AWS CloudFormation 取り込みガイドライン、ベストプラクティス、制限事項 - AMS Advanced Application デベロッパーガイド
ガイドライン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS CloudFormation 取り込みガイドライン、ベストプラクティス、制限事項

AMS が CloudFormation テンプレートを処理するには、いくつかのガイドラインと制限があります。

ガイドライン

AWS CloudFormation 取り込み中の AWS CloudFormation エラーを減らすには、次のガイドラインに従ってください。

  • テンプレートに認証情報やその他の機密情報を埋め込まない – CloudFormation テンプレートは AWS CloudFormation コンソールに表示されるため、認証情報や機密データをテンプレートに埋め込まないでください。テンプレートに機密情報を含めることはできません。次のリソースは、値に AWS Secrets Manager を使用する場合にのみ許可されます。

    • AWS::RDS::DBInstance - [MasterUserPassword,TdeCredentialPassword]

    • AWS::RDS::DBCluster - [MasterUserPassword]

    • AWS::ElastiCache::ReplicationGroup - [AuthToken]

    注記

    リソースプロパティで AWS Secrets Manager シークレットを使用する方法については、AWS CloudFormation テンプレートを使用して AWS Secrets Manager で管理されるシークレットを作成および取得する方法」および「動的リファレンスを使用してテンプレート値を指定する方法」を参照してください。

  • Amazon RDS スナップショットを使用して RDS DB インスタンスを作成する – これにより、MasterUserPassword を提供する必要がなくなります。

  • 送信するテンプレートに IAM インスタンスプロファイルが含まれている場合は、「customer」というプレフィックスを付ける必要があります。たとえば、example-instance-profile」という名前のインスタンスプロファイルを使用すると、 は失敗します。代わりに、「customer-example-instance-profile」という名前のインスタンスプロファイルを使用します。

  • - [UserData] に機密データを含めないでくださいAWS::EC2::Instance。UserData には、パスワード、API キー、またはその他の機密データを含めないでください。このタイプのデータは暗号化して S3 バケットに保存し、UserData を使用してインスタンスにダウンロードできます。

  • CloudFormation テンプレートを使用した IAM ポリシーの作成は制約付きでサポートされています。IAM ポリシーは AMS SecOps によってレビューおよび承認される必要があります。現在、IAM ロールのデプロイは、事前承認されたアクセス許可を含むインラインポリシーでのみサポートされています。それ以外の場合、IAM ポリシーは AMS SecOps プロセスを上書きするため、CloudFormation テンプレートを使用して作成することはできません。

  • SSH KeyPairs はサポートされていません。Amazon EC2 インスタンスには AMS アクセス管理システム経由でアクセスする必要があります。AMS RFC プロセスはユーザーを認証します。SSH キーペアを作成して AMS アクセス管理モデルを上書きするアクセス許可がないため、CloudFormation テンプレートに SSH キーペアを含めることはできません。

  • セキュリティグループの進入ルールは制限されています – ソース CIDR 範囲を 0.0.0.0/0 またはパブリックにルーティング可能なアドレス空間に、80 または 443 以外の TCP ポートを含めることはできません。

  • CloudFormation リソーステンプレートを記述するときの AWS CloudFormation ガイドラインに従う – リソースの AWS CloudFormation ユーザーガイドを参照して、リソースに適切なデータ型/プロパティ名を使用していることを確認してください。たとえば、AWS::EC2::Instance リソースの SecurityGroupIds プロパティのデータ型は「文字列値のリスト」であるため、["sg-aaaaaaaa"] は OK (角括弧付き) ですが、"sg-aaaaaaaaa" は (角括弧なし) ではありません。

    詳細については、「AWS リソースタイプとプロパティタイプのリファレンス」を参照してください。

  • AMS CloudFormation 取り込み CT で定義されたパラメータを使用するようにカスタム CloudFormation テンプレートを設定する – AMS CloudFormation 取り込み CT で定義されたパラメータを使用するように CloudFormation テンプレートを設定する場合、管理 | カスタムスタック | CloudFormation テンプレートからのCloudFormation テンプレートを再利用して同様のスタックを作成できます。例については、AWS CloudFormation 取り込みの例: リソースの定義を参照してください。

  • 署名付き URL を持つ Amazon S3 バケットエンドポイントは期限切れにできません – 署名付き URL を持つ Amazon S3 バケットエンドポイントを使用している場合は、署名付き Amazon S3 URL の有効期限が切れていないことを確認します。期限切れの署名付き Amazon S3 バケット URL で送信された CloudFormation 取り込み RFC は拒否されます。 Amazon S3

  • Wait Condition にはシグナルロジックが必要です – Wait Condition は、スタックリソースの作成とスタックの作成の外部にある設定アクションを調整するために使用されます。テンプレートで Wait Condition リソースを使用する場合、 は成功シグナルを AWS CloudFormation 待機し、成功シグナルの数が作成されない場合、スタックの作成を失敗としてマークします。Wait Condition リソースを使用する場合は、シグナルのロジックが必要です。詳細については、「 テンプレートでの待機条件の作成」を参照してください。