.snyk 정책 파일은 snyk iac describe에 의해 감지되는 것을 방지하기 위해 비관리형 리소스를 제외하는 데 사용될 수 있습니다. 일반적인 정보는 .snyk 정책 파일 문서를 참조하십시오.
특정 리소스 집합만 제외해야 하는 경우 .snyk을 사용하십시오. 더 복잡한 요구 사항이 있는 경우 필터 규칙 사용을 고려하십시오. 자세한 내용은 규칙 필터링을 참조하십시오.
snyk iac describe 명령을 실행하는 디렉토리(일반적으로 IaC 리포지토리의 루트)에 .snyk 파일을 생성하십시오.
각 줄은 다음과 같이 구성되어야 합니다:
resource_type.resource_id: resource_id는 주어진 유형의 모든 리소스를 제외하는 와일드카드입니다.
resource_type.resource_id.path.to.field_name: resource_id는 주어진 유형에 대해 주어진 필드의 드리프트를 무시하는 와일드카드이며, path도 와일드카드를 포함할 수 있습니다.
"tfc-demo"라는 이름의 단일 IAM 사용자(_aws_iam_user_)를 무시합니다.
# Snyk (https://snyk.io) 정책 파일, 알려진 취약점을 패치하거나 무시합니다.
version: v1.22.1
exclude:
iac-drift:
- aws_iam_user.tfc-demo
S3 버킷의 모든 비관리형 리소스를 무시합니다.
# Snyk (https://snyk.io) 정책 파일, 알려진 취약점을 패치하거나 무시합니다.
version: v1.22.1
exclude:
iac-drift:
- aws_s3_bucket.*
.snyk 정책 파일은 규칙의 부정(negation)도 지원합니다. 이를 통해 특정 유형을 제외한 모든 것을 무시할 수 있습니다. 이 예시에서는 S3 버킷만 무시되지 않습니다:
ARN (arn:aws:iam::aws:policy/aws-service-role/AmazonRDSServiceRolePolicy)을 사용하여 특정 IAM 정책 첨부(AWSServiceRoleForRDS)를 무시합니다.
my-bucket이라는 S3 버킷 등을 무시합니다.
이 페이지에 설명된 리소스 무시 방법은 필터 규칙과 함께 사용할 수 있습니다.
참고: 동일한 리소스가 필터 규칙에 포함되고 .snyk 파일 내에서 제외되는 경우 snyk iac describe는 이 리소스를 무시합니다.
자세한 내용은 snyk iac update-exclude-policy --help를 실행하십시오.
이 명령은 .snyk 정책 파일을 생성하고, 감지된 모든 드리프트를 추가하여 모두 무시할 수 있도록 돕습니다.
예를 들어, 모든 비관리형 리소스를 한 번에 무시하려면 다음 명령을 실행하십시오:
