我想将现有的 terraform 模板 (hcl) 转换为 aws cloudformation 模板 (json/yaml)。
我基本上是想通过CFN_NAG来查找这些模板的安全问题。
我已经尝试过的一种方法是将 HCL 转换为 JSON,然后将模板传递给 CFN_NAG,但由于两个模板的结构不同,我收到了失败。
有人可以在这里提供任何建议吗?
【问题讨论】:
标签: amazon-cloudformation terraform
实现这一点的一种相当复杂的方法是使用 Terraform 建立实际的 AWS 环境,然后使用 AWS 的 CloudFormer 从 Terraform 构建的内容中提取 CloudFormation 模板(JSON 或 YAML)。此时您可以使用cfn-nag。
CloudFormer 有一些限制,目前并非所有 AWS 资源都受支持(例如 RDS 安全组),但它会为您提供所有基本 AWS 资源。
不要忘记删除所有环境,包括 CloudFormer 的环境,以最大限度地降低成本。
【讨论】:
您想使用静态代码分析来查找 Terraform 设置中的安全问题。
尝试将 Terraform 转换为 CloudFormation 以便以后使用 cfn-nag 是一种方法。但是,现在有一些工具可以直接对 Terraform 设置进行操作。
我建议看看terrascan。它基于terraform_validate。
【讨论】:
https://github.com/bridgecrewio/checkov/ 对 terraform 和 cloudformation 运行安全扫描
【讨论】: