Obtenir les valeurs stockées dans d’autres services à l’aide de références dynamiques

Les références dynamiques vous permettent de spécifier facilement des valeurs externes stockées et gérées dans d'autres services et de dissocier les informations sensibles de vos infrastructure-as-code modèles. CloudFormation récupère la valeur de la référence spécifiée lorsque cela est nécessaire lors des opérations de pile et de modification des ensembles.

Grâce aux références dynamiques, vous pouvez :

Utiliser des chaînes sécurisées : pour les données sensibles, utilisez toujours des paramètres de chaîne sécurisés dans AWS Systems Manager Parameter Store ou des secrets AWS Secrets Manager pour vous assurer que vos données sont chiffrées au repos.
Limiter l’accès : limitez l’accès aux paramètres du magasin de paramètres ou aux secrets du gestionnaire de secrets aux seuls principaux et rôles autorisés.
Rotation des informations d’identification : effectuez régulièrement la rotation des données sensibles stockées dans Parameter Store ou Secrets Manager afin de maintenir un niveau de sécurité élevé.
Rotation automatique : tirez parti des fonctionnalités de rotation automatique de Secrets Manager pour mettre à jour et distribuer périodiquement vos données sensibles dans vos applications et environnements.

Considérations d’ordre général

Voici les considérations générales à prendre en compte avant de spécifier des références dynamiques dans vos CloudFormation modèles :

Évitez d'inclure des références dynamiques ou des données sensibles dans les propriétés des ressources qui font partie de l'identifiant principal d'une ressource. CloudFormation peut utiliser la valeur réelle en texte brut dans l'identifiant de ressource principal, ce qui peut présenter un risque de sécurité. Cet ID de ressource peut apparaître dans toutes les sorties ou destinations dérivées.

Pour déterminer quelles propriétés de ressource constituent l’identifiant principal d’un type de ressource, reportez-vous à la documentation de référence de cette ressource dans la référence des types de ressources et de propriétés AWS. Dans la section Valeurs renvoyées, la valeur de retour de la fonction Ref représente les propriétés de la ressource qui constituent l'identifiant principal du type de ressource.
Vous pouvez inclure jusqu’à 60 références dynamiques dans un modèle de pile.
Si vous utilisez des transformations (comme AWS::Include ouAWS::Serverless), CloudFormation cela ne résout pas les références dynamiques avant d'appliquer la transformation. Au lieu de cela, il transmet la chaîne littérale de la référence dynamique à la transformation et résout les références lorsque vous exécutez le jeu de modifications à l’aide du modèle.
Les références dynamiques ne peuvent pas être utilisées pour les valeurs sécurisées (telles que celles stockées dans Parameter Store ou Secrets Manager) dans les ressources personnalisées.
Les références dynamiques ne sont pas non plus prises en charge dans AWS::CloudFormation::Init les métadonnées et les EC2 UserData propriétés Amazon.
Ne créez pas de référence dynamique qui se termine par une barre oblique inverse (\). CloudFormationne peut pas résoudre ces références, ce qui entraînera l'échec des opérations de pile.

Les rubriques suivantes fournissent des informations et d’autres considérations sur l’utilisation de références dynamiques.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Propriétés en écriture seule AWS::Lambda::Function

Obtenir la valeur en texte brut de Systems Manager