View a markdown version of this page

Keamanan untuk AWS Cloud Development Kit (AWS CDK) - AWS Cloud Development Kit (AWS CDK) v2

Ini adalah Panduan Pengembang AWS CDK v2. CDK v1 yang lebih lama memasuki pemeliharaan pada 1 Juni 2022 dan mengakhiri dukungan pada 1 Juni 2023.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan untuk AWS Cloud Development Kit (AWS CDK)

Bagian AWS Model Tanggung Jawab Bersama

Keamanan cloud di Amazon Web Services (AWS) merupakan prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan. Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. Model Tanggung Jawab Bersama menggambarkan ini sebagai Keamanan dari Cloud dan Keamanan dalam Cloud.

Security of the Cloud - AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan semua layanan yang ditawarkan di AWS Cloud dan memberi Anda layanan yang dapat Anda gunakan dengan aman. Tanggung jawab keamanan kami adalah prioritas tertinggi di AWS, dan efektivitas keamanan kami secara teratur diuji dan diverifikasi oleh auditor pihak ketiga sebagai bagian dari Program AWS Kepatuhan.

Keamanan di Cloud — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan, dan faktor-faktor lain termasuk sensitivitas data Anda, persyaratan organisasi Anda, serta undang-undang dan peraturan yang berlaku.

AWS CDK mengikuti model tanggung jawab bersama melalui layanan Amazon Web Services (AWS) tertentu yang didukungnya. Untuk informasi keamanan AWS layanan, lihat halaman dokumentasi keamanan AWS layanan dan AWS layanan yang berada dalam lingkup upaya AWS kepatuhan oleh program kepatuhan.

Keamanan dari AWS CDK

Mengingat program yang ditulis dalam bahasa pemrograman tujuan umum yang menggambarkan bentuk infrastruktur yang Anda inginkan, AWS CDK menghasilkan satu set artefak deployable yang akan menciptakan infrastruktur itu.

Keamanan infrastruktur yang dihasilkan default

(AWS'tanggung jawab) Konstruksi di Perpustakaan AWS Konstruksi dirancang untuk menghasilkan infrastruktur yang tidak memungkinkan pengungkapan data, manipulasi data, peningkatan hak istimewa atau gangguan lainnya oleh pihak ketiga yang tidak berwenang (kecuali secara eksplisit dikonfigurasi sebaliknya, yang sejalan dengan model tanggung jawab bersama).

Setiap pelanggaran terhadap harapan ini dapat dilaporkan melalui mekanisme pelaporan kerentanan di seluruh perusahaan.

Eksekusi di lingkungan tepercaya

(Tanggung jawab Anda) CDK dirancang untuk berjalan di lingkungan tepercaya dengan input tepercaya. Adalah tanggung jawab Anda untuk memastikan kode pengguna, pustaka apa pun yang dimuat ke dalam memori (termasuk yang diunduh dari Internet melalui manajer paket seperti NPM atau pip), atau input ke pustaka konstruksi CDK dapat dipercaya. CDK tidak dapat melindungi Anda dari niat jahat.

Anda tidak boleh menggunakan CDK di lingkungan di mana penulis yang tidak tepercaya menulis bagian dari kode yang menggerakkan aplikasi CDK, atau di mana pihak yang tidak tepercaya mengontrol input ke konstruksi CDK tanpa validasi.

Verifikasi kepatuhan adalah proses eksternal

(Tanggung jawab Anda) Karena ekspresivitas tak terbatas yang diberikan oleh bahasa pemrograman tujuan umum, konstruksi CDK khusus tidak dapat menjamin kepatuhan yang tidak dapat dilewati dengan kebijakan keamanan. CDK memiliki mekanisme untuk menggeser pemeriksaan kepatuhan kiri, dan mekanisme yang dapat membantu pengembang memenuhi persyaratan kepatuhan dengan sedikit usaha; tetapi pengembang yang cukup ditentukan akan selalu dapat melewati output dari konstruksi yang dirancang khusus.

Jika Anda memerlukan jaminan kepatuhan, terapkan melalui proses di luar aplikasi CDK seperti CloudFormationHooks, atau langkah validasi CloudFormation templat terpisah di CI Pipeline.