Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS CloudFormation Linee guida, best practice e limitazioni per l'inserimento
Per consentire ad AMS di elaborare il CloudFormation modello, esistono alcune linee guida e restrizioni.
Linee guida
Per ridurre AWS CloudFormation gli errori AWS CloudFormation durante l'acquisizione, segui queste linee guida:
Non incorporare credenziali o altre informazioni riservate nel modello: il CloudFormation modello è visibile nella AWS CloudFormation console, quindi non è necessario incorporare credenziali o dati sensibili nel modello. Il modello non può contenere informazioni sensibili. Le seguenti risorse sono consentite solo se utilizzi AWS Secrets Manager per il valore:
AWS::RDS::DBInstance- [MasterUserPassword,TdeCredentialPassword]AWS::RDS::DBCluster- [MasterUserPassword]AWS::ElastiCache::ReplicationGroup- [AuthToken]
Nota
Per informazioni sull'utilizzo di un segreto di AWS Secrets Manager in una proprietà di risorsa, consulta Come creare e recuperare segreti gestiti in AWS Secrets Manager utilizzando CloudFormation modelli AWS
e Utilizzo di riferimenti dinamici per specificare i valori dei modelli. Usa gli snapshot di Amazon RDS per creare istanze DB RDS: in questo modo eviti di dover fornire un. MasterUserPassword
Se il modello inviato contiene un profilo di istanza IAM, deve avere il prefisso «cliente». Ad esempio, l'utilizzo di un profilo di istanza con il nome 'example-instance-profile' causa un errore. Utilizzate invece un profilo di istanza con il nome 'customer-example-instance-profile'.
Non includere dati sensibili in
AWS::EC2::Instance- [UserData]. UserData non deve contenere password, chiavi API o altri dati sensibili. Questo tipo di dati può essere crittografato e archiviato in un bucket S3 e scaricato sull'istanza utilizzando. UserDataLa creazione di policy IAM tramite CloudFormation modelli è supportata con alcuni vincoli: le policy IAM devono essere riviste e approvate da AMS. SecOps Attualmente supportiamo solo l'implementazione di ruoli IAM con policy in linea che contengono autorizzazioni preapprovate. In altri casi, le policy IAM non possono essere create utilizzando CloudFormation modelli perché ciò avrebbe la precedenza sul processo AMS. SecOps
SSH KeyPairs non è supportato: è necessario accedere EC2 alle istanze Amazon tramite il sistema di gestione degli accessi AMS. Il processo AMS RFC ti autentica. Non puoi includere coppie di chiavi SSH nei CloudFormation modelli perché non disponi delle autorizzazioni per creare coppie di chiavi SSH e sovrascrivere il modello di gestione degli accessi AMS.
Le regole di accesso ai gruppi di sicurezza sono limitate: non è possibile avere un intervallo CIDR di origine compreso tra 0.0.0.0/0 o uno spazio di indirizzi indirizzabile pubblicamente, con una porta TCP diversa da 80 o 443.
Segui le AWS CloudFormation linee guida quando scrivi i modelli di CloudFormation risorse: assicurati di utilizzare il type/property nome di dati corretto per la risorsa facendo riferimento alla Guida per l'utente di quella risorsa.AWS CloudFormation Ad esempio, il tipo di dati della SecurityGroupIds proprietà in una AWS::EC2::Instance risorsa è 'Elenco di valori String', quindi ["sg-aaaaaaaa"] è ok (con parentesi), ma «sg-aaaaaaaa» no (senza parentesi).
Per ulteriori informazioni, consulta AWS Resource and Property Types Reference.
Configura i tuoi CloudFormation modelli personalizzati per utilizzare i parametri definiti in AMS CloudFormation ingest CT — Quando configuri il tuo CloudFormation modello per utilizzare i parametri definiti in AMS CloudFormation ingest CT, puoi riutilizzare il CloudFormation modello per creare stack simili inviandolo con i valori dei parametri modificati nell'input CT con Management | Custom stack | Stack from CloudFormation template | Update CT (ct-361tlo1k7339x). Per vedere un esempio, consulta AWS CloudFormation Esempi di inserimento: definizione delle risorse.
Gli endpoint del bucket Amazon S3 con un URL predefinito non possono essere scaduti: se utilizzi un endpoint bucket Amazon S3 con un URL predefinito, verifica che l'URL Amazon S3 prefirmato non sia scaduto. Una CloudFormation richiesta RFC di importazione inviata con un URL del bucket Amazon S3 prefirmato scaduto viene rifiutata.
Wait Condition richiede una logica di segnale: Wait Condition viene utilizzata per coordinare la creazione di risorse dello stack con azioni di configurazione esterne alla creazione dello stack. Se utilizzi la risorsa Wait Condition nel modello, AWS CloudFormation attende un segnale di successo e contrassegna la creazione dello stack come un errore se non viene emesso il numero di segnali di successo. È necessario disporre di una logica per il segnale se si utilizza la risorsa Wait Condition. Per ulteriori informazioni, vedere Creazione di condizioni di attesa in un modello.
