@dga-itc/aws-cdk-constructs 1.0.0

package/dist/aws-cdk/interfaces/nlb-config.d.ts

@@ -0,0 +1,69 @@
+export interface NlbListenerConfig {
+    /** Listener port on NLB */
+    port: number;
+    /** Protocol: TCP or TLS */
+    protocol: 'TCP' | 'TLS';
+    /** Certificate ARN - required for TLS protocol */
+    certificateArn?: string;
+    /** Port to forward to on ALB (default: same as listener port) */
+    targetPort?: number;
+    /** Custom Target Group name (max 32 chars) */
+    targetGroupName?: string;
+}
+export interface NlbHealthCheckConfig {
+    /** Health check protocol (default: 'HTTP' for ALB target) */
+    protocol?: 'TCP' | 'HTTP' | 'HTTPS';
+    /** Health check path - required for HTTP/HTTPS (default: '/') */
+    path?: string;
+    /** Health check port override (default: uses target port) */
+    port?: number;
+    /** Interval in seconds (default: 30) */
+    interval?: number;
+    /** Healthy threshold count (default: 3) */
+    healthyThresholdCount?: number;
+    /** Unhealthy threshold count (default: 3) */
+    unhealthyThresholdCount?: number;
+    /** HTTP status codes to consider healthy (default: '200') e.g. '200-399' */
+    healthyHttpCodes?: string;
+}
+export interface NlbSecurityConfig {
+    /** Allow from 0.0.0.0/0 on listener ports (default: true) */
+    allowFromAnywhere?: boolean;
+    /** Additional CIDRs to allow */
+    allowFromCidrs?: string[];
+}
+export interface NlbVpcRefSource {
+    vpcStackName: string;
+    /** ใช้ subnet ชื่ออะไร (default: 'public') */
+    subnetName?: string;
+}
+export interface NlbConfig {
+    stackName: string;
+    nlbName: string;
+    region?: string;
+    account?: string;
+    /** อ้างอิง Account Config name (ดู configs/accounts/) */
+    accountConfigName?: string;
+    /** Custom Security Group name (optional, removes CDK hash suffix) */
+    securityGroupName?: string;
+    /** VPC source - อ้างอิง VPC stack */
+    source: NlbVpcRefSource;
+    /** ALB stack name ที่จะเป็น target ของ NLB */
+    albStackName: string;
+    /** Listener configurations (TCP/TLS → ALB) */
+    listeners: NlbListenerConfig[];
+    /** Security configuration */
+    security?: NlbSecurityConfig;
+    /** Health check for NLB → ALB target group */
+    healthCheck?: NlbHealthCheckConfig;
+    /** Enable cross-zone load balancing (default: true) */
+    crossZoneEnabled?: boolean;
+    /** Deletion protection (default: false) */
+    deletionProtection?: boolean;
+    /** Removal policy (default: 'destroy') */
+    removalPolicy?: 'destroy' | 'retain';
+    /** อ้างอิง Tag Config name (ดู configs/tags/) */
+    tagConfigName?: string;
+    /** Tags เสริม — merge กับ tagConfigName (override ถ้า key ซ้ำ) */
+    tags?: Record<string, string>;
+}

package/dist/aws-cdk/interfaces/nlb-config.js

@@ -0,0 +1,2 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });

package/dist/aws-cdk/interfaces/rds-config.d.ts

@@ -0,0 +1,84 @@
+/**
+ * RDS Configuration Interface
+ *
+ * สำหรับสร้าง RDS Database Instance (MySQL/MariaDB/PostgreSQL)
+ */
+export interface RdsVpcRefSource {
+    vpcStackName: string;
+    /** ใช้ subnet ชื่ออะไร (default: 'db') */
+    subnetName?: string;
+}
+export interface RdsConfig {
+    stackName: string;
+    instanceIdentifier: string;
+    region?: string;
+    account?: string;
+    /** อ้างอิง Account Config name (ดู configs/accounts/) */
+    accountConfigName?: string;
+    /** VPC source - อ้างอิง VPC stack */
+    source: RdsVpcRefSource;
+    /** Custom Security Group name (optional) */
+    securityGroupName?: string;
+    /** Database engine: 'mysql' | 'mariadb' | 'postgres' */
+    engine: 'mysql' | 'mariadb' | 'postgres';
+    /** Engine version (e.g., '10.6' for MariaDB, '8.0' for MySQL) */
+    engineVersion: string;
+    /** Instance class (default: 'db.t3.medium') */
+    instanceClass?: string;
+    /** Allocated storage in GB (default: 20) */
+    allocatedStorage?: number;
+    /** Max allocated storage for autoscaling in GB (optional) */
+    maxAllocatedStorage?: number;
+    /** Storage type (default: 'gp3') */
+    storageType?: 'gp2' | 'gp3' | 'io1' | 'io2';
+    /** IOPS for gp3/io1/io2 (optional) */
+    iops?: number;
+    /** Storage throughput for gp3 in MiB/s (optional) */
+    storageThroughput?: number;
+    /** Database name */
+    databaseName: string;
+    /** Master username */
+    masterUsername: string;
+    /** Master password from Secrets Manager ARN */
+    masterPasswordSecretArn?: string;
+    /** Master password (plain text - not recommended, use secret) */
+    masterPassword?: string;
+    /** Enable Multi-AZ (default: true for prod) */
+    multiAz?: boolean;
+    /** Enable storage encryption (default: true) */
+    storageEncrypted?: boolean;
+    /** KMS key ARN for encryption (optional) */
+    kmsKeyArn?: string;
+    /** Enable deletion protection (default: true for prod) */
+    deletionProtection?: boolean;
+    /** Backup retention period in days (default: 7) */
+    backupRetentionPeriod?: number;
+    /** Preferred backup window (default: '03:00-04:00') */
+    preferredBackupWindow?: string;
+    /** Preferred maintenance window (default: 'sun:04:00-sun:05:00') */
+    preferredMaintenanceWindow?: string;
+    /** Enable Performance Insights (default: true) */
+    performanceInsightsEnabled?: boolean;
+    /** Performance Insights retention in days (default: 7) */
+    performanceInsightsRetention?: number;
+    /** Enable Enhanced Monitoring (default: true) */
+    enhancedMonitoringEnabled?: boolean;
+    /** Enhanced Monitoring interval in seconds (default: 60) */
+    monitoringInterval?: number;
+    /** Enable auto minor version upgrade (default: true) */
+    autoMinorVersionUpgrade?: boolean;
+    /** Enable public accessibility (default: false) */
+    publiclyAccessible?: boolean;
+    /** Port (default: 3306 for MySQL/MariaDB, 5432 for PostgreSQL) */
+    port?: number;
+    /** Parameter group family (e.g., 'mariadb10.6', 'mysql8.0', 'postgres14') */
+    parameterGroupFamily?: string;
+    /** Custom parameters */
+    parameters?: Record<string, string>;
+    /** Removal policy (default: 'retain' for data safety) */
+    removalPolicy?: 'destroy' | 'retain' | 'snapshot';
+    /** อ้างอิง Tag Config name (ดู configs/tags/) */
+    tagConfigName?: string;
+    /** Tags เสริม — merge กับ tagConfigName (override ถ้า key ซ้ำ) */
+    tags?: Record<string, string>;
+}

package/dist/aws-cdk/interfaces/rds-config.js

@@ -0,0 +1,7 @@
+"use strict";
+/**
+ * RDS Configuration Interface
+ *
+ * สำหรับสร้าง RDS Database Instance (MySQL/MariaDB/PostgreSQL)
+ */
+Object.defineProperty(exports, "__esModule", { value: true });

package/dist/aws-cdk/interfaces/sqs-config.d.ts

@@ -0,0 +1,145 @@
+/**
+ * SQS + Dead Letter Queue Config Interface
+ *
+ * สร้าง SQS Queue พร้อม Dead Letter Queue (DLQ) อัตโนมัติ
+ *
+ * Architecture:
+ *   Producer → SQS Queue → Consumer
+ *                  ↓ (failed messages)
+ *              DLQ Queue → alarm / reprocessing
+ */
+export interface SqsDlqConfig {
+    /**
+     * จำนวนครั้งที่ retry ก่อนส่งเข้า DLQ
+     * (default: 3)
+     */
+    maxReceiveCount?: number;
+    /**
+     * DLQ message retention period (วินาที)
+     * (default: 1209600 = 14 วัน — maximum)
+     */
+    retentionPeriod?: number;
+    /**
+     * DLQ visibility timeout (วินาที)
+     * (default: ใช้ค่า visibilityTimeout ของ main queue)
+     */
+    visibilityTimeout?: number;
+    /**
+     * ชื่อ DLQ (default: จะสร้างจาก queueName + '-dlq')
+     */
+    queueName?: string;
+}
+export interface SqsEncryptionConfig {
+    /**
+     * Encryption type
+     * - 'sqs-managed' → SQS managed encryption (SSE-SQS, default)
+     * - 'kms' → KMS encryption (SSE-KMS)
+     * - 'none' → ไม่เข้ารหัส
+     * (default: 'sqs-managed')
+     */
+    type?: 'sqs-managed' | 'kms' | 'none';
+    /** KMS key ARN (required if type = 'kms') */
+    kmsKeyArn?: string;
+    /** KMS data key reuse period in seconds (default: 300) */
+    kmsDataKeyReusePeriod?: number;
+}
+export interface SqsRedriveAllowConfig {
+    /**
+     * Redrive allow policy — กำหนดว่า queue ใดบ้างที่มีสิทธิ์ใช้ queue นี้เป็น DLQ
+     * - 'allowAll' → ทุก queue ใน account ใช้ได้ (default)
+     * - 'denyAll' → ไม่มีใครใช้ได้
+     * - 'byQueue' → ระบุ queue ARN ที่อนุญาต
+     */
+    redrivePermission?: 'allowAll' | 'denyAll' | 'byQueue';
+    /** Queue ARNs ที่อนุญาต (ใช้เมื่อ redrivePermission = 'byQueue') */
+    sourceQueueArns?: string[];
+}
+export interface SqsConfig {
+    stackName: string;
+    /** SQS queue name */
+    queueName: string;
+    /** Account config reference (ดู configs/accounts/) */
+    accountConfigName?: string;
+    account?: string;
+    region?: string;
+    /**
+     * FIFO queue
+     * - true → FIFO queue (.fifo suffix จะถูกเพิ่มอัตโนมัติ)
+     * - false → Standard queue (default)
+     */
+    fifo?: boolean;
+    /**
+     * Content-based deduplication (FIFO only)
+     * ใช้ message body hash เป็น deduplication ID
+     * (default: false)
+     */
+    contentBasedDeduplication?: boolean;
+    /**
+     * FIFO throughput limit
+     * - 'perQueue' → 300 msg/s per queue (default)
+     * - 'perMessageGroupId' → 300 msg/s per message group
+     */
+    fifoThroughputLimit?: 'perQueue' | 'perMessageGroupId';
+    /**
+     * High throughput FIFO (requires fifoThroughputLimit: 'perMessageGroupId')
+     * เปิดให้ได้ 3,000 msg/s ต่อ API action per queue
+     * (default: false)
+     */
+    highThroughputFifo?: boolean;
+    /**
+     * Visibility timeout (วินาที)
+     * ระยะเวลาที่ message จะถูกซ่อนหลังจาก consumer receive
+     * (default: 30)
+     */
+    visibilityTimeout?: number;
+    /**
+     * Message retention period (วินาที)
+     * ระยะเวลาที่ SQS เก็บ message ไว้ก่อนลบ
+     * (default: 345600 = 4 วัน)
+     * (max: 1209600 = 14 วัน)
+     */
+    retentionPeriod?: number;
+    /**
+     * Delay seconds — delay ก่อน message จะ available
+     * (default: 0)
+     * (max: 900 = 15 นาที)
+     */
+    deliveryDelay?: number;
+    /**
+     * Receive message wait time (วินาที) — สำหรับ long polling
+     * (default: 0 = short polling)
+     * (recommended: 20 = long polling)
+     */
+    receiveMessageWaitTime?: number;
+    /**
+     * Maximum message size (bytes)
+     * (default: 262144 = 256 KB — maximum)
+     */
+    maxMessageSize?: number;
+    /**
+     * Dead Letter Queue config
+     * ถ้าไม่ใส่ → ไม่สร้าง DLQ
+     * ถ้าใส่ {} → สร้าง DLQ ด้วย defaults (maxReceiveCount: 3, retention: 14 วัน)
+     */
+    deadLetterQueue?: SqsDlqConfig;
+    /** Encryption config (default: SQS managed encryption) */
+    encryption?: SqsEncryptionConfig;
+    /**
+     * AWS account IDs ที่อนุญาตให้ส่ง message เข้า queue
+     * (เพิ่ม SendMessage permission ให้ accounts เหล่านี้)
+     */
+    allowSendFromAccounts?: string[];
+    /**
+     * AWS account IDs ที่อนุญาตให้รับ message จาก queue
+     * (เพิ่ม ReceiveMessage + DeleteMessage permission)
+     */
+    allowReceiveFromAccounts?: string[];
+    /** Redrive allow policy for DLQ */
+    redriveAllowPolicy?: SqsRedriveAllowConfig;
+    /** Removal policy (default: 'destroy') */
+    removalPolicy?: 'destroy' | 'retain';
+    /** Tag config name (ดู configs/tags/) */
+    tagConfigName?: string;
+    /** Additional tags */
+    tags?: Record<string, string>;
+}

package/dist/aws-cdk/interfaces/sqs-config.js

@@ -0,0 +1,12 @@
+"use strict";
+/**
+ * SQS + Dead Letter Queue Config Interface
+ *
+ * สร้าง SQS Queue พร้อม Dead Letter Queue (DLQ) อัตโนมัติ
+ *
+ * Architecture:
+ *   Producer → SQS Queue → Consumer
+ *                  ↓ (failed messages)
+ *              DLQ Queue → alarm / reprocessing
+ */
+Object.defineProperty(exports, "__esModule", { value: true });

package/dist/aws-cdk/interfaces/tag-config.d.ts

@@ -0,0 +1,18 @@
+/**
+ * Tag Configuration Interface
+ *
+ * ใช้เป็น "resource" กลางสำหรับ tags เหมือน VPC ที่ทุก service อ้างอิง
+ *
+ * วิธีใช้:
+ * 1. สร้าง TagConfig ใน configs/tags/ (เช่น myapp-prod-tags.ts)
+ * 2. ทุก service config ใส่ tagConfigName เพื่ออ้างอิง
+ * 3. bin/main.ts จะ resolve tags จาก tagConfigName + merge กับ service tags
+ *
+ * ลำดับ priority: service tags > tag config tags
+ */
+export interface TagConfig {
+    /** ชื่อ tag config (ใช้อ้างอิงจาก service configs) */
+    name: string;
+    /** Tags กลางที่ติดทุก resource ใน project นี้ */
+    tags: Record<string, string>;
+}

package/dist/aws-cdk/interfaces/tag-config.js

@@ -0,0 +1,2 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });

package/dist/aws-cdk/interfaces/vpc-config.d.ts

@@ -0,0 +1,72 @@
+export type VpcType = 'demo' | 'dev' | 'uat' | 'prod';
+export type RouteTarget = {
+    type: 'igw';
+} | {
+    type: 'nat';
+    natIndex: number;
+} | {
+    type: 'vpcPeering';
+    peeringId: string;
+} | {
+    type: 'transitGateway';
+    tgwId: string;
+} | {
+    type: 'vpcEndpoint';
+    endpointId: string;
+};
+export interface RouteConfig {
+    destinationCidr: string;
+    target: RouteTarget;
+}
+export interface SubnetConfig {
+    name: string;
+    cidr: string;
+    az: string;
+    type: 'public' | 'private' | 'isolated';
+}
+export interface RouteTableConfig {
+    name: string;
+    az?: string;
+    routes: RouteConfig[];
+}
+export interface VpcConfig {
+    stackName: string;
+    name: string;
+    type: VpcType;
+    region?: string;
+    account?: string;
+    /** อ้างอิง Account Config name (ดู configs/accounts/) — ถ้าใส่จะใช้แทน account + region */
+    accountConfigName?: string;
+    cidr: string;
+    secondaryCidrs?: string[];
+    subnets: SubnetConfig[];
+    routeTablePerAz?: boolean;
+    routeTables?: RouteTableConfig[];
+    enableFlowLogs?: boolean;
+    enableDnsHostnames?: boolean;
+    enableDnsSupport?: boolean;
+    natGateways?: {
+        subnetName: string;
+        az?: string;
+    }[];
+    nacls?: NaclConfig[];
+    removalPolicy?: 'destroy' | 'retain';
+    /** อ้างอิง Tag Config name (ดู configs/tags/) */
+    tagConfigName?: string;
+    /** Tags เสริม — merge กับ tagConfigName (override ถ้า key ซ้ำ) */
+    tags?: Record<string, string>;
+}
+export interface NaclRuleConfig {
+    ruleNumber: number;
+    protocol: number;
+    ruleAction: 'allow' | 'deny';
+    cidr: string;
+    fromPort?: number;
+    toPort?: number;
+    egress: boolean;
+}
+export interface NaclConfig {
+    name: string;
+    subnetNames: string[];
+    rules: NaclRuleConfig[];
+}

package/dist/aws-cdk/interfaces/vpc-config.js

@@ -0,0 +1,2 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });

package/dist/aws-cdk/interfaces/waf-config.d.ts

@@ -0,0 +1,180 @@
+import * as logs from 'aws-cdk-lib/aws-logs';
+/**
+ * WAF v2 WebACL Configuration Interface
+ *
+ * สร้าง AWS WAF WebACL พร้อม AWS Managed Rule Sets
+ *
+ * ⚠️ สำหรับ CloudFront: scope ต้องเป็น 'CLOUDFRONT' และ region ต้องเป็น us-east-1
+ * ⚠️ สำหรับ ALB/API Gateway: scope ต้องเป็น 'REGIONAL' และ region เดียวกับ resource
+ */
+/**
+ * Preset AWS Managed Rule Groups ที่ใช้บ่อย
+ *
+ * Core Rule Sets:
+ * - 'AWSManagedRulesCommonRuleSet'          : General web app protection (XSS, file inclusion, etc.)
+ * - 'AWSManagedRulesKnownBadInputsRuleSet'  : Known bad inputs & exploits (Log4j, SSRF, etc.)
+ * - 'AWSManagedRulesSQLiRuleSet'            : SQL Injection protection
+ *
+ * Use Case Rule Sets:
+ * - 'AWSManagedRulesLinuxRuleSet'           : Linux-specific LFI/RCE attacks
+ * - 'AWSManagedRulesUnixRuleSet'            : Unix-specific POSIX OS attacks
+ * - 'AWSManagedRulesWindowsRuleSet'         : Windows-specific (PowerShell, cmd)
+ * - 'AWSManagedRulesPHPRuleSet'             : PHP-specific attacks
+ * - 'AWSManagedRulesWordPressRuleSet'       : WordPress-specific exploits
+ *
+ * IP Reputation:
+ * - 'AWSManagedRulesAmazonIpReputationList' : Known malicious IP addresses
+ * - 'AWSManagedRulesAnonymousIpList'        : VPN/Tor/proxy/hosting providers
+ *
+ * Bot Control:
+ * - 'AWSManagedRulesBotControlRuleSet'      : Bot detection & mitigation (มีค่าใช้จ่ายเพิ่ม)
+ *
+ * Account Takeover:
+ * - 'AWSManagedRulesATPRuleSet'             : Account takeover prevention (มีค่าใช้จ่ายเพิ่ม)
+ */
+export interface WafManagedRuleGroupConfig {
+    /** AWS Managed Rule Group name (e.g., 'AWSManagedRulesCommonRuleSet') */
+    name: string;
+    /** Vendor name (default: 'AWS') */
+    vendorName?: string;
+    /** Rule priority (ต้อง unique ต่อ WebACL, ค่าน้อย = evaluate ก่อน) */
+    priority: number;
+    /**
+     * Override action สำหรับ managed rule group
+     * - 'none'  → ใช้ action ตามที่ rule group กำหนด (Block/Count) — default
+     * - 'count' → Count only ไม่ block (ใช้ตอนทดสอบ)
+     */
+    overrideAction?: 'none' | 'count';
+    /**
+     * Rule overrides สำหรับ rules ภายใน rule group
+     * ใช้เมื่อต้องการ override บาง rule ให้เป็น Count แทน Block (false positive)
+     *
+     * Example: { 'SizeRestrictions_BODY': 'count' }  → ไม่ block requests ที่ body ใหญ่
+     */
+    ruleOverrides?: Record<string, 'count' | 'block' | 'allow'>;
+    /**
+     * Excluded rules — ปิดการทำงานของ rules เหล่านี้ทั้งหมด
+     * ใช้เมื่อ rule ทำให้เกิด false positive มาก
+     *
+     * Example: ['CrossSiteScripting_BODY'] → ปิด XSS check สำหรับ body
+     */
+    excludedRules?: string[];
+}
+export interface WafRateLimitConfig {
+    /** Rule priority */
+    priority: number;
+    /**
+     * Rate limit per 5-minute window per IP
+     * (min: 100, max: 2,000,000,000)
+     * Default: 2000
+     */
+    limit: number;
+    /**
+     * Action เมื่อเกิน rate limit
+     * - 'block' → block request (default)
+     * - 'count' → count only (ใช้ตอนทดสอบ)
+     */
+    action?: 'block' | 'count';
+}
+export interface WafGeoBlockConfig {
+    /** Rule priority */
+    priority: number;
+    /**
+     * ISO 3166-1 alpha-2 country codes to block
+     * e.g., ['CN', 'RU', 'KP']
+     */
+    countryCodes: string[];
+    /**
+     * Action
+     * - 'block' → block requests from these countries (default)
+     * - 'count' → count only
+     */
+    action?: 'block' | 'count';
+}
+export interface WafIpSetConfig {
+    /** Display name */
+    name: string;
+    /** Rule priority */
+    priority: number;
+    /**
+     * IP addresses in CIDR notation
+     * e.g., ['203.0.113.0/24', '198.51.100.1/32']
+     */
+    addresses: string[];
+    /**
+     * IP version (default: 'IPV4')
+     */
+    ipAddressVersion?: 'IPV4' | 'IPV6';
+    /**
+     * Action
+     * - 'allow' → allow these IPs (whitelist)
+     * - 'block' → block these IPs (blacklist)
+     * - 'count' → count only
+     */
+    action: 'allow' | 'block' | 'count';
+}
+export interface WafLoggingConfig {
+    /** Log retention (default: ONE_MONTH) */
+    retention?: logs.RetentionDays;
+    /**
+     * Log filter — เลือก log เฉพาะบาง action
+     * - 'all'     → log ทุก request
+     * - 'blocked' → log เฉพาะ blocked requests (default, ประหยัด cost)
+     */
+    logFilter?: 'all' | 'blocked';
+    /** Log group removal policy (default: 'destroy') */
+    removalPolicy?: 'destroy' | 'retain';
+}
+export interface WafConfig {
+    stackName: string;
+    region?: string;
+    account?: string;
+    /** อ้างอิง Account Config name (ดู configs/accounts/) */
+    accountConfigName?: string;
+    /**
+     * WAF Scope:
+     * - 'CLOUDFRONT' → สำหรับ CloudFront (ต้อง deploy ใน us-east-1)
+     * - 'REGIONAL'   → สำหรับ ALB, API Gateway, AppSync
+     */
+    scope: 'CLOUDFRONT' | 'REGIONAL';
+    /** WebACL name */
+    webAclName: string;
+    /** WebACL description */
+    description?: string;
+    /**
+     * Default action เมื่อไม่ match rule ใดเลย
+     * - 'allow' → allow request (default — ใช้ rules เป็น blocklist)
+     * - 'block' → block request (ใช้ rules เป็น allowlist)
+     */
+    defaultAction?: 'allow' | 'block';
+    /** AWS Managed Rule Groups */
+    managedRuleGroups?: WafManagedRuleGroupConfig[];
+    /** Rate limiting rule */
+    rateLimit?: WafRateLimitConfig;
+    /** Geographic blocking rule */
+    geoBlock?: WafGeoBlockConfig;
+    /** IP Allow List (whitelist) */
+    ipAllowList?: WafIpSetConfig;
+    /** IP Block List (blacklist) */
+    ipBlockList?: WafIpSetConfig;
+    /** Logging configuration (optional) */
+    logging?: WafLoggingConfig;
+    /**
+     * สำหรับ CLOUDFRONT scope → ไม่ต้อง associate ที่นี่
+     * ไปใส่ webAclId ที่ CloudFront config แทน
+     *
+     * สำหรับ REGIONAL scope → ระบุ resource ARN ที่ต้องการ associate
+     * e.g., ALB ARN
+     */
+    associatedResourceArns?: string[];
+    /** Enable CloudWatch metrics (default: true) */
+    enableCloudWatchMetrics?: boolean;
+    /** Enable sampled requests (default: true) */
+    enableSampledRequests?: boolean;
+    /** Removal policy (default: 'destroy') */
+    removalPolicy?: 'destroy' | 'retain';
+    /** อ้างอิง Tag Config name (ดู configs/tags/) */
+    tagConfigName?: string;
+    /** Tags เสริม */
+    tags?: Record<string, string>;
+}

package/dist/aws-cdk/interfaces/waf-config.js

@@ -0,0 +1,2 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });

package/dist/aws-cdk/utils/priority-tracker.d.ts

@@ -0,0 +1,60 @@
+/**
+ * Priority Tracker for ALB Listener Rules
+ *
+ * Manages priority assignments for ALB Listener Rules to prevent conflicts.
+ * Priorities must be unique within a listener (range: 1-50000).
+ */
+export interface PriorityAssignment {
+    serviceName: string;
+    priority: number;
+    path?: string;
+    host?: string;
+}
+export declare class PriorityTracker {
+    private assignments;
+    private serviceNames;
+    /**
+     * Register a priority assignment
+     * @param serviceName Name of the ECS service
+     * @param priority Priority value (1-50000)
+     * @param path Optional path pattern
+     * @param host Optional host header
+     * @throws Error if priority is already assigned or out of range
+     */
+    registerPriority(serviceName: string, priority: number, path?: string, host?: string): void;
+    /**
+     * Get all priority assignments sorted by priority
+     * @returns Array of priority assignments
+     */
+    getAssignments(): PriorityAssignment[];
+    /**
+     * Check if a priority is available
+     * @param priority Priority value to check
+     * @returns True if priority is available
+     */
+    isPriorityAvailable(priority: number): boolean;
+    /**
+     * Get the next available priority
+     * @param startFrom Starting priority (default: 1)
+     * @returns Next available priority
+     */
+    getNextAvailablePriority(startFrom?: number): number;
+    /**
+     * Print a summary of all priority assignments
+     */
+    printSummary(): void;
+    /**
+     * Validate all assignments for conflicts
+     * @throws Error if conflicts are detected
+     */
+    validate(): void;
+    /**
+     * Clear all assignments
+     */
+    clear(): void;
+    /**
+     * Get total number of assignments
+     * @returns Number of registered assignments
+     */
+    get count(): number;
+}