Obtención de valores almacenados en otros servicios con referencias dinámicas

Las referencias dinámicas ofrecen una forma cómoda de especificar valores externos almacenados y administrados en otros servicios y de separar la información confidencial de sus plantillas de infraestructura como código. CloudFormation recupera el valor de la referencia especificada cuando es necesario durante las operaciones de pila y de conjunto de cambios.

Con las referencias dinámicas, puede:

Usar cadenas seguras: en el caso de los datos confidenciales, use siempre parámetros de cadenas seguras en el Almacén de datos de AWS Systems Manager o secretos en AWS Secrets Manager para garantizar que sus datos estén cifrados en reposo.
Limitar el acceso: restrinja el acceso a los parámetros del Almacén de parámetros o a los secretos de Secrets Manager solo a las entidades principales y roles autorizados.
Rotar las credenciales: rote periódicamente los datos confidenciales almacenados en el Almacén de parámetros o Secrets Manager para mantener un alto nivel de seguridad.
Automatizar la rotación: aproveche la característica de rotación automática de Secrets Manager para actualizar y distribuir periódicamente sus datos confidenciales en sus aplicaciones y entornos.

Consideraciones generales

A continuación, se ofrecen consideraciones generales para que tenga en cuenta antes de especificar referencias dinámicas en sus plantillas de CloudFormation:

No incluya referencias dinámicas ni ningún dato confidencial en las propiedades de los recursos que formen parte del identificador principal de un recurso. CloudFormation puede usar el valor real de texto sin formato en el identificador del recurso principal, lo que podría suponer un riesgo para la seguridad. Este ID de recurso puede aparecer en cualquier destino o salida derivada.

Para determinar qué propiedades de recursos comprenden el identificador principal de un tipo de recurso, consulte la documentación de referencia de recursos para ese recurso en Referencia de tipos de recursos y propiedades de AWS. En la sección Return values (Valores de devolución), el valor de devolución de la función Ref representa las propiedades del recurso que comprenden el identificador principal del tipo de recurso.
Puede incluir hasta 60 referencias dinámicas en una plantilla de pila.
Si utiliza transformaciones (como AWS::Include o AWS::Serverless), CloudFormation no resuelve las referencias dinámicas antes de aplicar la transformación. En su lugar, pasa la cadena literal de la referencia dinámica a la transformación y resuelve las referencias al ejecutar el conjunto de cambios usando la plantilla.
No puede usar referencias dinámicas para valores seguros (como los almacenados en el Almacén de parámetros o Secrets Manager) en los recursos personalizados.
No cree una referencia dinámica que termine con una barra invertida (\). CloudFormation no puede resolver estas referencias, lo que provocará un error en las operaciones de apilado.

Los siguientes temas brindan información y otras consideraciones sobre el uso de referencias dinámicas.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Propiedades de solo escritura de AWS::Lambda::Function

Obtención del valor de texto sin formato de Systems Manager