Usa estensioni pubbliche di terze parti dal CloudFormation registro - AWS CloudFormation
Ruolo IAMUsa automaticamente le nuove versioni delle estensioniUso degli alias di riferimento alle estensioniComandi AWS CLI comunemente usati per lavorare con le estensioni pubbliche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa estensioni pubbliche di terze parti dal CloudFormation registro

Per utilizzare un’estensione pubblica di terze parti nel modello, devi innanzitutto attivarel’estensione per l’account e la regione dove desideri utilizzarla. L’attivazione di un’estensione la rende utilizzabile nelle operazioni di stack nell’account e nella Regione dove è attivata.

Quando attivi un'estensione pubblica di terze parti, CloudFormation crea una voce nel registro delle estensioni del tuo account per l'estensione attivata come estensione privata. Ciò consente di impostare le proprietà di configurazione incluse nell’estensione. Le proprietà di configurazione definiscono come l'estensione è configurata per una determinata Account AWS regione.

Oltre a impostare le proprietà di configurazione, puoi anche personalizzare l’estensione nei seguenti modi:

  • Specificate il ruolo di esecuzione CloudFormation utilizzato per attivare l'estensione, oltre a configurare la registrazione per l'estensione.

  • Specifica se l’estensione viene aggiornata automaticamente quando diventa disponibile una nuova versione secondaria o patch.

  • Specifica un alias da utilizzare anziché il nome dell’estensione pubblica di terze parti. In questo modo puoi evitare conflitti di denominazione tra le estensioni di terze parti.

Argomenti

Configura un ruolo di esecuzione con autorizzazioni IAM e una policy di fiducia per l’accesso alle estensioni pubbliche

Quando attivi un'estensione pubblica dal CloudFormation registro, puoi fornire un ruolo di esecuzione che fornisce CloudFormation le autorizzazioni necessarie per richiamare quell'estensione nella tua regione. Account AWS

Le autorizzazioni richieste per il ruolo dell’esecuzione sono definite nella sezione relativa ai gestori dello schema di estensione. È necessario creare una policy IAM che conceda le autorizzazioni specifiche necessarie all’estensione e collegarla al ruolo di esecuzione.

Oltre alla politica delle autorizzazioni, il ruolo di esecuzione deve avere anche una politica di fiducia che CloudFormation consenta di assumere il ruolo. Segui le indicazioni riportate in Create a role using custom trust policies nella Guida per l’utente IAM per creare un ruolo con una policy di fiducia personalizzata.

Relazione di attendibilità

Di seguito vengono riportati degli esempi di policy di attendibilità che puoi utilizzare.

Facoltativamente, è possibile limitare l’ambito dell’autorizzazione per la prevenzione del “confused deputy” multi-servizio utilizzando una o più chiavi di contesto delle condizioni globali con il campo Condition. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

  • Imposta il valore aws:SourceAccount sull’ID del tuo account.

  • Imposta il valore aws:SourceArn sull’ARN dell’estensione.

Esempio di policy di attendibilità 1

Di seguito è riportato un esempio di policy di attendibilità del ruolo IAM per l’estensione del tipo di risorsa.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "resources.cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:us-west-2:123456789012:type/resource/Organization-Service-Resource"
                }
            }
        }
    ]
}
Esempio di policy di attendibilità 2

Di seguito è riportato un esempio di policy di attendibilità del ruolo IAM per l’estensione dell’Hook

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "resources.cloudformation.amazonaws.com",
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:us-west-2:123456789012:type/hook/Organization-Service-Hook"
                }
            }
        }
    ]
}

Usa automaticamente le nuove versioni delle estensioni

Quando attivi un’estensione, puoi anche specificare il tipo di estensione per utilizzare la versione secondaria più recente. Il tipo di estensione aggiorna la versione secondaria, ogni volta che il publisher rilascia una nuova versione sull’estensione attivata.

Ad esempio, la prossima volta che si esegue un'operazione di stack, come la creazione o l'aggiornamento di uno stack, utilizzando un modello che include tale estensione, CloudFormation viene utilizzata la nuova versione secondaria.

L’aggiornamento a una nuova versione di estensione, automatico o manuale, non influisce sulle istanze di estensione di cui è già stato eseguito il provisioning negli stack.

CloudFormation considera gli aggiornamenti delle versioni principali delle estensioni come potenzialmente contenenti modifiche sostanziali e pertanto richiede l'aggiornamento manuale a una nuova versione principale di un'estensione.

Le estensioni pubblicate da AWS sono attivate per impostazione predefinita per tutti gli account e le regioni in cui sono disponibili e utilizzano sempre la versione più recente disponibile in ciascuno Regione AWS di essi.

Importante

Poiché sei tu che controlli se e quando le estensioni vengono aggiornate all’ultima versione nell’account, potresti avere versioni diverse della stessa estensione implementate in account e Regioni diversi.

Ciò potrebbe potenzialmente portare a risultati imprevisti durante l’uso dello stesso modello, che contiene quell’estensione in tali account e Regioni.

Uso degli alias di riferimento alle estensioni

Non puoi attivare più di un’estensione con un determinato nome in un determinato Account AWS e Regione. Poiché diversi editori possono offrire estensioni pubbliche con lo stesso nome di estensione, CloudFormation consente di specificare un alias per qualsiasi estensione pubblica di terze parti attivata.

Se specifichi un alias per l'estensione, CloudFormation considera l'alias come il nome del tipo di estensione all'interno dell'account e della regione. È necessario utilizzare l'alias per fare riferimento all'estensione nei modelli, nelle chiamate API e nella console. CloudFormation

Gli alias dell’estensione devono essere univoci in un determinato account e Regione. Puoi attivare la stessa risorsa pubblica più volte nello stesso account e nella stessa Regione, utilizzando alias di nomi di tipo diverso.

Importante

Sebbene gli alias di estensione debbano essere univoci solo in un determinato account e Regione, si consiglia vivamente agli utenti di non assegnare lo stesso alias a diverse estensioni pubbliche di terze parti negli account nelle Regioni. In questo modo si potrebbero ottenere risultati imprevisti quando si utilizza un modello che contiene l’alias di estensione in più account o regioni.

Comandi AWS CLI comunemente usati per lavorare con le estensioni pubbliche

I comandi comunemente usati per lavorare con le estensioni pubbliche includono:

  • activate-type per attivare un modulo o un tipo di risorsa pubblico di terze parti nel tuo account.

  • set-type-configuration per specificare i dati di configurazione per un’estensione nel tuo account e per disabilitare e abilitare gli Hooks.

  • list-types concede l’autorizzazione per elencare le estensioni nell’account

  • describe-type per restituire informazioni dettagliate su un’estensione specifica o una versione di estensione specifica, inclusi i dati di configurazione correnti.

  • set-type-default-version per specificare quale versione di un’estensione è quella predefinita.

  • deactivate-type per disattivare un modulo o un tipo di risorsa pubblica di terze parti che è stato precedentemente attivato nel tuo account.