プラグインの作成方法 CDK CLI を使用してプラグインをロードする方法認証情報プロバイダープラグインの実装詳細はこちら

CDK Toolkit のプラグインを設定する

AWS CDK Toolkit は、CDK ワークフローに新機能を追加するプラグインをサポートしています。プラグインは主に CDK コマンドラインインターフェイス (CDK CLI) で使用するように設計されていますが、プログラムで CDK Toolkit Library で使用することもできます。これらは、代替認証情報ソースなどの機能を拡張するための標準化された方法を提供します。

注記

プラグインシステムは CDK CLI と CDK Toolkit Library の両方で動作しますが、主に CLI の使用を目的としています。プログラムで CDK Toolkit Library を使用する場合、プラグインなしで同じタスクを実行する、よりシンプルで直接的な方法、特に認証情報管理の方法があります。

現在、CDK Toolkit は 1 つのプラグイン機能をサポートしています。

カスタム AWS 認証情報プロバイダー - 組み込みメカニズム以外の AWS 認証情報を取得する代替方法を作成します。

プラグインの作成方法

CDK Toolkit プラグインを作成するには、まず、CDK Toolkit でロードできる、TypeScript または JavaScript で作成された Node.js モジュールを作成します。このモジュールは、CDK Toolkit が認識できる特定の構造を持つオブジェクトをエクスポートします。少なくとも、エクスポートされたオブジェクトには、バージョン識別子と、プラグインがその機能を登録するために使用するIPluginHostインスタンスを受信する初期化関数が含まれている必要があります。

TypeScript

CommonJS


// Example plugin structure
import type { IPluginHost, Plugin } from '@aws-cdk/cli-plugin-contract';

const plugin: Plugin = {
    // Version of the plugin infrastructure (currently always '1')
    version: '1',

    // Initialization function called when the plugin is loaded
    init(host: IPluginHost): void {
        // Register your plugin functionality with the host
        // For example, register a custom credential provider
    }
};

export = plugin;

ESM


// Example plugin structure
import type { IPluginHost, Plugin } from '@aws-cdk/cli-plugin-contract';

const plugin: Plugin = {
    // Version of the plugin infrastructure (currently always '1')
    version: '1',

    // Initialization function called when the plugin is loaded
    init(host: IPluginHost): void {
        // Register your plugin functionality with the host
        // For example, register a custom credential provider
    }
};

export { plugin as 'module.exports' };

JavaScript

CommonJS


const plugin = {
    // Version of the plugin infrastructure (currently always '1')
    version: '1',

    // Initialization function called when the plugin is loaded
    init(host) {
        // Register your plugin functionality with the host
        // For example, register a custom credential provider
    }
};

module.exports = plugin;

ESM


const plugin = {
    // Version of the plugin infrastructure (currently always '1')
    version: '1',

    // Initialization function called when the plugin is loaded
    init(host) {
        // Register your plugin functionality with the host
        // For example, register a custom credential provider
    }
};

export { plugin as 'module.exports' };

注記

CDK Toolkit プラグインは CommonJS モジュールとしてロードされます。プラグインは ECMAScript モジュール (ESM) として構築できますが、いくつかの制約に従う必要があります。

モジュールに最上位のを含めることもawait、最上位のを含むモジュールをインポートすることもできませんawait。
モジュールは、エクスポート名でプラグインオブジェクトをmodule.exportsエクスポートすることで、互換性を確保する必要がありますexport { plugin as 'module.exports' }。

CDK CLI を使用してプラグインをロードする方法

プラグインを指定するには、次の 2 つのオプションがあります。

オプション 1: --plugin コマンドラインオプションを使用する


# Load a single plugin
$ cdk list --plugin=my-custom-plugin

# Load multiple plugins
$ cdk deploy --plugin=custom-plugin-1 --plugin=custom-plugin-2

--plugin 引数の値は、Node.js require()関数を介してインポートされたときに、Pluginインターフェイスを実装するオブジェクトを返す JavaScript ファイルである必要があります。

オプション 2: 設定ファイルにエントリを追加する

プラグインの仕様は、プロジェクト固有のcdk.jsonファイルまたは~/.cdk.jsonグローバル設定ファイルに追加できます。


{
  "plugin": [
    "custom-plugin-1",
    "custom-plugin-2"
  ]
}

どちらの方法でも、CDK CLI はコマンドを実行する前に指定されたプラグインをロードします。

CDK Toolkit Library を使用してプラグインをコードにロードする

プログラムで CDK Toolkit Library を使用する場合は、 @aws-cdk/toolkit-lib パッケージから PluginHostインスタンスを使用してコードに直接プラグインをロードできます。PluginHost は、プラグインをモジュール名またはパスでロードload()する方法を提供します。

load() メソッドは、ロードするプラグインモジュールの名前またはパスmoduleSpecである単一のパラメータを使用します。これは次のいずれかになります。

node_modules ディレクトリにインストールされている Node.js モジュール名。
JavaScript または TypeScript モジュールへの相対または絶対ファイルパス。

認証情報プロバイダープラグインの実装

プラグインの現在の主なユースケースは、カスタム AWS 認証情報プロバイダーを作成することです。 AWS CLI と同様に、CDK CLI には認証と認可のための AWS 認証情報が必要です。ただし、標準の認証情報解決が失敗するシナリオがいくつかあります。

認証情報の初期セットを取得できません。
初期認証情報が属するアカウントを取得できません。
認証情報に関連付けられたアカウントは、CLI が操作しようとしているアカウントとは異なります。

これらのシナリオに対応するため、CDK Toolkit は認証情報プロバイダープラグインをサポートしています。これらのプラグインは、 @aws-cdk/cli-plugin-contractパッケージから CredentialProviderSourceインターフェイスを実装し、 registerCredentialProviderSourceメソッドを使用して Toolkit に登録されます。これにより、CDK Toolkit は特殊な認証システムやカスタム AWS 認証情報ストアなどの非標準ソースから認証情報を取得できます。

カスタム認証情報プロバイダーを実装するには、必要なインターフェイスを実装するクラスを作成します。

TypeScript

CommonJS


import type { CredentialProviderSource, ForReading, ForWriting, IPluginHost, Plugin, PluginProviderResult, SDKv3CompatibleCredentials } from '@aws-cdk/cli-plugin-contract';

class CustomCredentialProviderSource implements CredentialProviderSource {
  // Friendly name for the provider, used in error messages
  public readonly name: string = 'custom-credential-provider';

  // Check if this provider is available on the current system
  public async isAvailable(): Promise<boolean> {
    // Return false if the plugin cannot be used
    // For example, if it depends on files not present on the host
    return true;
  }

  // Check if this provider can provide credentials for a specific account
  public async canProvideCredentials(accountId: string): Promise<boolean> {
    // Return false if the plugin cannot provide credentials for this account
    // For example, if the account is not managed by this credential system
    return true;
    // You can use patterns to filter specific accounts
    // return accountId.startsWith('123456');
  }

  // Get credentials for the specified account and access mode
  // Returns PluginProviderResult which can be one of:
  // - SDKv2CompatibleCredentials (AWS SDK v2 entered maintenance on Sept 8, 2024 and will reach end-of-life on Sept 8, 2025)
  // - SDKv3CompatibleCredentialProvider
  // - SDKv3CompatibleCredentials
  public async getProvider(accountId: string, mode: ForReading | ForWriting): Promise<PluginProviderResult> {
    // The access mode can be used to provide different credential sets
    const readOnly = mode === 0 satisfies ForReading;

    // Create appropriate credentials based on your authentication mechanism
    const credentials: SDKv3CompatibleCredentials = {
      accessKeyId: 'AKIAIOSFODNN7EXAMPLE',
      secretAccessKey: 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
      // Add sessionToken if using temporary credentials
      // sessionToken: 'AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk',
      // expireTime: new Date(Date.now() + 3600 * 1000), // 1 hour from now
    };

    return credentials;
  }
}

const plugin: Plugin = {
  version: '1',
  init(host: IPluginHost): void {
    // Register the credential provider to the PluginHost.
    host.registerCredentialProviderSource(new CustomCredentialProviderSource());
  }
};

export = plugin;

ESM


import type { CredentialProviderSource, ForReading, ForWriting, IPluginHost, Plugin, PluginProviderResult, SDKv3CompatibleCredentials } from '@aws-cdk/cli-plugin-contract';

class CustomCredentialProviderSource implements CredentialProviderSource {
  // Friendly name for the provider, used in error messages
  public readonly name: string = 'custom-credential-provider';

  // Check if this provider is available on the current system
  public async isAvailable(): Promise<boolean> {
    // Return false if the plugin cannot be used
    // For example, if it depends on files not present on the host
    return true;
  }

  // Check if this provider can provide credentials for a specific account
  public async canProvideCredentials(accountId: string): Promise<boolean> {
    // Return false if the plugin cannot provide credentials for this account
    // For example, if the account is not managed by this credential system
    return true;
    // You can use patterns to filter specific accounts
    // return accountId.startsWith('123456');
  }

  // Get credentials for the specified account and access mode
  // Returns PluginProviderResult which can be one of:
  // - SDKv2CompatibleCredentials (AWS SDK v2 entered maintenance on Sept 8, 2024 and will reach end-of-life on Sept 8, 2025)
  // - SDKv3CompatibleCredentialProvider
  // - SDKv3CompatibleCredentials
  public async getProvider(accountId: string, mode: ForReading | ForWriting): Promise<PluginProviderResult> {
    // The access mode can be used to provide different credential sets
    const readOnly = mode === 0 satisfies ForReading;

    // Create appropriate credentials based on your authentication mechanism
    const credentials: SDKv3CompatibleCredentials = {
      accessKeyId: 'AKIAIOSFODNN7EXAMPLE',
      secretAccessKey: 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
      // Add sessionToken if using temporary credentials
      // sessionToken: 'AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk',
      // expireTime: new Date(Date.now() + 3600 * 1000), // 1 hour from now
    };

    return credentials;
  }
}

const plugin: Plugin = {
  version: '1',
  init(host: IPluginHost): void {
    // Register the credential provider to the PluginHost.
    host.registerCredentialProviderSource(new CustomCredentialProviderSource());
  }
};

export { plugin as 'module.exports' };

JavaScript

CommonJS


// Implement the CredentialProviderSource interface
class CustomCredentialProviderSource {
  constructor() {
    // Friendly name for the provider, used in error messages
    this.name = 'custom-credential-provider';
  }

  // Check if this provider is available on the current system
  async isAvailable() {
    // Return false if the plugin cannot be used
    // For example, if it depends on files not present on the host
    return true;
  }

  // Check if this provider can provide credentials for a specific account
  async canProvideCredentials(accountId) {
    // Return false if the plugin cannot provide credentials for this account
    // For example, if the account is not managed by this credential system
    return true;
    // You can use patterns to filter specific accounts
    // return accountId.startsWith('123456');
  }

  // Get credentials for the specified account and access mode
  // Returns PluginProviderResult which can be one of:
  // - SDKv2CompatibleCredentials (AWS SDK v2 entered maintenance on Sept 8, 2024 and will reach end-of-life on Sept 8, 2025)
  // - SDKv3CompatibleCredentialProvider
  // - SDKv3CompatibleCredentials
  async getProvider(accountId, mode) {
    // The access mode can be used to provide different credential sets
    const readOnly = mode === 0; // 0 indicates ForReading; 1 indicates ForWriting

    // Create appropriate credentials based on your authentication mechanism
    const credentials = {
      accessKeyId: 'ASIAIOSFODNN7EXAMPLE',
      secretAccessKey: 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
      // Add sessionToken if using temporary credentials
      // sessionToken: 'AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk',
      // expireTime: new Date(Date.now() + 3600 * 1000), // 1 hour from now
    };

    return credentials;
  }
}

const plugin = {
  version: '1',
  init(host) {
    // Register the credential provider to the PluginHost.
    host.registerCredentialProviderSource(new CustomCredentialProviderSource());
  }
};

module.exports = plugin;

ESM


// Implement the CredentialProviderSource interface
class CustomCredentialProviderSource {
  constructor() {
    // Friendly name for the provider, used in error messages
    this.name = 'custom-credential-provider';
  }

  // Check if this provider is available on the current system
  async isAvailable() {
    // Return false if the plugin cannot be used
    // For example, if it depends on files not present on the host
    return true;
  }

  // Check if this provider can provide credentials for a specific account
  async canProvideCredentials(accountId) {
    // Return false if the plugin cannot provide credentials for this account
    // For example, if the account is not managed by this credential system
    return true;
    // You can use patterns to filter specific accounts
    // return accountId.startsWith('123456');
  }

  // Get credentials for the specified account and access mode
  // Returns PluginProviderResult which can be one of:
  // - SDKv2CompatibleCredentials (AWS SDK v2 entered maintenance on Sept 8, 2024 and will reach end-of-life on Sept 8, 2025)
  // - SDKv3CompatibleCredentialProvider
  // - SDKv3CompatibleCredentials
  async getProvider(accountId, mode) {
    // The access mode can be used to provide different credential sets
    const readOnly = mode === 0; // 0 indicates ForReading; 1 indicates ForWriting

    // Create appropriate credentials based on your authentication mechanism
    const credentials = {
      accessKeyId: 'ASIAIOSFODNN7EXAMPLE',
      secretAccessKey: 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
      // Add sessionToken if using temporary credentials
      // sessionToken: 'AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4Olgk',
      // expireTime: new Date(Date.now() + 3600 * 1000), // 1 hour from now
    };

    return credentials;
  }
}

const plugin = {
  version: '1',
  init(host) {
    // Register the credential provider to the PluginHost.
    host.registerCredentialProviderSource(new CustomCredentialProviderSource());
  }
};

export { plugin as 'module.exports' };

重要

プロバイダーから取得した認証情報は CDK Toolkit によってキャッシュされます。長時間実行されるオペレーション中に有効期限の問題が発生しないように、プロバイダーから返される認証情報オブジェクトを自己更新することを強くお勧めします。詳細については、 AWS SDK for JavaScript v3 ドキュメントの「認証情報」を参照してください。

詳細はこちら

CDK Toolkit プラグインの詳細については、aws-cdk-cli GitHub リポジトリの AWS CDK Toolkit プラグイン契約を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

CDK ブループリントを使用してコンストラクトを設定する

CDK Toolkit Library を使用する