Ottenimento di valori archiviati in altri servizi utilizzando riferimenti dinamici

Utilizzare stringhe sicure: per i dati sensibili, utilizza sempre parametri di stringa sicuri in AWS Systems Manager Parameter Store o segreti in Gestione dei segreti AWS per garantire che i dati siano crittografati quando sono inattivi.

Limitare l’accesso: limita l’accesso ai parametri Parameter Store o ai segreti di Secrets Manager solo ai principali e ai ruoli autorizzati.

Ruotare le credenziali: ruota regolarmente i dati sensibili archiviati in Parameter Store o Secrets Manager per mantenere un elevato livello di sicurezza.

Rotazione automatica: sfrutta le funzionalità di rotazione automatica di Secrets Manager per aggiornare e distribuire periodicamente i dati sensibili tra le applicazioni e gli ambienti.

Non includere riferimenti dinamici o dati sensibili nelle proprietà delle risorse che fanno parte dell’identificatore principale di una risorsa. CloudFormation può utilizzare il valore effettivo in chiaro nell’identificatore della risorsa principale, il che potrebbe rappresentare un rischio per la sicurezza. Questo ID risorsa può apparire in qualsiasi output o destinazione derivata.

Per determinare quali proprietà delle risorse comprendono l’identificatore principale di un tipo di risorsa, fai riferimento alla documentazione di riferimento delle risorse nelle Informazioni di riferimento sui tipi di proprietà e di risorseAWS per la risorsa in questione. Nella sezione Return values (Valori restituiti), il valore restituito della funzione Ref rappresenta le proprietà delle risorse che comprendono l’identificatore principale del tipo di risorsa.

È possibile includere fino a 60 riferimenti dinamici in un modello di stack.

Se utilizzi trasformazioni (come AWS::Include o AWS::Serverless), CloudFormation non risolve i riferimenti dinamici prima di applicare la trasformazione. Trasmette, invece, la stringa letterale del riferimento dinamico alla trasformazione e risolve i riferimenti quando si esegue il set di modifiche utilizzando il modello.

I riferimenti dinamici non possono essere utilizzati per valori sicuri (come quelli archiviati in Parameter Store o Secrets Manager) nelle risorse personalizzate.

Inoltre, i riferimenti dinamici non sono supportati nei metadati AWS::CloudFormation::Init e nelle proprietà UserData di Amazon EC2.

Non creare un riferimento dinamico che termina con una barra rovesciata (\). CloudFormation non è in grado di risolvere questi riferimenti, il che causerà il fallimento delle operazioni dello stack.