Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Obtenez des valeurs stockées dans d'autres services à l'aide de références dynamiques
Les références dynamiques vous permettent de spécifier facilement des valeurs externes stockées et gérées dans d'autres services et de dissocier les informations sensibles de vos infrastructure-as-code modèles. CloudFormation récupère la valeur de la référence spécifiée lorsque cela est nécessaire lors des opérations de pile et de modification des ensembles.
Grâce aux références dynamiques, vous pouvez :
-
Utiliser des chaînes sécurisées — Pour les données sensibles, utilisez toujours des paramètres de chaîne sécurisés dans AWS Systems Manager Parameter Store ou secrets dans AWS Secrets Manager pour garantir que vos données sont cryptées au repos.
-
Limiter l'accès : limitez l'accès aux paramètres du Parameter Store ou aux secrets du Secrets Manager uniquement aux principaux et aux rôles autorisés.
-
Rotation des informations d'identification : alternez régulièrement vos données sensibles stockées dans Parameter Store ou Secrets Manager afin de maintenir un niveau de sécurité élevé.
-
Automatisez la rotation — Tirez parti des fonctionnalités de rotation automatique de Secrets Manager pour mettre à jour et distribuer régulièrement vos données sensibles dans vos applications et environnements.
Considérations d’ordre général
Voici les considérations générales à prendre en compte avant de spécifier des références dynamiques dans vos CloudFormation modèles :
-
Évitez d'inclure des références dynamiques ou des données sensibles dans les propriétés des ressources qui font partie de l'identifiant principal d'une ressource. CloudFormation peut utiliser la valeur réelle en texte brut dans l'identifiant de ressource principal, ce qui peut présenter un risque de sécurité. Cet ID de ressource peut apparaître dans toutes les sorties ou destinations dérivées.
Pour déterminer quelles propriétés de ressource constituent l'identifiant principal d'un type de ressource, reportez-vous à la documentation de référence de cette ressource dansAWS référence aux types de ressources et de propriétés. Dans la section Valeurs renvoyées, la valeur de retour de la fonction
Refreprésente les propriétés de la ressource qui constituent l'identifiant principal du type de ressource. -
Vous pouvez inclure jusqu'à 60 références dynamiques dans un modèle de pile.
-
Si vous utilisez des transformations (comme
AWS::IncludeouAWS::Serverless), CloudFormation cela ne résout pas les références dynamiques avant d'appliquer la transformation. Il transmet plutôt la chaîne littérale de la référence dynamique à la transformation et résout les références lorsque vous exécutez l'ensemble de modifications à l'aide du modèle. -
Vous ne pouvez pas utiliser de références dynamiques pour des valeurs sécurisées (comme celles stockées dans Parameter Store ou Secrets Manager) dans des ressources personnalisées.
-
Ne créez pas de référence dynamique qui se termine par une barre oblique inverse (\). CloudFormationne peut pas résoudre ces références, ce qui entraînera l'échec des opérations de pile.
Les rubriques suivantes fournissent des informations et d'autres considérations relatives à l'utilisation de références dynamiques.
Rubriques
