Verwenden Sie öffentliche Erweiterungen von Drittanbietern aus der CloudFormation Registrierung - AWS CloudFormation
IAM-RolleAutomatisch neue Versionen von Erweiterungen verwendenVerwenden Sie Aliase, um auf Erweiterungen zu verweisenHäufig verwendete AWS CLI Befehle für die Arbeit mit öffentlichen Erweiterungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie öffentliche Erweiterungen von Drittanbietern aus der CloudFormation Registrierung

Um eine öffentliche Erweiterung eines Drittanbieters in Ihrer Vorlage zu verwenden, müssen Sie zuerst die Erweiterung für das Konto und die Region aktivieren, in der Sie sie verwenden möchten. Wenn Sie eine Erweiterung aktivieren, kann sie für Stack-Operationen in dem Konto und der Region verwendet werden, in der sie aktiviert ist.

Wenn Sie eine öffentliche Erweiterung eines Drittanbieters aktivieren, CloudFormation wird in der Erweiterungsregistrierung Ihres Kontos ein Eintrag für die aktivierte Erweiterung als private Erweiterung erstellt. Auf diese Weise können Sie alle Konfigurationseigenschaften festlegen, die die Erweiterung enthält. Die Konfigurationseigenschaften definieren, wie die Erweiterung für eine bestimmte AWS-Konto Region konfiguriert wird.

Neben dem Festlegen der Konfigurationseigenschaften können Sie die Erweiterung auch auf folgende Weise anpassen:

  • Geben Sie die Ausführungsrolle an, die zur Aktivierung der Erweiterung CloudFormation verwendet wird, und konfigurieren Sie zusätzlich die Protokollierung für die Erweiterung.

  • Geben Sie an, ob die Erweiterung automatisch aktualisiert wird, wenn eine neue Nebenversion oder Patch-Version verfügbar wird.

  • Geben Sie einen Alias an, der anstelle des Namens der öffentlichen Erweiterung eines Drittanbieters verwendet werden soll. Dadurch können Namenskollisionen zwischen Erweiterungen von Drittanbietern vermieden werden.

Themen

Konfigurieren Sie eine Ausführungsrolle mit IAM Berechtigungen und einer Vertrauensrichtlinie für den Zugriff auf öffentliche Erweiterungen

Wenn Sie eine öffentliche Erweiterung über die CloudFormation Registrierung aktivieren, können Sie eine Ausführungsrolle angeben, die CloudFormation die erforderlichen Berechtigungen zum Aufrufen dieser Erweiterung in Ihrer Region AWS-Konto und Ihrer Region erteilt.

Die für die Ausführungsrolle erforderlichen Berechtigungen sind im Handler-Abschnitt des Erweiterungsschemas definiert. Sie müssen eine IAM Richtlinie erstellen, die die spezifischen Berechtigungen gewährt, die für die Erweiterung benötigt werden, und sie der Ausführungsrolle zuordnen.

Zusätzlich zur Berechtigungsrichtlinie muss die Ausführungsrolle auch über eine Vertrauensrichtlinie verfügen, die es ermöglicht, die Rolle CloudFormation zu übernehmen. Folgen Sie den Anweisungen unter Eine Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien erstellen im IAMBenutzerhandbuch, um eine Rolle mit einer benutzerdefinierten Vertrauensrichtlinie zu erstellen.

Vertrauensstellung

Im Folgenden finden Sie Beispiele für Vertrauensrichtlinien, die Sie verwenden können.

Sie können optional den Umfang der Berechtigung für die dienstübergreifende Verhinderung von verwirrten Stellvertretern einschränken, indem Sie einen oder mehrere globale Bedingungskontextschlüssel für das Condition Feld verwenden. Weitere Informationen finden Sie unter Serviceübergreifende Confused-Deputy-Prävention.

  • Legen Sie den Wert aws:SourceAccount auf Ihre Konto-ID fest.

  • Stellen Sie den aws:SourceArn Wert auf den Wert Ihrer Erweiterung einARN.

Beispiel für Vertrauensrichtlinie 1

Im Folgenden finden Sie ein Beispiel für eine IAM Rollenvertrauensrichtlinie für eine Ressourcentyperweiterung.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Principal":{
                "Service": "resources.cloudformation.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
                "StringEquals":{
                    "aws:SourceAccount":"123456789012"
                },
                "StringLike":{
                    "aws:SourceArn":"arn:aws:cloudformation:us-west-2:123456789012:type/resource/Organization-Service-Resource/*"
                }
            }
        }
    ]
}
Beispiel für eine Vertrauensrichtlinie 2

Im Folgenden finden Sie ein Beispiel für eine IAM Rollenvertrauensrichtlinie für eine Hook-Erweiterung.

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Allow",
            "Principal": {
                "Service": [
                    "resources.cloudformation.amazonaws.com",
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action":"sts:AssumeRole",
            "Condition":{
                "StringEquals":{
                    "aws:SourceAccount":"123456789012"
                },
                "StringLike":{
                     "aws:SourceArn":"arn:aws:cloudformation:us-west-2:123456789012:type/hook/Organization-Service-Hook/*"
                }
            }
        }
    ]
}

Automatisch neue Versionen von Erweiterungen verwenden

Wenn Sie eine Erweiterung aktivieren, können Sie auch den Erweiterungstyp angeben, um die neueste Nebenversion zu verwenden. Ihr Erweiterungstyp aktualisiert die Nebenversion, wenn der Publisher eine neue Version für Ihre aktivierte Erweiterung veröffentlicht.

Wenn Sie beispielsweise das nächste Mal einen Stack-Vorgang ausführen, z. B. einen Stack erstellen oder aktualisieren, und dabei eine Vorlage verwenden, die diese Erweiterung enthält, CloudFormation wird die neue Nebenversion verwendet.

Die Aktualisierung auf eine neue Erweiterungs-Version, entweder automatisch oder manuell, wirkt sich nicht auf Erweiterungs-Instances aus, die bereits in Stacks bereitgestellt wurden.

CloudFormation behandelt Hauptversionsupdates von Erweiterungen so, dass sie potenziell wichtige Änderungen enthalten, und erfordert daher, dass Sie manuell auf eine neue Hauptversion einer Erweiterung aktualisieren.

Erweiterungen, AWS die von veröffentlicht wurden, sind standardmäßig für alle Konten und Regionen aktiviert, in denen sie verfügbar sind, und verwenden immer die neueste Version, die in jeder Version verfügbar ist AWS-Region.

Wichtig

Da Sie kontrollieren, ob und wann Erweiterungen in Ihrem Konto auf die neueste Version aktualisiert werden, kann es sein, dass unterschiedliche Versionen derselben Erweiterung in verschiedenen Konten und Regionen bereitgestellt werden.

Dies kann möglicherweise zu unerwarteten Ergebnissen führen, wenn dieselbe Vorlage, die diese Erweiterung enthält, für alle Konten und Regionen verwendet wird.

Verwenden Sie Aliase, um auf Erweiterungen zu verweisen

Sie können nicht mehr als eine Erweiterung mit einem bestimmten Namen in einer bestimmten AWS-Konto Region aktivieren. Da verschiedene Herausgeber möglicherweise öffentliche Erweiterungen mit demselben Erweiterungsnamen anbieten, CloudFormation können Sie einen Alias für jede öffentliche Erweiterung eines Drittanbieters angeben, die Sie aktivieren.

Wenn Sie einen Alias für die Erweiterung angeben, wird der Alias als Name des Erweiterungstyps innerhalb des Kontos und der Region CloudFormation behandelt. Sie müssen den Alias verwenden, um in Ihren Vorlagen, API Aufrufen und in der CloudFormation Konsole auf die Erweiterung zu verweisen.

Ein Erweiterungs-Alias muss innerhalb eines bestimmten Kontos und einer bestimmten Region eindeutig sein. Sie können dieselbe öffentliche Ressource mehrmals in demselben Konto und derselben Region aktivieren, indem Sie Aliase für unterschiedliche Typnamen verwenden.

Wichtig

Die Aliase für Erweiterungen müssen zwar nur für ein bestimmtes Konto und eine bestimmte Region eindeutig sein, wir empfehlen jedoch dringend, dass Benutzer nicht denselben Alias verschiedenen öffentlichen Erweiterungen von Drittanbietern für Konten und Regionen zuweisen. Dies könnte zu unerwarteten Ergebnissen führen, wenn eine Vorlage verwendet wird, die den Alias der Erweiterung für mehrere Konten oder Regionen enthält.

Häufig verwendete AWS CLI Befehle für die Arbeit mit öffentlichen Erweiterungen

Zu den häufig verwendeten Befehlen für die Arbeit mit öffentlichen Erweiterungen gehören:

  • activate-typeum ein öffentliches Modul oder einen Ressourcentyp eines öffentlichen Drittanbieters in Ihrem Konto zu aktivieren.

  • set-type-configurationum die Konfigurationsdaten für eine Erweiterung in Ihrem Konto anzugeben und Hooks zu deaktivieren und zu aktivieren.

  • list-typesum die Erweiterungen in Ihrem Konto aufzulisten.

  • describe-typeum detaillierte Informationen über eine bestimmte Erweiterung oder eine bestimmte Erweiterungsversion, einschließlich aktueller Konfigurationsdaten, zurückzugeben.

  • set-type-default-versionum anzugeben, welche Version einer Erweiterung die Standardversion ist.

  • deactivate-typeum ein öffentliches Modul oder einen Ressourcentyp eines Drittanbieters zu deaktivieren, der zuvor in Ihrem Konto aktiviert wurde.