Abrufen von in anderen Diensten gespeicherten Werten mit Hilfe von dynamischen Referenzen - AWS CloudFormation
Allgemeine Überlegungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Abrufen von in anderen Diensten gespeicherten Werten mit Hilfe von dynamischen Referenzen

Dynamische Referenzen bieten Ihnen eine bequeme Möglichkeit, externe Werte anzugeben, die in anderen Diensten gespeichert und verwaltet werden, und sensible Informationen von Ihren Infrastructure-as-Code-Vorlagen zu entkoppeln. CloudFormation ruft den Wert der angegebenen Referenz bei Bedarf während Stack- und Change-Set-Operationen ab.

Mit dynamischen Referenzen können Sie:

  • Verwenden Sie sichere Strings- Verwenden Sie für sensible Daten immer sichere String-Parameter in AWS Systems Manager Parameter Store oder Geheimnisse in AWS Secrets Manager um sicherzustellen, dass Ihre Daten im Ruhezustand verschlüsselt sind.

  • Zugriff beschränken- Beschränken Sie den Zugriff auf die Parameter des Parameterspeichers oder die Secrets Manager-Geheimnisse auf autorisierte Principals und Rollen.

  • Zugangsdaten rotieren- Rotieren Sie regelmäßig Ihre sensiblen Daten, die in Parameter Store oder Secrets Manager gespeichert sind, um ein hohes Maß an Sicherheit zu gewährleisten.

  • Automatisierte Rotation- Nutzen Sie die automatischen Rotationsfeatures von Secrets Manager, um Ihre sensiblen Daten regelmäßig zu aktualisieren und über Ihre Anwendungen und Umgebungen zu verteilen.

Allgemeine Überlegungen

Im Folgenden finden Sie die allgemeinen Überlegungen, die Sie anstellen sollten, bevor Sie dynamische Referenzen in Ihren CloudFormation-Vorlagen angeben:

  • Vermeiden Sie die Aufnahme dynamischer Referenzen oder sensibler Daten in Ressourceneigenschaften, die Teil des primären Bezeichners einer Ressource sind. CloudFormation kann den tatsächlichen Klartextwert im primären Ressourcenbezeichner verwenden, was ein Sicherheitsrisiko darstellen könnte. Diese Ressourcen-ID kann in allen abgeleiteten Ausgaben oder Zielen vorkommen.

    Um herauszufinden, welche Ressourceneigenschaften den primären Bezeichner eines Ressourcentyps enthalten, lesen Sie die Dokumentation der Ressourcenreferenz für diese Ressource in AWS Ressource und Eigenschaftstypen referenzieren. Im Abschnitt Return values (Rückgbewerte) stellt der Rückgabewert der Ref-Funktion die Ressourceneigenschaften dar, welche die primäre Kennung des Ressourcentyps bilden.

  • Sie können bis zu 60 dynamische Referenzen in eine Stack-Vorlage aufnehmen.

  • Wenn Sie Transformationen (wie AWS::Include oder AWS::Serverless) verwenden, löst CloudFormation die dynamischen Referenzen nicht auf, bevor Sie die Transformation anwenden. Stattdessen wird die Zeichenkette des dynamischen Verweises an die Transformation übergeben und die Verweise werden aufgelöst, wenn Sie den Änderungssatz mithilfe der Vorlage ausführen.

  • Dynamische Referenzen können nicht für sichere Werte (wie die im Parameter Store oder Secrets Manager gespeicherten) in benutzerdefinierten Ressourcen verwendet werden.

  • Dynamische Referenzen werden auch in AWS::CloudFormation::Init-Metadaten und Amazon EC2 UserData-Eigenschaften nicht unterstützt.

  • Erstellen Sie keine dynamische Referenz, die mit einem Backslash (\) endet. CloudFormation kann diese Referenzen nicht auflösen, was dazu führt, dass Stack-Operationen fehlschlagen.

Die folgenden Themen enthalten Informationen und andere Überlegungen zur Verwendung dynamischer Referenzen.

Themen