CloudFormation Hooks recibe una gran mejora: anotaciones granulares e información más rica por validación
Hace unos meses publiqué un artículo introductorio sobre CloudFormation Hooks y cómo utilizarlos para habilitar validación proactiva en nuestras plantillas. Si no lo has leído, puedes encontrarlo aquí:
Introducción a CloudFormation Hooks: Validación proactiva para una nube segura
https://dev.to/pangoro24/introduccion-a-cloudformation-hooks-validacion-proactiva-para-una-nube-segura-340f
Hoy quiero compartir una actualización importante: AWS ha lanzado una mejora significativa relacionada a cómo los hooks pueden entregar información de validación, permitiéndonos crear anotaciones más claras, más completas y mucho más útiles para el usuario final.
AWS explica la novedad aquí:
https://aws.amazon.com/es/about-aws/whats-new/2025/11/aws-cloudformation-hooks-granular-invocation-details/
Y ya actualicé el demo en este nuevo repositorio:
https://github.com/pangoro24/aws-cloudformation-hooks (para poder dejar el de la sesión del community day tal como se explicó en su día)
Qué problema resuelve esta actualización
Antes de esta mejora, los hooks solo permitían un campo único llamado message para comunicar hallazgos. Esto generaba varios problemas en escenarios reales:
• Si el hook evaluaba múltiples reglas, todo debía colocarse en un solo texto.
• Para mantener claridad, la mayoría terminábamos usando paréntesis, listas improvisadas o pseudo-JSON, que funcionaban… pero no eran agradables ni consistentes.
• Desde la consola, el usuario veía un bloque de texto poco formateado, a veces difícil de leer.
Esto no solo afectaba la experiencia del desarrollador, sino también la claridad operativa y la capacidad de remediación.
Qué cambia con las nuevas anotaciones granulares
Ahora CloudFormation Hooks permite incluir anotaciones específicas por cada validación, con campos separados y claramente presentados en la consola, incluyendo:
• severity – nivel de criticidad
• status – resultado de la evaluación de la lógica
• status message – explicación más detallada que deseamos agregar
• remediation message – qué debe hacer el usuario
• remediation link – enlace directo a documentación o guías internas
• Y la posibilidad de ver todo esto desde el Invocation history (si no sabías que existe el invocation history, el detalle acá: https://aws.amazon.com/about-aws/whats-new/2025/09/cloudformation-hooks-managed-controls-summary/
Un ejemplo práctico
Imagina que definiste un hook para validar un recurso AWS::S3::Bucket con 3 reglas:
Que tenga Block Public Access habilitado
Que tenga versionamiento
Que tenga un ciclo de vida para los objetos
Con este nuevo modelo puedes elegir:
• Generar una anotación por cada validación, claramente independiente
• Generar anotaciones solo para las validaciones que fallaron
El usuario final verá cada anotación como un elemento independiente dentro del Invocation history. Nada de paredes de texto, nada de interpretar formatos improvisados.
Es una mejora real en cuanto a experiencia, claridad y gobernanza.
Cómo lo vemos desde la consola
Acá te muestro el antes y después de los mensajes de los hooks:
Antes: sin anotaciones
Ahora: con anotaciones
Conclusión
Esta mejora convierte a CloudFormation Hooks en una herramienta más madura para validación proactiva, gobernanza, seguridad y experiencia de desarrollador.
Ahora no solo podemos detectar malas configuraciones, sino también comunicar de manera clara qué se debe corregir y por qué.
Top comments (0)