Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS CloudFormation Directives, meilleures pratiques et limites relatives à l'ingestion
Pour qu'AMS puisse traiter votre CloudFormation modèle, certaines directives et restrictions s'appliquent.
Consignes
Pour réduire les AWS CloudFormation erreurs lors de AWS CloudFormation l'ingestion, suivez les instructions suivantes :
N'intégrez pas d'informations d'identification ou d'autres informations sensibles dans le modèle : le CloudFormation modèle est visible dans la AWS CloudFormation console. Vous ne souhaitez donc pas intégrer d'informations d'identification ou de données sensibles dans le modèle. Le modèle ne peut pas contenir d'informations sensibles. Les ressources suivantes ne sont autorisées que si vous utilisez AWS Secrets Manager pour la valeur :
AWS::RDS::DBInstance- [MasterUserPassword,TdeCredentialPassword]AWS::RDS::DBCluster- [MasterUserPassword]AWS::ElastiCache::ReplicationGroup- [AuthToken]
Note
Pour plus d'informations sur l'utilisation d'un secret AWS Secrets Manager dans une propriété de ressource, consultez Comment créer et récupérer des secrets gérés dans AWS Secrets Manager à l'aide de CloudFormation modèles AWS
et Utiliser des références dynamiques pour spécifier les valeurs des modèles. Utilisez les instantanés Amazon RDS pour créer des instances de base de données RDS. Vous évitez ainsi d'avoir à fournir un. MasterUserPassword
Si le modèle que vous soumettez contient un profil d'instance IAM, celui-ci doit être préfixé par « client ». Par exemple, l'utilisation d'un profil d'instance nommé « example-instance-profile » entraîne un échec. Utilisez plutôt un profil d'instance nommé « customer-example-instance-profile ».
N'incluez aucune donnée sensible dans
AWS::EC2::Instance- [UserData]. UserData ne doit pas contenir de mots de passe, de clés d'API ou d'autres données sensibles. Ce type de données peut être chiffré et stocké dans un compartiment S3 et téléchargé sur l'instance à l'aide de UserData.La création de politiques IAM à l'aide de CloudFormation modèles est soumise à des contraintes : les politiques IAM doivent être examinées et approuvées par AMS. SecOps À l'heure actuelle, nous prenons uniquement en charge le déploiement de rôles IAM avec des politiques en ligne contenant des autorisations préapprouvées. Dans d'autres cas, les politiques IAM ne peuvent pas être créées à l'aide de CloudFormation modèles, car cela remplacerait le processus AMS SecOps .
Le protocole SSH KeyPairs n'est pas pris en charge : EC2 les instances Amazon doivent être accessibles via le système de gestion des accès AMS. Le processus AMS RFC vous authentifie. Vous ne pouvez pas inclure de paires de clés SSH dans les CloudFormation modèles car vous n'êtes pas autorisé à créer des paires de clés SSH et à remplacer le modèle de gestion des accès AMS.
Les règles d'entrée des groupes de sécurité sont restreintes : vous ne pouvez pas avoir une plage d'adresses CIDR source comprise entre 0.0.0.0/0, ou un espace d'adressage routable publiquement, avec un port TCP autre que 80 ou 443.
Suivez les AWS CloudFormation directives lors de la rédaction de modèles de CloudFormation ressources : assurez-vous d'utiliser le bon type/property nom de données pour la ressource en vous référant au guide de AWS CloudFormation l'utilisateur de cette ressource. Par exemple, le type de données d'une SecurityGroupIds propriété dans une AWS::EC2::Instance ressource est « Liste de valeurs de chaîne », donc ["sg-aaaaaaaa"] est correct (avec crochets), mais pas « sg-aaaaaaaaaa » (sans crochets).
Pour plus d'informations, consultez le document de référence des types de ressources et de propriétés AWS.
Configurez vos CloudFormation modèles personnalisés pour utiliser les paramètres définis dans l'AMS CloudFormation ingest CT — Lorsque vous configurez votre CloudFormation modèle pour utiliser les paramètres définis dans l'AMS CloudFormation ingest CT, vous pouvez réutiliser le CloudFormation modèle pour créer des piles similaires en le soumettant avec les valeurs de paramètres modifiées dans l'entrée CT avec Management | Custom stack | Stack from CloudFormation template | Update CT (ct-361tlo1k7339x). Pour obtenir un exemple, consultez AWS CloudFormation Exemples d'ingestion : définition des ressources.
Les points de terminaison de compartiment Amazon S3 dotés d'une URL présignée ne peuvent pas être expirés — Si vous utilisez un point de terminaison de compartiment Amazon S3 avec une URL présignée, vérifiez que l'URL Amazon S3 présignée n'est pas expirée. Une RFC d' CloudFormation ingestion soumise avec une URL de compartiment Amazon S3 présignée expirée est rejetée.
La condition d'attente nécessite une logique de signal : la condition d'attente est utilisée pour coordonner la création de ressources de pile avec des actions de configuration externes à la création de la pile. Si vous utilisez la ressource AWS CloudFormation Wait Condition dans le modèle, attendez un signal de réussite et celle-ci marque la création de la pile comme un échec si le nombre de signaux de réussite n'est pas émis. Vous devez disposer d'une logique pour le signal si vous utilisez la ressource Wait Condition. Pour plus d'informations, voir Création de conditions d'attente dans un modèle.
