CloudFormation Hooks-Konzepte - CloudFormation
HookFehlermodusHook-ZieleZielaktionenAnmerkungenHook-HandlerTimeout- und Wiederholungslimits

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudFormation Hooks-Konzepte

Die folgenden Begriffe und Konzepte sind für Ihr Verständnis und Ihre Verwendung von CloudFormation Hooks von zentraler Bedeutung.

Hook

Ein Hook enthält Code, der unmittelbar vor dem Erstellen, CloudFormation Aktualisieren oder Löschen von Stacks oder bestimmten Ressourcen aufgerufen wird. Er kann auch während einer Operation zum Erstellen eines Änderungssatzes aufgerufen werden. Hooks können die Vorlage, die Ressourcen oder den Änderungssatz überprüfen, der CloudFormation bereitgestellt werden soll. Darüber hinaus können Hooks unmittelbar vor dem Erstellen, Aktualisieren oder Löschen bestimmter Ressourcen durch die Cloud Control-API aufgerufen werden.

Wenn ein Hook Konfigurationen identifiziert, die nicht den in Ihrer Hook-Logik definierten Organisationsrichtlinien entsprechen, können Sie wählen, ob Sie entweder WARN Benutzer verwenden oder FAIL die Bereitstellung der Ressource CloudFormation verhindern möchten.

Hooks haben die folgenden Eigenschaften:

  • Proaktive Validierung — Reduziert Risiken, Betriebskosten und Kosten, indem Ressourcen identifiziert werden, die nicht den Anforderungen entsprechen, bevor sie erstellt, aktualisiert oder gelöscht werden.

  • Automatische Durchsetzung — Ermöglicht die Durchsetzung in Ihrem eigenen System AWS-Konto , um zu verhindern, dass Ressourcen bereitgestellt werden, die nicht den Vorschriften entsprechen. CloudFormation

Fehlermodus

Ihre Hook-Logik kann Erfolg oder Misserfolg zurückgeben. Eine erfolgreiche Antwort ermöglicht die Fortsetzung des Vorgangs. Ein Ausfall nicht richtlinienkonformer Ressourcen kann folgende Folgen haben:

  • FAIL— Stoppt den Bereitstellungsvorgang.

  • WARN— Ermöglicht die Fortsetzung der Bereitstellung mit einer Warnmeldung.

Das Erstellen von Hooks im WARN Modus ist eine effektive Methode, um das Hook-Verhalten zu überwachen, ohne die Stack-Operationen zu beeinträchtigen. Aktivieren Sie zunächst Hooks im WARN Modus, um zu verstehen, welche Operationen betroffen sein werden. Nachdem Sie die möglichen Auswirkungen bewertet haben, können Sie den Hook-Modus in den FAIL Modus wechseln, um damit zu beginnen, fehlerhafte Operationen zu verhindern.

Hook-Ziele

Hook-Ziele geben die Operationen an, die ein Hook auswertet. Dies können Operationen sein an:

  • Ressourcen, die von CloudFormation (RESOURCE) unterstützt werden

  • Vorlagen stapeln (STACK)

  • Sätze ändern (CHANGE_SET)

  • Von der Cloud Control API unterstützte Ressourcen (CLOUD_CONTROL)

Sie definieren ein oder mehrere Ziele, die die umfassendsten Operationen angeben, die der Hook auswertet. Sie können beispielsweise ein Hook-Targeting so erstellenRESOURCE, dass es auf alle AWS Ressourcen und STACK auf alle Stack-Vorlagen abzielt.

Zielaktionen

Zielaktionen definieren die spezifischen Aktionen (CREATEUPDATE, oderDELETE), die einen Hook aufrufen. Für RESOURCESTACK, und CLOUD_CONTROL Ziele sind alle Zielaktionen anwendbar. Für CHANGE_SET Ziele ist nur die CREATE Aktion anwendbar.

Anmerkungen

GetHookResultBei den Antworten können Anmerkungen zurückgegeben werden, die detaillierte Ergebnisse der Konformitätsprüfungen und Hinweise zur Problembehebung für jede evaluierte Ressource enthalten. Einzelheiten zur Annotationsstruktur der API finden Sie unter Anmerkung in der AWS CloudFormation API-Referenz. Anweisungen zur Anzeige dieser Überprüfungsergebnisse finden Sie unterAufrufergebnisse für CloudFormation Hooks anzeigen.

Sie können Anmerkungen nach Bedarf für vertrauliche Compliance-Informationen verschlüsseln, indem Sie bei der Konfiguration des Hooks Ihren eigenen KMS-Schlüssel angeben. Weitere Informationen finden Sie unter Syntaxreferenz für das Hook-Konfigurationsschema. Informationen zum Einrichten der Schlüsselrichtlinie, die Sie benötigen, wenn Sie Ihren KMS-Schlüssel für Hooks angeben, finden Sie unter. AWS KMS wichtige Richtlinien und Berechtigungen für die Verschlüsselung von CloudFormation Hooks-Ergebnissen im Ruhezustand

Wichtig

Beachten Sie, dass die KmsKeyId Option zur Angabe eines vom Kunden verwalteten Schlüssels derzeit nur verfügbar ist, wenn Sie den AWS CLI zur Konfiguration Ihres Hooks verwenden.

Hook-Handler

Bei benutzerdefinierten Hooks ist dies der Code, der die Auswertung übernimmt. Er ist einem Zielaufrufpunkt und einer Zielaktion zugeordnet, die genau den Punkt markieren, an dem ein Hook ausgeführt wird. Sie schreiben Handler, die die Logik für diese spezifischen Punkte hosten. Ein Zielaufrufpunkt mit einer PRE CREATE Zielaktion macht beispielsweise einen preCreate Hook-Handler aus. Code innerhalb des Hook-Handlers wird ausgeführt, wenn ein passender Zielaufrufpunkt und ein passender Dienst eine zugehörige Zielaktion ausführen.

Gültige Werte: (preCreate| preUpdate |preDelete)

Wichtig

Stack-Operationen, die zum Status von führen, rufen UpdateCleanup keinen Hook auf. In den folgenden beiden Szenarien wird beispielsweise der preDelete Handler des Hooks nicht aufgerufen:

  • Der Stack wird aktualisiert, nachdem eine Ressource aus der Vorlage entfernt wurde.

  • eine Ressource mit dem Aktualisierungstyp „Ersatz“ wird gelöscht.

Timeout- und Wiederholungslimits

Hooks haben ein Zeitlimit von 30 Sekunden pro Aufruf und sind auf 3 Wiederholungsversuche begrenzt. Wenn ein Aufruf das Timeout überschreitet, geben wir eine Fehlermeldung zurück, die besagt, dass die Hook-Ausführung das Timeout überschritten hat. CloudFormation Markiert nach dem dritten erneuten Versuch die Hook-Ausführung als fehlgeschlagen.