Importe com sucesso um bucket do S3 como uma pilha da AWS CloudFormation - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaÉpicosRecursos relacionadosAnexos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Importe com sucesso um bucket do S3 como uma pilha da AWS CloudFormation

Ram Kandaswamy, Amazon Web Services

Resumo

Se você usa recursos da Amazon Web Services (AWS), como buckets do Amazon Simple Storage Service (Amazon S3), e quer usar uma abordagem de infraestrutura como código (IaC), você pode importar seus recursos para a CloudFormation AWS e gerenciá-los como uma pilha.

Esse padrão fornece etapas para importar com sucesso um bucket do S3 como uma CloudFormation pilha da AWS. Ao usar essa abordagem padrão, você pode evitar possíveis erros que possam ocorrer se você importar seu bucket do S3 em uma única ação.

Pré-requisitos e limitações

Pré-requisitos

Arquitetura

Fluxo de trabalho para usar o CloudFormation modelo para criar uma CloudFormation pilha para importar um bucket S3.

O diagrama mostra o seguinte fluxo de trabalho:

  1. O usuário cria um modelo da AWS em formato JSON ou YAML. CloudFormation

  2. O modelo cria uma CloudFormation pilha da AWS para importar o bucket do S3.

  3. O AWS CloudFormation stack gerencia o bucket S3 que você especificou no modelo.

Pilha de tecnologia

  • AWS CloudFormation

  • AWS Identity and Access Management (IAM)

  • AWS KMS

  • Amazon S3

Ferramentas

  • AWS CloudFormation — CloudFormation A AWS ajuda você a criar e provisionar implantações de infraestrutura da AWS de forma previsível e repetida.

  • AWS Identity and Access Management (IAM): o IAM é um serviço web para controlar, com segurança, o acesso a serviços da AWS.

  • AWS KMS: o AWS Key Management Service (AWS KMS) é um serviço de criptografia e gerenciamento de chave com escalabilidade para a nuvem.

  • Amazon S3: o Amazon Simple Storage Service (Amazon S3) serve como armazenamento para a internet.

Épicos

TarefaDescriptionHabilidades necessárias

Crie um modelo para a importação do bucket do S3 e da chave do KMS.

No seu computador local, crie um modelo para importar o bucket do S3 e a chave do KMS usando o seguinte modelo de amostra:

AWSTemplateFormatVersion: 2010-09-09

Parameters:

  bucketName:

    Type: String

Resources:

  S3Bucket:

    Type: 'AWS::S3::Bucket'

    DeletionPolicy: Retain

    Properties:

      BucketName: !Ref bucketName

      BucketEncryption:

        ServerSideEncryptionConfiguration:

          - ServerSideEncryptionByDefault:

              SSEAlgorithm: 'aws:kms'

              KMSMasterKeyID: !GetAtt 

                - KMSS3Encryption

                - Arn

  KMSS3Encryption:

    Type: 'AWS::KMS::Key'

    DeletionPolicy: Retain

    Properties:

      Enabled: true

      KeyPolicy: !Sub |-

        {

            "Id": "key-consolepolicy-3",

            "Version": "2012-10-17",		 	 	 

            "Statement": [

                {

                    "Sid": "Enable IAM User Permissions",

                    "Effect": "Allow",

                    "Principal": {

                        "AWS": ["arn:aws:iam::${AWS::AccountId}:root"]

                    },

                    "Action": "kms:*",

                    "Resource": "*"

                }

                }

            ]

        }

      EnableKeyRotation: true
AWS DevOps

Crie a pilha.

  1. Faça login no AWS Management Console, abra o CloudFormation console da AWS, escolha View stack, escolha Create stack e escolha With existing resources (import resources).

  2. Escolha Carregar um arquivo de modelo e, em seguida, carregue o arquivo de modelo que você criou anteriormente.

  3. Insira um nome para sua pilha e configure as opções restantes de acordo com seus requisitos.

  4. Escolha Criar pilha e aguarde até que o status da pilha mude para. IMPORT_COMPLETE

AWS DevOps

Crie o alias da chave KMS.

  1. No CloudFormation console da AWS, escolha Stacks, escolha o nome da pilha que você criou anteriormente, escolha o painel Template e escolha View in Designer.

  2. Adicione o seguinte trecho à seção de recursos Resource do modelo e, em seguida, escolha Criar pilha e conclua o assistente:

KMSS3EncryptionAlias:

    Type: 'AWS::KMS::Alias'

    DeletionPolicy: Retain

    Properties: 

    AliasName: alias/S3BucketKey

    TargetKeyId: !Ref KMSS3Encryption

Para obter mais informações sobre isso, consulte as atualizações do AWS CloudFormation Stack na CloudFormation documentação da AWS. 

AWS DevOps

Atualize a pilha para incluir a política de bucket do S3.

  1. No CloudFormation console da AWS, escolha Stacks, escolha o nome da pilha que você criou anteriormente, escolha o painel Template e escolha View in Designer.

  2. Adicione o seguinte trecho à seção Resource do seu modelo e, em seguida, escolha Criar pilha e conclua o assistente:

S3BucketPolicy:

  Type: 'AWS::S3::BucketPolicy'

  Properties:

    Bucket: !Ref S3Bucket

    PolicyDocument: !Sub |-

      {

                  "Version": "2008-10-17",		 	 	 

                  "Id": "restricthttp",

                  "Statement": [

                      {

                          "Sid": "denyhttp",

                          "Effect": "Deny",

                          "Principal": {

                              "AWS": "*"

                          },

                          "Action": "s3:*",

                          "Resource": ["arn:aws:s3:::${S3Bucket}","arn:aws:s3:::${S3Bucket}/*"],

                          "Condition": {

                              "Bool": {

                                  "aws:SecureTransport": "false"

                              }

                          }

                      }

                  ]

              }
nota

Esta política de bucket do S3 conta com uma instrução de negação que restringe chamadas de API que não sejam seguras. 

AWS DevOps

Atualize a política de chaves.

  1. No CloudFormation console da AWS, escolha Stacks, escolha o nome da pilha que você criou anteriormente, escolha o painel Template e escolha View in Designer.

  2. Modifique o recurso do KMS do modelo para incorporar a política de chave que concede aos administradores permissões para gerenciar a chave do KMS.

  3. Escolha Criar pilha, escolha Avançar e, em seguida, conclua o assistente de acordo com seus requisitos.

Para obter mais informações, consulte Key policies in AWS KMS na documentação do AWS KM.

Administrador da AWS

Adicione tags em nível de recurso.

  1. No CloudFormation console da AWS, escolha Stacks, escolha o nome da pilha que você criou anteriormente, escolha o painel Template e escolha View in Designer.

  2. Adicione o seguinte trecho à seção de recursos Properties do Amazon S3 do modelo e, em seguida, escolha Create stack e conclua o assistente:

Tags:

  - Key: createdBy

    Value: Cloudformation
AWS DevOps

Recursos relacionados

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip