Risorse che supportano schemi di parametri dinamici per stringhe sicure Schema di riferimento Esempio

Ottenimento di un valore di stringa sicura da Systems Manager Parameter Store

In CloudFormation, puoi utilizzare dati sensibili come password o chiavi di licenza senza esporli direttamente nei tuoi modelli archiviando i dati sensibili come «stringa sicura» in AWS Systems Manager Parameter Store. Per un’introduzione a Parameter Store, consulta AWS Systems Manager Parameter Store nella Guida per l’utente di AWS Systems Manager .

Per utilizzare una stringa sicura di Parameter Store all'interno del modello, si utilizza un riferimento ssm-secure dinamico. CloudFormation non memorizza mai il valore effettivo della stringa sicura. Al contrario, archivia il riferimento dinamico letterale, che contiene il nome del parametro della stringa sicura in testo normale.

Durante la creazione o gli aggiornamenti dello stack, CloudFormation accede al valore della stringa sicura secondo necessità, senza esporre il valore effettivo. Al momento, i parametri di stringa sicura possono essere utilizzati solo per proprietà di risorsa che supportano lo schema di riferimenti dinamici ssm-secure. Per ulteriori informazioni, consulta Risorse che supportano schemi di parametri dinamici per stringhe sicure.

CloudFormation non restituisce il valore effettivo del parametro per le stringhe sicure in nessuna chiamata API. Restituisce solo il riferimento dinamico letterale. Quando si confrontano le modifiche utilizzando i set di modifiche, confronta CloudFormation solo la stringa di riferimento dinamica letterale. Non risolve e non confronta i valori effettivi della stringa sicura.

Quando si utilizzano riferimenti dinamici ssm-secure, ci sono alcune cose importanti da tenere a mente:

CloudFormation non può accedere ai valori di Parameter Store da altri. Account AWS
CloudFormation non supporta l'uso delle etichette dei parametri di Systems Manager o dei parametri pubblici nei riferimenti dinamici.
Le stringhe sicure non sono supportate da Systems Manager nelle regioni cn-north-1 e cn-northwest-1.
I riferimenti dinamici per valori sicuri, ad esempiossm-secure, non sono attualmente supportati nelle risorse personalizzate.
Se è CloudFormation necessario ripristinare un aggiornamento dello stack e la versione specificata in precedenza di un parametro di stringa sicuro non è più disponibile, l'operazione di rollback avrà esito negativo. In questi casi, sono disponibili due opzioni:
- Utilizza CONTINUE_UPDATE_ROLLBACK per ignorare la risorsa.
- Ricrea il parametro di stringa sicura in Systems Manager Parameter Store e aggiornalo fino a che la versione del parametro è identica alla versione utilizzata nel modello. Utilizza quindi CONTINUE_UPDATE_ROLLBACK senza ignorare la risorsa.

Risorse che supportano schemi di parametri dinamici per stringhe sicure

Le risorse che supportano lo schema di riferimenti dinamici ssm-secure includono:

Risorsa	Tipo di proprietà	Properties
AWS::DirectoryService::MicrosoftANNUNCIO		`Password`
AWS::DirectoryService::SimpleANNUNCIO		`Password`
AWS::ElastiCache::ReplicationGroup		`AuthToken`
AWS::IAM::User	LoginProfile	`Password`
AWS::KinesisFirehose::DeliveryStream	RedshiftDestinationConfiguration	`Password`
AWS::OpsWorks::App	Origine	`Password`
AWS::OpsWorks::Stack	CustomCookbooksSource	`Password`
AWS::OpsWorks::Stack	RdsDbInstances	`DbPassword`
AWS: :RDS:: DBCluster		`MasterUserPassword`
AWS: :RDS:: DBInstance		`MasterUserPassword`
AWS::Redshift::Cluster		`MasterUserPassword`

Schema di riferimento

Per fare riferimento a un valore di stringa sicuro da Systems Manager Parameter Store nel CloudFormation modello, utilizzare il seguente schema ssm-secure di riferimento.


{{resolve:ssm-secure:parameter-name:version}}

Il riferimento deve essere conforme allo schema di espressione regolare per parameter-name e version:


{{resolve:ssm-secure:[a-zA-Z0-9_.\-/]+(:\d+)?}}

parameter-name

Il nome del parametro in Archivio parametri . Il nome di parametro prevede la distinzione tra lettere maiuscole e minuscole.

Obbligatorio.

version

Un numero intero che specifica la versione del parametro da utilizzare. Se non specificate la versione esatta, CloudFormation utilizza la versione più recente del parametro ogni volta che create o aggiornate lo stack. Per ulteriori informazioni, consulta Working with parameter versions nella Guida per l’utente di AWS Systems Manager .

Opzionale.

Esempio

L’esempio seguente utilizza un riferimento dinamico ssm-secure per impostare la password per un utente IAM su una stringa sicura archiviata in Parameter Store. Come specificato, CloudFormation utilizzerà la versione 10 del IAMUserPassword parametro per le operazioni sullo stack e sul set di modifiche.

JSON


  "MyIAMUser": {
    "Type": "AWS::IAM::User",
    "Properties": {
      "UserName": "MyUserName",
      "LoginProfile": {
        "Password": "{{resolve:ssm-secure:IAMUserPassword:10}}"
      }
    }
  }

YAML


  MyIAMUser:
    Type: AWS::IAM::User
    Properties:
      UserName: 'MyUserName'
      LoginProfile:
        Password: '{{resolve:ssm-secure:IAMUserPassword:10}}'

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ottenimento di un valore in testo normale di Systems Manager

Ottieni il valore di Secrets Manager