我想将现有的terraform模板(hcl)转换为aws cloudformation模板(json / yaml)。
我基本上想通过CFN_NAG找到这些模板的安全问题。
我已经尝试过的方法是将HCL转换为JSON,然后将模板传递给CFN_NAG,但由于两个模板具有不同的结构,我收到了失败。
有人可以在这里提出任何建议吗?
答案 0 :(得分:8)
实现这一目标的一种相当复杂的方法是使用Terraform站起来实际的AWS环境,然后使用AWS的CloudFormer从Terraform构建的内容中提取CloudFormation模板(JSON或YAML)。此时您可以使用cfn-nag。
CloudFormer有一些限制,因为目前并不支持所有AWS资源(例如RDS安全组),但它会为您提供所有基本的AWS资源。
不要忘记删除所有环境,包括CloudFormer,以最大限度地降低成本。
答案 1 :(得分:1)
您希望使用静态代码分析来查找Terraform设置中的安全问题。
尝试将Terraform转换为CloudFormation以便以后使用cfn-nag是一种方法。但是,现在存在直接在Terraform设置上运行的工具。
我建议您查看terrascan。它建立在terraform_validate。
之上答案 2 :(得分:0)
https://github.com/bridgecrewio/checkov/ 对 terraform 和 cloudformation 运行安全扫描