Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS CloudFormation Pautas, mejores prácticas y limitaciones de ingesta
Para que AMS procese tu CloudFormation plantilla, existen algunas pautas y restricciones.
Directrices
Para reducir AWS CloudFormation los errores al realizar AWS CloudFormation la ingesta, sigue estas pautas:
No insertes credenciales ni otra información confidencial en la plantilla: la CloudFormation plantilla está visible en la AWS CloudFormation consola, por lo que no querrás incrustar credenciales ni datos confidenciales en la plantilla. La plantilla no puede contener información confidencial. Los siguientes recursos solo están permitidos si utiliza AWS Secrets Manager como valor:
AWS::RDS::DBInstance- [MasterUserPassword,TdeCredentialPassword]AWS::RDS::DBCluster- [MasterUserPassword]AWS::ElastiCache::ReplicationGroup- [AuthToken]
nota
Para obtener información sobre el uso de un secreto de AWS Secrets Manager en una propiedad de recurso, consulte Cómo crear y recuperar secretos gestionados en AWS Secrets Manager mediante CloudFormation plantillas de AWS
y Uso de referencias dinámicas para especificar valores de plantillas. Utilice instantáneas de Amazon RDS para crear instancias de base de datos de RDS: de este modo, evitará tener que proporcionar un. MasterUserPassword
Si la plantilla que envía contiene un perfil de instancia de IAM, debe llevar el prefijo «cliente». Por ejemplo, si se utiliza un perfil de instancia con el nombre ''example-instance-profile, se produce un error. En su lugar, usa un perfil de instancia con el nombre 'customer-example-instance-profile'.
No incluyas ningún dato confidencial en
AWS::EC2::Instance- [UserData]. UserData no debe contener contraseñas, claves de API ni ningún otro dato confidencial. Este tipo de datos se pueden cifrar y almacenar en un bucket de S3 y descargar a la instancia mediante UserData.La creación de políticas de IAM mediante CloudFormation plantillas se admite con restricciones: las políticas de IAM deben ser revisadas y aprobadas por AMS. SecOps Actualmente, solo admitimos el despliegue de funciones de IAM con políticas integradas que contengan permisos previamente aprobados. En otros casos, las políticas de IAM no se pueden crear mediante CloudFormation plantillas porque eso anularía el proceso de AMS. SecOps
KeyPairs No se admiten SSH: se debe acceder a EC2 las instancias de Amazon a través del sistema de gestión de acceso AMS. El proceso RFC de AMS lo autentica. No puede incluir pares de claves SSH en CloudFormation las plantillas porque no tiene los permisos para crear pares de claves SSH y anular el modelo de administración de acceso de AMS.
Las reglas de entrada de los grupos de seguridad están restringidas: no puede tener un CIDR de origen comprendido entre 0.0.0.0/0 ni un espacio de direcciones enrutable públicamente con un puerto TCP que no sea 80 o 443.
Siga AWS CloudFormation las pautas al escribir plantillas de CloudFormation recursos: asegúrese de usar el type/property nombre de datos correcto para el recurso consultando la Guía del usuario de ese recurso.AWS CloudFormation Por ejemplo, el tipo de datos de la SecurityGroupIds propiedad de un AWS::EC2::Instance recurso es «Lista de valores de cadena», por lo que ["sg-aaaaaaaa"] está bien (entre corchetes), pero «sg-aaaaaaaa» no lo es (sin corchetes).
Para obtener más información, consulte la referencia de tipos de recursos y propiedades de AWS.
Configure sus CloudFormation plantillas personalizadas para que usen los parámetros definidos en el CT de CloudFormation ingesta del AMS: si configura su CloudFormation plantilla para que utilice los parámetros definidos en el CT de CloudFormation ingesta del AMS, puede reutilizar la CloudFormation plantilla para crear pilas similares enviándola con los valores de los parámetros modificados en la entrada del CT con el CT Management | Custom stack | Stack from CloudFormation template | Update CT (ct-361tlo1k7339x). Para ver un ejemplo, consulta AWS CloudFormation Ejemplos de ingesta: definición de recursos.
Los puntos de enlace de bucket de Amazon S3 con una URL prefirmada no pueden caducar: si utiliza un punto de enlace de bucket de Amazon S3 con una URL prefirmada, compruebe que la URL prefirmada de Amazon S3 no esté caducada. Se rechaza un CloudFormation RFC de ingesta enviado con una URL de bucket de Amazon S3 prefirmada y caducada.
La condición de espera requiere una lógica de señal: la condición de espera se utiliza para coordinar la creación de recursos de la pila con las acciones de configuración que son externas a la creación de la pila. Si utilizas el recurso Wait Condition de la plantilla, AWS CloudFormation espera una señal de éxito y marca la creación de la pila como un error si no se detecta el número de señales de éxito. Debe tener una lógica para la señal si utiliza el recurso Wait Condition. Para obtener más información, consulte Creación de condiciones de espera en una plantilla.
