Ruft mithilfe dynamischer Verweise Werte ab, die in anderen Diensten gespeichert sind

Dynamische Verweise bieten Ihnen eine bequeme Möglichkeit, externe Werte anzugeben, die in anderen Diensten gespeichert und verwaltet werden, und vertrauliche Informationen von Ihren Vorlagen zu entkoppeln. infrastructure-as-code CloudFormation ruft den Wert der angegebenen Referenz ab, falls dies bei Stack- und Change-Set-Vorgängen erforderlich ist.

Mit dynamischen Verweisen können Sie:

Sichere Zeichenketten verwenden — Verwenden Sie für sensible Daten immer sichere Zeichenkettenparameter in AWS Systems Manager Parameter Speichern oder Geheimnisse in AWS Secrets Manager um sicherzustellen, dass Ihre Daten im Ruhezustand verschlüsselt sind.
Zugriff einschränken — Beschränken Sie den Zugriff auf die Parameter Store-Parameter oder Secrets Manager Manager-Geheimnisse auf autorisierte Prinzipale und Rollen.
Zugangsdaten rotieren — Wechseln Sie Ihre sensiblen Daten, die in Parameter Store oder Secrets Manager gespeichert sind, regelmäßig, um ein hohes Maß an Sicherheit zu gewährleisten.
Automatisieren Sie die Rotation — Nutzen Sie die automatischen Rotationsfunktionen von Secrets Manager, um Ihre sensiblen Daten regelmäßig zu aktualisieren und in Ihren Anwendungen und Umgebungen zu verteilen.

Allgemeine Überlegungen

Die folgenden allgemeinen Überlegungen sollten Sie berücksichtigen, bevor Sie dynamische Verweise in Ihren CloudFormation Vorlagen angeben:

Vermeiden Sie es, dynamische Verweise oder sensible Daten in Ressourceneigenschaften aufzunehmen, die Teil der primären Kennung einer Ressource sind. CloudFormation verwendet möglicherweise den tatsächlichen Klartext-Wert in der primären Ressourcen-ID, was ein Sicherheitsrisiko darstellen könnte. Diese Ressourcen-ID kann in allen abgeleiteten Ausgaben oder Zielen vorkommen.

Informationen dazu, welche Ressourceneigenschaften die primäre Kennung eines Ressourcentyps umfassen, finden Sie in AWS Referenz zu Ressourcen- und Eigenschaftstypen der Ressourcenreferenzdokumentation für diese Ressource unter. Im Abschnitt Return values (Rückgbewerte) stellt der Rückgabewert der Ref-Funktion die Ressourceneigenschaften dar, welche die primäre Kennung des Ressourcentyps bilden.
Sie können bis zu 60 dynamische Referenzen in eine Stack-Vorlage aufnehmen.
Wenn Sie Transformationen (wie AWS::Include oderAWS::Serverless) verwenden, löst dynamische Verweise CloudFormation nicht auf, bevor die Transformation angewendet wird. Stattdessen wird die Literalzeichenfolge des dynamischen Verweises an die Transformation übergeben und die Verweise aufgelöst, wenn Sie den Änderungssatz mithilfe der Vorlage ausführen.
Sie können keine dynamischen Verweise für sichere Werte (wie die in Parameter Store oder Secrets Manager gespeicherten) in benutzerdefinierten Ressourcen verwenden.
Erstellen Sie keine dynamische Referenz, die mit einem umgekehrten Schrägstrich (\) endet. CloudFormationkann diese Verweise nicht auflösen, was dazu führen wird, dass Stack-Operationen fehlschlagen.

Die folgenden Themen enthalten Informationen und weitere Überlegungen zur Verwendung dynamischer Verweise.

Themen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS::Lambda::FunctionEigenschaften, die nur über Schreibzugriff verfügen

Klartextwert von Systems Manager abrufen