Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Importa con successo un bucket S3 come stack AWS CloudFormation - Prontuario AWS
RiepilogoPrerequisiti e limitazioniArchitetturaEpicheRisorse correlateAllegati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Importa con successo un bucket S3 come stack AWS CloudFormation

PDF

Creato da Ram Kandaswamy (AWS)

Riepilogo

Se utilizzi risorse Amazon Web Services (AWS), come i bucket Amazon Simple Storage Service (Amazon S3), e desideri utilizzare un approccio infrastructure-as code (IaC), puoi importare le tue risorse in CloudFormation AWS e gestirle come uno stack.

Questo modello fornisce i passaggi per importare correttamente un bucket S3 come stack CloudFormation AWS. Utilizzando l'approccio di questo modello, puoi evitare possibili errori che potrebbero verificarsi se importi il bucket S3 con una singola azione.

Prerequisiti e limitazioni

Prerequisiti

Architettura

Flusso di lavoro per utilizzare il CloudFormation modello per creare uno CloudFormation stack per importare un bucket S3.

Il diagramma mostra il flusso di lavoro seguente:

  1. L'utente crea un modello AWS in formato JSON o YAML. CloudFormation

  2. Il modello crea uno CloudFormation stack AWS per importare il bucket S3.

  3. Lo CloudFormation stack AWS gestisce il bucket S3 specificato nel modello.

Stack tecnologico

  • AWS CloudFormation

  • AWS Identity and Access Management (IAM)

  • AWS KMS

  • Amazon S3

Strumenti

  • AWS CloudFormation: AWS ti CloudFormation aiuta a creare e fornire distribuzioni di infrastrutture AWS in modo prevedibile e ripetuto.

  • AWS Identity and Access Management (IAM): IAM è un servizio Web per controllare in modo sicuro l'accesso ai servizi AWS.

  • AWS KMS — AWS Key Management Service (AWS KMS) è un servizio di crittografia e gestione delle chiavi scalato per il cloud.

  • Amazon S3 — Amazon Simple Storage Service (Amazon S3) è uno storage per Internet.

Epiche

AttivitàDescrizioneCompetenze richieste

Crea un modello per importare il bucket S3 e la chiave KMS.

Sul tuo computer locale, crea un modello per importare il bucket S3 e la chiave KMS utilizzando il seguente modello di esempio:

AWSTemplateFormatVersion: 2010-09-09

Parameters:

  bucketName:

    Type: String

Resources:

  S3Bucket:

    Type: 'AWS::S3::Bucket'

    DeletionPolicy: Retain

    Properties:

      BucketName: !Ref bucketName

      BucketEncryption:

        ServerSideEncryptionConfiguration:

          - ServerSideEncryptionByDefault:

              SSEAlgorithm: 'aws:kms'

              KMSMasterKeyID: !GetAtt 

                - KMSS3Encryption

                - Arn

  KMSS3Encryption:

    Type: 'AWS::KMS::Key'

    DeletionPolicy: Retain

    Properties:

      Enabled: true

      KeyPolicy: !Sub |-

        {

            "Id": "key-consolepolicy-3",

            "Version": "2012-10-17",

            "Statement": [

                {

                    "Sid": "Enable IAM User Permissions",

                    "Effect": "Allow",

                    "Principal": {

                        "AWS": ["arn:aws:iam::${AWS::AccountId}:root"]

                    },

                    "Action": "kms:*",

                    "Resource": "*"

                }

                }

            ]

        }

      EnableKeyRotation: true
AWS DevOps

Creare lo stack.

  1. Accedi alla Console di gestione AWS, apri la CloudFormation console AWS, scegli Visualizza stack, scegli Crea stack, quindi scegli Con risorse esistenti (importa risorse).

  2. Scegli Carica un file modello, quindi carica il file modello che hai creato in precedenza.

  3. Inserisci un nome per lo stack e configura le opzioni rimanenti in base alle tue esigenze.

  4. Scegli Crea stack e attendi che lo stato dello stack cambi a. IMPORT_COMPLETE

AWS DevOps

Crea l'alias della chiave KMS.

  1. Sulla CloudFormation console AWS, scegli Stacks, scegli il nome dello stack che hai creato in precedenza, scegli il riquadro Template, quindi scegli Visualizza in Designer.

  2. Aggiungi il seguente frammento alla Resource sezione del modello, quindi scegli Create stack e completa la procedura guidata:

KMSS3EncryptionAlias:

    Type: 'AWS::KMS::Alias'

    DeletionPolicy: Retain

    Properties: 

    AliasName: alias/S3BucketKey

    TargetKeyId: !Ref KMSS3Encryption

Per ulteriori informazioni a riguardo, consulta AWS CloudFormation stack updates nella CloudFormation documentazione AWS. 

AWS DevOps

Aggiorna lo stack per includere la policy sui bucket S3.

  1. Sulla CloudFormation console AWS, scegli Stacks, scegli il nome dello stack che hai creato in precedenza, scegli il riquadro Template, quindi scegli Visualizza in Designer.

  2. Aggiungi il seguente frammento alla Resource sezione del modello, quindi scegli Create stack e completa la procedura guidata:

S3BucketPolicy:

  Type: 'AWS::S3::BucketPolicy'

  Properties:

    Bucket: !Ref S3Bucket

    PolicyDocument: !Sub |-

      {

                  "Version": "2008-10-17",

                  "Id": "restricthttp",

                  "Statement": [

                      {

                          "Sid": "denyhttp",

                          "Effect": "Deny",

                          "Principal": {

                              "AWS": "*"

                          },

                          "Action": "s3:*",

                          "Resource": ["arn:aws:s3:::${S3Bucket}","arn:aws:s3:::${S3Bucket}/*"],

                          "Condition": {

                              "Bool": {

                                  "aws:SecureTransport": "false"

                              }

                          }

                      }

                  ]

              }
Nota

Questa policy sui bucket S3 include una dichiarazione di negazione che limita le chiamate API che non sono sicure. 

AWS DevOps

Aggiorna la politica chiave.

  1. Sulla CloudFormation console AWS, scegli Stacks, scegli il nome dello stack che hai creato in precedenza, scegli il riquadro Template, quindi scegli Visualizza in Designer.

  2. Modifica la risorsa KMS del modello per includere la policy chiave che consente agli amministratori di amministrare la chiave KMS.

  3. Scegli Crea stack, scegli Avanti, quindi completa la procedura guidata in base alle tue esigenze.

Per ulteriori informazioni, consulta le politiche chiave AWS KMS nella documentazione di AWS KMS.

Amministratore AWS

Aggiungi tag a livello di risorsa.

  1. Sulla CloudFormation console AWS, scegli Stacks, scegli il nome dello stack che hai creato in precedenza, scegli il riquadro Template, quindi scegli Visualizza in Designer.

  2. Aggiungi il seguente frammento alla sezione Properties delle risorse Amazon S3 del modello, quindi scegli Crea stack e completa la procedura guidata:

Tags:

  - Key: createdBy

    Value: Cloudformation
AWS DevOps

Importa un bucket S3 con crittografia AWS KMS key basata su uno stack AWS CloudFormation

AttivitàDescrizioneCompetenze richieste

Crea un modello per importare il bucket S3 e la chiave KMS.

Sul tuo computer locale, crea un modello per importare il bucket S3 e la chiave KMS utilizzando il seguente modello di esempio:

AWSTemplateFormatVersion: 2010-09-09

Parameters:

  bucketName:

    Type: String

Resources:

  S3Bucket:

    Type: 'AWS::S3::Bucket'

    DeletionPolicy: Retain

    Properties:

      BucketName: !Ref bucketName

      BucketEncryption:

        ServerSideEncryptionConfiguration:

          - ServerSideEncryptionByDefault:

              SSEAlgorithm: 'aws:kms'

              KMSMasterKeyID: !GetAtt 

                - KMSS3Encryption

                - Arn

  KMSS3Encryption:

    Type: 'AWS::KMS::Key'

    DeletionPolicy: Retain

    Properties:

      Enabled: true

      KeyPolicy: !Sub |-

        {

            "Id": "key-consolepolicy-3",

            "Version": "2012-10-17",

            "Statement": [

                {

                    "Sid": "Enable IAM User Permissions",

                    "Effect": "Allow",

                    "Principal": {

                        "AWS": ["arn:aws:iam::${AWS::AccountId}:root"]

                    },

                    "Action": "kms:*",

                    "Resource": "*"

                }

                }

            ]

        }

      EnableKeyRotation: true
AWS DevOps

Creare lo stack.

  1. Accedi alla Console di gestione AWS, apri la CloudFormation console AWS, scegli Visualizza stack, scegli Crea stack, quindi scegli Con risorse esistenti (importa risorse).

  2. Scegli Carica un file modello, quindi carica il file modello che hai creato in precedenza.

  3. Inserisci un nome per lo stack e configura le opzioni rimanenti in base alle tue esigenze.

  4. Scegli Crea stack e attendi che lo stato dello stack cambi a. IMPORT_COMPLETE

AWS DevOps

Crea l'alias della chiave KMS.

  1. Sulla CloudFormation console AWS, scegli Stacks, scegli il nome dello stack che hai creato in precedenza, scegli il riquadro Template, quindi scegli Visualizza in Designer.

  2. Aggiungi il seguente frammento alla Resource sezione del modello, quindi scegli Create stack e completa la procedura guidata:

KMSS3EncryptionAlias:

    Type: 'AWS::KMS::Alias'

    DeletionPolicy: Retain

    Properties: 

    AliasName: alias/S3BucketKey

    TargetKeyId: !Ref KMSS3Encryption

Per ulteriori informazioni a riguardo, consulta AWS CloudFormation stack updates nella CloudFormation documentazione AWS. 

AWS DevOps

Aggiorna lo stack per includere la policy sui bucket S3.

  1. Sulla CloudFormation console AWS, scegli Stacks, scegli il nome dello stack che hai creato in precedenza, scegli il riquadro Template, quindi scegli Visualizza in Designer.

  2. Aggiungi il seguente frammento alla Resource sezione del modello, quindi scegli Create stack e completa la procedura guidata:

S3BucketPolicy:

  Type: 'AWS::S3::BucketPolicy'

  Properties:

    Bucket: !Ref S3Bucket

    PolicyDocument: !Sub |-

      {

                  "Version": "2008-10-17",

                  "Id": "restricthttp",

                  "Statement": [

                      {

                          "Sid": "denyhttp",

                          "Effect": "Deny",

                          "Principal": {

                              "AWS": "*"

                          },

                          "Action": "s3:*",

                          "Resource": ["arn:aws:s3:::${S3Bucket}","arn:aws:s3:::${S3Bucket}/*"],

                          "Condition": {

                              "Bool": {

                                  "aws:SecureTransport": "false"

                              }

                          }

                      }

                  ]

              }
Nota

Questa policy sui bucket S3 include una dichiarazione di negazione che limita le chiamate API che non sono sicure. 

AWS DevOps

Aggiorna la politica chiave.

  1. Sulla CloudFormation console AWS, scegli Stacks, scegli il nome dello stack che hai creato in precedenza, scegli il riquadro Template, quindi scegli Visualizza in Designer.

  2. Modifica la risorsa KMS del modello per includere la policy chiave che consente agli amministratori di amministrare la chiave KMS.

  3. Scegli Crea stack, scegli Avanti, quindi completa la procedura guidata in base alle tue esigenze.

Per ulteriori informazioni, consulta le politiche chiave AWS KMS nella documentazione di AWS KMS.

Amministratore AWS

Aggiungi tag a livello di risorsa.

  1. Sulla CloudFormation console AWS, scegli Stacks, scegli il nome dello stack che hai creato in precedenza, scegli il riquadro Template, quindi scegli Visualizza in Designer.

  2. Aggiungi il seguente frammento alla sezione Properties delle risorse Amazon S3 del modello, quindi scegli Crea stack e completa la procedura guidata:

Tags:

  - Key: createdBy

    Value: Cloudformation
AWS DevOps

Risorse correlate

Allegati

Per accedere a contenuti aggiuntivi associati a questo documento, decomprimi il seguente file: attachment.zip

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.