AWS は AWS Command Line Interface (AWS CLI)、AWS CloudFormation、AWS Cloud Development Kit (AWS CDK) など、Infrastructure as Code でデプロイするための複数のツールを提供しています。インフラストラクチャをコードとして記述することで、ガバナンスが容易になり、アーキテクチャのバージョン管理が可能になり、侵害された環境の再構築が容易になり、インフラストラクチャが生成される前に非準拠を特定するためのテンプレートの評価が可能になります。
バージョン管理可能で変更管理プロセスに導入できるコードに基づいて、インフラストラクチャを構築、検証、再作成するために、Infrastructure as Code (IaC) を活用することをお勧めします。
HashiCorp の Terraform、Ansible、その他のサードパーティのオープンソースソリューションも利用可能です。
Infrastructure as Code を早期に使用することで大きな利点が得られますが、既存のインフラストラクチャに基づいて CloudFormation テンプレートを構築するのは簡単ではありません。最終的に IaC に移行する予定の大規模な組織に所属している場合は、この推奨事項を優先することを検討してください。
AWS は、AWS CloudFormation テンプレートのデプロイ前にコンプライアンスレビューを行うためのツールを公開しており、問題が発生する前に解決するのに役立ちます。例えば、デプロイするすべてのバケットで暗号化がデフォルトで有効になっていることを確認できます。
公式サイト: AWS CloudFormation Guard