Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Referensi dinamis memberikan cara yang nyaman bagi Anda untuk menentukan nilai eksternal yang disimpan dan dikelola di layanan lain dan memisahkan informasi sensitif dari templat Anda infrastructure-as-code . CloudFormation mengambil nilai referensi yang ditentukan bila diperlukan selama tumpukan dan mengubah operasi set.
Dengan referensi dinamis, Anda dapat:
-
Gunakan string aman — Untuk data sensitif, selalu gunakan parameter string aman AWS Systems Manager Parameter Menyimpan atau rahasia di AWS Secrets Manager untuk memastikan data Anda dienkripsi saat istirahat.
-
Batasi akses — Batasi akses ke parameter Parameter Store atau rahasia Secrets Manager hanya untuk prinsipal dan peran yang berwenang.
-
Putar kredensyal — Putar data sensitif Anda secara teratur yang disimpan di Parameter Store atau Secrets Manager untuk mempertahankan tingkat keamanan yang tinggi.
-
Rotasi otomatis — Manfaatkan fitur rotasi otomatis Secrets Manager untuk memperbarui dan mendistribusikan data sensitif Anda secara berkala di seluruh aplikasi dan lingkungan Anda.
Pertimbangan umum
Berikut ini adalah pertimbangan umum untuk Anda pertimbangkan sebelum Anda menentukan referensi dinamis dalam CloudFormation template Anda:
-
Hindari menyertakan referensi dinamis, atau data sensitif apa pun, di properti sumber daya yang merupakan bagian dari pengenal utama sumber daya. CloudFormation dapat menggunakan nilai plaintext aktual dalam pengidentifikasi sumber daya utama, yang bisa menjadi risiko keamanan. ID sumber daya ini mungkin muncul dalam output turunan atau tujuan.
Untuk menentukan properti sumber daya mana yang terdiri dari pengidentifikasi utama tipe sumber daya, lihat dokumentasi referensi sumber daya untuk sumber daya tersebut. AWS referensi jenis sumber daya dan properti Di bagian Kembalikan nilai, nilai
Refpengembalian fungsi mewakili properti sumber daya yang terdiri dari tipe pengidentifikasi utama sumber daya. -
Anda dapat menyertakan hingga 60 referensi dinamis dalam templat tumpukan.
-
Jika Anda menggunakan transformasi (seperti
AWS::IncludeatauAWS::Serverless), CloudFormation tidak menyelesaikan referensi dinamis sebelum menerapkan transformasi. Sebagai gantinya, ia meneruskan string literal dari referensi dinamis ke transformasi, dan menyelesaikan referensi saat Anda menjalankan set perubahan menggunakan template. -
Anda tidak dapat menggunakan referensi dinamis untuk nilai aman (seperti yang disimpan di Parameter Store atau Secrets Manager) di sumber daya khusus.
-
Jangan membuat referensi dinamis yang diakhiri dengan garis miring terbalik (\). CloudFormationtidak dapat menyelesaikan referensi ini, yang akan menyebabkan operasi tumpukan gagal.
Topik berikut memberikan informasi dan pertimbangan lain untuk menggunakan referensi dinamis.
Topik
