search

AWS에서 Snyk IaC Describe 시작하기

hashtag
1단계: 환경에 대한 AWS 인증 구성

snyk iac describe 명령은 제대로 실행되려면 클라우드 공급자에 대한 인증이 필요합니다. 가능한 가장 낮은 읽기 전용 액세스 권한만 필요합니다. 기본적으로 AWS ReadOnlyAccess IAM 정책을 IAM 사용자에 대한 기본값으로 사용하여 시작할 수 있습니다.

snyk iac describeAWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_REGION 환경 변수arrow-up-right와 같은 AWS의 표준 인증 방법을 재사용할 수 있습니다. 이들이 설정되면 Snyk CLI는 AWS에 인증하기 위해 자동으로 이를 선택합니다.

또는 ~/.aws/credentials에서 AWS 프로필arrow-up-right을 구성하고 AWS_PROFILE 환경 변수를 사용할 수 있습니다.

hashtag
2단계: describe 명령을 사용하여 비관리형 리소스 보고

hashtag
비관리형 리소스

Snyk IaC는 비관리형 리소스를 보고할 수 있습니다. 비관리형 리소스는 클라우드 공급자에 존재하지만 Terraform 상태에는 없는 리소스입니다. 이러한 리소스를 Terraform으로 가져오거나 IaaS 계정에서 삭제할 수 있습니다.

관리형 리소스의 드리프트(drift) 감지에 대한 정보는 Terraform CLI 문서의 명령: planarrow-up-right을 참조하십시오.

hashtag
Terraform 상태 파일 선택

클라우드 환경에서 발생하는 드리프트를 이해하려면 환경의 상태를 하나 이상의 Terraform 상태 파일(.tfstate)과 비교하십시오.

상태 파일은 로컬 또는 S3 버킷에 있을 수 있습니다. Terraform Cloud도 사용할 수 있지만 이 시작 문서의 범위 밖입니다.

--from 옵션은 Snyk이 .tfstate 파일의 경로를 결정하는 데 도움이 됩니다.

단일 로컬 Terraform 상태 파일의 경우 다음 명령을 사용하십시오:

$ snyk iac describe --from="tfstate://path/to/terraform.tfstate"

주어진 디렉토리에서 발견된 모든 Terraform 상태를 자동으로 로드하려면 다음과 같은 glob 패턴을 사용할 수 있습니다:

$ snyk iac describe --from="tfstate://path/to/**/*.tfstate"

S3 백엔드에 저장된 단일 Terraform 상태의 경우:

$ snyk iac describe --from="tfstate+s3://my-bucket/path/to/state.tfstate"

--from 옵션에 나열하여 여러 Terraform 상태 파일을 집계할 수도 있습니다. 다른 파일을 스캔하기 위해 로컬 디렉토리를 스캔하거나 다른 소스에서 다른 경로를 사용할 수 있습니다. 두 개의 특정 Terraform 상태를 선택하려면 다음을 실행하십시오:

$ snyk iac describe --from="tfstate://path/to/terraform_S3.tfstate,tfstate://path/to/terraform_VPC.tfstate"

hashtag
결과 및 다음 단계

hashtag
베이스라인 생성

snyk iac describe를 한 번 실행하여 클라우드 인프라의 현재 IaC 커버리지 보고서를 받았습니다. 식별한 모든 이슈를 수정하고 변경할 계획이 없는 알려진 차이점만 남았을 때, 다음 스캔에서 해당 차이점이 표시되지 않도록 베이스라인을 생성할 수 있습니다.

두 가지 옵션이 있습니다: 특정 리소스를 무시하거나 여러 리소스를 무시합니다.

hashtag
여러 리소스 무시

describe 명령의 출력을 사용하여 결과를 추출하여 .snyk 제외 정책 업데이트:

$ snyk iac describe --json --all | snyk iac update-exclude-policy

hashtag
특정 리소스 무시

특정 리소스를 무시하려면 .snyk 파일을 수동으로 편집하고 exclude 목록에 리소스 세부 정보를 추가하여 제외해야 합니다. 자세한 내용은 리소스 무시를 참조하십시오.

이제 snyk iac describe를 반복적인 cronjob으로 추가하여 IaC 배포 외부에서 새 리소스가 생성될 때 알림을 받을 준비가 되었습니다.

Previous수동으로 생성된 리소스 감지Next클라우드 공급자 구성

Last updated