AWS ofrece múltiples herramientas para implementar infraestructuras como código, tales como Cli, AWS CloudFormation, y AWS CDK. Describir la infraestructura como código facilita el gobierno, permite versionado, facilita la reconstrucción de un ambiente comprometido, y la evaluación de las plantillas para identificar non-compliances antes de que la infraestructura sea generada.
AWS publicó un código para hacer revisiones de compliance previo al deploy de templates de CloudFormation, que pueden ayudar a resolver el problema antes de tenerlo. Por ejemplo, podrían verificar que todo bucket a desplegar cuente con cifrado por defecto.
https://github.com/aws-cloudformation/cloudformation-guard
El servicio AWS CloudFormation es gratuito para la generación de recursos en AWS (sólo pagan por los recursos generados por la solución). Ver mas detalle en el siguiente link: