Utilizzo del AWS CloudFormation registro - AWS CloudFormation
Estensioni pubbliche e privateGestione delle estensioni tramite il registro CloudFormationRegistra i tipi di risorse in AWS ConfigConfused deputy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo del AWS CloudFormation registro

Il CloudFormation registro consente di gestire le estensioni, sia pubbliche che private, come risorse, moduli e hook disponibili per l'uso in. Account AWS Attualmente, è possibile utilizzare i seguenti tipi di estensione nel AWS registro: tipi di risorse, moduli e hook. Il registro semplifica l'individuazione e il provisioning delle estensioni nei AWS CloudFormation modelli nello stesso modo in cui si utilizzano le risorse AWS fornite.

Estensioni pubbliche e private

I tipi di estensione vengono registrati come pubbliche o private. Attualmente, il registro di sistema offre i seguenti tipi di estensione:

  • Tipi di risorse: modella e fornisci la logica personalizzata come risorsa, utilizzando stacks in. CloudFormation

  • Modules (Moduli): creano pacchetti di configurazioni delle risorse da includere nei modelli di stack, in modo trasparente, gestibile e ripetibile.

  • Hooks: ispeziona in modo proattivo la configurazione delle risorse prima del provisioning. AWS

Tipi di estensioni pubbliche

Le estensioni pubbliche sono quelle pubblicate pubblicamente nel registro per essere utilizzate da tutti gli utenti. CloudFormation Sono incluse le estensioni pubblicate da AWS da publisher di estensioni di terze parti.

Sono disponibili due tipi di estensioni pubbliche:

  • AWS estensioni pubbliche: le estensioni pubblicate da AWS sono sempre pubbliche e attivate per impostazione predefinita, quindi non devi intraprendere alcuna azione prima di utilizzarle nel tuo account. Inoltre, AWS verifica il controllo delle versioni dell'estensione, in modo da farti utilizzare sempre l'ultima versione disponibile.

  • Estensioni pubbliche di terze parti: sono estensioni rese disponibili per l'uso generale da parte di publisher diversi da AWS.

Per ulteriori informazioni consulta Utilizzo delle estensioni pubbliche.

Tipi di estensioni private

Le estensioni private sono le estensioni di terze parti che hai esplicitamente attivato per utilizzarle nell' Account AWS.

Sono disponibili due tipi di estensioni private:

  • Estensioni private attivate: sono le copie locali delle estensioni di terze parti che hai attivato per l'account e la Regione. Quando attivi un'estensione pubblica di terze parti, CloudFormation crea una copia locale di tale estensione nel registro del tuo account.

  • Estensioni private registrate: possono anche attivare estensioni private che non sono elencate nel CloudFormation registro pubblico. Queste possono essere estensioni che hai creato tu stesso o condivise con te dalla tua organizzazione o da altre terze parti. Per utilizzare l'estensione privata nell'ccount, devi prima registrarla. La registrazione dell'estensione ne carica una copia nel CloudFormation registro del tuo account e la attiva.

Per ulteriori informazioni, consulta Utilizzo delle estensioni private.

Gestione delle estensioni tramite il registro CloudFormation

Usa il CloudFormation registro per gestire le estensioni del tuo account, tra cui:

  • Visualizzazione delle estensioni disponibili e attivate.

  • Registrazione delle estensioni private.

  • Attivazione di estensioni pubbliche.

Per visualizzare le estensioni nella CloudFormation console

  1. Accedi AWS Management Console e apri la AWS CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

  2. Dal pannello CloudFormationdi navigazione, in Registro, seleziona la categoria di estensione che desideri visualizzare:

    • Public extensions (Estensioni pubbliche) visualizza le estensioni pubbliche disponibili nell'account.

      1. Scegli il tipo di estensione: Resource types (Tipo di risorsa), Modules (Moduli) o Hooks (Hook).

      2. Scegli il publisher: AWS o Third party (Terza parte).

      3. Utilizza le opzioni di Filter (Filtro) per selezionare ulteriormente le estensioni da visualizzare.

    • Activated extensions (Estensioni attivate) visualizza le estensioni pubbliche e private attivate nell'account.

      1. Scegli il tipo di estensione: Resource types (Tipo di risorsa), Modules (Moduli) o Hooks (Hook).

      2. Utilizza il menu a discesa Filter (Filtro) per selezionare ulteriormente le estensioni da visualizzare:

        • AWS— elenca le estensioni pubblicate da AWS. Le estensioni pubblicate da AWS sono attivate per impostazione predefinita.

        • Terze parti: elenca tutte le estensioni pubbliche di editori diversi da quelli AWS che hai attivato in questo account.

        • Registered (Registrate): elenca tutte le estensioni private che hai attivato l'account.

    • Publisher: visualizza tutte le estensioni pubbliche che hai pubblicato utilizzando l'account. Per ulteriori informazioni, consulta Publishing extensions (Pubblicazione delle estensioni) nella User Guide for Extension Development (Guida per l'utente allo sviluppo delle estensioni).

  3. Cerca o seleziona il nome dell'estensione per visualizzare i relativi dettagli.

Registra i tipi di risorse in AWS Config

È possibile specificare che AWS Config tenga automaticamente traccia dei tipi di risorse private e registri le modifiche a tali risorse come elementi di configurazione. Ciò consente di visualizzare la cronologia di configurazione per questi tipi di risorse private, oltre a scrivere Regole di AWS Config regole per verificare le migliori pratiche di configurazione. AWS Config è necessario per l'estensione del gancio.

Per tenere traccia AWS Config automaticamente dei tipi di risorse private:

  • Gestisci le risorse tramite CloudFormation. Ciò include l'esecuzione di tutte le operazioni di creazione, aggiornamento ed eliminazione delle risorse tramite CloudFormation.

    Nota

    Se utilizzi un ruolo IAM per eseguire le operazioni sullo stack, tale ruolo IAM deve avere l'autorizzazione a eseguire le seguenti AWS Config azioni:

  • Configura AWS Config per registrare tutti i tipi di risorse. Per ulteriori informazioni, consulta Registrare le configurazioni per risorse di terze parti nella Guida per gli sviluppatori di AWS Config .

    Nota

    AWS Config non supporta la registrazione di risorse private contenenti proprietà definite sia come obbligatorie che di sola scrittura.

    In base alla progettazione, le proprietà delle risorse definite come di sola scrittura non vengono restituite nello schema utilizzato per creare l'elemento di configurazione. AWS Config Di conseguenza, se includi una proprietà definita come di sola scrittura e come obbligatoria, la creazione dell'elemento di configurazione avrà esito negativo perché una proprietà obbligatoria non sarà presente. Per visualizzare lo schema che verrà utilizzato per creare l'elemento di configurazione, è possibile esaminare la schema proprietà dell'DescribeTypeazione.

Per ulteriori informazioni, consulta Elementi della configurazione nella Guida per gli sviluppatori di AWS Config .

Impedire la registrazione di proprietà con dati sensibili in un elemento di configurazione

Il tipo di risorsa può contenere proprietà considerate informazioni riservate, ad esempio password, segreti o altri dati sensibili, che non si desidera registrare come parte dell'elemento di configurazione. Per evitare che una proprietà venga registrata nell'elemento di configurazione, è possibile includere tale proprietà nell'elenco writeOnlyproperties nello schema del tipo di risorsa. Le proprietà delle risorse elencate come writeOnlyproperties possono essere specificate dall'utente, ma non verranno restituite da una richiesta read o list.

Per ulteriori informazioni, vedere Resource Provider Schema nella Guida per l'utente dell'interfaccia a riga di CloudFormation comando.

Prevenzione del "confused deputy"

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel frattempo AWS, l'impersonificazione tra servizi può portare alla confusione del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce alcuni strumenti che consentono di proteggere i dati per tutti i servizi che dispongono di principali del servizio a cui è stato consentito l'accesso alle risorse del tuo account.

Ti consigliamo di utilizzare aws:SourceArnle chiavi di contesto della condizione aws:SourceAccountglobale nelle politiche delle risorse per limitare le autorizzazioni che AWS CloudFormation forniscono un altro servizio all'estensione. Se il valore aws:SourceArn non contiene l'ID account, ad esempio il nome della risorsa Amazon (ARN) di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali e il valore aws:SourceArn contiene l'ID account, il valore aws:SourceAccount e l'account nel valore aws:SourceArn deve utilizzare lo stesso ID account nella stessa dichiarazione di policy. Utilizzare aws:SourceArn se si desidera consentire l'associazione di una sola risorsa all'accesso tra servizi. Utilizza aws:SourceAccount se desideri consentire l'associazione di qualsiasi risorsa in tale account all'uso tra servizi.

Il valore di aws:SourceArn deve utilizzare l'ARN dell'estensione.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArncon l'ARN completo della risorsa. Se non conosci l'ARN completo dell'estensione o specifichi più estensioni, utilizza la chiave di contesto della condizione globale aws:SourceArn con caratteri jolly (*) per le parti sconosciute dell'ARN. Ad esempio, arn:aws:cloudformation:*:123456789012:*.

Nota

Per i servizi di registro, CloudFormation effettua chiamate a AWS Security Token Service (AWS STS) per assumere un ruolo nel tuo account. Questo ruolo è configurato per ExecutionRoleArn nell'operazione RegisterType e LogRoleArn impostato nell'operazione LoggingConfig.

L'esempio seguente mostra come utilizzare le chiavi di contesto aws:SourceArn e aws:SourceAccount global condition AWS CloudFormation per prevenire il confuso problema del vice.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resources.cloudformation.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "StringLike": {
          "aws:SourceArn": "arn:aws:cloudformation:us-east-1:123456789012:type/resource/Organization-Service-Resource/*"
        }
      }
    }
  ]
}