AWS ofrece múltiples herramientas para implementar infraestructuras como código, tales como Cli, AWS CloudFormation, y AWS CDK. Describir la infraestructura como código facilita el gobierno, permite versionado, facilita la reconstrucción de un ambiente comprometido, y la evaluación de las plantillas para identificar non-compliances antes de que la infraestructura sea generada.
Se recomienda aprovechar la infraestructura como código (IaC) para crear, validar y recrear la infraestructura basada en código que se puede versionar e introducir en un proceso de gestión de cambios.
También hay disponibles soluciones de código abierto de terceros como Hashicorp Terraform, Ansible y otras.
El uso temprano de la infraestructura como código puede tener beneficios significativos, y no es sencillo crear plantillas de CloudFormation basadas en una infraestructura ya desplegada. Si usted forma parte de una gran organización que eventualmente se mudará a IaC, intente priorizar esta recomendación.
AWS publicó un código para hacer revisiones de compliance previo al deploy de templates de CloudFormation, que pueden ayudar a resolver el problema antes de tenerlo. Por ejemplo, podrían verificar que todo bucket a desplegar cuente con cifrado por defecto.
https://github.com/aws-cloudformation/cloudformation-guard
El servicio AWS CloudFormation es gratuito para la generación de recursos en AWS (sólo pagan por los recursos generados por la solución). Ver mas detalle en el siguiente link: