Menggunakan AWS CloudFormation registri

CloudFormation Registri memungkinkan Anda mengelola ekstensi, baik publik maupun pribadi, seperti sumber daya, modul, dan kait yang tersedia untuk digunakan di situs Anda Akun AWS. Saat ini, Anda dapat menggunakan jenis ekstensi berikut di AWS registri: jenis sumber daya, modul, dan kait. Registri membuatnya lebih mudah untuk menemukan dan menyediakan ekstensi di AWS CloudFormation template Anda dengan cara yang sama seperti Anda menggunakan sumber daya AWS yang disediakan.

Ekstensi publik dan pribadi

Jenis ekstensi terdaftar sebagai publik atau pribadi. Saat ini, registri menawarkan jenis ekstensi berikut:

• Jenis sumber daya — model dan penyediaan logika kustom sebagai sumber daya, menggunakan tumpukan di CloudFormation.

• Modul — konfigurasi sumber daya paket untuk dimasukkan di seluruh template tumpukan, dengan cara yang transparan, mudah dikelola, dan berulang.

• Hooks — secara proaktif memeriksa konfigurasi AWS sumber daya Anda sebelum penyediaan.

Jenis ekstensi publik

Ekstensi publik adalah yang diterbitkan secara publik di registri untuk digunakan oleh semua CloudFormation pengguna. Ini termasuk ekstensi yang diterbitkan oleh AWS dan penerbit ekstensi pihak ketiga.

Ada dua jenis ekstensi publik:

• AWS Ekstensi publik — Ekstensi yang diterbitkan oleh selalu AWS bersifat publik, dan diaktifkan secara default, sehingga Anda tidak perlu mengambil tindakan apa pun sebelum menggunakannya di akun Anda. Selain itu, AWS mengontrol versi ekstensi, sehingga Anda selalu menggunakan versi terbaru yang tersedia.

• Ekstensi publik pihak ketiga — Ini adalah ekstensi yang tersedia untuk penggunaan umum oleh penerbit selain. AWS

Untuk informasi selengkapnya, lihat Menggunakan ekstensi publik.

Jenis ekstensi pribadi

Ekstensi pribadi adalah ekstensi dari pihak ketiga yang telah Anda aktifkan secara eksplisit untuk digunakan dalam ekstensi Anda. Akun AWS

Ada dua jenis ekstensi pribadi:

• Ekstensi pribadi yang diaktifkan - Adalah salinan lokal ekstensi pihak ketiga yang telah Anda aktifkan untuk akun dan wilayah Anda. Saat Anda mengaktifkan ekstensi publik pihak ketiga, CloudFormation buat salinan lokal ekstensi tersebut di registri akun Anda.

• Ekstensi pribadi terdaftar — Dapat juga mengaktifkan ekstensi pribadi yang tidak terdaftar di CloudFormation registri publik. Ekstensi ini mungkin adalah ekstensi yang Anda buat sendiri, atau ekstensi yang dibagikan dengan Anda oleh organisasi Anda atau pihak ketiga lainnya. Untuk menggunakan ekstensi pribadi semacam itu di akun Anda, Anda harus terlebih dahulu mendaftarkannya. Mendaftarkan ekstensi mengunggah salinannya ke CloudFormation registri di akun Anda dan mengaktifkannya.

Untuk informasi selengkapnya, lihat Menggunakan ekstensi pribadi.

Mengelola ekstensi melalui CloudFormation registri

Gunakan CloudFormation registri untuk mengelola ekstensi di akun Anda, termasuk:

• Melihat ekstensi yang tersedia dan diaktifkan.

• Mendaftarkan ekstensi pribadi.

• Mengaktifkan ekstensi publik.

Untuk melihat ekstensi di CloudFormation konsol

1. Masuk ke AWS Management Console dan buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

2. Dari panel CloudFormationnavigasi, di bawah Registry, pilih kategori ekstensi apa yang ingin Anda lihat:

   • Ekstensi publik menampilkan ekstensi publik yang tersedia di akun Anda.

     1. Pilih jenis ekstensi Anda: Jenis sumber daya, Modul, atau Kait.

     2. Pilih Penerbit Anda: AWSatau pihak ketiga.

     3. Gunakan Filter untuk memilih lebih lanjut ekstensi yang ingin ditampilkan.

   • Ekstensi yang diaktifkan menampilkan ekstensi publik dan pribadi yang diaktifkan di akun Anda.

     1. Pilih jenis ekstensi Anda: Jenis sumber daya, Modul, atau Kait.

     2. Gunakan menu menurun Filter untuk memilih lebih lanjut ekstensi yang ingin ditampilkan:

        • AWS— daftar ekstensi yang diterbitkan oleh AWS. Ekstensi yang diterbitkan oleh AWS diaktifkan secara default.

        • Pihak ketiga - mencantumkan ekstensi publik apa pun dari penerbit selain AWS yang telah Anda aktifkan di akun ini.

        • Terdaftar - daftar ekstensi pribadi yang telah Anda aktifkan di akun ini.

   • Penerbit menampilkan ekstensi publik apa pun yang telah Anda publikasikan menggunakan akun ini. Untuk informasi selengkapnya, lihat Menerbitkan ekstensi di Panduan Pengguna untuk Pengembangan Ekstensi.

3. Cari atau pilih nama ekstensi untuk melihat detail ekstensi.

Rekam jenis sumber daya di AWS Config

Anda dapat menentukan yang AWS Config secara otomatis melacak jenis sumber daya pribadi Anda dan mencatat perubahan pada sumber daya tersebut sebagai item konfigurasi. Ini memungkinkan Anda untuk melihat riwayat konfigurasi untuk jenis sumber daya pribadi ini, selain menulis Aturan AWS Config aturan untuk memverifikasi praktik terbaik konfigurasi. AWS Config diperlukan untuk ekstensi kait.

Untuk secara AWS Config otomatis melacak jenis sumber daya pribadi Anda:

• Kelola sumber daya melalui CloudFormation. Ini termasuk melakukan semua operasi pembuatan, pembaruan, dan penghapusan sumber daya melalui CloudFormation.

  catatan

  Jika Anda menggunakan peran IAM untuk melakukan operasi tumpukan, peran IAM tersebut harus memiliki izin untuk memanggil tindakan berikut: AWS Config

  • PutResourceConfig

  • DeleteResourceConfig

• Konfigurasikan AWS Config untuk merekam semua jenis sumber daya. Untuk informasi selengkapnya, lihat Mencatat konfigurasi untuk sumber daya pihak ketiga dalam Panduan Developer AWS Config .

  catatan

  AWS Config tidak mendukung perekaman sumber daya pribadi yang berisi properti yang didefinisikan sebagai wajib dan hanya ditulis.

  Secara desain, properti sumber daya yang didefinisikan sebagai write-only tidak dikembalikan dalam skema yang digunakan untuk membuat AWS Config item konfigurasi. Karena itu, termasuk properti yang didefinisikan sebagai write-only dan required akan menyebabkan pembuatan item konfigurasi gagal, karena properti wajib tidak akan ada. Untuk melihat skema yang akan digunakan untuk membuat item konfigurasi, Anda dapat meninjau schema properti DescribeTypetindakan.

Untuk informasi selengkapnya tentang item konfigurasi, lihat Item konfigurasi di Panduan AWS Config Pengembang.

Mencegah properti sensitif dicatat dalam item konfigurasi

Jenis sumber daya Anda mungkin berisi properti yang Anda anggap sebagai informasi sensitif, seperti kata sandi, rahasia, atau data sensitif lainnya, yang tidak ingin Anda rekam sebagai bagian dari item konfigurasi. Untuk mencegah properti dicatat dalam item konfigurasi, Anda bisa menyertakan properti itu dalam daftar writeOnlyproperties di skema tipe sumber daya Anda. Properti sumber daya yang terdaftar sebagai writeOnlyproperties dapat ditentukan oleh pengguna, tetapi tidak akan dikembalikan oleh list permintaan read atau.

Untuk informasi selengkapnya, lihat Skema Penyedia Sumber Daya di Panduan Pengguna Antarmuka Baris CloudFormation Perintah.

Pencegahan Deputi Bingung

Masalah deputi yang bingung adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil). Layanan panggilan dapat dimanipulasi untuk menggunakan izinnya untuk bertindak atas sumber daya pelanggan lain dengan cara yang seharusnya tidak memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan pengguna utama layanan yang telah diberi akses ke sumber daya di akun Anda.

Sebaiknya gunakan kunci konteks kondisi aws:SourceAccountglobal aws:SourceArndan global dalam kebijakan sumber daya untuk membatasi izin yang AWS CloudFormation memberikan layanan lain ke ekstensi. Jika aws:SourceArn nilai tidak berisi ID akun, seperti bucket Amazon S3 Nama Sumber Daya Amazon (ARN), Anda harus menggunakan kedua kunci konteks kondisi global untuk membatasi izin. Jika Anda menggunakan kunci konteks kondisi global dan nilai aws:SourceArn berisi ID akun, nilai aws:SourceAccount dan akun dalam nilai aws:SourceArn harus menggunakan ID akun yang sama saat digunakan dalam pernyataan kebijakan yang sama. Gunakan aws:SourceArn jika Anda hanya ingin satu sumber daya dikaitkan dengan akses lintas layanan. Gunakan aws:SourceAccount jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.

Nilai aws:SourceArn harus menggunakan ARN ekstensi.

Cara paling efektif untuk melindungi dari masalah confused deputy adalah dengan menggunakan kunci konteks kondisi global aws:SourceArn dengan ARN lengkap sumber daya. Jika Anda tidak mengetahui ARN lengkap ekstensi atau jika Anda menentukan beberapa ekstensi, gunakan kunci kondisi konteks aws:SourceArn global dengan wildcard (*) untuk bagian ARN yang tidak diketahui. Misalnya, arn:aws:cloudformation:*:123456789012:*.

catatan

Untuk layanan registri CloudFormation , lakukan panggilan ke AWS Security Token Service (AWS STS) untuk berperan dalam akun Anda. Peran ini dikonfigurasi untuk ExecutionRoleArn dalam RegisterTypeoperasi dan LogRoleArn diatur dalam LoggingConfigoperasi.

Contoh berikut menunjukkan bagaimana Anda dapat menggunakan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan AWS CloudFormation untuk mencegah masalah wakil yang membingungkan.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resources.cloudformation.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:cloudformation:us-east-1:123456789012:type/resource/Organization-Service-Resource/*"
        }
      }
    }
  ]
}