Gunakan ekstensi publik pihak ketiga dari CloudFormation registri - AWS CloudFormation
IAMperanSecara otomatis menggunakan versi ekstensi baruGunakan alias untuk merujuk ke ekstensiAWS CLI Perintah yang umum digunakan untuk bekerja dengan ekstensi publik

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan ekstensi publik pihak ketiga dari CloudFormation registri

Untuk menggunakan ekstensi publik pihak ketiga di template Anda, Anda harus terlebih dahulu mengaktifkan ekstensi untuk akun dan Wilayah tempat Anda ingin menggunakannya. Mengaktifkan ekstensi membuatnya dapat digunakan dalam operasi tumpukan di akun dan Wilayah tempat ekstensi diaktifkan.

Saat Anda mengaktifkan ekstensi publik pihak ketiga, CloudFormation buat entri di registri ekstensi akun Anda untuk ekstensi yang diaktifkan sebagai ekstensi pribadi. Ini memungkinkan Anda untuk mengatur properti konfigurasi apa pun yang disertakan ekstensi. Properti konfigurasi menentukan bagaimana ekstensi dikonfigurasi untuk diberikan Akun AWS dan Wilayah.

Selain mengatur properti konfigurasi, Anda juga dapat menyesuaikan ekstensi dengan cara berikut:

  • Tentukan peran eksekusi yang CloudFormation digunakan untuk mengaktifkan ekstensi, selain mengkonfigurasi logging untuk ekstensi.

  • Tentukan apakah ekstensi diperbarui secara otomatis saat versi minor atau patch baru tersedia.

  • Tentukan alias yang akan digunakan, bukan nama ekstensi publik pihak ketiga. Ini dapat membantu menghindari tabrakan penamaan antara ekstensi pihak ketiga.

Topik

Mengonfigurasi peran eksekusi dengan IAM izin dan kebijakan kepercayaan untuk akses ekstensi publik

Saat Anda mengaktifkan ekstensi publik dari CloudFormation registri, Anda dapat memberikan peran eksekusi yang memberikan izin CloudFormation yang diperlukan untuk memanggil ekstensi tersebut di wilayah Akun AWS dan wilayah Anda.

Izin yang diperlukan untuk peran eksekusi didefinisikan di bagian handler skema ekstensi. Anda harus membuat IAM kebijakan yang memberikan izin khusus yang diperlukan oleh ekstensi dan melampirkannya ke peran eksekusi.

Selain kebijakan izin, peran eksekusi juga harus memiliki kebijakan kepercayaan yang memungkinkan CloudFormation untuk mengambil peran. Ikuti panduan di Membuat peran menggunakan kebijakan kepercayaan khusus di Panduan IAM Pengguna untuk membuat peran dengan kebijakan kepercayaan khusus.

Hubungan kepercayaan

Berikut ini menunjukkan contoh kebijakan kepercayaan yang dapat Anda gunakan.

Anda dapat secara opsional membatasi ruang lingkup izin untuk pencegahan wakil kebingungan lintas layanan dengan menggunakan satu atau lebih kunci konteks kondisi global dengan bidang tersebut. Condition Untuk informasi selengkapnya, lihat Pencegahan confused deputy lintas layanan.

  • Tetapkan aws:SourceAccount nilainya ke ID akun Anda.

  • Tetapkan aws:SourceArn nilainya ke ekstensi AndaARN.

Contoh kebijakan kepercayaan 1

Berikut ini adalah contoh kebijakan kepercayaan IAM peran untuk ekstensi jenis sumber daya.

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Principal":{
                "Service": "resources.cloudformation.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
                "StringEquals":{
                    "aws:SourceAccount":"123456789012"
                },
                "StringLike":{
                    "aws:SourceArn":"arn:aws:cloudformation:us-east-1:123456789012:type/resource/Organization-Service-Resource/*"
                }
            }
        }
    ]
}
Contoh kebijakan kepercayaan 2

Berikut ini adalah contoh kebijakan kepercayaan IAM peran untuk ekstensi Hook.

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Allow",
            "Principal": {
                "Service": [
                    "resources.cloudformation.amazonaws.com",
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action":"sts:AssumeRole",
            "Condition":{
                "StringEquals":{
                    "aws:SourceAccount":"123456789012"
                },
                "StringLike":{
                     "aws:SourceArn":"arn:aws:cloudformation:us-east-1:123456789012:type/hook/Organization-Service-Hook/*"
                }
            }
        }
    ]
}

Secara otomatis menggunakan versi ekstensi baru

Saat Anda mengaktifkan ekstensi, Anda juga dapat menentukan jenis ekstensi untuk menggunakan versi minor terbaru. Jenis ekstensi Anda memperbarui versi minor, setiap kali penerbit merilis versi baru pada ekstensi Anda yang diaktifkan.

Misalnya, saat berikutnya Anda melakukan operasi tumpukan, seperti membuat atau memperbarui tumpukan, menggunakan templat yang menyertakan ekstensi itu, CloudFormation menggunakan versi minor yang baru.

Memperbarui ke versi ekstensi baru, baik secara otomatis maupun manual dan tidak memengaruhi instance ekstensi apa pun yang sudah disediakan di tumpukan.

CloudFormation memperlakukan pembaruan versi utama ekstensi sebagai berpotensi mengandung perubahan yang melanggar, sehingga mengharuskan Anda memperbarui secara manual ke versi utama ekstensi yang baru.

Ekstensi AWS yang diterbitkan oleh diaktifkan secara default untuk semua akun dan Wilayah yang tersedia, dan selalu gunakan versi terbaru yang tersedia di masing-masing akun Wilayah AWS.

penting

Karena Anda mengontrol jika dan kapan ekstensi diperbarui ke versi terbaru di akun Anda, Anda bisa mendapatkan versi berbeda dari ekstensi yang sama yang digunakan di akun dan Wilayah yang berbeda.

Ini berpotensi menyebabkan hasil yang tidak terduga saat menggunakan templat yang sama, yang berisi ekstensi itu, di seluruh akun dan Wilayah tersebut.

Gunakan alias untuk merujuk ke ekstensi

Anda tidak dapat mengaktifkan lebih dari satu ekstensi dengan nama tertentu di wilayah tertentu Akun AWS . Karena penerbit yang berbeda mungkin menawarkan ekstensi publik dengan nama ekstensi yang sama, CloudFormation Anda dapat menentukan alias untuk ekstensi publik pihak ketiga yang Anda aktifkan.

Jika Anda menentukan alias untuk ekstensi, CloudFormation memperlakukan alias sebagai nama jenis ekstensi dalam akun dan Wilayah. Anda harus menggunakan alias untuk merujuk ke ekstensi di template, API panggilan, dan CloudFormation konsol Anda.

Alias ekstensi harus unik dalam akun dan Wilayah tertentu. Anda dapat mengaktifkan sumber daya publik yang sama beberapa kali di akun dan Wilayah yang sama, menggunakan alias nama tipe yang berbeda.

penting

Meskipun alias ekstensi hanya diperlukan untuk menjadi unik di akun dan Wilayah tertentu, kami sangat menyarankan agar pengguna tidak menetapkan alias yang sama ke ekstensi publik pihak ketiga yang berbeda di seluruh akun dan Wilayah. Melakukannya dapat menyebabkan hasil yang tidak terduga saat menggunakan templat yang berisi alias ekstensi di beberapa akun atau Wilayah.

AWS CLI Perintah yang umum digunakan untuk bekerja dengan ekstensi publik

Perintah yang umum digunakan untuk bekerja dengan ekstensi publik meliputi:

  • activate-typeuntuk mengaktifkan modul pihak ketiga publik atau jenis sumber daya di akun Anda.

  • set-type-configurationuntuk menentukan data konfigurasi untuk ekstensi di akun Anda.

  • list-typesuntuk membuat daftar ekstensi di akun Anda.

  • describe-typeuntuk mengembalikan informasi terperinci tentang ekstensi tertentu atau versi ekstensi tertentu, termasuk data konfigurasi saat ini.

  • set-type-default-versionuntuk menentukan versi ekstensi mana yang merupakan versi default.

  • deactivate-typeuntuk menonaktifkan modul pihak ketiga publik atau jenis sumber daya yang sebelumnya diaktifkan di akun Anda.