Verwenden Sie öffentliche Erweiterungen von Drittanbietern aus der CloudFormation Registrierung - AWS CloudFormation
IAM role (IAM-Rolle)Automatisch neue Versionen von Erweiterungen verwendenVerwenden Sie Aliase, um auf Erweiterungen zu verweisenHäufig verwendete AWS CLI-Befehle für die Arbeit mit öffentlichen Nebenstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie öffentliche Erweiterungen von Drittanbietern aus der CloudFormation Registrierung

Um eine öffentliche Erweiterung eines Drittanbieters in Ihrer Vorlage zu verwenden, müssen Sie zunächst die Erweiterung für das Konto und die Region, in der Sie sie verwenden möchten, aktivieren . Wenn Sie eine Erweiterung aktivieren, kann sie in Stapeloperationen in dem Konto und der Region verwendet werden, in der sie aktiviert wurde.

Wenn Sie eine öffentliche Erweiterung eines Drittanbieters aktivieren, CloudFormation wird in der Erweiterungsregistrierung Ihres Kontos ein Eintrag für die aktivierte Erweiterung als private Erweiterung erstellt. Hier können Sie alle Konfigurationseigenschaften einstellen, die die Erweiterung enthält. Die Konfigurationseigenschaften definieren, wie die Erweiterung für eine bestimmte AWS-Konto Region konfiguriert wird.

Neben der Einstellung der Konfigurationseigenschaften können Sie die Erweiterung auch auf die folgenden Arten anpassen:

  • Geben Sie die Ausführungsrolle an, die zur Aktivierung der Erweiterung CloudFormation verwendet wird, und konfigurieren Sie zusätzlich die Protokollierung für die Erweiterung.

  • Geben Sie an, ob die Erweiterung automatisch aktualisiert wird, wenn eine neue Nebenversion oder Patch-Version verfügbar wird.

  • Geben Sie einen Alias an, der anstelle des Namens der öffentlichen Erweiterung eines Drittanbieters verwendet werden soll. Dadurch können Namenskollisionen zwischen Erweiterungen von Drittanbietern vermieden werden.

Themen

Konfigurieren Sie eine Ausführungsrolle mit IAM-Berechtigungen und einer Vertrauensrichtlinie für den öffentlichen Erweiterungszugriff

Wenn Sie eine öffentliche Erweiterung über die CloudFormation Registrierung aktivieren, können Sie eine Ausführungsrolle angeben, die CloudFormation die erforderlichen Berechtigungen zum Aufrufen dieser Erweiterung in Ihrer Region und Ihrer AWS-Konto Region erteilt.

Die für die Ausführungsrolle erforderlichen Berechtigungen werden im Abschnitt Handler des Erweiterungsschemas definiert. Sie müssen eine IAM-Richtlinie erstellen, die die von der Erweiterung benötigten spezifischen Berechtigungen gewährt, und diese mit der Ausführungsrolle verknüpfen.

Zusätzlich zur Berechtigungsrichtlinie muss die Ausführungsrolle auch über eine Vertrauensrichtlinie verfügen, die es ermöglicht, die Rolle CloudFormation zu übernehmen. Folgen Sie der Anleitung unter Erstellen einer Rolle mit benutzerdefinierten Vertrauensrichtlinien im IAM-Benutzerhandbuch zum Erstellen einer Rolle mit einer benutzerdefinierten Vertrauensrichtlinie.

Vertrauensstellung

Im Folgenden finden Sie Beispiele für Vertrauensrichtlinien, die Sie verwenden können.

Sie können den Geltungsbereich der Berechtigung zur Verhinderung von dienstübergreifenden Konfusionen optional einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel mit dem Feld Condition verwenden. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

  • Legen Sie den Wert aws:SourceAccount auf Ihre Konto-ID fest.

  • Setzen Sie den Wert aws:SourceArn auf den ARN Ihrer Nebenstelle.

Beispiel Treuhandvertrag 1

Im Folgenden finden Sie ein Beispiel für eine IAM-Rollenvertrauensrichtlinie für eine Ressourcentyp-Erweiterung.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "resources.cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:us-west-2:123456789012:type/resource/Organization-Service-Resource"
                }
            }
        }
    ]
}
Beispiel Treuhandvertrag 2

Im Folgenden finden Sie ein Beispiel für eine IAM-Rollenvertrauensrichtlinie für eine Hook-Erweiterung.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "resources.cloudformation.amazonaws.com",
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:us-west-2:123456789012:type/hook/Organization-Service-Hook"
                }
            }
        }
    ]
}

Automatisch neue Versionen von Erweiterungen verwenden

Wenn Sie eine Erweiterung aktivieren, können Sie auch den Erweiterungstyp angeben, um die neueste Nebenversion zu verwenden. Ihr Erweiterungstyp aktualisiert die Nebenversion, wenn der Publisher eine neue Version für Ihre aktivierte Erweiterung veröffentlicht.

Wenn Sie beispielsweise das nächste Mal einen Stack-Vorgang ausführen, z. B. einen Stack erstellen oder aktualisieren, und dabei eine Vorlage verwenden, die diese Erweiterung enthält, CloudFormation wird die neue Nebenversion verwendet.

Die Aktualisierung auf eine neue Erweiterungs-Version, entweder automatisch oder manuell, wirkt sich nicht auf Erweiterungs-Instances aus, die bereits in Stacks bereitgestellt wurden.

CloudFormation behandelt Hauptversionsupdates von Erweiterungen so, dass sie potenziell wichtige Änderungen enthalten, und erfordert daher, dass Sie manuell auf eine neue Hauptversion einer Erweiterung aktualisieren.

Erweiterungen, AWS die von veröffentlicht wurden, sind standardmäßig für alle Konten und Regionen aktiviert, in denen sie verfügbar sind, und verwenden immer die neueste Version, die in jeder Version verfügbar istAWS-Region.

Wichtig

Da Sie kontrollieren, ob und wann die Erweiterungen in Ihrem Konto auf die neueste Version aktualisiert werden, können Sie am Ende verschiedene Versionen derselben Erweiterung in verschiedenen Konten und Regionen einsetzen.

Dies kann zu unerwarteten Ergebnissen führen, wenn Sie dieselbe Vorlage, die diese Erweiterung enthält, für diese Konten und Regionen verwenden.

Verwenden Sie Aliase, um auf Erweiterungen zu verweisen

Sie können nicht mehr als eine Erweiterung mit einem bestimmten Namen in einer bestimmten AWS-Konto und Region aktivieren. Da verschiedene Herausgeber öffentliche Erweiterungen mit demselben Erweiterungsnamen anbieten können, CloudFormation können Sie einen Alias für jede öffentliche Erweiterung eines Drittanbieters angeben, die Sie aktivieren.

Wenn Sie einen Alias für die Erweiterung angeben, wird der Alias als Name des Erweiterungstyps innerhalb des Kontos und der Region CloudFormation behandelt. Sie müssen den Alias verwenden, um in Ihren Vorlagen, API-Aufrufen und in der CloudFormation Konsole auf die Erweiterung zu verweisen.

Ein Erweiterungs-Alias muss innerhalb eines bestimmten Kontos und einer bestimmten Region eindeutig sein. Sie können dieselbe öffentliche Ressource mehrmals in demselben Konto und derselben Region aktivieren, indem Sie Aliase für unterschiedliche Typnamen verwenden.

Wichtig

Obwohl Erweiterungs-Aliase nur in einem bestimmten Konto und einer bestimmten Region eindeutig sein müssen, empfehlen wir dringend, dass Benutzer nicht denselben Alias für verschiedene öffentliche Erweiterungen von Drittanbietern in verschiedenen Konten und Regionen zuweisen. Dies könnte zu unerwarteten Ergebnissen führen, wenn Sie eine Vorlage, die den Alias der Erweiterung enthält, für mehrere Konten oder Regionen verwenden.

Häufig verwendete AWS CLI-Befehle für die Arbeit mit öffentlichen Nebenstellen

Zu den häufig verwendeten Befehlen für die Arbeit mit öffentlichen Nebenstellen gehören:

  • activate-type um ein öffentliches Modul oder einen Ressourcentyp eines Drittanbieters in Ihrem Konto zu aktivieren.

  • set-type-configuration um die Konfigurationsdaten für eine Erweiterung in Ihrem Konto anzugeben und Hooks zu deaktivieren und zu aktivieren.

  • list-types um die Nebenstellen in Ihrem Konto aufzulisten.

  • describe-type um detaillierte Informationen über eine bestimmte Erweiterung oder eine bestimmte Erweiterungsversion zurückzugeben, einschließlich der aktuellen Konfigurationsdaten.

  • set-type-default-version um anzugeben, welche Version einer Erweiterung die Standardversion ist.

  • deactivate-type um ein öffentliches Modul oder einen Ressourcentyp eines Drittanbieters zu deaktivieren, der zuvor in Ihrem Konto aktiviert wurde.