CloudFormation Pedoman Ingest, Praktik Terbaik, dan Batasan - Panduan Pengembang Aplikasi AMS Advanced
Pedoman

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

CloudFormation Pedoman Ingest, Praktik Terbaik, dan Batasan

Agar AMS dapat memproses CloudFormation template Anda, ada beberapa pedoman dan batasan.

Pedoman

Untuk mengurangi CloudFormation kesalahan saat melakukan CloudFormation ingest, ikuti panduan ini:

  • Jangan menyematkan kredensi atau informasi sensitif lainnya di template — Template terlihat di CloudFormation konsol, jadi Anda tidak ingin menyematkan kredensi atau data sensitif di CloudFormation templat. Template tidak dapat berisi informasi sensitif. Sumber daya berikut hanya diperbolehkan jika Anda menggunakan AWS Secrets Manager untuk nilainya:

    • AWS::RDS::DBInstance - [MasterUserPassword,TdeCredentialPassword]

    • AWS::RDS::DBCluster - [MasterUserPassword]

    • AWS::ElastiCache::ReplicationGroup - [AuthToken]

    catatan

    Untuk informasi tentang menggunakan AWS rahasia Secrets Manager di properti resource, lihat Cara membuat dan mengambil rahasia yang dikelola di AWS Secrets Manager menggunakan CloudFormation templat AWS dan Menggunakan Referensi Dinamis untuk Menentukan Nilai Template.

  • Gunakan snapshot Amazon RDS untuk membuat instans RDS DB — Dengan melakukan ini, Anda menghindari keharusan menyediakan. MasterUserPassword

  • Jika template yang Anda kirimkan berisi profil instans IAM, itu harus diawali dengan 'pelanggan'. Misalnya, menggunakan profil instance dengan nama 'example-instance-profile', menyebabkan kegagalan. Sebagai gantinya, gunakan profil instance dengan nama 'customer-example-instance-profile'.

  • Jangan sertakan data sensitif apa pun di AWS::EC2::Instance - [UserData]. UserData tidak boleh berisi kata sandi, kunci API, atau data sensitif lainnya. Jenis data ini dapat dienkripsi dan disimpan dalam bucket S3 dan diunduh ke instance menggunakan. UserData

  • Pembuatan kebijakan IAM menggunakan CloudFormation templat didukung dengan kendala — kebijakan IAM harus ditinjau dan disetujui oleh AMS. SecOps Saat ini kami hanya mendukung penerapan peran IAM dengan kebijakan in-line yang berisi izin yang telah disetujui sebelumnya. Dalam kasus lain, kebijakan IAM tidak dapat dibuat menggunakan CloudFormation template karena itu akan menggantikan proses AMS SecOps .

  • SSH KeyPairs tidak didukung - EC2 Instans Amazon harus diakses melalui sistem manajemen akses AMS. Proses AMS RFC mengautentikasi Anda. Anda tidak dapat menyertakan keypair SSH dalam CloudFormation template karena Anda tidak memiliki izin untuk membuat keypair SSH dan mengganti model manajemen akses AMS.

  • Aturan masuknya Grup Keamanan dibatasi - Anda tidak dapat memiliki rentang CIDR sumber dari 0.0.0.0/0, atau ruang alamat yang dapat dirutekan secara publik, dengan port TCP yang tidak lain dari 80 atau 443.

  • Ikuti CloudFormation panduan saat menulis templat CloudFormation sumber daya — Pastikan Anda menggunakan type/property nama data yang tepat untuk sumber daya dengan merujuk ke Panduan AWS CloudFormation Pengguna untuk sumber daya tersebut. Misalnya, tipe data SecurityGroupIds properti dalam AWS::EC2::Instance sumber daya adalah 'Daftar nilai String', jadi ["sg-aaaaaaaa"] ok (dengan tanda kurung), tetapi “sg-aaaaaaaa” tidak (tanpa tanda kurung).

    Untuk informasi selengkapnya, lihat AWS Resource and Property Types Reference.

  • Konfigurasikan CloudFormation templat khusus Anda untuk menggunakan parameter yang ditentukan dalam CT CloudFormation cerna AMS — Saat mengonfigurasi CloudFormation templat untuk menggunakan parameter yang ditentukan dalam CT CloudFormation cerna AMS, Anda dapat menggunakan kembali CloudFormation templat untuk membuat tumpukan serupa dengan mengirimkannya dengan nilai parameter yang diubah dalam input CT dengan Management | Custom stack | Stack from CloudFormation template | Update CT (ct-361tlo1k7339x). Sebagai contoh, lihat CloudFormation Contoh menelan: Mendefinisikan sumber daya.

  • Titik akhir bucket Amazon S3 dengan URL yang telah ditetapkan sebelumnya tidak dapat kedaluwarsa — Jika Anda menggunakan titik akhir bucket Amazon S3 dengan URL yang telah ditetapkan sebelumnya, verifikasi bahwa URL Amazon S3 yang telah ditetapkan sebelumnya tidak kedaluwarsa. RFC CloudFormation ingest yang dikirimkan dengan URL bucket Amazon S3 yang sudah kedaluwarsa ditolak.

  • Kondisi Tunggu memerlukan logika sinyal - Kondisi Tunggu digunakan untuk mengoordinasikan pembuatan sumber daya tumpukan dengan tindakan konfigurasi yang berada di luar pembuatan tumpukan. Jika Anda menggunakan sumber daya Kondisi Tunggu di template, CloudFormation tunggu sinyal sukses, dan itu menandai pembuatan tumpukan sebagai kegagalan jika jumlah sinyal sukses tidak dibuat. Anda harus memiliki logika untuk sinyal jika Anda menggunakan sumber daya Kondisi Tunggu. Untuk informasi selengkapnya, lihat Membuat Kondisi Tunggu di Template.