanismes de signalement des vulnérabilités mis en place à l'échelle de l'entreprise
Exécution dans un environnement fiable
(Votre responsabilité) Le CDK est conçu pour fonctionner dans un environnement fiable avec des entrées fiables. Il est de votre responsabilité de vous assurer que le code utilisateur, toutes les bibliothèques chargées en mémoire (y compris celles téléchargées depuis Internet via un gestionnaire de packages tel que NPM ou pip) ou les entrées dans les bibliothèques de construction du CDK sont fiables. Le CDK ne peut pas vous protéger contre les intentions malveillantes.
Vous ne devez pas utiliser le CDK dans un environnement où des auteurs non fiables écrivent des parties du code qui pilote une application CDK, ou dans lequel des parties non fiables contrôlent les entrées des constructions du CDK sans validation.
La vérification de conformité est un processus externe
(Votre responsabilité) En raison de l'expressivité illimitée offerte par un langage de programmation à usage général, les constructions CDK personnalisées ne peuvent garantir une conformité irréprochable aux politiques de sécurité. CDK dispose de mécanismes permettant de déplacer les contrôles de conformité vers la gauche, ainsi que de mécanismes qui peuvent aider les développeurs à répondre aux exigences de conformité avec un minimum d'efforts ; mais un développeur suffisamment déterminé sera toujours en mesure de contourner le résultat des constructions spécialement conçues.
Si vous avez besoin de garanties de conformité, imposez-les via un processus externe à l'application CDK, tel que CloudFormationHooks, ou une étape de validation de CloudFormation modèle distincte dans le pipeline CI.
