Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS CloudFormation Richtlinien, bewährte Methoden und Einschränkungen für die Datenaufnahme
Damit AMS Ihre CloudFormation Vorlage verarbeiten kann, gibt es einige Richtlinien und Einschränkungen.
Richtlinien
Beachten Sie die folgenden Richtlinien, um AWS CloudFormation Fehler beim AWS CloudFormation Ingest zu reduzieren:
Betten Sie keine Anmeldeinformationen oder andere vertrauliche Informationen in die Vorlage ein — Die CloudFormation Vorlage ist in der AWS CloudFormation Konsole sichtbar, sodass Sie keine Anmeldeinformationen oder vertraulichen Daten in die Vorlage einbetten möchten. Die Vorlage darf keine vertraulichen Informationen enthalten. Die folgenden Ressourcen sind nur zulässig, wenn Sie AWS Secrets Manager für den Wert verwenden:
AWS::RDS::DBInstance- [MasterUserPassword,TdeCredentialPassword]AWS::RDS::DBCluster- [MasterUserPassword]AWS::ElastiCache::ReplicationGroup- [AuthToken]
Anmerkung
Informationen zur Verwendung eines AWS Secrets Manager-Geheimnisses in einer Ressourceneigenschaft finden Sie unter Erstellen und Abrufen von in AWS Secrets Manager verwalteten Geheimnissen mithilfe von CloudFormation AWS-Vorlagen
und Verwenden dynamischer Referenzen zur Angabe von Vorlagenwerten. Verwenden Sie Amazon RDS-Snapshots, um RDS-DB-Instances zu erstellen — Auf diese Weise müssen Sie keine angeben. MasterUserPassword
Wenn die von Ihnen eingereichte Vorlage ein IAM-Instance-Profil enthält, muss ihr das Präfix „Kunde“ vorangestellt werden. Die Verwendung eines Instanzprofils mit dem Namen '' example-instance-profile führt beispielsweise zu einem Fehler. Verwenden Sie stattdessen ein Instanzprofil mit dem Namen 'customer-example-instance-profile'.
Nehmen Sie keine sensiblen Daten in
AWS::EC2::Instance- [UserData] auf. UserData sollte keine Passwörter, API-Schlüssel oder andere sensible Daten enthalten. Diese Art von Daten kann verschlüsselt und in einem S3-Bucket gespeichert und mithilfe von UserData.Die Erstellung von IAM-Richtlinien mithilfe von CloudFormation Vorlagen wird mit Einschränkungen unterstützt — IAM-Richtlinien müssen von AMS geprüft und genehmigt werden. SecOps Derzeit unterstützen wir nur die Bereitstellung von IAM-Rollen mit Inline-Richtlinien, die vorab genehmigte Berechtigungen enthalten. In anderen Fällen können IAM-Richtlinien nicht mithilfe von CloudFormation Vorlagen erstellt werden, da dies den AMS-Prozess außer Kraft setzen würde. SecOps
SSH werden KeyPairs nicht unterstützt — EC2 Amazon-Instances müssen über das AMS Access Management System aufgerufen werden. Der AMS RFC-Prozess authentifiziert Sie. Sie können keine SSH-Schlüsselpaare in CloudFormation Vorlagen aufnehmen, da Sie nicht über die erforderlichen Berechtigungen verfügen, um SSH-Schlüsselpaare zu erstellen und das AMS-Zugriffsverwaltungsmodell zu überschreiben.
Die Regeln für den Zugriff auf Sicherheitsgruppen sind eingeschränkt — Sie können keinen Quell-CIDR-Bereich von 0.0.0.0/0 oder einen öffentlich routbaren Adressraum mit einem TCP-Port verwenden, der etwas anderes als 80 oder 443 ist.
Beachten Sie beim Schreiben von CloudFormation Ressourcenvorlagen die AWS CloudFormation Richtlinien — Stellen Sie sicher, dass Sie den richtigen type/property Datennamen für die Ressource verwenden, indem Sie im Benutzerhandbuch für diese Ressource nachschlagen.AWS CloudFormation Der Datentyp einer SecurityGroupIds Eigenschaft in einer AWS::EC2::Instance Ressource ist beispielsweise „Liste der Zeichenkettenwerte“, sodass ["sg-aaaaaaaa"] in Ordnung ist (mit Klammern), aber „sg-aaaaaaaa“ nicht (ohne Klammern).
Weitere Informationen finden Sie unter AWS-Referenz zu Ressourcen- und Eigenschaftstypen.
Konfigurieren Sie Ihre benutzerdefinierten CloudFormation Vorlagen so, dass sie im CloudFormation AMS-Ingest-CT definierte Parameter verwenden — Wenn Sie Ihre CloudFormation Vorlage so konfigurieren, dass sie im CloudFormation AMS-Ingest-CT definierte Parameter verwendet, können Sie die CloudFormation Vorlage wiederverwenden, um ähnliche Stapel zu erstellen, indem Sie sie mit geänderten Parameterwerten in der CT-Eingabe über Management | Benutzerdefinierter Stack | Stack aus CloudFormation Vorlage | Update CT (ct-361tlo1k7339x) einreichen. Ein Beispiel finden Sie unter AWS CloudFormation Ingest-Beispiele: Ressourcen definieren.
Amazon S3 S3-Bucket-Endpunkte mit einer vorsignierten URL können nicht abgelaufen sein — Wenn Sie einen Amazon S3 S3-Bucket-Endpunkt mit einer vorsignierten URL verwenden, stellen Sie sicher, dass die vorsignierte Amazon S3 S3-URL nicht abgelaufen ist. Ein CloudFormation Ingest-RFC, der mit einer abgelaufenen, vorsignierten Amazon S3 S3-Bucket-URL eingereicht wurde, wird abgelehnt.
Wait Condition erfordert Signallogik — Wait Condition wird verwendet, um die Erstellung von Stack-Ressourcen mit Konfigurationsaktionen zu koordinieren, die außerhalb der Stack-Erstellung liegen. Wenn Sie die Ressource AWS CloudFormation Wait Condition in der Vorlage verwenden, wartet sie auf ein Erfolgssignal und markiert die Stackerstellung als fehlgeschlagen, wenn die Anzahl der Erfolgssignale nicht gegeben wird. Sie benötigen eine Logik für das Signal, wenn Sie die Ressource Wait Condition verwenden. Weitere Informationen finden Sie unter Wartebedingungen in einer Vorlage erstellen.
