Abrufen eines sicheren String-Wertes aus dem Systems Manager Parameter Store - AWS CloudFormation
Ressourcen, die dynamische Parametermuster für sichere Zeichenfolgen unterstützenReferenzmusterBeispiel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abrufen eines sicheren String-Wertes aus dem Systems Manager Parameter Store

In können Sie vertrauliche Daten wie Passwörter oder Lizenzschlüssel verwenden CloudFormation, ohne sie direkt in Ihren Vorlagen verfügbar zu machen, indem Sie die sensiblen Daten als „sichere Zeichenfolge“ im AWS Systems Manager Parameter Store speichern. Eine Einführung in den Parameterspeicher finden Sie unter AWS Systems Manager Parameterspeicher im AWS Systems Manager -Benutzerhandbuch.

Um eine sichere Zeichenfolge für den Parameter Store in Ihrer Vorlage zu verwenden, verwenden Sie eine ssm-secure dynamische Referenz. CloudFormation speichert niemals den tatsächlichen Wert einer sicheren Zeichenfolge. Stattdessen speichert es nur die wörtliche dynamische Referenz, die den Klartext-Parameternamen der sicheren Zeichenfolge enthält.

CloudFormation Greift bei der Stackerstellung oder bei Aktualisierungen nach Bedarf auf den sicheren Zeichenkettenwert zu, ohne den tatsächlichen Wert preiszugeben. Sichere Zeichenfolgen können nur für Ressourceneigenschaften verwendet werden, die das dynamische Referenzmuster ssm-secure unterstützen. Weitere Informationen finden Sie unter Ressourcen, die dynamische Parametermuster für sichere Zeichenfolgen unterstützen.

CloudFormation gibt bei API-Aufrufen nicht den tatsächlichen Parameterwert für sichere Zeichenketten zurück. Sie gibt nur die wörtliche dynamische Referenz zurück. Beim Vergleich von Änderungen mithilfe von Änderungssätzen wird CloudFormation nur die wörtliche dynamische Referenzzeichenfolge verglichen. Es löst die tatsächlichen sicheren String-Werte nicht auf und vergleicht sie nicht.

Bei der Verwendung von dynamischen ssm-secure-Referenzen gibt es einige wichtige Dinge zu beachten:

  • CloudFormation kann nicht auf Parameter Store-Werte von anderen AWS-Konten zugreifen.

  • CloudFormation unterstützt nicht die Verwendung von Systems Manager Manager-Parameterbeschriftungen oder öffentlichen Parametern in dynamischen Verweisen.

  • In den Regionen cn-north-1 und cn-northwest-1 werden sichere Zeichenfolgen von Systems Manager nicht unterstützt.

  • Dynamische Verweise für sichere Werte, wie z. B.ssm-secure, werden derzeit in benutzerdefinierten Ressourcen nicht unterstützt.

  • Wenn ein Stack-Update rückgängig gemacht CloudFormation werden muss und die zuvor angegebene Version eines sicheren Zeichenkettenparameters nicht mehr verfügbar ist, schlägt der Rollback-Vorgang fehl. In solchen Fällen haben Sie zwei Möglichkeiten:

    • Verwenden Sie CONTINUE_UPDATE_ROLLBACK, um die Ressource zu überspringen.

    • Erstellen Sie den sicheren String-Parameter im Systems Manager Parameter Store neu und aktualisieren Sie ihn, bis die Parameterversion die in der Vorlage verwendete Version erreicht. Dann verwenden Sie CONTINUE_UPDATE_ROLLBACK, ohne die Ressource zu überspringen.

Ressourcen, die dynamische Parametermuster für sichere Zeichenfolgen unterstützen

Zu den Ressourcen, die das dynamische Referenzmuster ssm-secure unterstützen, gehören:

Ressource Eigenschaftstyp Eigenschaften

AWS::DirectoryService::MicrosoftAD

Password

AWS::DirectoryService::SimpleAD

Password

AWS::ElastiCache::ReplicationGroup

AuthToken

AWS::IAM::User

LoginProfile

Password

AWS::KinesisFirehose::DeliveryStream

RedshiftDestinationConfiguration

Password

AWS::OpsWorks::App

Quelle

Password

AWS::OpsWorks::Stack

CustomCookbooksSource

Password

AWS::OpsWorks::Stack

RdsDbInstances

DbPassword

AWS: :RDS: DBCluster

MasterUserPassword

AWS: :RDS: DBInstance

MasterUserPassword

AWS::Redshift::Cluster

MasterUserPassword

Referenzmuster

Verwenden Sie das folgende Referenzmuster, um in Ihrer CloudFormation Vorlage auf einen sicheren Zeichenkettenwert aus dem Systems Manager Parameter Store zu ssm-secure verweisen.

{{resolve:ssm-secure:parameter-name:version}}

Ihre Referenz muss sich an das folgende reguläre Ausdrucksmuster für Parametername und Version halten:

{{resolve:ssm-secure:[a-zA-Z0-9_.\-/]+(:\d+)?}}
parameter-name

Der Name des Parameters im Parameter Store. Der Parametername unterscheidet Groß- und Kleinschreibung.

Erforderlich

version

Eine ganze Zahl, die die Version des zu verwendenden Parameters angibt. Wenn Sie nicht die genaue Version angeben, CloudFormation verwendet immer die neueste Version des Parameters, wenn Sie den Stack erstellen oder aktualisieren. Weitere Informationen finden Sie unter Arbeiten mit Parameterversionen im AWS Systems Manager -Benutzerhandbuch.

Optional.

Beispiel

Das folgende Beispiel verwendet eine dynamische Referenz ssm-secure, um das Passwort für einen IAM-Benutzer auf eine sichere Zeichenkette zu setzen, die im Parameterspeicher gespeichert ist. Wie angegeben, CloudFormation wird die Version 10 des IAMUserPassword Parameters für Stack- und Change-Set-Operationen verwendet.

JSON

  "MyIAMUser": {
    "Type": "AWS::IAM::User",
    "Properties": {
      "UserName": "MyUserName",
      "LoginProfile": {
        "Password": "{{resolve:ssm-secure:IAMUserPassword:10}}"
      }
    }
  }

YAML

  MyIAMUser:
    Type: AWS::IAM::User
    Properties:
      UserName: 'MyUserName'
      LoginProfile:
        Password: '{{resolve:ssm-secure:IAMUserPassword:10}}'