Este é o Guia do desenvolvedor do AWS CDK v2. O CDK v1 antigo entrou em manutenção em 1º de junho de 2022 e encerrou o suporte em 1º de junho de 2023.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança para o AWS Kit de desenvolvimento em nuvem (AWS CDK)

A ferramenta AWS Modelo de responsabilidade compartilhada

A segurança da nuvem na Amazon Web Services (AWS) é a nossa maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança. A segurança é uma responsabilidade compartilhada entre você AWS e você. O modelo de responsabilidade compartilhada descreve isso como a Segurança da nuvem e a Segurança na nuvem.

Segurança da nuvem — AWS é responsável por proteger a infraestrutura que executa todos os serviços oferecidos na AWS nuvem e fornecer serviços que você possa usar com segurança. Nossa responsabilidade de segurança é a maior prioridade em AWS, e a eficácia de nossa segurança é regularmente testada e verificada por auditores terceirizados como parte dos Programas de AWS Conformidade.

Segurança na nuvem — Sua responsabilidade é determinada pelo AWS serviço que você está usando e por outros fatores, incluindo a sensibilidade de seus dados, os requisitos da sua organização e as leis e regulamentos aplicáveis.

O AWS CDK segue o modelo de responsabilidade compartilhada por meio dos serviços específicos da Amazon Web Services (AWS) que ele suporta. Para AWS obter informações sobre segurança do AWS serviço, consulte a página de documentação de segurança do serviço e os AWS serviços que estão no escopo dos esforços de AWS conformidade do programa de conformidade.

Segurança do AWS CDK

Com um programa escrito em uma linguagem de programação de uso geral que descreve a forma da infraestrutura desejada, o AWS CDK gera um conjunto de artefatos implantáveis que criarão essa infraestrutura.

Segurança da infraestrutura padrão gerada

(AWS'responsabilidade) As construções na AWS Construct Library são projetadas para gerar infraestrutura que não permite divulgação de dados, manipulação de dados, elevação de privilégios ou outra adulteração por terceiros não autorizados (a menos que seja explicitamente configurado de outra forma, o que esteja de acordo com o modelo de responsabilidade compartilhada).

Qualquer violação dessa expectativa pode ser relatada por meio dos mecanismos de relatório de vulnerabilidades de toda a empresa.

Execução em um ambiente confiável

(Sua responsabilidade) O CDK foi projetado para ser executado em um ambiente confiável com entradas confiáveis. É sua responsabilidade garantir que o código do usuário, todas as bibliotecas carregadas na memória (incluindo aquelas baixadas da Internet por meio de um gerenciador de pacotes como NPM ou pip) ou entradas nas bibliotecas de construção do CDK sejam confiáveis. O CDK não pode protegê-lo de intenções maliciosas.

Você não deve usar o CDK em um ambiente em que autores não confiáveis escrevem partes do código que impulsiona um aplicativo CDK ou em que partes não confiáveis controlam as entradas nas construções do CDK sem validação.

A verificação de conformidade é um processo externo

(Sua responsabilidade) Devido à expressividade ilimitada proporcionada por uma linguagem de programação de uso geral, construções personalizadas de CDK não podem garantir uma conformidade incontornável com as políticas de segurança. O CDK tem mecanismos para mudar as verificações de conformidade para a esquerda e mecanismos que podem ajudar os desenvolvedores a atender aos requisitos de conformidade com o mínimo esforço; mas um desenvolvedor determinado o suficiente sempre será capaz de ignorar a saída das construções especialmente projetadas.

Se você precisar de garantias de conformidade, imponha-as por meio de um processo externo ao aplicativo CDK, como CloudFormationHooks, ou de uma etapa separada de validação de CloudFormation modelo no CI Pipeline.