CloudFormation Konsep kait - CloudFormation
KaitMode kegagalanTarget kaitTindakan targetAnotasiHandler kaitBatas batas waktu dan coba lagi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudFormation Konsep kait

Terminologi dan konsep berikut sangat penting untuk pemahaman Anda dan penggunaan CloudFormation Hooks.

Kait

Hook berisi kode yang dipanggil segera sebelum CloudFormation membuat, memperbarui, atau menghapus tumpukan atau sumber daya tertentu. Hal ini juga dapat dipanggil selama operasi membuat perubahan set. Hooks dapat memeriksa template, sumber daya, atau set perubahan yang akan CloudFormation disediakan. Selain itu, Hooks dapat dipanggil segera sebelum Cloud Control API membuat, memperbarui, atau menghapus sumber daya tertentu.

Jika Hook mengidentifikasi konfigurasi apa pun yang tidak sesuai dengan pedoman organisasi yang ditentukan dalam logika Hook Anda, maka Anda dapat memilih salah satu WARN pengguna atauFAIL, CloudFormation mencegah penyediaan sumber daya.

Kait memiliki karakteristik sebagai berikut:

  • Validasi proaktif — Mengurangi risiko, overhead operasional, dan biaya dengan mengidentifikasi sumber daya yang tidak sesuai sebelum dibuat, diperbarui, atau dihapus.

  • Penegakan otomatis — Menyediakan penegakan hukum dalam Akun AWS diri Anda untuk mencegah sumber daya yang tidak sesuai disediakan oleh. CloudFormation

Mode kegagalan

Logika Hook Anda dapat mengembalikan kesuksesan atau kegagalan. Respons yang sukses akan memungkinkan operasi berlanjut. Kegagalan sumber daya yang tidak sesuai dapat mengakibatkan hal berikut:

  • FAIL- Menghentikan operasi penyediaan.

  • WARN— Memungkinkan penyediaan untuk melanjutkan dengan pesan peringatan.

Membuat Hooks dalam WARN mode adalah cara yang efektif untuk memantau perilaku Hook tanpa memengaruhi operasi tumpukan. Pertama, aktifkan Hooks dalam WARN mode untuk memahami operasi mana yang akan terpengaruh. Setelah Anda menilai efek potensial, Anda dapat mengalihkan FAIL mode Hook ke untuk mulai mencegah operasi yang tidak sesuai.

Target kait

Target hook menentukan operasi yang akan dievaluasi oleh Hook. Ini bisa berupa operasi pada:

  • Sumber daya yang didukung oleh CloudFormation (RESOURCE)

  • Template tumpukan (STACK)

  • Ubah set (CHANGE_SET)

  • Sumber daya yang didukung oleh Cloud Control API (CLOUD_CONTROL)

Anda menentukan satu atau lebih target yang menentukan operasi terluas yang akan dievaluasi oleh Hook. Misalnya, Anda dapat membuat penargetan Hook RESOURCE untuk menargetkan semua AWS sumber daya dan STACK menargetkan semua templat tumpukan.

Tindakan target

Tindakan target menentukan tindakan tertentu (CREATE,UPDATE, atauDELETE) yang akan memanggil Hook. UntukRESOURCE,STACK, dan CLOUD_CONTROL target, semua tindakan target dapat diterapkan. Untuk CHANGE_SET target, hanya CREATE tindakan yang berlaku.

Anotasi

GetHookResulttanggapan dapat mengembalikan anotasi yang memberikan hasil pemeriksaan kepatuhan terperinci dan panduan remediasi untuk setiap sumber daya yang dievaluasi. Untuk detail tentang struktur anotasi API, lihat Anotasi di Referensi AWS CloudFormation API. Untuk petunjuk tentang melihat hasil validasi ini, lihatLihat hasil pemanggilan untuk Hooks CloudFormation.

Anda dapat mengenkripsi anotasi sesuai kebutuhan untuk informasi kepatuhan sensitif dengan menentukan kunci KMS Anda sendiri saat mengonfigurasi Hook. Untuk informasi selengkapnya, lihat Referensi sintaks skema konfigurasi hook. Untuk informasi tentang menyiapkan kebijakan kunci yang Anda perlukan saat menentukan kunci KMS untuk Hooks, lihat. AWS KMS kebijakan kunci dan izin untuk mengenkripsi hasil CloudFormation Hooks saat istirahat

penting

Perhatikan bahwa KmsKeyId opsi untuk menentukan kunci yang dikelola pelanggan saat ini hanya tersedia saat Anda menggunakan tombol AWS CLI untuk mengonfigurasi Hook Anda.

Handler kait

Untuk Hooks kustom, ini adalah kode yang menangani evaluasi. Ini terkait dengan titik pemanggilan target dan tindakan target yang menandai titik yang tepat di mana Hook berjalan. Anda menulis penangan yang menjadi tuan rumah logika untuk poin-poin spesifik ini. Misalnya, titik pemanggilan PRE target dengan tindakan CREATE target membuat handler preCreate Hook. Kode dalam handler Hook berjalan ketika titik pemanggilan target yang cocok dan layanan melakukan tindakan target terkait.

Nilai yang valid: (preCreate| preUpdate |preDelete)

penting

Operasi tumpukan yang menghasilkan status UpdateCleanup jangan memanggil Hook. Misalnya, selama dua skenario berikut, preDelete handler Hook tidak dipanggil:

  • tumpukan diperbarui setelah menghapus satu sumber daya dari template.

  • sumber daya dengan jenis penggantian pembaruan dihapus.

Batas batas waktu dan coba lagi

Hooks memiliki batas waktu tunggu 30 detik per pemanggilan dan dibatasi hingga 3 upaya coba lagi. Jika pemanggilan melebihi batas waktu, kami mengembalikan pesan kesalahan yang menyatakan bahwa eksekusi Hook habis waktu. Setelah percobaan ulang ketiga, CloudFormation tandai eksekusi Hook sebagai gagal.