使用 AWS CDK 结合 OPA 实现“策略即代码”

原創 亚马逊AWS官方博客 2020-11-11 10:03
{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","marks":[{"type":"italic"}],"text":"Original URL:"},{"type":"text","text":" "},{"type":"link","attrs":{"href":"https:\/\/aws.amazon.com\/blogs\/opensource\/realize-policy-as-code-with-aws-cloud-development-kit-through-open-policy-agent\/","title":"","type":null},"content":[{"type":"text","marks":[{"type":"italic"}],"text":"https:\/\/aws.amazon.com\/blogs\/opensource\/realize-policy-as-code-with-aws-cloud-development-kit-through-open-policy-agent\/"}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"link","attrs":{"href":"https:\/\/docs.aws.amazon.com\/cdk\/latest\/guide\/home.html","title":"","type":null},"content":[{"type":"text","text":"AWS Cloud Development Kit"}]},{"type":"text","text":"(AWS CDK)是一个开源软件框架,允许使用熟悉的编程语言来定义和配置AWS上的基础设施。“基础设施即代码”通过使用CDK对基础设施进行版本控制,能够更有效且可靠地管理AWS上的基础设施。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"当然,在计划部署新的AWS资源或更新时,我们必须确保这些更改没有引入安全漏洞,势必要建立安全合规基准,辅以流程遵循合规性要求。现在,是时候来设置和定义相应的安全基准,以确保AWS上基础设施的更改不会引起安全问题。"},{"type":"link","attrs":{"href":"https:\/\/www.openpolicyagent.org\/","title":"","type":null},"content":[{"type":"text","text":"开放策略代理"}]},{"type":"text","text":"(OPA)是一个云原生基金会的孵化项目,旨在针对云上基础设施的安全基准策略自动进行检查。OPA提供了统一的框架和语言,用于声明、实施和控制云上基础设施中各个部件的安全基准策略。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"将OPA与AWS CDK集成在一起之后,可获得“策略即代码”的能力,即在AWS CDK对AWS环境进行更改之前,对这些更改进行合规策略的检查。这种新方法带来很多好处,具体包括:"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"bulletedlist","content":[{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"各个团队成员可以轻松在实际更改之前进行策略检查。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"通过与CI \/ CD集成,可以自动执行策略检查。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"用户可以对“基础设施即代码”实施强制性检查。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"用户可以根据行业最佳实践框架(例如CIS AWS Benchmark)中的安全合规要求,编写自定义的OPA策略。"}]}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"总而言之,这将极大地缩短基础设施安全合规的事后检查周期。"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"这篇文章的其余部分将逐步介绍如何将OPA与AWS CDK结合使用,以实现“策略即代码”。这将涉及以下的任务:"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"bulletedlist","content":[{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"创建一个AWS CDK项目以部署AWS资源。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"根据REGO策略语言编写简单的OPA策略。"}]}]},{"type":"listitem","attrs":{"listStyle":null},"content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"利用OPA策略来检查AWS CDK的基础设施代码。"}]}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"先决条件"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"heading","attrs":{"align":null,"level":3},"content":[{"type":"text","text":"1.1 在AWS Cloud9中创建EC2环境"}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}}]}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

全面提升 RAG 质量!Zilliz 携手智源集成 Sparse Embedding、Reranke

Zilliz 持續爲 AI 應用開發者賦能! 近期,Zilliz 與智源研究院達成合作,將多種 BGE(BAAI General Embedding) 開源模型與開源向量數據庫 Milvus 集成。得益於 Milvus 2.4 最新推出的

原創 2024-04-29 21:20:24

一分钟部署 Llama3 中文大模型,没别的,就是快

前段時間百度創始人李彥宏信誓旦旦地說開源大模型會越來越落後,閉源模型會持續領先。隨後小扎同學就給了他當頭一棒,向他展示了什麼叫做頂級開源大模型。 美國當地時間4月18日,Meta 在官網上發佈了兩款開源大模型,參數分別達到 80 億 (8

原創 2024-04-29 21:14:30

如何从0到1设计诊断系统

引言        在整車電子電氣體系中,診斷系統的設計扮演着至關重要的角色,負責支持整車的刷寫、故障排查和EOL(End of Line)等關鍵操作。這一重要性在於這些操作的實現都依賴於診斷系統的全面支持。因此,在設計診斷系統時,必須確保

原創 2024-04-26 22:43:26

Nacos 安全零信任实践

作者:柳遵飛 Nacos 作爲配置中心經常存儲一些敏感信息,但是由於誤用導致安全風險,最常見的主要是以下兩個問題: 1)Nacos 暴露公網可以嗎?不可以,因爲 Nacos 定位是註冊配置中心,是內部系統,不應該暴露到公網使用。 2)不得已

原創 2024-04-26 21:12:11

centos7下Docker 安装

Docker 是一個開源的商業產品,有兩個版本:社區版(Community Edition,縮寫爲 CE)和企業版(Enterprise Edition,縮寫爲 EE)。企業版包含了一些收費服務,個人開發者一般用不到。下面的介紹都針對社區

原創 2024-04-26 13:11:00

技术实践|大模型内容安全蓝军的道与术

1、引子 大語言模型(LLM)在2023年大放異彩,在許多領域展現出強大的能力,包括角色扮演,文本創作,邏輯推理等。然而,隨着其應用範圍的擴大,生成內容的安全問題也日益凸顯。這包括但不限於生成虛假信息、有害內容、偏見或歧視性言論等。這些問題

原創 2024-04-26 09:33:23

MySQL 核心模块揭秘 | 15 期 | 事务模块小结

✍ 專欄小結 1 月 3 日,我在社區發佈事務模塊的第一篇文章;4 月 17 日,發佈了最後一篇文章。歷時 3 個半月,用 14 篇文章對事務模塊做了比較全面的介紹。 本文我們對事務模塊已經發布的 14 篇文章做個簡單回顧。 01 期《事

原創 2024-04-24 23:20:56

一则 TCP 缓存超负荷导致的 MySQL 连接中断的案例分析

除了 MySQL 本身之外,如何分析定位其他因素的可能性? 作者:龔唐傑,愛可生 DBA 團隊成員,主要負責 MySQL 技術支持,擅長 MySQL、PG、國產數據庫。 愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註

原創 2024-04-24 23:20:53

离开工位老是忘记锁屏?试着让电脑自动完成这事吧!

1.場景說明 公司要求離開工位要立刻鎖定電腦屏幕防止信息泄露,但無論是使用鎖屏快捷鍵還是設置觸發角,總感覺不得勁。想想汽車現在基本都是自動鎖車了,電腦它就不能自己鎖屏嗎?於是抽空蒐羅了一些自動化的解決方案,並按照Win和Mac進行分類。

原創 2024-04-24 23:17:17

高可用 - 隔离原则

前言 當討論高可用時,那麼必然有與之對應的低可用甚至不可用,但無論是哪種可用描述,其中都暗含了一個大衆共識,即不存在永久穩定運行的系統程序。 事實上,幾十年前圖靈也論證過類似的問題,稱爲“停機問題”,具體的描述是:能否爲A計算機編程,使得

原創 2024-04-24 23:17:13

对接HiveMetaStore,拥抱开源大数据

本文分享自華爲雲社區《對接HiveMetaStore,擁抱開源大數據》,作者:睡覺是大事。 1. 前言 適用版本:9.1.0及以上 在大數據融合分析時代,面對海量的數據以及各種複雜的查詢,性能是我們使用一款數據處理引擎最重要的考量

原創 2024-04-24 22:33:08

DataGear 企业版 1.1.0 发布,数据可视化分析平台

DataGear 企業版 1.1.0 正式發佈,歡迎大家瞭解試用! http://datagear.tech/pro/ 企業版 1.1.0 新增了MQTT、WebSocket實時數據集功能,新增了Redis、MongoDB數據集功能,具體更

原創 2024-04-24 21:42:05

Haskell 实现京东优惠券爬取的详细步骤解析

在當今的電商行業中,優惠券活動是吸引用戶的一種重要方式。京東作爲中國領先的電商平臺之一,其優惠券活動頻繁且多樣,爲用戶提供了豐富的購物體驗。然而,想要及時獲取最新的京東優惠券信息並非易事,尤其是在優惠券數量龐大的情況下。爲了解決這一問題,

原創 2024-04-28 23:27:18

三十分钟入门基础Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43

数据结构笔记浅记(十三) 哈希表

「哈希表 hash table」,又稱「散列表」,它通過建立鍵 key 與值 value 之間的映射,實現高效的元素查詢。具體而言,我們向哈希表中輸入一個鍵 key ,則可以在 𝑂(1) 時間內獲取對應的值 value 。 從本質上看,哈

原創 2024-04-24 23:39:16