CloudFormation 수집 지침, 모범 사례 및 제한 사항 - AMS 고급 애플리케이션 개발자 안내서
지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudFormation 수집 지침, 모범 사례 및 제한 사항

AMS가 CloudFormation 템플릿을 처리하려면 몇 가지 지침과 제한 사항이 있습니다.

지침

CloudFormation 수집을 수행하는 동안 CloudFormation 오류를 줄이려면 다음 지침을 따르세요.

  • 템플릿에 자격 증명 또는 기타 민감한 정보를 임베드하지 마세요 - CloudFormation 템플릿은 CloudFormation 콘솔에 표시되므로 템플릿에 자격 증명 또는 민감한 데이터를 임베드하지 않으려고 합니다. 템플릿에는 민감한 정보가 포함될 수 없습니다. 다음 리소스는 값에 AWS Secrets Manager를 사용하는 경우에만 허용됩니다.

    • AWS::RDS::DBInstance - [MasterUserPassword,TdeCredentialPassword]

    • AWS::RDS::DBCluster - [MasterUserPassword]

    • AWS::ElastiCache::ReplicationGroup - [AuthToken]

    참고

    리소스 속성에서 AWS Secrets Manager 보안 암호를 사용하는 방법에 대한 자세한 내용은 AWS CloudFormation 템플릿을 사용하여 AWS Secrets Manager에서 관리되는 보안 암호를 생성하고 검색하는 방법동적 참조를 사용하여 템플릿 값 지정을 참조하세요.

  • Amazon RDS 스냅샷을 사용하여 RDS DB 인스턴스 생성 - 이렇게 하면 MasterUserPassword를 제공할 필요가 없습니다.

  • 제출하는 템플릿에 IAM 인스턴스 프로파일이 포함된 경우 'customer' 접두사가 붙어야 합니다. 예를 들어 이름이 'example-instance-profile'인 인스턴스 프로파일을 사용하면 오류가 발생합니다. 대신 이름이 'customer-example-instance-profile'인 인스턴스 프로파일을 사용합니다.

  • - [UserData]에 민감한 데이터를 포함하지 마세요AWS::EC2::Instance. UserData에는 암호, API 키 또는 기타 민감한 데이터가 포함되어서는 안 됩니다. 이러한 유형의 데이터는 암호화하여 S3 버킷에 저장하고 UserData를 사용하여 인스턴스에 다운로드할 수 있습니다.

  • CloudFormation 템플릿을 사용한 IAM 정책 생성은 제약 조건과 함께 지원됩니다. IAM 정책은 AMS SecOps에서 검토하고 승인해야 합니다. 현재는 사전 승인된 권한이 포함된 인라인 정책이 있는 IAM 역할 배포만 지원합니다. 다른 경우에는 AMS SecOps 프로세스를 재정의하기 때문에 CloudFormation 템플릿을 사용하여 IAM 정책을 생성할 수 없습니다.

  • SSH KeyPairs는 지원되지 않습니다. Amazon EC2 인스턴스는 AMS 액세스 관리 시스템을 통해 액세스해야 합니다. AMS RFC 프로세스가 사용자를 인증합니다. SSH 키 페어를 생성하고 AMS 액세스 관리 모델을 재정의할 권한이 없으므로 CloudFormation 템플릿에 SSH 키 페어를 포함할 수 없습니다.

  • 보안 그룹 수신 규칙이 제한됨 - 소스 CIDR 범위가 0.0.0.0/0이거나 TCP 포트가 80 또는 443이 아닌 공개적으로 라우팅 가능한 주소 공간을 가질 수 없습니다.

  • CloudFormation 리소스 템플릿 작성 시 CloudFormation 지침 준수 - 해당 리소스에 대한 AWS CloudFormation 사용 설명서를 참조하여 리소스에 올바른 데이터 유형/속성 이름을 사용해야 합니다. 예를 들어 AWS::EC2::Instance 리소스에서 SecurityGroupIds 속성의 데이터 형식은 '문자열 값 목록'이므로 ["sg-aaaaaaa"]는 괜찮지만 (괄호 포함) "sg-aaaaaaaaa"는 그렇지 않습니다(괄호 제외).

    자세한 내용은 AWS 리소스 및 속성 유형 참조를 참조하세요.

  • AMS CloudFormation 수집 CT에 정의된 파라미터를 사용하도록 사용자 지정 CloudFormation 템플릿 구성 - AMS CloudFormation 수집 CT에 정의된 파라미터를 사용하도록 CloudFormation 템플릿을 구성할 때 관리 | 사용자 지정 스택 | CloudFormation 템플릿의 스택 | CT 업데이트(ct-361tlo1k7339x)를 사용하여 CT 입력에 변경된 파라미터 값과 함께 CloudFormation 템플릿을 제출하여 유사한 스택을 생성할 수 있습니다. 예제는 CloudFormation 수집 예제: 리소스 정의 섹션을 참조하세요.

  • 미리 서명된 URL이 있는 Amazon S3 버킷 엔드포인트는 만료될 수 없음 - 미리 서명된 URL이 있는 Amazon S3 버킷 엔드포인트를 사용하는 경우 미리 서명된 Amazon S3 URL이 만료되지 않았는지 확인합니다. 만료된 미리 서명된 Amazon S3 버킷 URL로 제출된 CloudFormation 수집 RFC가 거부됩니다.

  • 대기 조건에는 신호 로직 필요 - 대기 조건은 스택 리소스 생성을 스택 생성 외부의 구성 작업과 조정하는 데 사용됩니다. 템플릿에서 Wait Condition 리소스를 사용하는 경우는 성공 신호를 CloudFormation 기다리고 성공 신호 수가 생성되지 않으면 스택 생성이 실패로 표시됩니다. Wait Condition 리소스를 사용하는 경우 신호에 대한 로직이 있어야 합니다. 자세한 내용은 템플릿에서 대기 조건 생성을 참조하세요.