Tham chiếu động cung cấp một cách nhỏ gọn, mạnh mẽ để bạn chỉ định các giá trị bên ngoài được lưu trữ và quản lý trong các dịch vụ khác, chẳng hạn như Kho lưu trữ tham số của Trình quản lý hệ thống và Trình quản lý bí mật AWS, trong các mẫu ngăn xếp của bạn. Khi bạn sử dụng tham chiếu động, CloudFormation sẽ truy xuất giá trị của tham chiếu đã chỉ định khi cần thiết trong các thao tác xếp chồng và thay đổi tập hợp
CloudFormation hiện hỗ trợ các mẫu tham chiếu động sau
ssm, dành cho các giá trị văn bản gốc được lưu trữ trong Kho lưu trữ tham số của AWS Systems Manager
ssm-secure, dành cho các chuỗi bảo mật được lưu trữ trong AWS Systems Manager Parameter Store
bí mật, cho toàn bộ bí mật hoặc giá trị bí mật được lưu trữ trong AWS Secrets Manager
Cân nhắc khi sử dụng tham chiếu động
Dưới đây là những cân nhắc bạn nên tính đến khi sử dụng tham chiếu động
Chúng tôi thực sự khuyên bạn không nên bao gồm các tham chiếu động hoặc bất kỳ dữ liệu nhạy cảm nào trong các thuộc tính tài nguyên là một phần của mã định danh chính của tài nguyên
Khi tham số tham chiếu động được bao gồm trong thuộc tính tạo thành mã định danh tài nguyên chính, CloudFormation có thể sử dụng giá trị văn bản gốc thực tế trong mã định danh tài nguyên chính. ID tài nguyên này có thể xuất hiện trong bất kỳ đầu ra hoặc đích dẫn xuất nào
Để xác định thuộc tính tài nguyên nào bao gồm mã định danh chính của loại tài nguyên, hãy tham khảo tài liệu tham khảo tài nguyên cho tài nguyên đó. Trong phần Giá trị trả về, giá trị trả về của hàm
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
1 đại diện cho các thuộc tính tài nguyên bao gồm mã định danh chính của loại tài nguyênBạn có thể bao gồm tối đa 60 tham chiếu động trong mẫu ngăn xếp
Đối với các biến đổi, chẳng hạn như
2 vàMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
3, AWS CloudFormation không giải quyết các tham chiếu động trước khi gọi bất kỳ biến đổi nào. Thay vào đó, AWS CloudFormation chuyển chuỗi ký tự bằng chữ của tham chiếu động sang biến đổi. Các tham chiếu động [bao gồm cả những tham chiếu được chèn vào mẫu đã xử lý do biến đổi] được giải quyết khi bạn thực hiện tập hợp thay đổi bằng cách sử dụng mẫuMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Tham chiếu động cho các giá trị bảo mật, chẳng hạn như
4 vàMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
5, hiện không được hỗ trợ trong tài nguyên tùy chỉnhMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Không tạo tham chiếu động có dấu gạch chéo ngược [\] làm giá trị cuối cùng. AWS CloudFormation không thể giải quyết các tham chiếu đó, dẫn đến lỗi tài nguyên
Chỉ định các tham chiếu động trong các mẫu ngăn xếp
Tham chiếu động tuân theo mẫu sau
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
6. MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
7}}' hoặc MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
8Tên dịch vụ
Chỉ định dịch vụ trong đó giá trị được lưu trữ và quản lý
Cần thiết
Hiện tại, các giá trị hợp lệ bao gồm
9. Tham số trình quản lý hệ thống Lưu trữ tham số văn bản gốcMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
4. Tham số trình quản lý hệ thống Lưu trữ tham số chuỗi an toànMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Hiện tại, các tham số SecureString không được Trình quản lý hệ thống hỗ trợ trong các vùng
01 vàMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
02MyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Để biết thêm thông tin, hãy xem Lưu trữ tham số AWS Systems Manager trong Hướng dẫn sử dụng AWS Systems Manager
5. Bí mật quản lý bí mậtMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Chìa khóa tham khảo. Tùy thuộc vào loại tham chiếu động, khóa tham chiếu có thể bao gồm nhiều phân đoạn
Cần thiết
Thông số SSM
Sử dụng tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
9 để bao gồm các giá trị được lưu trữ trong Cửa hàng tham số của Trình quản lý hệ thống thuộc loại MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
05 hoặc MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
06 trong các mẫu của bạnmẫu tham chiếu
Đối với Thông số SSM, phân đoạn
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
7 bao gồm tên thông số và số phiên bản. Sử dụng mẫu sau MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
08. MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
09}}'Tham chiếu của bạn phải tuân thủ mẫu biểu thức chính quy sau cho tên tham số và phiên bản
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
90tên tham số
Tên của tham số trong Cửa hàng tham số của Trình quản lý hệ thống. Tên tham số phân biệt chữ hoa chữ thường
Cần thiết
phiên bảnMột số nguyên chỉ định phiên bản của tham số sẽ sử dụng. Nếu bạn không chỉ định phiên bản chính xác, CloudFormation sẽ sử dụng phiên bản mới nhất của tham số bất cứ khi nào bạn tạo hoặc cập nhật ngăn xếp. Để biết thêm thông tin, hãy xem Làm việc với các phiên bản tham số trong Hướng dẫn sử dụng AWS Systems Manager
Không bắt buộc
Ví dụ
Ví dụ sau sử dụng tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
9 để đặt kiểm soát truy cập cho bộ chứa S3 thành giá trị tham số được lưu trữ trong Kho lưu trữ tham số của Trình quản lý hệ thống. Như đã chỉ định, CloudFormation sẽ sử dụng phiên bản 2 của tham số MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
92 cho hoạt động xếp chồng và thay đổi tập hợpJSON
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
2YAML
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Để chỉ định một tham số được lưu trữ trong Cửa hàng tham số của Trình quản lý hệ thống, bạn phải có quyền truy cập vào cuộc gọi
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
93 cho tham số đã chỉ định. Để biết thêm thông tin, hãy xem Kiểm soát quyền truy cập vào các tham số Trình quản lý hệ thống trong Hướng dẫn sử dụng AWS Systems ManagerCác cân nhắc bổ sung cần lưu ý khi sử dụng mẫu tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
9Hiện tại, CloudFormation không hỗ trợ quyền truy cập thông số SSM trên nhiều tài khoản
Đối với tài nguyên tùy chỉnh, CloudFormation giải quyết _______09 tham chiếu động trước khi gửi yêu cầu đến tài nguyên tùy chỉnh. Để biết thêm thông tin, hãy xem Tài nguyên tùy chỉnh
CloudFormation không hỗ trợ sử dụng nhãn tham số hoặc tham số công khai trong tham chiếu động
Nhãn thông số là bí danh do người dùng xác định để giúp bạn quản lý các phiên bản khác nhau của thông số. Để biết thêm thông tin, xem Tham số ghi nhãn trong Hướng dẫn sử dụng AWS Systems Manager
Tham số công khai là tham số do dịch vụ AWS cung cấp để sử dụng với dịch vụ đó và được lưu trữ trong Kho lưu trữ tham số AWS Systems Manager. Để biết ví dụ về tham số công khai, hãy xem Truy xuất siêu dữ liệu AMI được tối ưu hóa cho Amazon ECS trong Hướng dẫn dành cho nhà phát triển Amazon Elastic Container Service
CloudFormation hiện không hỗ trợ phát hiện trôi dạt trên các tham chiếu động. Đối với tham chiếu động
9 mà bạn chưa chỉ định phiên bản tham số, chúng tôi khuyên rằng nếu bạn cập nhật phiên bản tham số trong SSM, thì bạn cũng thực hiện thao tác cập nhật ngăn xếp trên bất kỳ ngăn xếp nào bao gồm tham chiếu độngMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
9, để tìm nạp phiên bản mới nhấtMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Để xác minh phiên bản nào của tham chiếu động
9 sẽ được sử dụng trong thao tác ngăn xếp, hãy tạo một tập hợp thay đổi cho thao tác ngăn xếp. Sau đó xem lại mẫu đã xử lý trên tab MẫuMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Thông số SSM không có phiên bản không được hỗ trợ trong khối Thông số, thay vào đó hãy sử dụng các loại thông số SSM. Nếu sử dụng thông số SSM, bạn phải chỉ định phiên bản của thông số Trình quản lý hệ thống để AWS CloudFormation sử dụng
Thông số chuỗi bảo mật SSM
Sử dụng mẫu tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
4 để chỉ định tham số loại AWS Systems Manager MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
10 trong mẫu của bạn. Đối với tham chiếu động MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
4, AWS CloudFormation không bao giờ lưu trữ giá trị tham số thực tế. AWS CloudFormation truy cập giá trị tham số trong các thao tác tạo và cập nhật cho ngăn xếp và bộ thay đổi. Hiện tại, các tham số chuỗi bảo mật chỉ có thể được sử dụng cho các thuộc tính tài nguyên hỗ trợ mẫu tham chiếu động MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
4Tham số chuỗi an toàn là bất kỳ dữ liệu nhạy cảm nào cần được lưu trữ và tham chiếu một cách an toàn. Tức là dữ liệu mà bạn không muốn người dùng thay đổi hoặc tham chiếu ở dạng văn bản rõ ràng, chẳng hạn như mật khẩu hoặc khóa cấp phép. Để biết thêm thông tin về chuỗi bảo mật, hãy xem Sử dụng tham số chuỗi bảo mật trong Hướng dẫn sử dụng AWS Systems Manager
Các giá trị tham số chuỗi bảo mật không được lưu trữ trong CloudFormation và chúng cũng không được trả về trong bất kỳ kết quả lệnh gọi API nào
mẫu tham chiếu
Đối với tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
4, phân đoạn MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
7 bao gồm tên tham số và số phiên bản. Sử dụng mẫu sau MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
15. MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
09}}'Tham chiếu của bạn phải tuân thủ mẫu biểu thức chính quy sau cho tên tham số và phiên bản
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
17tên tham số
Tên của tham số trong Cửa hàng tham số của Trình quản lý hệ thống. Tên tham số phân biệt chữ hoa chữ thường
Cần thiết
phiên bảnMột số nguyên chỉ định phiên bản của tham số sẽ sử dụng. Nếu bạn không chỉ định phiên bản chính xác, AWS CloudFormation sẽ sử dụng phiên bản mới nhất của tham số bất cứ khi nào bạn tạo hoặc cập nhật ngăn xếp. Để biết thêm thông tin, hãy xem Làm việc với các phiên bản tham số trong Hướng dẫn sử dụng AWS Systems Manager
Không bắt buộc
Ví dụ
Ví dụ sau sử dụng tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
4 để đặt mật khẩu cho người dùng IAM thành chuỗi bảo mật được lưu trữ trong Kho thông số của Trình quản lý hệ thống. Như đã chỉ định, CloudFormation sẽ sử dụng phiên bản 10 của tham số MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
19 cho hoạt động xếp chồng và thay đổi tập hợpJSON
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
0YAML
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
9Các cân nhắc bổ sung cần lưu ý khi sử dụng mẫu tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
4CloudFormation không trả về giá trị tham số thực tế cho các chuỗi bảo mật trong bất kỳ lệnh gọi API nào, mà trả về tham chiếu động theo nghĩa đen
CloudFormation lưu trữ tham chiếu động theo nghĩa đen, chứa tên tham số văn bản thuần túy của chuỗi bảo mật
Đối với các bộ thay đổi, CloudFormation so sánh chuỗi tham chiếu động theo nghĩa đen. Nó không giải quyết và so sánh các giá trị thực tế của các tham chiếu
4MyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Tham chiếu động cho các giá trị bảo mật, chẳng hạn như
4 vàMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
5, hiện không được hỗ trợ trong tài nguyên tùy chỉnhMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Trong trường hợp CloudFormation phải khôi phục cập nhật ngăn xếp, hoạt động khôi phục cập nhật đó sẽ không thành công nếu phiên bản được chỉ định trước đó của tham số chuỗi bảo mật không còn khả dụng. Trong những trường hợp như vậy, hãy thực hiện một trong các thao tác sau
Sử dụng
74 để bỏ qua tài nguyênMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Tạo lại tham số chuỗi bảo mật trong Cửa hàng tham số của trình quản lý hệ thống và cập nhật tham số cho đến khi phiên bản tham số đạt đến phiên bản được sử dụng trong mẫu. Sau đó sử dụng
74 mà không bỏ qua tài nguyênMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Hiện tại, AWS CloudFormation không hỗ trợ quyền truy cập thông số SSM trên nhiều tài khoản
CloudFormation không hỗ trợ sử dụng nhãn tham số hoặc tham số công khai trong tham chiếu động
Nhãn thông số là bí danh do người dùng xác định để giúp bạn quản lý các phiên bản khác nhau của thông số. Để biết thêm thông tin, xem Tham số ghi nhãn trong Hướng dẫn sử dụng AWS Systems Manager
Tham số công khai là tham số do dịch vụ AWS cung cấp để sử dụng với dịch vụ đó và được lưu trữ trong Kho lưu trữ tham số AWS Systems Manager. Để biết ví dụ về tham số công khai, hãy xem Truy xuất siêu dữ liệu AMI được tối ưu hóa cho Amazon ECS trong Hướng dẫn dành cho nhà phát triển Amazon Elastic Container Service
Tài nguyên hỗ trợ các mẫu tham số động cho chuỗi an toàn
Các tài nguyên hỗ trợ mẫu tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
4 hiện bao gồmBí mật quản lý bí mật
Sử dụng tham chiếu động
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
5 để truy xuất toàn bộ bí mật hoặc giá trị bí mật được lưu trữ trong Trình quản lý bí mật để sử dụng trong các mẫu của bạn. Bí mật có thể là thông tin đăng nhập cơ sở dữ liệu, mật khẩu, khóa API của bên thứ ba hoặc văn bản tùy ý. Sử dụng Trình quản lý bí mật, bạn có thể lưu trữ và kiểm soát tập trung quyền truy cập vào các bí mật này, để bạn có thể thay thế thông tin xác thực được mã hóa cứng trong mã của mình [bao gồm cả mật khẩu], bằng lệnh gọi API tới Trình quản lý bí mật để truy xuất bí mật theo chương trình. Để biết thêm thông tin, hãy xem AWS Secrets Manager là gì? Những cân nhắc quan trọng khi sử dụng tham chiếu động cho các bí mật của Trình quản lý bí mật
Bạn nên cân nhắc các vấn đề bảo mật quan trọng sau đây khi sử dụng tham chiếu động để chỉ định các bí mật của Trình quản lý bí mật trong mẫu ngăn xếp của mình
Tham chiếu động
5 có thể được sử dụng trong tất cả các thuộc tính tài nguyên. Việc sử dụng tham chiếu độngMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
5 cho biết rằng cả nhật ký Secrets Manager và CloudFormation đều không được duy trì bất kỳ giá trị bí mật nào đã giải quyết. Tuy nhiên, giá trị bí mật có thể hiển thị trong dịch vụ có tài nguyên đang được sử dụng trong. Xem lại cách sử dụng của bạn để tránh rò rỉ dữ liệu bí mậtMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Cập nhật bí mật trong Secrets Manager không tự động cập nhật bí mật trong CloudFormation. Để CloudFormation cập nhật tham chiếu động
5, bạn phải thực hiện cập nhật ngăn xếp để cập nhật tài nguyên chứa tham chiếu động, bằng cách cập nhật thuộc tính tài nguyên chứa tham chiếu độngMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
5 hoặc cập nhật thuộc tính khác của tài nguyênMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Ví dụ: giả sử trong mẫu của bạn, bạn chỉ định thuộc tính
52 của tài nguyênMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
53 là tham chiếu độngMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
5, sau đó tạo ngăn xếp từ mẫu. Sau đó, bạn cập nhật giá trị của bí mật đó trong Trình quản lý bí mật, nhưng không cập nhật tài nguyênMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
55 trong mẫu của bạn. Trong trường hợp này, ngay cả khi bạn thực hiện cập nhật ngăn xếp, giá trị bí mật trong thuộc tínhMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
52 không được cập nhật và vẫn là giá trị bí mật trước đóMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Ngoài ra, hãy cân nhắc sử dụng Trình quản lý bí mật để tự động xoay vòng bí mật cho cơ sở dữ liệu hoặc dịch vụ bảo mật. Để biết thêm thông tin, hãy xem Xoay bí mật AWS Secrets Manager
Tham chiếu động cho các giá trị bảo mật, chẳng hạn như
5, hiện không được hỗ trợ trong tài nguyên tùy chỉnhMyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
Quyền yêu cầu
Để chỉ định một bí mật được lưu trữ trong Trình quản lý bí mật, bạn phải có quyền truy cập vào cuộc gọi
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
58 để biết bí mậtmẫu tham chiếu
Đối với các bí mật của Trình quản lý bí mật, phân đoạn
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
7 bao gồm một số phân đoạn, bao gồm id bí mật, khóa giá trị bí mật, giai đoạn phiên bản và id phiên bản. Sử dụng mẫu sau MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
30. MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
31. MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
32. MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
33. MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
34}}id bí mật
Tên hoặc ARN của bí mật
Để truy cập bí mật trong tài khoản AWS của bạn, bạn chỉ cần chỉ định tên bí mật. Để truy cập một bí mật trong một tài khoản AWS khác, hãy chỉ định ARN hoàn chỉnh của bí mật đó
Cần thiết
chuỗi bí mậtHiện tại, giá trị được hỗ trợ duy nhất là
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
35. Mặc định là MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
35khóa jsonTên khóa của cặp khóa-giá trị mà bạn muốn truy xuất giá trị. Nếu bạn không chỉ định một
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
32, CloudFormation sẽ truy xuất toàn bộ văn bản bí mậtĐoạn này có thể không bao gồm ký tự dấu hai chấm [
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
38]giai đoạn phiên bảnNhãn dàn của phiên bản bí mật sử dụng. Trình quản lý bí mật sử dụng nhãn theo giai đoạn để theo dõi các phiên bản khác nhau trong quá trình xoay vòng. Nếu bạn sử dụng
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
33 thì không chỉ định MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
34. Nếu bạn không chỉ định MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
33 hoặc MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
34, thì mặc định là phiên bản MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
63Đoạn này có thể không bao gồm ký tự dấu hai chấm [
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
38]id phiên bảnMã định danh duy nhất của phiên bản bí mật sẽ sử dụng. Nếu bạn chỉ định
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
34, thì không chỉ định MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
33. Nếu bạn không chỉ định MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
33 hoặc MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
34, thì mặc định là phiên bản MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
63Đoạn này có thể không bao gồm ký tự dấu hai chấm [
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
38]ví dụ
Ví dụ sau sử dụng các phân đoạn
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
41 và MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
32 để truy xuất các giá trị tên người dùng và mật khẩu được lưu trữ trong bí mật MyRDSSecret. Theo mặc định, phiên bản bí mật được truy xuất là phiên bản có giá trị giai đoạn phiên bản là MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
63JSON
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
1YAML
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
7Việc chỉ định các phân đoạn sau sẽ truy xuất giá trị
MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
45 cho phiên bản MyS3Bucket:
Type: 'AWS::S3::Bucket'
Properties:
AccessControl: '{{resolve:ssm:S3AccessControl:2}}'
49 của MySecret