As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS CloudFormation Diretrizes, melhores práticas e limitações de ingestão
Para que o AMS processe seu CloudFormation modelo, existem algumas diretrizes e restrições.
Diretrizes
Para reduzir AWS CloudFormation erros ao realizar a AWS CloudFormation ingestão, siga estas diretrizes:
Não incorpore credenciais ou outras informações confidenciais no modelo — o CloudFormation modelo está visível no AWS CloudFormation console, então você não quer incorporar credenciais ou dados confidenciais no modelo. O modelo não pode conter informações confidenciais. Os seguintes recursos são permitidos somente se você usar o AWS Secrets Manager para o valor:
AWS::RDS::DBInstance- [MasterUserPassword,TdeCredentialPassword]AWS::RDS::DBCluster- [MasterUserPassword]AWS::ElastiCache::ReplicationGroup- [AuthToken]
nota
Para obter informações sobre o uso de um segredo do AWS Secrets Manager em uma propriedade de recurso, consulte Como criar e recuperar segredos gerenciados no AWS Secrets Manager usando CloudFormation modelos da AWS
e Como usar referências dinâmicas para especificar valores de modelos. Use snapshots do Amazon RDS para criar instâncias de banco de dados do RDS — Ao fazer isso, você evita a necessidade de fornecer uma. MasterUserPassword
Se o modelo enviado contiver um perfil de instância do IAM, ele deverá ser prefixado com “cliente”. Por exemplo, usar um perfil de instância com o nome example-instance-profile '' causa falha. Em vez disso, use um perfil de instância com o nome 'customer-example-instance-profile'.
Não inclua dados confidenciais em
AWS::EC2::Instance- [UserData]. UserData não deve conter senhas, chaves de API ou outros dados confidenciais. Esse tipo de dado pode ser criptografado e armazenado em um bucket do S3 e baixado na instância usando UserData.A criação de políticas do IAM usando CloudFormation modelos é suportada por restrições — as políticas do IAM precisam ser revisadas e aprovadas pelo AMS. SecOps Atualmente, só oferecemos suporte à implantação de funções do IAM com políticas em linha que contêm permissões pré-aprovadas. Em outros casos, as políticas do IAM não podem ser criadas usando CloudFormation modelos porque isso substituiria o SecOps processo do AMS.
KeyPairs Não há suporte para SSH — as EC2 instâncias da Amazon devem ser acessadas por meio do sistema de gerenciamento de acesso AMS. O processo AMS RFC autentica você. Você não pode incluir pares de chaves SSH em CloudFormation modelos porque você não tem as permissões para criar pares de chaves SSH e substituir o modelo de gerenciamento de acesso do AMS.
As regras de entrada do grupo de segurança são restritas — você não pode ter um intervalo de CIDR de origem de 0.0.0.0/0 ou um espaço de endereço publicamente roteável com uma porta TCP diferente de 80 ou 443.
Siga AWS CloudFormation as diretrizes ao escrever modelos de CloudFormation recursos — Certifique-se de usar o type/property nome de dados correto para o recurso consultando o Guia AWS CloudFormation do usuário desse recurso. Por exemplo, o tipo de dados da SecurityGroupIds propriedade em um AWS::EC2::Instance recurso é “Lista de valores de string”, então ["sg-aaaaaaaa"] está ok (com colchetes), mas “sg-aaaaaaaa” não é (sem colchetes).
Para obter mais informações, consulte a Referência de tipos de recursos e propriedades da AWS.
Configure seus CloudFormation modelos personalizados para usar parâmetros definidos na CT de CloudFormation ingestão do AMS — Ao configurar seu CloudFormation modelo para usar parâmetros definidos na CT de CloudFormation ingestão do AMS, você pode reutilizar o CloudFormation modelo para criar pilhas semelhantes enviando-o com valores de parâmetros alterados na entrada do CT com o Gerenciamento | Pilha personalizada | Pilha a partir do CloudFormation modelo | Atualizar CT (ct-361tlo1k7339x). Para obter um exemplo, consulte AWS CloudFormation Exemplos de ingestão: definição de recursos.
Os endpoints de bucket do Amazon S3 com uma URL pré-assinada não podem expirar — Se você estiver usando um endpoint de bucket do Amazon S3 com uma URL pré-assinada, verifique se a URL pré-assinada do Amazon S3 não expirou. Uma RFC CloudFormation de ingestão enviada com uma URL de bucket Amazon S3 pré-assinada expirada é rejeitada.
A condição de espera requer lógica de sinal — a condição de espera é usada para coordenar a criação de recursos da pilha com ações de configuração externas à criação da pilha. Se você usa o recurso Wait Condition no modelo, AWS CloudFormation espera por um sinal de sucesso e marca a criação da pilha como uma falha se o número de sinais de sucesso não for gerado. Você precisa ter uma lógica para o sinal se usar o recurso Wait Condition. Para obter mais informações, consulte Criação de condições de espera em um modelo.
