Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sviluppo di hook personalizzati utilizzando la CLI CloudFormation
Questa sezione è dedicata ai clienti che desiderano sviluppare Hooks personalizzati e registrarli nel CloudFormation registro. Fornisce una panoramica della struttura degli CloudFormation Hooks e guide per lo sviluppo, la registrazione, il test, la gestione e la pubblicazione dei propri Hooks con Python o Java.
Esistono tre passaggi principali nello sviluppo di un Hook personalizzato:
1. **Avviare**
Per sviluppare Hooks personalizzati, è necessario configurare e utilizzare la CloudFormation CLI. Per avviare un progetto Hook e i relativi file richiesti, usa il comando CloudFormation [https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-init.html](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-init.html)CLI e specifica che desideri creare un Hook. Per ulteriori informazioni, consulta [Avvio di un progetto CloudFormation Hooks personalizzato](hooks-init.md).
1. **Modello**
Per modellare, creare e convalidare lo schema Hook, definisci l'Hook, le sue proprietà e i relativi attributi.
La CloudFormation CLI crea funzioni di gestione vuote che corrispondono a un punto di invocazione Hook specifico. Aggiungi la tua logica a questi gestori per controllare cosa succede durante la chiamata di Hook in ogni fase del ciclo di vita di destinazione. Per ulteriori informazioni, consulta [Modellazione di ganci personalizzati CloudFormation](hooks-model.md).
1. **Registrati**
Per registrare un Hook, invia il tuo Hook affinché venga registrato come estensione privata o pubblica di terze parti. Registra il tuo Hook con l'`[submit](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-submit.html)`operazione. Per ulteriori informazioni, consulta [Registrazione di un Hook personalizzato con CloudFormation](registering-hooks.md).
Le seguenti attività sono associate alla registrazione del tuo Hook:
1. *Pubblica*: gli hook vengono pubblicati nel registro.
1. *Configura*: gli hook vengono configurati quando la configurazione del tipo viene richiamata sugli stack.
**Nota**
Gli hook scadranno dopo 30 secondi e riproveranno fino a 3 volte. Per ulteriori informazioni, consulta [Limiti di timeout e nuovi tentativi](hooks-concepts.md#hook-timeout-and-retry-limits).
**Topics**
+ [Prerequisiti](hooks-prerequisites.md)
+ [Avvio di un progetto Hooks](hooks-init.md)
+ [Ganci per modellazione](hooks-model.md)
+ [Registrazione di Hooks](registering-hooks.md)
+ [Ganci di prova](testing-hooks.md)
+ [Aggiornamento degli hook](updating-registered-hook.md)
+ [Annullamento della registrazione degli Hooks](deregistering-hooks.md)
+ [Ganci per la pubblicazione](hooks-publishing.md)
+ [Sintassi dello schema](hooks-schema.md)
# Prerequisiti per lo sviluppo di ganci personalizzati CloudFormation
Puoi sviluppare un Hook personalizzato con Java o Python. Di seguito sono riportati i prerequisiti per lo sviluppo di Hooks personalizzati:
**Prerequisiti Java**
+ [Apache Maven](https://maven.apache.org/install.html)
+ [JDK 17](https://www.oracle.com/java/technologies/downloads/#java17)
**Nota**
Se intendi utilizzare la [CloudFormation Command Line Interface (CLI)](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/what-is-cloudformation-cli.html) per avviare un progetto Hooks per Java, devi installare anche Python 3.8 o versione successiva. Il plugin Java per la CloudFormation CLI può essere installato tramite (gestore di pacchetti di `pip` Python), che è distribuito con Python.
[Per implementare i gestori Hook per il progetto Java Hooks, puoi scaricare i file di esempio del gestore Java Hook.](samples/java-handlers.zip)
**Prerequisiti Python**
+ [Python versione 3.8](https://www.python.org/downloads/) o successiva.
[Per implementare i gestori Hook per il tuo progetto Python Hooks, puoi scaricare i file di esempio del gestore Python Hook.](samples/python-handlers.zip)
## Autorizzazioni per lo sviluppo di Hooks
Oltre ai permessi CloudFormation `Create``Update`, e `Delete` stack, avrai bisogno di accedere alle seguenti operazioni. AWS CloudFormation L'accesso a queste operazioni è gestito tramite la policy del CloudFormation tuo ruolo IAM.
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/register-type.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/register-type.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-types.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-types.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/deregister-type.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/deregister-type.html)
+ [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-configuration.html)
Per ulteriori informazioni, consulta [Concedi le autorizzazioni IAM per gli CloudFormation Hooks](grant-iam-permissions-for-hooks.md).
## Configura un ambiente di sviluppo per Hooks
Per sviluppare Hooks, è necessario avere familiarità con i [CloudFormation template](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html) e con Python o Java.
**Per installare la CloudFormation CLI e i plugin associati:**
1. Installa la CloudFormation CLI con`pip`, il gestore di pacchetti Python.
```
pip3 install cloudformation-cli
```
1. Installa il plugin Python o Java per la CLI CloudFormation .
------
#### [ Python ]
```
pip3 install cloudformation-cli-python-plugin
```
------
#### [ Java ]
```
pip3 install cloudformation-cli-java-plugin
```
------
Per aggiornare la CloudFormation CLI e il plug-in, puoi utilizzare l'opzione di aggiornamento.
------
#### [ Python ]
```
pip3 install --upgrade cloudformation-cli cloudformation-cli-python-plugin
```
------
#### [ Java ]
```
pip3 install --upgrade cloudformation-cli cloudformation-cli-java-plugin
```
------
# Avvio di un progetto CloudFormation Hooks personalizzato
Il primo passo per creare un progetto Hooks personalizzato è avviare il progetto. Puoi usare il `init` comando CloudFormation CLI per avviare il tuo progetto Hooks personalizzato.
Il `init` comando avvia una procedura guidata che guida l'utente nella configurazione del progetto, incluso un file di schema Hooks. Utilizzate questo file di schema come punto di partenza per definire la forma e la semantica dei vostri Hooks. Per ulteriori informazioni, consulta [Sintassi dello schema](hooks-schema.md).
**Per avviare un progetto Hook:**
1. Crea una directory per il progetto.
```
mkdir ~/mycompany-testing-mytesthook
```
1. Passa alla nuova directory.
```
cd ~/mycompany-testing-mytesthook
```
1. Usa il `init` comando CloudFormation CLI per avviare il progetto.
```
cfn init
```
Questo comando restituisce il seguente output.
```
Initializing new project
```
1. Il `init` comando avvia una procedura guidata che guida l'utente nella configurazione del progetto. Quando richiesto, immettete `h` per specificare un progetto Hooks.
```
Do you want to develop a new resource(r) a module(m) or a hook(h)?
```
```
h
```
1. Immettete un nome per il tipo di Hook.
```
What's the name of your hook type?
(Organization::Service::Hook)
```
```
MyCompany::Testing::MyTestHook
```
1. Se è installato solo un plug-in in una lingua, viene selezionato per impostazione predefinita. Se è installato più di un plug-in linguistico, puoi scegliere la lingua desiderata. Inserisci una selezione numerica per la lingua di tua scelta.
```
Select a language for code generation:
[1] java
[2] python38
[3] python39
(enter an integer):
```
1. Configura il packaging in base al linguaggio di sviluppo scelto.
------
#### [ Python ]
(*Facoltativo*) Scegli Docker per un packaging indipendente dalla piattaforma. Sebbene Docker non sia necessario, è altamente consigliato per semplificare l'imballaggio.
```
Use docker for platform-independent packaging (Y/n)?
This is highly recommended unless you are experienced with cross-platform Python packaging.
```
------
#### [ Java ]
Imposta il nome del pacchetto Java e scegli un modello codegen. È possibile utilizzare il nome del pacchetto predefinito o crearne uno nuovo.
```
Enter a package name (empty for default 'com.mycompany.testing.mytesthook'):
```
```
Choose codegen model - 1 (default) or 2 (guided-aws):
```
------
*Risultati*: Il progetto è stato avviato con successo e sono stati generati i file necessari per sviluppare un Hook. Quello che segue è un esempio delle directory e dei file che compongono un progetto Hooks per Python 3.8.
```
mycompany-testing-mytesthook.json
rpdk.log
README.md
requirements.txt
hook-role.yaml
template.yml
docs
README.md
src
__init__.py
handlers.py
models.py
target_models
aws_s3_bucket.py
```
**Nota**
I file nella `src` directory vengono creati in base alla lingua selezionata. Ci sono alcuni commenti ed esempi utili nei file generati. Alcuni file, ad esempio`models.py`, vengono aggiornati automaticamente in un passaggio successivo quando si esegue il `generate` comando per aggiungere codice di runtime per i gestori.
# Modellazione di ganci personalizzati CloudFormation
La modellazione di CloudFormation Hooks personalizzati implica la creazione di uno schema che definisce l'Hook, le sue proprietà e i relativi attributi. Quando crei il tuo progetto Hook personalizzato utilizzando il `cfn init` comando, uno schema Hook di esempio viene creato come file di testo in formato JSON,. `hook-name.json`
I punti di invocazione di Target e le azioni target specificano il punto esatto in cui viene richiamato l'Hook. I *gestori Hook* ospitano una logica personalizzata eseguibile per questi punti. Ad esempio, un'azione mirata dell'`CREATE`operazione utilizza un `preCreate` gestore. Il codice scritto nel gestore verrà invocato quando le destinazioni e i servizi Hook eseguono un'azione corrispondente. I *target Hook* sono la destinazione in cui vengono richiamati gli hook. È possibile specificare obiettivi come risorse CloudFormation pubbliche, risorse private o risorse personalizzate. Gli hook supportano un numero illimitato di obiettivi Hook.
Lo schema contiene le autorizzazioni necessarie per l'Hook. La creazione dell'Hook richiede di specificare le autorizzazioni per ogni gestore Hook. CloudFormation incoraggia gli autori a scrivere politiche che seguano i consigli di sicurezza standard che prevedono la concessione dei *privilegi minimi* o la concessione solo delle autorizzazioni necessarie per eseguire un'attività. Determina cosa devono fare gli utenti (e i ruoli), quindi crea politiche che consentano loro di eseguire *solo* le attività relative alle operazioni Hook. CloudFormation utilizza queste autorizzazioni per definire le autorizzazioni fornite dagli utenti di Hook. Queste autorizzazioni vengono trasmesse all'Hook. I gestori di Hook utilizzano queste autorizzazioni per accedere alle risorse. AWS
Puoi usare il seguente file di schema come punto di partenza per definire il tuo Hook. Utilizzate lo schema Hook per specificare quali gestori desiderate implementare. Se scegli di non implementare un gestore specifico, rimuovilo dalla sezione dedicata ai gestori dello schema Hook. Per ulteriori dettagli sullo schema, vedere. [Sintassi dello schema](hooks-schema.md)
```
{
"typeName":"MyCompany::Testing::MyTestHook",
"description":"Verifies S3 bucket and SQS queues properties before create and update",
"sourceUrl":"https://mycorp.com/my-repo.git",
"documentationUrl":"https://mycorp.com/documentation",
"typeConfiguration":{
"properties":{
"minBuckets":{
"description":"Minimum number of compliant buckets",
"type":"string"
},
"minQueues":{
"description":"Minimum number of compliant queues",
"type":"string"
},
"encryptionAlgorithm":{
"description":"Encryption algorithm for SSE",
"default":"AES256",
"type":"string"
}
},
"required":[
],
"additionalProperties":false
},
"handlers":{
"preCreate":{
"targetNames":[
"AWS::S3::Bucket",
"AWS::SQS::Queue"
],
"permissions":[
]
},
"preUpdate":{
"targetNames":[
"AWS::S3::Bucket",
"AWS::SQS::Queue"
],
"permissions":[
]
},
"preDelete":{
"targetNames":[
"AWS::S3::Bucket",
"AWS::SQS::Queue"
],
"permissions":[
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetEncryptionConfiguration",
"sqs:ListQueues",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl"
]
}
},
"additionalProperties":false
}
```
**Topics**
+ [Modellazione di CloudFormation hook personalizzati utilizzando Java](hooks-model-java.md)
+ [Modellazione di CloudFormation hook personalizzati usando Python](hooks-model-python.md)
# Modellazione di CloudFormation hook personalizzati utilizzando Java
La modellazione di CloudFormation Hooks personalizzati implica la creazione di uno schema che definisce l'Hook, le sue proprietà e i relativi attributi. Questo tutorial illustra la modellazione di Hooks personalizzati utilizzando Java.
## Fase 1: Aggiungere le dipendenze del progetto
I progetti Hooks basati su Java si basano sul `pom.xml` file di Maven come dipendenza. Espandi la sezione seguente e copia il codice sorgente nel `pom.xml` file nella radice del progetto.
### Dipendenze del progetto Hook (pom.xml)
```
4.0.0com.mycompany.testing.mytesthookmycompany-testing-mytesthook-handlermycompany-testing-mytesthook-handler1.0-SNAPSHOTjar1.81.8UTF-8UTF-82.16.18.36.22.8.02.11.33.1.13.6.04.1.42.5.03.2.03.2.1software.amazon.awssdkbom2.16.1pomimportsoftware.amazon.cloudformationaws-cloudformation-rpdk-java-plugin[2.0.0,3.0.0)software.amazon.awssdksdk-coresoftware.amazon.awssdkcloudformationsoftware.amazon.awssdks3software.amazon.awssdkutilssoftware.amazon.awssdkapache-clientsoftware.amazon.awssdksqssoftware.amazon.cloudformationcloudformation-cli-java-plugin-testing-support1.0.0com.amazonawsaws-java-sdk-s31.12.85commons-iocommons-io${commons-io.version}org.apache.commonscommons-lang33.9org.apache.commonscommons-collections44.4com.google.guavaguava29.0-jrecom.amazonawsaws-java-sdk-cloudformation1.11.555testcommons-codeccommons-codec1.14software.amazon.cloudformationaws-cloudformation-resource-schema[2.0.5, 3.0.0)com.fasterxml.jackson.corejackson-databind${jackson.version}com.fasterxml.jackson.dataformatjackson-dataformat-cbor${jackson.version}com.fasterxml.jackson.datatypejackson-datatype-jsr310${jackson.version}com.fasterxml.jackson.modulejackson-modules-java8${jackson.version}pomruntimeorg.jsonjson20180813com.amazonawsaws-java-sdk-core1.11.1034com.amazonawsaws-lambda-java-core1.2.0com.amazonawsaws-lambda-java-log4j21.2.0com.google.code.gsongson2.8.8org.projectlomboklombok1.18.4providedorg.apache.logging.log4jlog4j-api2.17.1org.apache.logging.log4jlog4j-core2.17.1org.apache.logging.log4jlog4j-slf4j-impl2.17.1org.assertjassertj-core3.12.2testorg.junit.jupiterjunit-jupiter5.5.0-M1testorg.mockitomockito-core3.6.0testorg.mockitomockito-junit-jupiter3.6.0testorg.apache.maven.pluginsmaven-compiler-plugin3.8.1-Xlint:all,-options,-processingorg.apache.maven.pluginsmaven-shade-plugin2.3false*:***/Log4j2Plugins.datpackageshadeorg.codehaus.mojoexec-maven-plugin1.6.0generategenerate-sourcesexeccfngenerate ${cfn.generate.args}${project.basedir}org.codehaus.mojobuild-helper-maven-plugin3.0.0add-sourcegenerate-sourcesadd-source${project.basedir}/target/generated-sources/rpdkorg.apache.maven.pluginsmaven-resources-plugin2.4maven-surefire-plugin3.0.0-M3org.jacocojacoco-maven-plugin0.8.4**/BaseHookConfiguration***/BaseHookHandler***/HookHandlerWrapper***/ResourceModel***/TypeConfigurationModel***/model/**/*prepare-agentreporttestreportjacoco-checkcheckPACKAGEBRANCHCOVEREDRATIO0.8INSTRUCTIONCOVEREDRATIO0.8${project.basedir}mycompany-testing-mytesthook.json${project.basedir}/target/loaded-target-schemas**/*.json
```
## Passaggio 2: generare il pacchetto del progetto Hook
Genera il tuo pacchetto di progetto Hook. La CloudFormation CLI crea funzioni di gestione vuote che corrispondono a specifiche azioni Hook nel ciclo di vita di destinazione, come definito nella specifica Hook.
```
cfn generate
```
Questo comando restituisce il seguente output.
```
Generated files for MyCompany::Testing::MyTestHook
```
**Nota**
Assicurati che i runtime Lambda evitino l'uso up-to-date di una versione obsoleta. Per ulteriori informazioni, consulta [Aggiornamento dei runtime Lambda per i tipi di risorse](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/runtime-update.html) e gli hook.
## Fase 3: Aggiungere i gestori Hook
Aggiungi il tuo codice di runtime del gestore Hook ai gestori che scegli di implementare. Ad esempio, puoi aggiungere il seguente codice per la registrazione.
```
logger.log("Internal testing Hook triggered for target: " + request.getHookContext().getTargetName());
```
La CloudFormation CLI genera un Plain Old Java Objects (Java POJO). Di seguito sono riportati esempi di output generati da. `AWS::S3::Bucket`
**Example WSS3 .java BucketTargetModel**
```
package com.mycompany.testing.mytesthook.model.aws.s3.bucket;
import...
@Data
@NoArgsConstructor
@EqualsAndHashCode(callSuper = true)
@ToString(callSuper = true)
@JsonAutoDetect(fieldVisibility = Visibility.ANY, getterVisibility = Visibility.NONE, setterVisibility = Visibility.NONE)
public class AwsS3BucketTargetModel extends ResourceHookTargetModel {
@JsonIgnore
private static final TypeReference TARGET_REFERENCE =
new TypeReference() {};
@JsonIgnore
private static final TypeReference MODEL_REFERENCE =
new TypeReference() {};
@JsonIgnore
public static final String TARGET_TYPE_NAME = "AWS::S3::Bucket";
@JsonIgnore
public TypeReference getHookTargetTypeReference() {
return TARGET_REFERENCE;
}
@JsonIgnore
public TypeReference getTargetModelTypeReference() {
return MODEL_REFERENCE;
}
}
```
**Example AwsS3Bucket.java**
```
package com.mycompany.testing.mytesthook.model.aws.s3.bucket;
import ...
@Data
@Builder
@AllArgsConstructor
@NoArgsConstructor
@EqualsAndHashCode(callSuper = true)
@ToString(callSuper = true)
@JsonAutoDetect(fieldVisibility = Visibility.ANY, getterVisibility = Visibility.NONE, setterVisibility = Visibility.NONE)
public class AwsS3Bucket extends ResourceHookTarget {
@JsonIgnore
public static final String TYPE_NAME = "AWS::S3::Bucket";
@JsonIgnore
public static final String IDENTIFIER_KEY_ID = "/properties/Id";
@JsonProperty("InventoryConfigurations")
private List inventoryConfigurations;
@JsonProperty("WebsiteConfiguration")
private WebsiteConfiguration websiteConfiguration;
@JsonProperty("DualStackDomainName")
private String dualStackDomainName;
@JsonProperty("AccessControl")
private String accessControl;
@JsonProperty("AnalyticsConfigurations")
private List analyticsConfigurations;
@JsonProperty("AccelerateConfiguration")
private AccelerateConfiguration accelerateConfiguration;
@JsonProperty("PublicAccessBlockConfiguration")
private PublicAccessBlockConfiguration publicAccessBlockConfiguration;
@JsonProperty("BucketName")
private String bucketName;
@JsonProperty("RegionalDomainName")
private String regionalDomainName;
@JsonProperty("OwnershipControls")
private OwnershipControls ownershipControls;
@JsonProperty("ObjectLockConfiguration")
private ObjectLockConfiguration objectLockConfiguration;
@JsonProperty("ObjectLockEnabled")
private Boolean objectLockEnabled;
@JsonProperty("LoggingConfiguration")
private LoggingConfiguration loggingConfiguration;
@JsonProperty("ReplicationConfiguration")
private ReplicationConfiguration replicationConfiguration;
@JsonProperty("Tags")
private List tags;
@JsonProperty("DomainName")
private String domainName;
@JsonProperty("BucketEncryption")
private BucketEncryption bucketEncryption;
@JsonProperty("WebsiteURL")
private String websiteURL;
@JsonProperty("NotificationConfiguration")
private NotificationConfiguration notificationConfiguration;
@JsonProperty("LifecycleConfiguration")
private LifecycleConfiguration lifecycleConfiguration;
@JsonProperty("VersioningConfiguration")
private VersioningConfiguration versioningConfiguration;
@JsonProperty("MetricsConfigurations")
private List metricsConfigurations;
@JsonProperty("IntelligentTieringConfigurations")
private List intelligentTieringConfigurations;
@JsonProperty("CorsConfiguration")
private CorsConfiguration corsConfiguration;
@JsonProperty("Id")
private String id;
@JsonProperty("Arn")
private String arn;
@JsonIgnore
public JSONObject getPrimaryIdentifier() {
final JSONObject identifier = new JSONObject();
if (this.getId() != null) {
identifier.put(IDENTIFIER_KEY_ID, this.getId());
}
// only return the identifier if it can be used, i.e. if all components are present
return identifier.length() == 1 ? identifier : null;
}
@JsonIgnore
public List getAdditionalIdentifiers() {
final List identifiers = new ArrayList();
// only return the identifiers if any can be used
return identifiers.isEmpty() ? null : identifiers;
}
}
```
**Example BucketEncryption.java**
```
package software.amazon.testing.mytesthook.model.aws.s3.bucket;
import ...
@Data
@Builder
@AllArgsConstructor
@NoArgsConstructor
@JsonAutoDetect(fieldVisibility = Visibility.ANY, getterVisibility = Visibility.NONE, setterVisibility = Visibility.NONE)
public class BucketEncryption {
@JsonProperty("ServerSideEncryptionConfiguration")
private List serverSideEncryptionConfiguration;
}
```
**Example ServerSideEncryptionRule.java**
```
package com.mycompany.testing.mytesthook.model.aws.s3.bucket;
import ...
@Data
@Builder
@AllArgsConstructor
@NoArgsConstructor
@JsonAutoDetect(fieldVisibility = Visibility.ANY, getterVisibility = Visibility.NONE, setterVisibility = Visibility.NONE)
public class ServerSideEncryptionRule {
@JsonProperty("BucketKeyEnabled")
private Boolean bucketKeyEnabled;
@JsonProperty("ServerSideEncryptionByDefault")
private ServerSideEncryptionByDefault serverSideEncryptionByDefault;
}
```
**Example ServerSideEncryptionByDefault.java**
```
package com.mycompany.testing.mytesthook.model.aws.s3.bucket;
import ...
@Data
@Builder
@AllArgsConstructor
@NoArgsConstructor
@JsonAutoDetect(fieldVisibility = Visibility.ANY, getterVisibility = Visibility.NONE, setterVisibility = Visibility.NONE)
public class ServerSideEncryptionByDefault {
@JsonProperty("SSEAlgorithm")
private String sSEAlgorithm;
@JsonProperty("KMSMasterKeyID")
private String kMSMasterKeyID;
}
```
Con il file POJOs generato, ora puoi scrivere i gestori che implementano effettivamente la funzionalità di Hook. Per questo esempio, implementa il punto di `preUpdate` invocazione `preCreate` and per i gestori.
## Fase 4: Implementazione dei gestori Hook
**Topics**
+ [Codifica del generatore di client API](#java-code-api-client-builder)
+ [Codifica del generatore di richieste API](#code-the-api-request-maker)
+ [Implementazione del codice di supporto](#implement-helper-code)
+ [Implementazione del gestore di base](#implement-base-hook-handler)
+ [Implementazione del `preCreate` gestore](#implementing-precreate-handler)
+ [Codifica del gestore `preCreate`](#coding-the-precreate-handler)
+ [Aggiornamento del `preCreate` test](#updating-the-precreate-handler)
+ [Implementazione del `preUpdate` gestore](#implementing-preupdate-handler)
+ [Codifica del gestore `preUpdate`](#coding-preupdate-handler)
+ [Aggiornamento del `preUpdate` test](#update-the-preupdate-handler)
+ [Implementazione del `preDelete` gestore](#implement-the-predelete-hander)
+ [Codifica del gestore `preDelete`](#code-the-predelete-handler)
+ [Aggiornamento del `preDelete` gestore](#update-the-predelete-handler)
### Codifica del generatore di client API
1. Nel tuo IDE, apri il `ClientBuilder.java` file, che si trova nella `src/main/java/com/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `ClientBuilder.java` file con il codice seguente.
**Example ClientBuilder.java**
```
package com.awscommunity.kms.encryptionsettings;
import software.amazon.awssdk.services.ec2.Ec2Client;
import software.amazon.cloudformation.HookLambdaWrapper;
/**
* Describes static HTTP clients (to consume less memory) for API calls that
* this hook makes to a number of AWS services.
*/
public final class ClientBuilder {
private ClientBuilder() {
}
/**
* Create an HTTP client for Amazon EC2.
*
* @return Ec2Client An {@link Ec2Client} object.
*/
public static Ec2Client getEc2Client() {
return Ec2Client.builder().httpClient(HookLambdaWrapper.HTTP_CLIENT).build();
}
}
```
### Codifica del generatore di richieste API
1. Nel tuo IDE, apri il `Translator.java` file, che si trova nella `src/main/java/com/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `Translator.java` file con il codice seguente.
**Example Translator.java**
```
package com.mycompany.testing.mytesthook;
import software.amazon.awssdk.services.s3.model.GetBucketEncryptionRequest;
import software.amazon.awssdk.services.s3.model.ListBucketsRequest;
import software.amazon.awssdk.services.sqs.model.ListQueuesRequest;
import software.amazon.cloudformation.proxy.hook.targetmodel.HookTargetModel;
/**
* This class is a centralized placeholder for
* - api request construction
* - object translation to/from aws sdk
*/
public class Translator {
static ListBucketsRequest translateToListBucketsRequest(final HookTargetModel targetModel) {
return ListBucketsRequest.builder().build();
}
static ListQueuesRequest translateToListQueuesRequest(final String nextToken) {
return ListQueuesRequest.builder().nextToken(nextToken).build();
}
static ListBucketsRequest createListBucketsRequest() {
return ListBucketsRequest.builder().build();
}
static ListQueuesRequest createListQueuesRequest() {
return createListQueuesRequest(null);
}
static ListQueuesRequest createListQueuesRequest(final String nextToken) {
return ListQueuesRequest.builder().nextToken(nextToken).build();
}
static GetBucketEncryptionRequest createGetBucketEncryptionRequest(final String bucket) {
return GetBucketEncryptionRequest.builder().bucket(bucket).build();
}
}
```
### Implementazione del codice di supporto
1. Nel tuo IDE, apri il `AbstractTestBase.java` file, che si trova nella `src/main/java/com/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `AbstractTestBase.java` file con il codice seguente.
**Example Translator.java**
```
package com.mycompany.testing.mytesthook;
import com.google.common.collect.ImmutableMap;
import org.mockito.Mockito;
import software.amazon.awssdk.auth.credentials.AwsCredentialsProvider;
import software.amazon.awssdk.auth.credentials.AwsSessionCredentials;
import software.amazon.awssdk.auth.credentials.StaticCredentialsProvider;
import software.amazon.awssdk.awscore.AwsRequest;
import software.amazon.awssdk.awscore.AwsRequestOverrideConfiguration;
import software.amazon.awssdk.awscore.AwsResponse;
import software.amazon.awssdk.core.SdkClient;
import software.amazon.awssdk.core.pagination.sync.SdkIterable;
import software.amazon.cloudformation.proxy.AmazonWebServicesClientProxy;
import software.amazon.cloudformation.proxy.Credentials;
import software.amazon.cloudformation.proxy.LoggerProxy;
import software.amazon.cloudformation.proxy.OperationStatus;
import software.amazon.cloudformation.proxy.ProgressEvent;
import software.amazon.cloudformation.proxy.ProxyClient;
import software.amazon.cloudformation.proxy.hook.targetmodel.HookTargetModel;
import javax.annotation.Nonnull;
import java.time.Duration;
import java.util.concurrent.CompletableFuture;
import java.util.function.Function;
import java.util.function.Supplier;
import static org.assertj.core.api.Assertions.assertThat;
@lombok.Getter
public class AbstractTestBase {
protected final AwsSessionCredentials awsSessionCredential;
protected final AwsCredentialsProvider v2CredentialsProvider;
protected final AwsRequestOverrideConfiguration configuration;
protected final LoggerProxy loggerProxy;
protected final Supplier awsLambdaRuntime = () -> Duration.ofMinutes(15).toMillis();
protected final AmazonWebServicesClientProxy proxy;
protected final Credentials mockCredentials =
new Credentials("mockAccessId", "mockSecretKey", "mockSessionToken");
@lombok.Setter
private SdkClient serviceClient;
protected AbstractTestBase() {
loggerProxy = Mockito.mock(LoggerProxy.class);
awsSessionCredential = AwsSessionCredentials.create(mockCredentials.getAccessKeyId(),
mockCredentials.getSecretAccessKey(), mockCredentials.getSessionToken());
v2CredentialsProvider = StaticCredentialsProvider.create(awsSessionCredential);
configuration = AwsRequestOverrideConfiguration.builder()
.credentialsProvider(v2CredentialsProvider)
.build();
proxy = new AmazonWebServicesClientProxy(
loggerProxy,
mockCredentials,
awsLambdaRuntime
) {
@Override
public ProxyClient newProxy(@Nonnull Supplier client) {
return new ProxyClient() {
@Override
public
ResponseT injectCredentialsAndInvokeV2(RequestT request,
Function requestFunction) {
return proxy.injectCredentialsAndInvokeV2(request, requestFunction);
}
@Override
public CompletableFuture
injectCredentialsAndInvokeV2Async(RequestT request, Function> requestFunction) {
return proxy.injectCredentialsAndInvokeV2Async(request, requestFunction);
}
@Override
public >
IterableT
injectCredentialsAndInvokeIterableV2(RequestT request, Function requestFunction) {
return proxy.injectCredentialsAndInvokeIterableV2(request, requestFunction);
}
@SuppressWarnings("unchecked")
@Override
public ClientT client() {
return (ClientT) serviceClient;
}
};
}
};
}
protected void assertResponse(final ProgressEvent response, final OperationStatus expectedStatus, final String expectedMsg) {
assertThat(response).isNotNull();
assertThat(response.getStatus()).isEqualTo(expectedStatus);
assertThat(response.getCallbackContext()).isNull();
assertThat(response.getCallbackDelaySeconds()).isEqualTo(0);
assertThat(response.getMessage()).isNotNull();
assertThat(response.getMessage()).isEqualTo(expectedMsg);
}
protected HookTargetModel createHookTargetModel(final Object resourceProperties) {
return HookTargetModel.of(ImmutableMap.of("ResourceProperties", resourceProperties));
}
protected HookTargetModel createHookTargetModel(final Object resourceProperties, final Object previousResourceProperties) {
return HookTargetModel.of(
ImmutableMap.of(
"ResourceProperties", resourceProperties,
"PreviousResourceProperties", previousResourceProperties
)
);
}
}
```
### Implementazione del gestore di base
1. Nel tuo IDE, apri il `BaseHookHandlerStd.java` file, che si trova nella `src/main/java/com/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `BaseHookHandlerStd.java` file con il codice seguente.
**Example Translator.java**
```
package com.mycompany.testing.mytesthook;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3Bucket;
import com.mycompany.testing.mytesthook.model.aws.sqs.queue.AwsSqsQueue;
import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.sqs.SqsClient;
import software.amazon.cloudformation.exceptions.UnsupportedTargetException;
import software.amazon.cloudformation.proxy.AmazonWebServicesClientProxy;
import software.amazon.cloudformation.proxy.Logger;
import software.amazon.cloudformation.proxy.ProgressEvent;
import software.amazon.cloudformation.proxy.ProxyClient;
import software.amazon.cloudformation.proxy.hook.HookHandlerRequest;
import software.amazon.cloudformation.proxy.hook.targetmodel.HookTargetModel;
public abstract class BaseHookHandlerStd extends BaseHookHandler {
public static final String HOOK_TYPE_NAME = "MyCompany::Testing::MyTestHook";
protected Logger logger;
@Override
public ProgressEvent handleRequest(
final AmazonWebServicesClientProxy proxy,
final HookHandlerRequest request,
final CallbackContext callbackContext,
final Logger logger,
final TypeConfigurationModel typeConfiguration
) {
this.logger = logger;
final String targetName = request.getHookContext().getTargetName();
final ProgressEvent result;
if (AwsS3Bucket.TYPE_NAME.equals(targetName)) {
result = handleS3BucketRequest(
proxy,
request,
callbackContext != null ? callbackContext : new CallbackContext(),
proxy.newProxy(ClientBuilder::createS3Client),
typeConfiguration
);
} else if (AwsSqsQueue.TYPE_NAME.equals(targetName)) {
result = handleSqsQueueRequest(
proxy,
request,
callbackContext != null ? callbackContext : new CallbackContext(),
proxy.newProxy(ClientBuilder::createSqsClient),
typeConfiguration
);
} else {
throw new UnsupportedTargetException(targetName);
}
log(
String.format(
"Result for [%s] invocation for target [%s] returned status [%s] with message [%s]",
request.getHookContext().getInvocationPoint(),
targetName,
result.getStatus(),
result.getMessage()
)
);
return result;
}
protected abstract ProgressEvent handleS3BucketRequest(
final AmazonWebServicesClientProxy proxy,
final HookHandlerRequest request,
final CallbackContext callbackContext,
final ProxyClient proxyClient,
final TypeConfigurationModel typeConfiguration
);
protected abstract ProgressEvent handleSqsQueueRequest(
final AmazonWebServicesClientProxy proxy,
final HookHandlerRequest request,
final CallbackContext callbackContext,
final ProxyClient proxyClient,
final TypeConfigurationModel typeConfiguration
);
protected void log(final String message) {
if (logger != null) {
logger.log(message);
} else {
System.out.println(message);
}
}
}
```
### Implementazione del `preCreate` gestore
Il `preCreate` gestore verifica le impostazioni di crittografia sul lato server per una risorsa or. `AWS::S3::Bucket` `AWS::SQS::Queue`
+ Per una `AWS::S3::Bucket` risorsa, l'Hook passerà solo se è vero quanto segue:
+ La crittografia del bucket Amazon S3 è impostata.
+ La chiave del bucket Amazon S3 è abilitata per il bucket.
+ L'algoritmo di crittografia impostato per il bucket Amazon S3 è l'algoritmo corretto richiesto.
+ L'ID della AWS Key Management Service chiave è impostato.
+ Per una `AWS::SQS::Queue` risorsa, l'Hook passerà solo se è vero quanto segue:
+ L'ID della AWS Key Management Service chiave è impostato.
### Codifica del gestore `preCreate`
1. Nel tuo IDE, apri il `PreCreateHookHandler.java` file, che si trova nella `src/main/java/software/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `PreCreateHookHandler.java` file con il codice seguente.
```
package com.mycompany.testing.mytesthook;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3Bucket;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3BucketTargetModel;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.BucketEncryption;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.ServerSideEncryptionByDefault;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.ServerSideEncryptionRule;
import com.mycompany.testing.mytesthook.model.aws.sqs.queue.AwsSqsQueue;
import com.mycompany.testing.mytesthook.model.aws.sqs.queue.AwsSqsQueueTargetModel;
import org.apache.commons.collections.CollectionUtils;
import org.apache.commons.lang3.StringUtils;
import software.amazon.cloudformation.exceptions.UnsupportedTargetException;
import software.amazon.cloudformation.proxy.HandlerErrorCode;
import software.amazon.cloudformation.proxy.Logger;
import software.amazon.cloudformation.proxy.AmazonWebServicesClientProxy;
import software.amazon.cloudformation.proxy.hook.HookStatus;
import software.amazon.cloudformation.proxy.hook.HookProgressEvent;
import software.amazon.cloudformation.proxy.hook.HookHandlerRequest;
import software.amazon.cloudformation.proxy.hook.targetmodel.ResourceHookTargetModel;
import java.util.List;
public class PreCreateHookHandler extends BaseHookHandler {
@Override
public HookProgressEvent handleRequest(
final AmazonWebServicesClientProxy proxy,
final HookHandlerRequest request,
final CallbackContext callbackContext,
final Logger logger,
final TypeConfigurationModel typeConfiguration) {
final String targetName = request.getHookContext().getTargetName();
if ("AWS::S3::Bucket".equals(targetName)) {
final ResourceHookTargetModel targetModel = request.getHookContext().getTargetModel(AwsS3BucketTargetModel.class);
final AwsS3Bucket bucket = targetModel.getResourceProperties();
final String encryptionAlgorithm = typeConfiguration.getEncryptionAlgorithm();
return validateS3BucketEncryption(bucket, encryptionAlgorithm);
} else if ("AWS::SQS::Queue".equals(targetName)) {
final ResourceHookTargetModel targetModel = request.getHookContext().getTargetModel(AwsSqsQueueTargetModel.class);
final AwsSqsQueue queue = targetModel.getResourceProperties();
return validateSQSQueueEncryption(queue);
} else {
throw new UnsupportedTargetException(targetName);
}
}
private HookProgressEvent validateS3BucketEncryption(final AwsS3Bucket bucket, final String requiredEncryptionAlgorithm) {
HookStatus resultStatus = null;
String resultMessage = null;
if (bucket != null) {
final BucketEncryption bucketEncryption = bucket.getBucketEncryption();
if (bucketEncryption != null) {
final List serverSideEncryptionRules = bucketEncryption.getServerSideEncryptionConfiguration();
if (CollectionUtils.isNotEmpty(serverSideEncryptionRules)) {
for (final ServerSideEncryptionRule rule : serverSideEncryptionRules) {
final Boolean bucketKeyEnabled = rule.getBucketKeyEnabled();
if (bucketKeyEnabled) {
final ServerSideEncryptionByDefault serverSideEncryptionByDefault = rule.getServerSideEncryptionByDefault();
final String encryptionAlgorithm = serverSideEncryptionByDefault.getSSEAlgorithm();
final String kmsKeyId = serverSideEncryptionByDefault.getKMSMasterKeyID(); // "KMSMasterKeyID" is name of the property for an AWS::S3::Bucket;
if (!StringUtils.equals(encryptionAlgorithm, requiredEncryptionAlgorithm) && StringUtils.isBlank(kmsKeyId)) {
resultStatus = HookStatus.FAILED;
resultMessage = "KMS Key ID not set and SSE Encryption Algorithm is incorrect for bucket with name: " + bucket.getBucketName();
} else if (!StringUtils.equals(encryptionAlgorithm, requiredEncryptionAlgorithm)) {
resultStatus = HookStatus.FAILED;
resultMessage = "SSE Encryption Algorithm is incorrect for bucket with name: " + bucket.getBucketName();
} else if (StringUtils.isBlank(kmsKeyId)) {
resultStatus = HookStatus.FAILED;
resultMessage = "KMS Key ID not set for bucket with name: " + bucket.getBucketName();
} else {
resultStatus = HookStatus.SUCCESS;
resultMessage = "Successfully invoked PreCreateHookHandler for target: AWS::S3::Bucket";
}
} else {
resultStatus = HookStatus.FAILED;
resultMessage = "Bucket key not enabled for bucket with name: " + bucket.getBucketName();
}
if (resultStatus == HookStatus.FAILED) {
break;
}
}
} else {
resultStatus = HookStatus.FAILED;
resultMessage = "No SSE Encryption configurations for bucket with name: " + bucket.getBucketName();
}
} else {
resultStatus = HookStatus.FAILED;
resultMessage = "Bucket Encryption not enabled for bucket with name: " + bucket.getBucketName();
}
} else {
resultStatus = HookStatus.FAILED;
resultMessage = "Resource properties for S3 Bucket target model are empty";
}
return HookProgressEvent.builder()
.status(resultStatus)
.message(resultMessage)
.errorCode(resultStatus == HookStatus.FAILED ? HandlerErrorCode.ResourceConflict : null)
.build();
}
private HookProgressEvent validateSQSQueueEncryption(final AwsSqsQueue queue) {
if (queue == null) {
return HookProgressEvent.builder()
.status(HookStatus.FAILED)
.message("Resource properties for SQS Queue target model are empty")
.errorCode(HandlerErrorCode.ResourceConflict)
.build();
}
final String kmsKeyId = queue.getKmsMasterKeyId(); // "KmsMasterKeyId" is name of the property for an AWS::SQS::Queue
if (StringUtils.isBlank(kmsKeyId)) {
return HookProgressEvent.builder()
.status(HookStatus.FAILED)
.message("Server side encryption turned off for queue with name: " + queue.getQueueName())
.errorCode(HandlerErrorCode.ResourceConflict)
.build();
}
return HookProgressEvent.builder()
.status(HookStatus.SUCCESS)
.message("Successfully invoked PreCreateHookHandler for target: AWS::SQS::Queue")
.build();
}
}
```
### Aggiornamento del `preCreate` test
1. Nel tuo IDE, apri il `PreCreateHandlerTest.java` file, che si trova nella `src/test/java/software/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `PreCreateHandlerTest.java` file con il codice seguente.
```
package com.mycompany.testing.mytesthook;
import com.google.common.collect.ImmutableMap;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3Bucket;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.BucketEncryption;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.ServerSideEncryptionByDefault;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.ServerSideEncryptionRule;
import com.mycompany.testing.mytesthook.model.aws.sqs.queue.AwsSqsQueue;
import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import org.junit.jupiter.api.extension.ExtendWith;
import org.mockito.Mock;
import org.mockito.junit.jupiter.MockitoExtension;
import software.amazon.cloudformation.exceptions.UnsupportedTargetException;
import software.amazon.cloudformation.proxy.AmazonWebServicesClientProxy;
import software.amazon.cloudformation.proxy.HandlerErrorCode;
import software.amazon.cloudformation.proxy.Logger;
import software.amazon.cloudformation.proxy.hook.HookContext;
import software.amazon.cloudformation.proxy.hook.HookHandlerRequest;
import software.amazon.cloudformation.proxy.hook.HookProgressEvent;
import software.amazon.cloudformation.proxy.hook.HookStatus;
import software.amazon.cloudformation.proxy.hook.targetmodel.HookTargetModel;
import java.util.Collections;
import java.util.Map;
import static org.assertj.core.api.Assertions.assertThat;
import static org.assertj.core.api.Assertions.assertThatExceptionOfType;
import static org.mockito.Mockito.mock;
@ExtendWith(MockitoExtension.class)
public class PreCreateHookHandlerTest {
@Mock
private AmazonWebServicesClientProxy proxy;
@Mock
private Logger logger;
@BeforeEach
public void setup() {
proxy = mock(AmazonWebServicesClientProxy.class);
logger = mock(Logger.class);
}
@Test
public void handleRequest_awsSqsQueueSuccess() {
final PreCreateHookHandler handler = new PreCreateHookHandler();
final AwsSqsQueue queue = buildSqsQueue("MyQueue", "KmsKey");
final HookTargetModel targetModel = createHookTargetModel(queue);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::SQS::Queue").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.SUCCESS, "Successfully invoked PreCreateHookHandler for target: AWS::SQS::Queue");
}
@Test
public void handleRequest_awsS3BucketSuccess() {
final PreCreateHookHandler handler = new PreCreateHookHandler();
final AwsS3Bucket bucket = buildAwsS3Bucket("amzn-s3-demo-bucket", true, "AES256", "KmsKey");
final HookTargetModel targetModel = createHookTargetModel(bucket);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::S3::Bucket").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.SUCCESS, "Successfully invoked PreCreateHookHandler for target: AWS::S3::Bucket");
}
@Test
public void handleRequest_awsS3BucketFail_bucketKeyNotEnabled() {
final PreCreateHookHandler handler = new PreCreateHookHandler();
final AwsS3Bucket bucket = buildAwsS3Bucket("amzn-s3-demo-bucket", false, "AES256", "KmsKey");
final HookTargetModel targetModel = createHookTargetModel(bucket);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::S3::Bucket").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.FAILED, "Bucket key not enabled for bucket with name: amzn-s3-demo-bucket");
}
@Test
public void handleRequest_awsS3BucketFail_incorrectSSEEncryptionAlgorithm() {
final PreCreateHookHandler handler = new PreCreateHookHandler();
final AwsS3Bucket bucket = buildAwsS3Bucket("amzn-s3-demo-bucket", true, "SHA512", "KmsKey");
final HookTargetModel targetModel = createHookTargetModel(bucket);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::S3::Bucket").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.FAILED, "SSE Encryption Algorithm is incorrect for bucket with name: amzn-s3-demo-bucket");
}
@Test
public void handleRequest_awsS3BucketFail_kmsKeyIdNotSet() {
final PreCreateHookHandler handler = new PreCreateHookHandler();
final AwsS3Bucket bucket = buildAwsS3Bucket("amzn-s3-demo-bucket", true, "AES256", null);
final HookTargetModel targetModel = createHookTargetModel(bucket);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::S3::Bucket").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.FAILED, "KMS Key ID not set for bucket with name: amzn-s3-demo-bucket");
}
@Test
public void handleRequest_awsSqsQueueFail_serverSideEncryptionOff() {
final PreCreateHookHandler handler = new PreCreateHookHandler();
final AwsSqsQueue queue = buildSqsQueue("MyQueue", null);
final HookTargetModel targetModel = createHookTargetModel(queue);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::SQS::Queue").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.FAILED, "Server side encryption turned off for queue with name: MyQueue");
}
@Test
public void handleRequest_unsupportedTarget() {
final PreCreateHookHandler handler = new PreCreateHookHandler();
final Map unsupportedTarget = ImmutableMap.of("ResourceName", "MyUnsupportedTarget");
final HookTargetModel targetModel = createHookTargetModel(unsupportedTarget);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::Unsupported::Target").targetModel(targetModel).build())
.build();
assertThatExceptionOfType(UnsupportedTargetException.class)
.isThrownBy(() -> handler.handleRequest(proxy, request, null, logger, typeConfiguration))
.withMessageContaining("Unsupported target")
.withMessageContaining("AWS::Unsupported::Target")
.satisfies(e -> assertThat(e.getErrorCode()).isEqualTo(HandlerErrorCode.InvalidRequest));
}
private void assertResponse(final HookProgressEvent response, final HookStatus expectedStatus, final String expectedErrorMsg) {
assertThat(response).isNotNull();
assertThat(response.getStatus()).isEqualTo(expectedStatus);
assertThat(response.getCallbackContext()).isNull();
assertThat(response.getCallbackDelaySeconds()).isEqualTo(0);
assertThat(response.getMessage()).isNotNull();
assertThat(response.getMessage()).isEqualTo(expectedErrorMsg);
}
private HookTargetModel createHookTargetModel(final Object resourceProperties) {
return HookTargetModel.of(ImmutableMap.of("ResourceProperties", resourceProperties));
}
@SuppressWarnings("SameParameterValue")
private AwsSqsQueue buildSqsQueue(final String queueName, final String kmsKeyId) {
return AwsSqsQueue.builder()
.queueName(queueName)
.kmsMasterKeyId(kmsKeyId) // "KmsMasterKeyId" is name of the property for an AWS::SQS::Queue
.build();
}
@SuppressWarnings("SameParameterValue")
private AwsS3Bucket buildAwsS3Bucket(
final String bucketName,
final Boolean bucketKeyEnabled,
final String sseAlgorithm,
final String kmsKeyId
) {
return AwsS3Bucket.builder()
.bucketName(bucketName)
.bucketEncryption(
BucketEncryption.builder()
.serverSideEncryptionConfiguration(
Collections.singletonList(
ServerSideEncryptionRule.builder()
.bucketKeyEnabled(bucketKeyEnabled)
.serverSideEncryptionByDefault(
ServerSideEncryptionByDefault.builder()
.sSEAlgorithm(sseAlgorithm)
.kMSMasterKeyID(kmsKeyId) // "KMSMasterKeyID" is name of the property for an AWS::S3::Bucket
.build()
).build()
)
).build()
).build();
}
}
```
### Implementazione del `preUpdate` gestore
`preUpdate`Implementa un gestore, che si avvia prima delle operazioni di aggiornamento per tutte le destinazioni specificate nel gestore. Il `preUpdate` gestore esegue le seguenti operazioni:
+ Per una `AWS::S3::Bucket` risorsa, l'Hook passerà solo se è vero quanto segue:
+ L'algoritmo di crittografia dei bucket per un bucket Amazon S3 non è stato modificato.
### Codifica del gestore `preUpdate`
1. Nel tuo IDE, apri il `PreUpdateHookHandler.java` file, che si trova nella `src/main/java/software/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `PreUpdateHookHandler.java` file con il codice seguente.
```
package com.mycompany.testing.mytesthook;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3Bucket;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3BucketTargetModel;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.ServerSideEncryptionRule;
import org.apache.commons.lang3.StringUtils;
import software.amazon.cloudformation.exceptions.UnsupportedTargetException;
import software.amazon.cloudformation.proxy.HandlerErrorCode;
import software.amazon.cloudformation.proxy.Logger;
import software.amazon.cloudformation.proxy.AmazonWebServicesClientProxy;
import software.amazon.cloudformation.proxy.hook.HookStatus;
import software.amazon.cloudformation.proxy.hook.HookProgressEvent;
import software.amazon.cloudformation.proxy.hook.HookHandlerRequest;
import software.amazon.cloudformation.proxy.hook.targetmodel.ResourceHookTargetModel;
import java.util.List;
public class PreUpdateHookHandler extends BaseHookHandler {
@Override
public HookProgressEvent handleRequest(
final AmazonWebServicesClientProxy proxy,
final HookHandlerRequest request,
final CallbackContext callbackContext,
final Logger logger,
final TypeConfigurationModel typeConfiguration) {
final String targetName = request.getHookContext().getTargetName();
if ("AWS::S3::Bucket".equals(targetName)) {
final ResourceHookTargetModel targetModel = request.getHookContext().getTargetModel(AwsS3BucketTargetModel.class);
final AwsS3Bucket bucketProperties = targetModel.getResourceProperties();
final AwsS3Bucket previousBucketProperties = targetModel.getPreviousResourceProperties();
return validateBucketEncryptionRulesNotUpdated(bucketProperties, previousBucketProperties);
} else {
throw new UnsupportedTargetException(targetName);
}
}
private HookProgressEvent validateBucketEncryptionRulesNotUpdated(final AwsS3Bucket resourceProperties, final AwsS3Bucket previousResourceProperties) {
final List bucketEncryptionConfigs = resourceProperties.getBucketEncryption().getServerSideEncryptionConfiguration();
final List previousBucketEncryptionConfigs = previousResourceProperties.getBucketEncryption().getServerSideEncryptionConfiguration();
if (bucketEncryptionConfigs.size() != previousBucketEncryptionConfigs.size()) {
return HookProgressEvent.builder()
.status(HookStatus.FAILED)
.errorCode(HandlerErrorCode.NotUpdatable)
.message(
String.format(
"Current number of bucket encryption configs does not match previous. Current has %d configs while previously there were %d configs",
bucketEncryptionConfigs.size(),
previousBucketEncryptionConfigs.size()
)
).build();
}
for (int i = 0; i < bucketEncryptionConfigs.size(); ++i) {
final String currentEncryptionAlgorithm = bucketEncryptionConfigs.get(i).getServerSideEncryptionByDefault().getSSEAlgorithm();
final String previousEncryptionAlgorithm = previousBucketEncryptionConfigs.get(i).getServerSideEncryptionByDefault().getSSEAlgorithm();
if (!StringUtils.equals(currentEncryptionAlgorithm, previousEncryptionAlgorithm)) {
return HookProgressEvent.builder()
.status(HookStatus.FAILED)
.errorCode(HandlerErrorCode.NotUpdatable)
.message(
String.format(
"Bucket Encryption algorithm can not be changed once set. The encryption algorithm was changed to '%s' from '%s'.",
currentEncryptionAlgorithm,
previousEncryptionAlgorithm
)
)
.build();
}
}
return HookProgressEvent.builder()
.status(HookStatus.SUCCESS)
.message("Successfully invoked PreUpdateHookHandler for target: AWS::SQS::Queue")
.build();
}
}
```
### Aggiornamento del `preUpdate` test
1. Nel tuo IDE, apri il `PreUpdateHandlerTest.java` file nella `src/main/java/com/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `PreUpdateHandlerTest.java` file con il codice seguente.
```
package com.mycompany.testing.mytesthook;
import com.google.common.collect.ImmutableMap;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3Bucket;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.BucketEncryption;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.ServerSideEncryptionByDefault;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.ServerSideEncryptionRule;
import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import org.junit.jupiter.api.extension.ExtendWith;
import org.mockito.Mock;
import org.mockito.junit.jupiter.MockitoExtension;
import software.amazon.cloudformation.exceptions.UnsupportedTargetException;
import software.amazon.cloudformation.proxy.AmazonWebServicesClientProxy;
import software.amazon.cloudformation.proxy.HandlerErrorCode;
import software.amazon.cloudformation.proxy.Logger;
import software.amazon.cloudformation.proxy.hook.HookContext;
import software.amazon.cloudformation.proxy.hook.HookHandlerRequest;
import software.amazon.cloudformation.proxy.hook.HookProgressEvent;
import software.amazon.cloudformation.proxy.hook.HookStatus;
import software.amazon.cloudformation.proxy.hook.targetmodel.HookTargetModel;
import java.util.Arrays;
import java.util.stream.Stream;
import static org.assertj.core.api.Assertions.assertThat;
import static org.assertj.core.api.Assertions.assertThatExceptionOfType;
import static org.mockito.Mockito.mock;
@ExtendWith(MockitoExtension.class)
public class PreUpdateHookHandlerTest {
@Mock
private AmazonWebServicesClientProxy proxy;
@Mock
private Logger logger;
@BeforeEach
public void setup() {
proxy = mock(AmazonWebServicesClientProxy.class);
logger = mock(Logger.class);
}
@Test
public void handleRequest_awsS3BucketSuccess() {
final PreUpdateHookHandler handler = new PreUpdateHookHandler();
final ServerSideEncryptionRule serverSideEncryptionRule = buildServerSideEncryptionRule("AES256");
final AwsS3Bucket resourceProperties = buildAwsS3Bucket("amzn-s3-demo-bucket", serverSideEncryptionRule);
final AwsS3Bucket previousResourceProperties = buildAwsS3Bucket("amzn-s3-demo-bucket", serverSideEncryptionRule);
final HookTargetModel targetModel = createHookTargetModel(resourceProperties, previousResourceProperties);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::S3::Bucket").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.SUCCESS, "Successfully invoked PreUpdateHookHandler for target: AWS::SQS::Queue");
}
@Test
public void handleRequest_awsS3BucketFail_bucketEncryptionConfigsDontMatch() {
final PreUpdateHookHandler handler = new PreUpdateHookHandler();
final ServerSideEncryptionRule[] serverSideEncryptionRules = Stream.of("AES256", "SHA512", "AES32")
.map(this::buildServerSideEncryptionRule)
.toArray(ServerSideEncryptionRule[]::new);
final AwsS3Bucket resourceProperties = buildAwsS3Bucket("amzn-s3-demo-bucket", serverSideEncryptionRules[0]);
final AwsS3Bucket previousResourceProperties = buildAwsS3Bucket("amzn-s3-demo-bucket", serverSideEncryptionRules);
final HookTargetModel targetModel = createHookTargetModel(resourceProperties, previousResourceProperties);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::S3::Bucket").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.FAILED, "Current number of bucket encryption configs does not match previous. Current has 1 configs while previously there were 3 configs");
}
@Test
public void handleRequest_awsS3BucketFail_bucketEncryptionAlgorithmDoesNotMatch() {
final PreUpdateHookHandler handler = new PreUpdateHookHandler();
final AwsS3Bucket resourceProperties = buildAwsS3Bucket("amzn-s3-demo-bucket", buildServerSideEncryptionRule("SHA512"));
final AwsS3Bucket previousResourceProperties = buildAwsS3Bucket("amzn-s3-demo-bucket", buildServerSideEncryptionRule("AES256"));
final HookTargetModel targetModel = createHookTargetModel(resourceProperties, previousResourceProperties);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::S3::Bucket").targetModel(targetModel).build())
.build();
final HookProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
assertResponse(response, HookStatus.FAILED, String.format("Bucket Encryption algorithm can not be changed once set. The encryption algorithm was changed to '%s' from '%s'.", "SHA512", "AES256"));
}
@Test
public void handleRequest_unsupportedTarget() {
final PreUpdateHookHandler handler = new PreUpdateHookHandler();
final Object resourceProperties = ImmutableMap.of("FileSizeLimit", 256);
final Object previousResourceProperties = ImmutableMap.of("FileSizeLimit", 512);
final HookTargetModel targetModel = createHookTargetModel(resourceProperties, previousResourceProperties);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder().encryptionAlgorithm("AES256").build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(HookContext.builder().targetName("AWS::Unsupported::Target").targetModel(targetModel).build())
.build();
assertThatExceptionOfType(UnsupportedTargetException.class)
.isThrownBy(() -> handler.handleRequest(proxy, request, null, logger, typeConfiguration))
.withMessageContaining("Unsupported target")
.withMessageContaining("AWS::Unsupported::Target")
.satisfies(e -> assertThat(e.getErrorCode()).isEqualTo(HandlerErrorCode.InvalidRequest));
}
private void assertResponse(final HookProgressEvent response, final HookStatus expectedStatus, final String expectedErrorMsg) {
assertThat(response).isNotNull();
assertThat(response.getStatus()).isEqualTo(expectedStatus);
assertThat(response.getCallbackContext()).isNull();
assertThat(response.getCallbackDelaySeconds()).isEqualTo(0);
assertThat(response.getMessage()).isNotNull();
assertThat(response.getMessage()).isEqualTo(expectedErrorMsg);
}
private HookTargetModel createHookTargetModel(final Object resourceProperties, final Object previousResourceProperties) {
return HookTargetModel.of(
ImmutableMap.of(
"ResourceProperties", resourceProperties,
"PreviousResourceProperties", previousResourceProperties
)
);
}
@SuppressWarnings("SameParameterValue")
private AwsS3Bucket buildAwsS3Bucket(
final String bucketName,
final ServerSideEncryptionRule ...serverSideEncryptionRules
) {
return AwsS3Bucket.builder()
.bucketName(bucketName)
.bucketEncryption(
BucketEncryption.builder()
.serverSideEncryptionConfiguration(
Arrays.asList(serverSideEncryptionRules)
).build()
).build();
}
private ServerSideEncryptionRule buildServerSideEncryptionRule(final String encryptionAlgorithm) {
return ServerSideEncryptionRule.builder()
.bucketKeyEnabled(true)
.serverSideEncryptionByDefault(
ServerSideEncryptionByDefault.builder()
.sSEAlgorithm(encryptionAlgorithm)
.build()
).build();
}
}
```
### Implementazione del `preDelete` gestore
`preDelete`Implementa un gestore, che si avvia prima delle operazioni di eliminazione per tutte le destinazioni specificate nel gestore. Il `preDelete` gestore esegue le seguenti operazioni:
+ Per una `AWS::S3::Bucket` risorsa, l'Hook passerà solo se è vero quanto segue:
+ Verifica che le risorse minime richieste per i reclami esistano nell'account dopo l'eliminazione della risorsa.
+ La quantità minima di risorse richieste per i reclami è impostata nella configurazione del tipo di Hook.
### Codifica del gestore `preDelete`
1. Nel tuo IDE, apri il `PreDeleteHookHandler.java` file nella `src/main/java/com/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `PreDeleteHookHandler.java` file con il codice seguente.
```
package com.mycompany.testing.mytesthook;
import com.google.common.annotations.VisibleForTesting;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3Bucket;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3BucketTargetModel;
import com.mycompany.testing.mytesthook.model.aws.sqs.queue.AwsSqsQueue;
import com.mycompany.testing.mytesthook.model.aws.sqs.queue.AwsSqsQueueTargetModel;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.lang3.math.NumberUtils;
import software.amazon.awssdk.services.cloudformation.CloudFormationClient;
import software.amazon.awssdk.services.cloudformation.model.CloudFormationException;
import software.amazon.awssdk.services.cloudformation.model.DescribeStackResourceRequest;
import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.Bucket;
import software.amazon.awssdk.services.s3.model.S3Exception;
import software.amazon.awssdk.services.sqs.SqsClient;
import software.amazon.awssdk.services.sqs.model.GetQueueAttributesRequest;
import software.amazon.awssdk.services.sqs.model.GetQueueUrlRequest;
import software.amazon.awssdk.services.sqs.model.ListQueuesRequest;
import software.amazon.awssdk.services.sqs.model.ListQueuesResponse;
import software.amazon.awssdk.services.sqs.model.QueueAttributeName;
import software.amazon.awssdk.services.sqs.model.SqsException;
import software.amazon.cloudformation.exceptions.CfnGeneralServiceException;
import software.amazon.cloudformation.proxy.AmazonWebServicesClientProxy;
import software.amazon.cloudformation.proxy.HandlerErrorCode;
import software.amazon.cloudformation.proxy.OperationStatus;
import software.amazon.cloudformation.proxy.ProgressEvent;
import software.amazon.cloudformation.proxy.ProxyClient;
import software.amazon.cloudformation.proxy.hook.HookContext;
import software.amazon.cloudformation.proxy.hook.HookHandlerRequest;
import software.amazon.cloudformation.proxy.hook.targetmodel.HookTargetModel;
import software.amazon.cloudformation.proxy.hook.targetmodel.ResourceHookTargetModel;
import java.util.ArrayList;
import java.util.Collection;
import java.util.HashSet;
import java.util.List;
import java.util.Objects;
import java.util.stream.Collectors;
public class PreDeleteHookHandler extends BaseHookHandlerStd {
private ProxyClient s3Client;
private ProxyClient sqsClient;
@Override
protected ProgressEvent handleS3BucketRequest(
final AmazonWebServicesClientProxy proxy,
final HookHandlerRequest request,
final CallbackContext callbackContext,
final ProxyClient proxyClient,
final TypeConfigurationModel typeConfiguration
) {
final HookContext hookContext = request.getHookContext();
final String targetName = hookContext.getTargetName();
if (!AwsS3Bucket.TYPE_NAME.equals(targetName)) {
throw new RuntimeException(String.format("Request target type [%s] is not 'AWS::S3::Bucket'", targetName));
}
this.s3Client = proxyClient;
final String encryptionAlgorithm = typeConfiguration.getEncryptionAlgorithm();
final int minBuckets = NumberUtils.toInt(typeConfiguration.getMinBuckets());
final ResourceHookTargetModel targetModel = hookContext.getTargetModel(AwsS3BucketTargetModel.class);
final List buckets = listBuckets().stream()
.filter(b -> !StringUtils.equals(b, targetModel.getResourceProperties().getBucketName()))
.collect(Collectors.toList());
final List compliantBuckets = new ArrayList<>();
for (final String bucket : buckets) {
if (getBucketSSEAlgorithm(bucket).contains(encryptionAlgorithm)) {
compliantBuckets.add(bucket);
}
if (compliantBuckets.size() >= minBuckets) {
return ProgressEvent.builder()
.status(OperationStatus.SUCCESS)
.message("Successfully invoked PreDeleteHookHandler for target: AWS::S3::Bucket")
.build();
}
}
return ProgressEvent.builder()
.status(OperationStatus.FAILED)
.errorCode(HandlerErrorCode.NonCompliant)
.message(String.format("Failed to meet minimum of [%d] encrypted buckets.", minBuckets))
.build();
}
@Override
protected ProgressEvent handleSqsQueueRequest(
final AmazonWebServicesClientProxy proxy,
final HookHandlerRequest request,
final CallbackContext callbackContext,
final ProxyClient proxyClient,
final TypeConfigurationModel typeConfiguration
) {
final HookContext hookContext = request.getHookContext();
final String targetName = hookContext.getTargetName();
if (!AwsSqsQueue.TYPE_NAME.equals(targetName)) {
throw new RuntimeException(String.format("Request target type [%s] is not 'AWS::SQS::Queue'", targetName));
}
this.sqsClient = proxyClient;
final int minQueues = NumberUtils.toInt(typeConfiguration.getMinQueues());
final ResourceHookTargetModel targetModel = hookContext.getTargetModel(AwsSqsQueueTargetModel.class);
final String queueName = Objects.toString(targetModel.getResourceProperties().get("QueueName"), null);
String targetQueueUrl = null;
if (queueName != null) {
try {
targetQueueUrl = sqsClient.injectCredentialsAndInvokeV2(
GetQueueUrlRequest.builder().queueName(
queueName
).build(),
sqsClient.client()::getQueueUrl
).queueUrl();
} catch (SqsException e) {
log(String.format("Error while calling GetQueueUrl API for queue name [%s]: %s", queueName, e.getMessage()));
}
} else {
log("Queue name is empty, attempting to get queue's physical ID");
try {
final ProxyClient cfnClient = proxy.newProxy(ClientBuilder::createCloudFormationClient);
targetQueueUrl = cfnClient.injectCredentialsAndInvokeV2(
DescribeStackResourceRequest.builder()
.stackName(hookContext.getTargetLogicalId())
.logicalResourceId(hookContext.getTargetLogicalId())
.build(),
cfnClient.client()::describeStackResource
).stackResourceDetail().physicalResourceId();
} catch (CloudFormationException e) {
log(String.format("Error while calling DescribeStackResource API for queue name: %s", e.getMessage()));
}
}
// Creating final variable for the filter lambda
final String finalTargetQueueUrl = targetQueueUrl;
final List compliantQueues = new ArrayList<>();
String nextToken = null;
do {
final ListQueuesRequest req = Translator.createListQueuesRequest(nextToken);
final ListQueuesResponse res = sqsClient.injectCredentialsAndInvokeV2(req, sqsClient.client()::listQueues);
final List queueUrls = res.queueUrls().stream()
.filter(q -> !StringUtils.equals(q, finalTargetQueueUrl))
.collect(Collectors.toList());
for (final String queueUrl : queueUrls) {
if (isQueueEncrypted(queueUrl)) {
compliantQueues.add(queueUrl);
}
if (compliantQueues.size() >= minQueues) {
return ProgressEvent.builder()
.status(OperationStatus.SUCCESS)
.message("Successfully invoked PreDeleteHookHandler for target: AWS::SQS::Queue")
.build();
}
nextToken = res.nextToken();
}
} while (nextToken != null);
return ProgressEvent.builder()
.status(OperationStatus.FAILED)
.errorCode(HandlerErrorCode.NonCompliant)
.message(String.format("Failed to meet minimum of [%d] encrypted queues.", minQueues))
.build();
}
private List listBuckets() {
try {
return s3Client.injectCredentialsAndInvokeV2(Translator.createListBucketsRequest(), s3Client.client()::listBuckets)
.buckets()
.stream()
.map(Bucket::name)
.collect(Collectors.toList());
} catch (S3Exception e) {
throw new CfnGeneralServiceException("Error while calling S3 ListBuckets API", e);
}
}
@VisibleForTesting
Collection getBucketSSEAlgorithm(final String bucket) {
try {
return s3Client.injectCredentialsAndInvokeV2(Translator.createGetBucketEncryptionRequest(bucket), s3Client.client()::getBucketEncryption)
.serverSideEncryptionConfiguration()
.rules()
.stream()
.filter(r -> Objects.nonNull(r.applyServerSideEncryptionByDefault()))
.map(r -> r.applyServerSideEncryptionByDefault().sseAlgorithmAsString())
.collect(Collectors.toSet());
} catch (S3Exception e) {
return new HashSet<>();
}
}
@VisibleForTesting
boolean isQueueEncrypted(final String queueUrl) {
try {
final GetQueueAttributesRequest request = GetQueueAttributesRequest.builder()
.queueUrl(queueUrl)
.attributeNames(QueueAttributeName.KMS_MASTER_KEY_ID)
.build();
final String kmsKeyId = sqsClient.injectCredentialsAndInvokeV2(request, sqsClient.client()::getQueueAttributes)
.attributes()
.get(QueueAttributeName.KMS_MASTER_KEY_ID);
return StringUtils.isNotBlank(kmsKeyId);
} catch (SqsException e) {
throw new CfnGeneralServiceException("Error while calling SQS GetQueueAttributes API", e);
}
}
}
```
### Aggiornamento del `preDelete` gestore
1. Nel tuo IDE, apri il `PreDeleteHookHandler.java` file nella `src/main/java/com/mycompany/testing/mytesthook` cartella.
1. Sostituisci l'intero contenuto del `PreDeleteHookHandler.java` file con il codice seguente.
```
package com.mycompany.testing.mytesthook;
import com.google.common.collect.ImmutableList;
import com.google.common.collect.ImmutableMap;
import com.mycompany.testing.mytesthook.model.aws.s3.bucket.AwsS3Bucket;
import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.Test;
import org.junit.jupiter.api.extension.ExtendWith;
import org.mockito.Mock;
import org.mockito.Mockito;
import org.mockito.junit.jupiter.MockitoExtension;
import software.amazon.awssdk.services.s3.S3Client;
import software.amazon.awssdk.services.s3.model.Bucket;
import software.amazon.awssdk.services.s3.model.GetBucketEncryptionRequest;
import software.amazon.awssdk.services.s3.model.GetBucketEncryptionResponse;
import software.amazon.awssdk.services.s3.model.ListBucketsRequest;
import software.amazon.awssdk.services.s3.model.ListBucketsResponse;
import software.amazon.awssdk.services.s3.model.S3Exception;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionByDefault;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionConfiguration;
import software.amazon.awssdk.services.s3.model.ServerSideEncryptionRule;
import software.amazon.awssdk.services.sqs.SqsClient;
import software.amazon.awssdk.services.sqs.model.GetQueueAttributesRequest;
import software.amazon.awssdk.services.sqs.model.GetQueueAttributesResponse;
import software.amazon.awssdk.services.sqs.model.GetQueueUrlRequest;
import software.amazon.awssdk.services.sqs.model.GetQueueUrlResponse;
import software.amazon.awssdk.services.sqs.model.ListQueuesRequest;
import software.amazon.awssdk.services.sqs.model.ListQueuesResponse;
import software.amazon.awssdk.services.sqs.model.QueueAttributeName;
import software.amazon.cloudformation.proxy.Logger;
import software.amazon.cloudformation.proxy.OperationStatus;
import software.amazon.cloudformation.proxy.ProgressEvent;
import software.amazon.cloudformation.proxy.hook.HookContext;
import software.amazon.cloudformation.proxy.hook.HookHandlerRequest;
import software.amazon.cloudformation.proxy.hook.targetmodel.HookTargetModel;
import java.util.Arrays;
import java.util.Collection;
import java.util.HashMap;
import java.util.List;
import java.util.stream.Collectors;
import static org.mockito.ArgumentMatchers.any;
import static org.mockito.Mockito.mock;
import static org.mockito.Mockito.never;
import static org.mockito.Mockito.times;
import static org.mockito.Mockito.verify;
import static org.mockito.Mockito.when;
@ExtendWith(MockitoExtension.class)
public class PreDeleteHookHandlerTest extends AbstractTestBase {
@Mock private S3Client s3Client;
@Mock private SqsClient sqsClient;
@Mock private Logger logger;
@BeforeEach
public void setup() {
s3Client = mock(S3Client.class);
sqsClient = mock(SqsClient.class);
logger = mock(Logger.class);
}
@Test
public void handleRequest_awsS3BucketSuccess() {
final PreDeleteHookHandler handler = Mockito.spy(new PreDeleteHookHandler());
final List bucketList = ImmutableList.of(
Bucket.builder().name("bucket1").build(),
Bucket.builder().name("bucket2").build(),
Bucket.builder().name("toBeDeletedBucket").build(),
Bucket.builder().name("bucket3").build(),
Bucket.builder().name("bucket4").build(),
Bucket.builder().name("bucket5").build()
);
final ListBucketsResponse mockResponse = ListBucketsResponse.builder().buckets(bucketList).build();
when(s3Client.listBuckets(any(ListBucketsRequest.class))).thenReturn(mockResponse);
when(s3Client.getBucketEncryption(any(GetBucketEncryptionRequest.class)))
.thenReturn(buildGetBucketEncryptionResponse("AES256"))
.thenReturn(buildGetBucketEncryptionResponse("AES256", "aws:kms"))
.thenThrow(S3Exception.builder().message("No Encrypt").build())
.thenReturn(buildGetBucketEncryptionResponse("aws:kms"))
.thenReturn(buildGetBucketEncryptionResponse("AES256"));
setServiceClient(s3Client);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder()
.encryptionAlgorithm("AES256")
.minBuckets("3")
.build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(
HookContext.builder()
.targetName("AWS::S3::Bucket")
.targetModel(
createHookTargetModel(
AwsS3Bucket.builder()
.bucketName("toBeDeletedBucket")
.build()
)
)
.build())
.build();
final ProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
verify(s3Client, times(5)).getBucketEncryption(any(GetBucketEncryptionRequest.class));
verify(handler, never()).getBucketSSEAlgorithm("toBeDeletedBucket");
assertResponse(response, OperationStatus.SUCCESS, "Successfully invoked PreDeleteHookHandler for target: AWS::S3::Bucket");
}
@Test
public void handleRequest_awsSqsQueueSuccess() {
final PreDeleteHookHandler handler = Mockito.spy(new PreDeleteHookHandler());
final List queueUrls = ImmutableList.of(
"https://queue1.queue",
"https://queue2.queue",
"https://toBeDeletedQueue.queue",
"https://queue3.queue",
"https://queue4.queue",
"https://queue5.queue"
);
when(sqsClient.getQueueUrl(any(GetQueueUrlRequest.class)))
.thenReturn(GetQueueUrlResponse.builder().queueUrl("https://toBeDeletedQueue.queue").build());
when(sqsClient.listQueues(any(ListQueuesRequest.class)))
.thenReturn(ListQueuesResponse.builder().queueUrls(queueUrls).build());
when(sqsClient.getQueueAttributes(any(GetQueueAttributesRequest.class)))
.thenReturn(GetQueueAttributesResponse.builder().attributes(ImmutableMap.of(QueueAttributeName.KMS_MASTER_KEY_ID, "kmsKeyId")).build())
.thenReturn(GetQueueAttributesResponse.builder().attributes(new HashMap<>()).build())
.thenReturn(GetQueueAttributesResponse.builder().attributes(ImmutableMap.of(QueueAttributeName.KMS_MASTER_KEY_ID, "kmsKeyId")).build())
.thenReturn(GetQueueAttributesResponse.builder().attributes(new HashMap<>()).build())
.thenReturn(GetQueueAttributesResponse.builder().attributes(ImmutableMap.of(QueueAttributeName.KMS_MASTER_KEY_ID, "kmsKeyId")).build());
setServiceClient(sqsClient);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder()
.minQueues("3")
.build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(
HookContext.builder()
.targetName("AWS::SQS::Queue")
.targetModel(
createHookTargetModel(
ImmutableMap.of("QueueName", "toBeDeletedQueue")
)
)
.build())
.build();
final ProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
verify(sqsClient, times(5)).getQueueAttributes(any(GetQueueAttributesRequest.class));
verify(handler, never()).isQueueEncrypted("toBeDeletedQueue");
assertResponse(response, OperationStatus.SUCCESS, "Successfully invoked PreDeleteHookHandler for target: AWS::SQS::Queue");
}
@Test
public void handleRequest_awsS3BucketFailed() {
final PreDeleteHookHandler handler = Mockito.spy(new PreDeleteHookHandler());
final List bucketList = ImmutableList.of(
Bucket.builder().name("bucket1").build(),
Bucket.builder().name("bucket2").build(),
Bucket.builder().name("toBeDeletedBucket").build(),
Bucket.builder().name("bucket3").build(),
Bucket.builder().name("bucket4").build(),
Bucket.builder().name("bucket5").build()
);
final ListBucketsResponse mockResponse = ListBucketsResponse.builder().buckets(bucketList).build();
when(s3Client.listBuckets(any(ListBucketsRequest.class))).thenReturn(mockResponse);
when(s3Client.getBucketEncryption(any(GetBucketEncryptionRequest.class)))
.thenReturn(buildGetBucketEncryptionResponse("AES256"))
.thenReturn(buildGetBucketEncryptionResponse("AES256", "aws:kms"))
.thenThrow(S3Exception.builder().message("No Encrypt").build())
.thenReturn(buildGetBucketEncryptionResponse("aws:kms"))
.thenReturn(buildGetBucketEncryptionResponse("AES256"));
setServiceClient(s3Client);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder()
.encryptionAlgorithm("AES256")
.minBuckets("10")
.build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(
HookContext.builder()
.targetName("AWS::S3::Bucket")
.targetModel(
createHookTargetModel(
AwsS3Bucket.builder()
.bucketName("toBeDeletedBucket")
.build()
)
)
.build())
.build();
final ProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
verify(s3Client, times(5)).getBucketEncryption(any(GetBucketEncryptionRequest.class));
verify(handler, never()).getBucketSSEAlgorithm("toBeDeletedBucket");
assertResponse(response, OperationStatus.FAILED, "Failed to meet minimum of [10] encrypted buckets.");
}
@Test
public void handleRequest_awsSqsQueueFailed() {
final PreDeleteHookHandler handler = Mockito.spy(new PreDeleteHookHandler());
final List queueUrls = ImmutableList.of(
"https://queue1.queue",
"https://queue2.queue",
"https://toBeDeletedQueue.queue",
"https://queue3.queue",
"https://queue4.queue",
"https://queue5.queue"
);
when(sqsClient.getQueueUrl(any(GetQueueUrlRequest.class)))
.thenReturn(GetQueueUrlResponse.builder().queueUrl("https://toBeDeletedQueue.queue").build());
when(sqsClient.listQueues(any(ListQueuesRequest.class)))
.thenReturn(ListQueuesResponse.builder().queueUrls(queueUrls).build());
when(sqsClient.getQueueAttributes(any(GetQueueAttributesRequest.class)))
.thenReturn(GetQueueAttributesResponse.builder().attributes(ImmutableMap.of(QueueAttributeName.KMS_MASTER_KEY_ID, "kmsKeyId")).build())
.thenReturn(GetQueueAttributesResponse.builder().attributes(new HashMap<>()).build())
.thenReturn(GetQueueAttributesResponse.builder().attributes(ImmutableMap.of(QueueAttributeName.KMS_MASTER_KEY_ID, "kmsKeyId")).build())
.thenReturn(GetQueueAttributesResponse.builder().attributes(new HashMap<>()).build())
.thenReturn(GetQueueAttributesResponse.builder().attributes(ImmutableMap.of(QueueAttributeName.KMS_MASTER_KEY_ID, "kmsKeyId")).build());
setServiceClient(sqsClient);
final TypeConfigurationModel typeConfiguration = TypeConfigurationModel.builder()
.minQueues("10")
.build();
final HookHandlerRequest request = HookHandlerRequest.builder()
.hookContext(
HookContext.builder()
.targetName("AWS::SQS::Queue")
.targetModel(
createHookTargetModel(
ImmutableMap.of("QueueName", "toBeDeletedQueue")
)
)
.build())
.build();
final ProgressEvent response = handler.handleRequest(proxy, request, null, logger, typeConfiguration);
verify(sqsClient, times(5)).getQueueAttributes(any(GetQueueAttributesRequest.class));
verify(handler, never()).isQueueEncrypted("toBeDeletedQueue");
assertResponse(response, OperationStatus.FAILED, "Failed to meet minimum of [10] encrypted queues.");
}
private GetBucketEncryptionResponse buildGetBucketEncryptionResponse(final String ...sseAlgorithm) {
return buildGetBucketEncryptionResponse(
Arrays.stream(sseAlgorithm)
.map(a -> ServerSideEncryptionRule.builder().applyServerSideEncryptionByDefault(
ServerSideEncryptionByDefault.builder()
.sseAlgorithm(a)
.build()
).build()
)
.collect(Collectors.toList())
);
}
private GetBucketEncryptionResponse buildGetBucketEncryptionResponse(final Collection rules) {
return GetBucketEncryptionResponse.builder()
.serverSideEncryptionConfiguration(
ServerSideEncryptionConfiguration.builder().rules(
rules
).build()
).build();
}
}
```
# Modellazione di CloudFormation hook personalizzati usando Python
La modellazione di CloudFormation Hooks personalizzati implica la creazione di uno schema che definisce l'Hook, le sue proprietà e i relativi attributi. Questo tutorial ti guida attraverso la modellazione di Hooks personalizzati usando Python.
## Passaggio 1: generare il pacchetto del progetto Hook
Genera il tuo pacchetto di progetto Hook. La CloudFormation CLI crea funzioni di gestione vuote che corrispondono a specifiche azioni Hook nel ciclo di vita di destinazione, come definito nella specifica Hook.
```
cfn generate
```
Questo comando restituisce il seguente output.
```
Generated files for MyCompany::Testing::MyTestHook
```
**Nota**
Assicurati che i runtime Lambda evitino l'uso up-to-date di una versione obsoleta. Per ulteriori informazioni, consulta [Aggiornamento dei runtime Lambda per i tipi di risorse](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/runtime-update.html) e gli hook.
## Passaggio 2: aggiungere i gestori Hook
Aggiungi il tuo codice di runtime del gestore Hook ai gestori che scegli di implementare. Ad esempio, puoi aggiungere il seguente codice per la registrazione.
```
LOG.setLevel(logging.INFO)
LOG.info("Internal testing Hook triggered for target: " + request.hookContext.targetName);
```
La CloudFormation CLI genera il `src/models.py` file da. [Riferimento alla sintassi dello schema di configurazione dell’hook](hook-configuration-schema.md)
**Example models.py**
```
import sys
from dataclasses import dataclass
from inspect import getmembers, isclass
from typing import (
AbstractSet,
Any,
Generic,
Mapping,
MutableMapping,
Optional,
Sequence,
Type,
TypeVar,
)
from cloudformation_cli_python_lib.interface import (
BaseModel,
BaseHookHandlerRequest,
)
from cloudformation_cli_python_lib.recast import recast_object
from cloudformation_cli_python_lib.utils import deserialize_list
T = TypeVar("T")
def set_or_none(value: Optional[Sequence[T]]) -> Optional[AbstractSet[T]]:
if value:
return set(value)
return None
@dataclass
class HookHandlerRequest(BaseHookHandlerRequest):
pass
@dataclass
class TypeConfigurationModel(BaseModel):
limitSize: Optional[str]
cidr: Optional[str]
encryptionAlgorithm: Optional[str]
@classmethod
def _deserialize(
cls: Type["_TypeConfigurationModel"],
json_data: Optional[Mapping[str, Any]],
) -> Optional["_TypeConfigurationModel"]:
if not json_data:
return None
return cls(
limitSize=json_data.get("limitSize"),
cidr=json_data.get("cidr"),
encryptionAlgorithm=json_data.get("encryptionAlgorithm"),
)
_TypeConfigurationModel = TypeConfigurationModel
```
## Fase 3: Implementazione dei gestori Hook
Con le classi di dati Python generate, puoi scrivere i gestori che implementano effettivamente la funzionalità dell'Hook. In questo esempio, implementerete i punti `preCreate``preUpdate`, e di `preDelete` invocazione per i gestori.
**Topics**
+ [Implementa il gestore preCreate](#model-hook-project-code-handler-python-precreate)
+ [Implementa il gestore PreUpdate](#model-hook-project-code-handler-python-preupdate)
+ [Implementa il gestore PreDelete](#model-hook-project-code-handler-python-predelete)
+ [Implementa un gestore Hook](#model-hook-project-code-handler-python-hook-handler)
### Implementa il gestore preCreate
Il `preCreate` gestore verifica le impostazioni di crittografia sul lato server per una risorsa or. `AWS::S3::Bucket ` `AWS::SQS::Queue`
+ Per una `AWS::S3::Bucket` risorsa, l'Hook passerà solo se è vero quanto segue.
+ La crittografia del bucket Amazon S3 è impostata.
+ La chiave del bucket Amazon S3 è abilitata per il bucket.
+ L'algoritmo di crittografia impostato per il bucket Amazon S3 è l'algoritmo corretto richiesto.
+ L'ID della AWS Key Management Service chiave è impostato.
+ Per una `AWS::SQS::Queue` risorsa, l'Hook passerà solo se è vero quanto segue.
+ L'ID della AWS Key Management Service chiave è impostato.
### Implementa il gestore PreUpdate
`preUpdate`Implementa un gestore, che si avvia prima delle operazioni di aggiornamento per tutte le destinazioni specificate nel gestore. Il `preUpdate` gestore esegue le seguenti operazioni:
+ Per una `AWS::S3::Bucket` risorsa, l'Hook passerà solo se è vero quanto segue:
+ L'algoritmo di crittografia dei bucket per un bucket Amazon S3 non è stato modificato.
### Implementa il gestore PreDelete
`preDelete`Implementa un gestore, che si avvia prima delle operazioni di eliminazione per tutte le destinazioni specificate nel gestore. Il `preDelete` gestore esegue le seguenti operazioni:
+ Per una `AWS::S3::Bucket` risorsa, l'Hook passerà solo se è vero quanto segue:
+ Verifica che le risorse conformi minime richieste esistano nell'account dopo l'eliminazione della risorsa.
+ La quantità minima di risorse conformi richiesta è impostata nella configurazione di Hook.
### Implementa un gestore Hook
1. Nel tuo IDE, apri il `handlers.py` file, che si trova nella `src` cartella.
1. Sostituisci l'intero contenuto del `handlers.py` file con il codice seguente.
**Example handlers.py**
```
import logging
from typing import Any, MutableMapping, Optional
import botocore
from cloudformation_cli_python_lib import (
BaseHookHandlerRequest,
HandlerErrorCode,
Hook,
HookInvocationPoint,
OperationStatus,
ProgressEvent,
SessionProxy,
exceptions,
)
from .models import HookHandlerRequest, TypeConfigurationModel
# Use this logger to forward log messages to CloudWatch Logs.
LOG = logging.getLogger(__name__)
TYPE_NAME = "MyCompany::Testing::MyTestHook"
LOG.setLevel(logging.INFO)
hook = Hook(TYPE_NAME, TypeConfigurationModel)
test_entrypoint = hook.test_entrypoint
def _validate_s3_bucket_encryption(
bucket: MutableMapping[str, Any], required_encryption_algorithm: str
) -> ProgressEvent:
status = None
message = ""
error_code = None
if bucket:
bucket_name = bucket.get("BucketName")
bucket_encryption = bucket.get("BucketEncryption")
if bucket_encryption:
server_side_encryption_rules = bucket_encryption.get(
"ServerSideEncryptionConfiguration"
)
if server_side_encryption_rules:
for rule in server_side_encryption_rules:
bucket_key_enabled = rule.get("BucketKeyEnabled")
if bucket_key_enabled:
server_side_encryption_by_default = rule.get(
"ServerSideEncryptionByDefault"
)
encryption_algorithm = server_side_encryption_by_default.get(
"SSEAlgorithm"
)
kms_key_id = server_side_encryption_by_default.get(
"KMSMasterKeyID"
) # "KMSMasterKeyID" is name of the property for an AWS::S3::Bucket
if encryption_algorithm == required_encryption_algorithm:
if encryption_algorithm == "aws:kms" and not kms_key_id:
status = OperationStatus.FAILED
message = f"KMS Key ID not set for bucket with name: f{bucket_name}"
else:
status = OperationStatus.SUCCESS
message = f"Successfully invoked PreCreateHookHandler for AWS::S3::Bucket with name: {bucket_name}"
else:
status = OperationStatus.FAILED
message = f"SSE Encryption Algorithm is incorrect for bucket with name: {bucket_name}"
else:
status = OperationStatus.FAILED
message = f"Bucket key not enabled for bucket with name: {bucket_name}"
if status == OperationStatus.FAILED:
break
else:
status = OperationStatus.FAILED
message = f"No SSE Encryption configurations for bucket with name: {bucket_name}"
else:
status = OperationStatus.FAILED
message = (
f"Bucket Encryption not enabled for bucket with name: {bucket_name}"
)
else:
status = OperationStatus.FAILED
message = "Resource properties for S3 Bucket target model are empty"
if status == OperationStatus.FAILED:
error_code = HandlerErrorCode.NonCompliant
return ProgressEvent(status=status, message=message, errorCode=error_code)
def _validate_sqs_queue_encryption(queue: MutableMapping[str, Any]) -> ProgressEvent:
if not queue:
return ProgressEvent(
status=OperationStatus.FAILED,
message="Resource properties for SQS Queue target model are empty",
errorCode=HandlerErrorCode.NonCompliant,
)
queue_name = queue.get("QueueName")
kms_key_id = queue.get(
"KmsMasterKeyId"
) # "KmsMasterKeyId" is name of the property for an AWS::SQS::Queue
if not kms_key_id:
return ProgressEvent(
status=OperationStatus.FAILED,
message=f"Server side encryption turned off for queue with name: {queue_name}",
errorCode=HandlerErrorCode.NonCompliant,
)
return ProgressEvent(
status=OperationStatus.SUCCESS,
message=f"Successfully invoked PreCreateHookHandler for targetAWS::SQS::Queue with name: {queue_name}",
)
@hook.handler(HookInvocationPoint.CREATE_PRE_PROVISION)
def pre_create_handler(
session: Optional[SessionProxy],
request: HookHandlerRequest,
callback_context: MutableMapping[str, Any],
type_configuration: TypeConfigurationModel,
) -> ProgressEvent:
target_name = request.hookContext.targetName
if "AWS::S3::Bucket" == target_name:
return _validate_s3_bucket_encryption(
request.hookContext.targetModel.get("resourceProperties"),
type_configuration.encryptionAlgorithm,
)
elif "AWS::SQS::Queue" == target_name:
return _validate_sqs_queue_encryption(
request.hookContext.targetModel.get("resourceProperties")
)
else:
raise exceptions.InvalidRequest(f"Unknown target type: {target_name}")
def _validate_bucket_encryption_rules_not_updated(
resource_properties, previous_resource_properties
) -> ProgressEvent:
bucket_encryption_configs = resource_properties.get("BucketEncryption", {}).get(
"ServerSideEncryptionConfiguration", []
)
previous_bucket_encryption_configs = previous_resource_properties.get(
"BucketEncryption", {}
).get("ServerSideEncryptionConfiguration", [])
if len(bucket_encryption_configs) != len(previous_bucket_encryption_configs):
return ProgressEvent(
status=OperationStatus.FAILED,
message=f"Current number of bucket encryption configs does not match previous. Current has {str(len(bucket_encryption_configs))} configs while previously there were {str(len(previous_bucket_encryption_configs))} configs",
errorCode=HandlerErrorCode.NonCompliant,
)
for i in range(len(bucket_encryption_configs)):
current_encryption_algorithm = (
bucket_encryption_configs[i]
.get("ServerSideEncryptionByDefault", {})
.get("SSEAlgorithm")
)
previous_encryption_algorithm = (
previous_bucket_encryption_configs[i]
.get("ServerSideEncryptionByDefault", {})
.get("SSEAlgorithm")
)
if current_encryption_algorithm != previous_encryption_algorithm:
return ProgressEvent(
status=OperationStatus.FAILED,
message=f"Bucket Encryption algorithm can not be changed once set. The encryption algorithm was changed to {current_encryption_algorithm} from {previous_encryption_algorithm}.",
errorCode=HandlerErrorCode.NonCompliant,
)
return ProgressEvent(
status=OperationStatus.SUCCESS,
message="Successfully invoked PreUpdateHookHandler for target: AWS::SQS::Queue",
)
def _validate_queue_encryption_not_disabled(
resource_properties, previous_resource_properties
) -> ProgressEvent:
if previous_resource_properties.get(
"KmsMasterKeyId"
) and not resource_properties.get("KmsMasterKeyId"):
return ProgressEvent(
status=OperationStatus.FAILED,
errorCode=HandlerErrorCode.NonCompliant,
message="Queue encryption can not be disable",
)
else:
return ProgressEvent(status=OperationStatus.SUCCESS)
@hook.handler(HookInvocationPoint.UPDATE_PRE_PROVISION)
def pre_update_handler(
session: Optional[SessionProxy],
request: BaseHookHandlerRequest,
callback_context: MutableMapping[str, Any],
type_configuration: MutableMapping[str, Any],
) -> ProgressEvent:
target_name = request.hookContext.targetName
if "AWS::S3::Bucket" == target_name:
resource_properties = request.hookContext.targetModel.get("resourceProperties")
previous_resource_properties = request.hookContext.targetModel.get(
"previousResourceProperties"
)
return _validate_bucket_encryption_rules_not_updated(
resource_properties, previous_resource_properties
)
elif "AWS::SQS::Queue" == target_name:
resource_properties = request.hookContext.targetModel.get("resourceProperties")
previous_resource_properties = request.hookContext.targetModel.get(
"previousResourceProperties"
)
return _validate_queue_encryption_not_disabled(
resource_properties, previous_resource_properties
)
else:
raise exceptions.InvalidRequest(f"Unknown target type: {target_name}")
```
Continua fino all'argomento successivo [Registrazione di un Hook personalizzato con CloudFormation](registering-hooks.md).
# Registrazione di un Hook personalizzato con CloudFormation
Dopo aver creato un Hook personalizzato, devi registrarlo per CloudFormation poterlo utilizzare. In questa sezione, imparerai a impacchettare e registrare il tuo Hook per utilizzarlo nel tuo Account AWS.
## Package a Hook (Java)
Se hai sviluppato il tuo Hook con Java, usa Maven per impacchettarlo.
Nella directory del tuo progetto Hook, esegui il seguente comando per creare il tuo Hook, esegui test unitari e impacchetta il progetto come `JAR` file da utilizzare per inviare il tuo Hook al CloudFormation registro.
```
mvn clean package
```
## Registra un Hook personalizzato
**Per registrare un Hook**
1. (Facoltativo) Configura il tuo Regione AWS nome predefinito in`us-west-2`, inviando l'[https://docs.aws.amazon.com/cli/latest/reference/configure/](https://docs.aws.amazon.com/cli/latest/reference/configure/)operazione.
```
$ aws configure
AWS Access Key ID [None]:
AWS Secret Access Key [None]:
Default region name [None]: us-west-2
Default output format [None]: json
```
1. (Facoltativo) Il comando seguente crea e impacchetta il progetto Hook senza registrarlo.
```
$ cfn submit --dry-run
```
1. Registra il tuo Hook utilizzando l' CloudFormation operazione CLI [https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-submit.html](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-submit.html).
```
$ cfn submit --set-default
```
Questo comando restituisce il comando seguente.
```
{‘ProgressStatus’: ‘COMPLETE’}
```
*Risultati*: Hai registrato con successo il tuo Hook.
## Gli Hooks di verifica sono accessibili nel tuo account
Verifica che il tuo Hook sia disponibile nella tua regione Account AWS e nelle regioni a cui lo hai inviato.
1. Per verificare il tuo Hook, usa il [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-types.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-types.html)comando per elencare l'Hook appena registrato e restituiscine una descrizione riassuntiva.
```
$ aws cloudformation list-types
```
Il comando restituisce il seguente risultato e ti mostrerà anche gli Hook disponibili pubblicamente che puoi attivare nelle tue Account AWS regioni.
```
{
"TypeSummaries": [
{
"Type": "HOOK",
"TypeName": "MyCompany::Testing::MyTestHook",
"DefaultVersionId": "00000001",
"TypeArn": "arn:aws:cloudformation:us-west-2:ACCOUNT_ID/type/hook/MyCompany-Testing-MyTestHook",
"LastUpdated": "2021-08-04T23:00:03.058000+00:00",
"Description": "Verifies S3 bucket and SQS queues properties before creating or updating"
}
]
}
```
1. Recupera l'`list-type`output `TypeArn` del tuo Hook e salvalo.
```
export HOOK_TYPE_ARN=arn:aws:cloudformation:us-west-2:ACCOUNT_ID/type/hook/MyCompany-Testing-MyTestHook
```
Per informazioni su come pubblicare Hooks per uso pubblico, consulta. [Ganci di pubblicazione per uso pubblico](hooks-publishing.md)
### Configura gli Hooks
Dopo aver sviluppato e registrato il tuo Hook, puoi configurare il tuo Hook nel tuo Account AWS pubblicandolo nel registro.
+ Per configurare un Hook nel tuo account, usa l'[https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_SetTypeConfiguration.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_SetTypeConfiguration.html)operazione. Questa operazione abilita le proprietà dell’Hook definite nella sezione relativa allo schema dell’Hook `properties`. Nell'esempio seguente, la `minBuckets` proprietà è impostata su `1` nella configurazione.
**Nota**
Abilitando Hooks nel tuo account, autorizzi un Hook a utilizzare le autorizzazioni definite dal tuo. Account AWS CloudFormation rimuove le autorizzazioni non richieste prima di passare le autorizzazioni a Hook. CloudFormation consiglia ai clienti o agli utenti di Hook di rivedere le autorizzazioni di Hook e di essere consapevoli delle autorizzazioni a cui sono consentiti gli Hook prima di abilitare gli Hook nel proprio account.
Specificate i dati di configurazione per l'estensione Hook registrata nello stesso account e. Regione AWS
```
$ aws cloudformation set-type-configuration --region us-west-2
--configuration '{"CloudFormationConfiguration":{"HookConfiguration":{"HookInvocationStatus":"ENABLED","FailureMode":"FAIL","Properties":{"minBuckets": "1","minQueues": "1", "encryptionAlgorithm": "aws:kms"}}}}'
--type-arn $HOOK_TYPE_ARN
```
**Importante**
Per consentire a Hook di controllare in modo proattivo la configurazione dello stack, è necessario impostare l'`HookInvocationStatus`opzione `ENABLED` nella `HookConfiguration` sezione, dopo che l'Hook è stato registrato e attivato nel proprio account.
## Accesso nei gestori AWS APIs
Se il tuo Hooks utilizza un' AWS API in uno qualsiasi dei suoi gestori, CFN-CLI crea automaticamente un modello di ruolo di esecuzione IAM,. `hook-role.yaml` Il `hook-role.yaml` modello si basa sui permessi specificati per ogni gestore nella sezione dedicata al gestore dello schema Hook. Se il `--role-arn` flag non viene utilizzato durante l'[https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-generate.html](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-generate.html)operazione, il ruolo in questo stack verrà assegnato e utilizzato come ruolo di esecuzione dell'Hook.
Per ulteriori informazioni, vedere [Accesso AWS APIs da un tipo di risorsa](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-develop.html#resource-type-develop-executionrole).
### modello hook-role.yaml
**Nota**
Se scegli di creare il tuo ruolo di esecuzione, ti consigliamo vivamente di mettere in pratica il principio del privilegio minimo, autorizzando solo l'inserimento nell'elenco e. `hooks.cloudformation.amazonaws.com` `resources.cloudformation.amazonaws.com`
Il modello seguente utilizza le autorizzazioni IAM, Amazon S3 e Amazon SQS.
```
AWSTemplateFormatVersion: 2010-09-09
Description: >
This CloudFormation template creates a role assumed by CloudFormation during
Hook operations on behalf of the customer.
Resources:
ExecutionRole:
Type: 'AWS::IAM::Role'
Properties:
MaxSessionDuration: 8400
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service:
- resources.cloudformation.amazonaws.com
- hooks.cloudformation.amazonaws.com
Action: 'sts:AssumeRole'
Condition:
StringEquals:
aws:SourceAccount: !Ref AWS::AccountId
StringLike:
aws:SourceArn: !Sub arn:${AWS::Partition}:cloudformation:${AWS::Region}:${AWS::AccountId}:type/hook/MyCompany-Testing-MyTestHook/*
Path: /
Policies:
- PolicyName: HookTypePolicy
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- 's3:GetEncryptionConfiguration'
- 's3:ListBucket'
- 's3:ListAllMyBuckets'
- 'sqs:GetQueueAttributes'
- 'sqs:GetQueueUrl'
- 'sqs:ListQueues'
Resource: '*'
Outputs:
ExecutionRoleArn:
Value: !GetAtt
- ExecutionRole
- Arn
```
# Testare un Hook personalizzato nel tuo Account AWS
Ora che hai codificato le funzioni del gestore che corrispondono a un punto di chiamata, è il momento di testare il tuo Hook personalizzato su una pila. CloudFormation
La modalità di errore Hook è impostata su `FAIL` se il CloudFormation modello non ha fornito a un bucket S3 quanto segue:
+ La crittografia del bucket Amazon S3 è impostata.
+ La chiave del bucket Amazon S3 è abilitata per il bucket.
+ L'algoritmo di crittografia impostato per il bucket Amazon S3 è l'algoritmo corretto richiesto.
+ L'ID della AWS Key Management Service chiave è impostato.
Nell'esempio seguente, create un modello chiamato `my-failed-bucket-stack.yml` con un nome di stack `my-hook-stack` che non riporta la configurazione dello stack e si interrompe prima del rifornimento delle risorse.
## Testare gli Hooks mediante il provisioning di uno stack
### Esempio 1: effettuare il provisioning di uno stack
**Esegui il provisioning di uno stack non conforme**
1. Crea un modello che specifichi un bucket S3. Ad esempio, `my-failed-bucket-stack.yml`.
```
AWSTemplateFormatVersion: 2010-09-09
Resources:
S3Bucket:
Type: AWS::S3::Bucket
Properties: {}
```
1. Crea uno stack e specifica il tuo modello in (). AWS Command Line Interface AWS CLI Nell'esempio seguente, specificate il nome dello stack as `my-hook-stack` e il nome del modello come. `my-failed-bucket-stack.yml`
```
$ aws cloudformation create-stack \
--stack-name my-hook-stack \
--template-body file://my-failed-bucket-stack.yml
```
1. (Facoltativo) Visualizza l'avanzamento dello stack specificando il nome dello stack. Nell'esempio seguente, specificate il nome dello stack. `my-hook-stack`
```
$ aws cloudformation describe-stack-events \
--stack-name my-hook-stack
```
Utilizzate l'`describe-stack-events`operazione per vedere l'errore dell'Hook durante la creazione del bucket. Di seguito è riportato un esempio di output del comando.
```
{
"StackEvents": [
...
{
"StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/my-hook-stack/2c693970-f57e-11eb-a0fb-061a2a83f0b9",
"EventId": "S3Bucket-CREATE_FAILED-2021-08-04T23:47:03.305Z",
"StackName": "my-hook-stack",
"LogicalResourceId": "S3Bucket",
"PhysicalResourceId": "",
"ResourceType": "AWS::S3::Bucket",
"Timestamp": "2021-08-04T23:47:03.305000+00:00",
"ResourceStatus": "CREATE_FAILED",
"ResourceStatusReason": "The following hook(s) failed: [MyCompany::Testing::MyTestHook]",
"ResourceProperties": "{}",
"ClientRequestToken": "Console-CreateStack-abe71ac2-ade4-a762-0499-8d34d91d6a92"
},
...
]
}
```
*Risultati*: l'invocazione di Hook non ha consentito la configurazione dello stack e ha interrotto il provisioning della risorsa.
**Usa un CloudFormation modello per passare la convalida di Hook**
1. Per creare uno stack e superare la convalida Hook, aggiorna il modello in modo che la risorsa utilizzi un bucket S3 crittografato. Questo esempio utilizza il modello. `my-encrypted-bucket-stack.yml`
```
AWSTemplateFormatVersion: 2010-09-09
Description: |
This CloudFormation template provisions an encrypted S3 Bucket
Resources:
EncryptedS3Bucket:
Type: AWS::S3::Bucket
Properties:
BucketName: !Sub encryptedbucket-${AWS::Region}-${AWS::AccountId}
BucketEncryption:
ServerSideEncryptionConfiguration:
- ServerSideEncryptionByDefault:
SSEAlgorithm: 'aws:kms'
KMSMasterKeyID: !Ref EncryptionKey
BucketKeyEnabled: true
EncryptionKey:
Type: AWS::KMS::Key
DeletionPolicy: Retain
Properties:
Description: KMS key used to encrypt the resource type artifacts
EnableKeyRotation: true
KeyPolicy:
Version: 2012-10-17
Statement:
- Sid: Enable full access for owning account
Effect: Allow
Principal:
AWS: !Ref AWS::AccountId
Action: 'kms:*'
Resource: '*'
Outputs:
EncryptedBucketName:
Value: !Ref EncryptedS3Bucket
```
**Nota**
Gli hook non verranno richiamati per le risorse ignorate.
1. Crea una pila e specifica il tuo modello. In questo esempio, il nome dello stack è. `my-encrypted-bucket-stack`
```
$ aws cloudformation create-stack \
--stack-name my-encrypted-bucket-stack \
--template-body file://my-encrypted-bucket-stack.yml \
```
1. (Facoltativo) Visualizza l'avanzamento dello stack specificando il nome dello stack.
```
$ aws cloudformation describe-stack-events \
--stack-name my-encrypted-bucket-stack
```
Utilizzate il `describe-stack-events` comando per visualizzare la risposta. Di seguito è riportato un comando `describe-stack-events` di esempio.
```
{
"StackEvents": [
...
{
"StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/my-encrypted-bucket-stack/82a97150-f57a-11eb-8eb2-06a6bdcc7779",
"EventId": "EncryptedS3Bucket-CREATE_COMPLETE-2021-08-04T23:23:20.973Z",
"StackName": "my-encrypted-bucket-stack",
"LogicalResourceId": "EncryptedS3Bucket",
"PhysicalResourceId": "encryptedbucket-us-west-2-123456789012",
"ResourceType": "AWS::S3::Bucket",
"Timestamp": "2021-08-04T23:23:20.973000+00:00",
"ResourceStatus": "CREATE_COMPLETE",
"ResourceProperties": "{\"BucketName\":\"encryptedbucket-us-west-2-123456789012\",\"BucketEncryption\":{\"ServerSideEncryptionConfiguration\":[{\"BucketKeyEnabled\":\"true\",\"ServerSideEncryptionByDefault\":{\"SSEAlgorithm\":\"aws:kms\",\"KMSMasterKeyID\":\"ENCRYPTION_KEY_ARN\"}}]}}",
"ClientRequestToken": "Console-CreateStack-39df35ac-ca00-b7f6-5661-4e917478d075"
},
{
"StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/my-encrypted-bucket-stack/82a97150-f57a-11eb-8eb2-06a6bdcc7779",
"EventId": "EncryptedS3Bucket-CREATE_IN_PROGRESS-2021-08-04T23:22:59.410Z",
"StackName": "my-encrypted-bucket-stack",
"LogicalResourceId": "EncryptedS3Bucket",
"PhysicalResourceId": "encryptedbucket-us-west-2-123456789012",
"ResourceType": "AWS::S3::Bucket",
"Timestamp": "2021-08-04T23:22:59.410000+00:00",
"ResourceStatus": "CREATE_IN_PROGRESS",
"ResourceStatusReason": "Resource creation Initiated",
"ResourceProperties": "{\"BucketName\":\"encryptedbucket-us-west-2-123456789012\",\"BucketEncryption\":{\"ServerSideEncryptionConfiguration\":[{\"BucketKeyEnabled\":\"true\",\"ServerSideEncryptionByDefault\":{\"SSEAlgorithm\":\"aws:kms\",\"KMSMasterKeyID\":\"ENCRYPTION_KEY_ARN\"}}]}}",
"ClientRequestToken": "Console-CreateStack-39df35ac-ca00-b7f6-5661-4e917478d075"
},
{
"StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/my-encrypted-bucket-stack/82a97150-f57a-11eb-8eb2-06a6bdcc7779",
"EventId": "EncryptedS3Bucket-6516081f-c1f2-4bfe-a0f0-cefa28679994",
"StackName": "my-encrypted-bucket-stack",
"LogicalResourceId": "EncryptedS3Bucket",
"PhysicalResourceId": "",
"ResourceType": "AWS::S3::Bucket",
"Timestamp": "2021-08-04T23:22:58.349000+00:00",
"ResourceStatus": "CREATE_IN_PROGRESS",
"ResourceStatusReason": "Hook invocations complete. Resource creation initiated",
"ClientRequestToken": "Console-CreateStack-39df35ac-ca00-b7f6-5661-4e917478d075"
},
...
]
}
```
*Risultati*: lo stack è stato creato CloudFormation con successo. La logica di Hook ha verificato che la `AWS::S3::Bucket` risorsa contenesse la crittografia lato server prima di effettuare il provisioning della risorsa.
### Esempio 2: effettuare il provisioning di uno stack
**Esegui il provisioning di uno stack non conforme**
1. Crea un modello che specifichi un bucket S3. Ad esempio, `aes256-bucket.yml`.
```
AWSTemplateFormatVersion: 2010-09-09
Description: |
This CloudFormation template provisions an encrypted S3 Bucket
Resources:
EncryptedS3Bucket:
Type: AWS::S3::Bucket
Properties:
BucketName: !Sub encryptedbucket-${AWS::Region}-${AWS::AccountId}
BucketEncryption:
ServerSideEncryptionConfiguration:
- ServerSideEncryptionByDefault:
SSEAlgorithm: AES256
BucketKeyEnabled: true
Outputs:
EncryptedBucketName:
Value: !Ref EncryptedS3Bucket
```
1. Crea uno stack e specifica il tuo modello in. AWS CLI Nell'esempio seguente, specificate il nome dello stack as `my-hook-stack` e il nome del modello come. `aes256-bucket.yml`
```
$ aws cloudformation create-stack \
--stack-name my-hook-stack \
--template-body file://aes256-bucket.yml
```
1. (Facoltativo) Visualizza l'avanzamento dello stack specificando il nome dello stack. Nell'esempio seguente, specificate il nome dello stack. `my-hook-stack`
```
$ aws cloudformation describe-stack-events \
--stack-name my-hook-stack
```
Utilizzate l'`describe-stack-events`operazione per vedere l'errore dell'Hook durante la creazione del bucket. Di seguito è riportato un esempio di output del comando.
```
{
"StackEvents": [
...
{
"StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/my-hook-stack/2c693970-f57e-11eb-a0fb-061a2a83f0b9",
"EventId": "S3Bucket-CREATE_FAILED-2021-08-04T23:47:03.305Z",
"StackName": "my-hook-stack",
"LogicalResourceId": "S3Bucket",
"PhysicalResourceId": "",
"ResourceType": "AWS::S3::Bucket",
"Timestamp": "2021-08-04T23:47:03.305000+00:00",
"ResourceStatus": "CREATE_FAILED",
"ResourceStatusReason": "The following hook(s) failed: [MyCompany::Testing::MyTestHook]",
"ResourceProperties": "{}",
"ClientRequestToken": "Console-CreateStack-abe71ac2-ade4-a762-0499-8d34d91d6a92"
},
...
]
}
```
*Risultati*: l'invocazione di Hook non ha consentito la configurazione dello stack e ha interrotto il provisioning della risorsa. Lo stack non è riuscito a causa della crittografia del bucket S3 configurata in modo errato. La configurazione del tipo Hook richiede l'utilizzo di questo `aws:kms` bucket. `AES256`
**Usa un CloudFormation modello per passare la convalida di Hook**
1. Per creare uno stack e superare la convalida Hook, aggiorna il modello in modo che la risorsa utilizzi un bucket S3 crittografato. Questo esempio utilizza il modello. `kms-bucket-and-queue.yml`
```
AWSTemplateFormatVersion: 2010-09-09
Description: |
This CloudFormation template provisions an encrypted S3 Bucket
Resources:
EncryptedS3Bucket:
Type: AWS::S3::Bucket
Properties:
BucketName: !Sub encryptedbucket-${AWS::Region}-${AWS::AccountId}
BucketEncryption:
ServerSideEncryptionConfiguration:
- ServerSideEncryptionByDefault:
SSEAlgorithm: 'aws:kms'
KMSMasterKeyID: !Ref EncryptionKey
BucketKeyEnabled: true
EncryptedQueue:
Type: AWS::SQS::Queue
Properties:
QueueName: !Sub encryptedqueue-${AWS::Region}-${AWS::AccountId}
KmsMasterKeyId: !Ref EncryptionKey
EncryptionKey:
Type: AWS::KMS::Key
DeletionPolicy: Retain
Properties:
Description: KMS key used to encrypt the resource type artifacts
EnableKeyRotation: true
KeyPolicy:
Version: 2012-10-17
Statement:
- Sid: Enable full access for owning account
Effect: Allow
Principal:
AWS: !Ref AWS::AccountId
Action: 'kms:*'
Resource: '*'
Outputs:
EncryptedBucketName:
Value: !Ref EncryptedS3Bucket
EncryptedQueueName:
Value: !Ref EncryptedQueue
```
**Nota**
Gli hook non verranno richiamati per le risorse ignorate.
1. Crea una pila e specifica il tuo modello. In questo esempio, il nome dello stack è. `my-encrypted-bucket-stack`
```
$ aws cloudformation create-stack \
--stack-name my-encrypted-bucket-stack \
--template-body file://kms-bucket-and-queue.yml
```
1. (Facoltativo) Visualizza l'avanzamento dello stack specificando il nome dello stack.
```
$ aws cloudformation describe-stack-events \
--stack-name my-encrypted-bucket-stack
```
Utilizzate il `describe-stack-events` comando per visualizzare la risposta. Di seguito è riportato un comando `describe-stack-events` di esempio.
```
{
"StackEvents": [
...
{
"StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/my-encrypted-bucket-stack/82a97150-f57a-11eb-8eb2-06a6bdcc7779",
"EventId": "EncryptedS3Bucket-CREATE_COMPLETE-2021-08-04T23:23:20.973Z",
"StackName": "my-encrypted-bucket-stack",
"LogicalResourceId": "EncryptedS3Bucket",
"PhysicalResourceId": "encryptedbucket-us-west-2-123456789012",
"ResourceType": "AWS::S3::Bucket",
"Timestamp": "2021-08-04T23:23:20.973000+00:00",
"ResourceStatus": "CREATE_COMPLETE",
"ResourceProperties": "{\"BucketName\":\"encryptedbucket-us-west-2-123456789012\",\"BucketEncryption\":{\"ServerSideEncryptionConfiguration\":[{\"BucketKeyEnabled\":\"true\",\"ServerSideEncryptionByDefault\":{\"SSEAlgorithm\":\"aws:kms\",\"KMSMasterKeyID\":\"ENCRYPTION_KEY_ARN\"}}]}}",
"ClientRequestToken": "Console-CreateStack-39df35ac-ca00-b7f6-5661-4e917478d075"
},
{
"StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/my-encrypted-bucket-stack/82a97150-f57a-11eb-8eb2-06a6bdcc7779",
"EventId": "EncryptedS3Bucket-CREATE_IN_PROGRESS-2021-08-04T23:22:59.410Z",
"StackName": "my-encrypted-bucket-stack",
"LogicalResourceId": "EncryptedS3Bucket",
"PhysicalResourceId": "encryptedbucket-us-west-2-123456789012",
"ResourceType": "AWS::S3::Bucket",
"Timestamp": "2021-08-04T23:22:59.410000+00:00",
"ResourceStatus": "CREATE_IN_PROGRESS",
"ResourceStatusReason": "Resource creation Initiated",
"ResourceProperties": "{\"BucketName\":\"encryptedbucket-us-west-2-123456789012\",\"BucketEncryption\":{\"ServerSideEncryptionConfiguration\":[{\"BucketKeyEnabled\":\"true\",\"ServerSideEncryptionByDefault\":{\"SSEAlgorithm\":\"aws:kms\",\"KMSMasterKeyID\":\"ENCRYPTION_KEY_ARN\"}}]}}",
"ClientRequestToken": "Console-CreateStack-39df35ac-ca00-b7f6-5661-4e917478d075"
},
{
"StackId": "arn:aws:cloudformation:us-west-2:123456789012:stack/my-encrypted-bucket-stack/82a97150-f57a-11eb-8eb2-06a6bdcc7779",
"EventId": "EncryptedS3Bucket-6516081f-c1f2-4bfe-a0f0-cefa28679994",
"StackName": "my-encrypted-bucket-stack",
"LogicalResourceId": "EncryptedS3Bucket",
"PhysicalResourceId": "",
"ResourceType": "AWS::S3::Bucket",
"Timestamp": "2021-08-04T23:22:58.349000+00:00",
"ResourceStatus": "CREATE_IN_PROGRESS",
"ResourceStatusReason": "Hook invocations complete. Resource creation initiated",
"ClientRequestToken": "Console-CreateStack-39df35ac-ca00-b7f6-5661-4e917478d075"
},
...
]
}
```
*Risultati*: lo stack è stato creato CloudFormation con successo. La logica di Hook ha verificato che la `AWS::S3::Bucket` risorsa contenesse la crittografia lato server prima di effettuare il provisioning della risorsa.
# Aggiornamento di un Hook personalizzato
L'aggiornamento di un Hook personalizzato consente di rendere disponibili le revisioni dell'Hook nel CloudFormation registro.
Per aggiornare un Hook personalizzato, invia le tue revisioni al CloudFormation registro tramite l'operazione CloudFormation [https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-submit.html](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-submit.html)CLI.
```
$ cfn submit
```
Per specificare la versione predefinita del tuo Hook nel tuo account, usa il [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-default-version.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/set-type-default-version.html)comando e specifica il tipo, il nome del tipo e l'ID della versione.
```
$ aws cloudformation set-type-default-version \
--type HOOK \
--type-name MyCompany::Testing::MyTestHook \
--version-id 00000003
```
Per recuperare informazioni sulle versioni di un Hook, usa [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-type-versions.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/list-type-versions.html).
```
$ aws cloudformation list-type-versions \
--type HOOK \
--type-name "MyCompany::Testing::MyTestHook"
```
# Annullamento della registrazione di un Hook personalizzato dal registro CloudFormation
L'annullamento della registrazione di un Hook personalizzato contrassegna l'estensione o la versione dell'estensione come `DEPRECATED` nel CloudFormation registro, il che la rimuove dall'uso attivo. Una volta obsoleto, l'Hook personalizzato non può essere utilizzato in un'operazione. CloudFormation
**Nota**
Prima di annullare la registrazione dell'Hook, è necessario annullare singolarmente tutte le versioni attive precedenti di quell'estensione. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeregisterType.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/APIReference/API_DeregisterType.html).
Per annullare la registrazione di un Hook, usa l'[https://docs.aws.amazon.com/cli/latest/reference/cloudformation/deregister-type.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/deregister-type.html)operazione e specifica il tuo Hook ARN.
```
$ aws cloudformation deregister-type \
--arn HOOK_TYPE_ARN
```
Questo comando non produce un output.
# Ganci di pubblicazione per uso pubblico
Per sviluppare un Hook pubblico di terze parti, sviluppa il tuo Hook come estensione privata. Quindi, in ognuna delle aree Regione AWS in cui desideri rendere l'estensione disponibile al pubblico:
1. Registra il tuo Hook come estensione privata nel CloudFormation registro.
1. Testa il tuo Hook per assicurarti che soddisfi tutti i requisiti necessari per essere pubblicato nel CloudFormation registro.
1. Pubblica il tuo Hook nel CloudFormation registro.
**Nota**
Prima di pubblicare qualsiasi estensione in una determinata regione, devi prima registrarti come editore di estensioni in quella regione. Per eseguire questa operazione in più regioni contemporaneamente, consulta [Pubblicazione di estensioni in più regioni utilizzando StackSets](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/publish-extension-stacksets.html) nella Guida per l'*utente della CloudFormation CLI*.
Dopo aver sviluppato e registrato il tuo Hook, puoi renderlo disponibile pubblicamente CloudFormation agli utenti generici *pubblicandolo* nel CloudFormation registro, come estensione pubblica di terze parti.
Gli Hook pubblici di terze parti consentono di offrire agli CloudFormation utenti la possibilità di ispezionare in modo proattivo la configurazione delle AWS risorse prima del provisioning. Come per gli Hook privati, gli Hook pubblici vengono trattati allo stesso modo di qualsiasi Hook pubblicato da within. AWS CloudFormation
Gli hook pubblicati nel registro sono visibili da tutti CloudFormation gli utenti nella cartella Regioni AWS in cui sono pubblicati. Gli utenti possono quindi *attivare* l'estensione nel proprio account, il che la rende disponibile per l'uso nei propri modelli. Per ulteriori informazioni, consulta [Utilizzare estensioni pubbliche di terze parti dal CloudFormation registro](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/registry-public.html) nella *Guida per l'CloudFormation utente*.
# Test di un Hook personalizzato per uso pubblico
Per pubblicare il tuo Hook personalizzato registrato, deve superare tutti i requisiti di test definiti per esso. Di seguito è riportato un elenco di requisiti necessari prima di pubblicare l'Hook personalizzato come estensione di terze parti.
Ogni gestore e target viene testato due volte. Una volta per `SUCCESS` e una volta per`FAILED`.
+ Per caso di `SUCCESS` risposta:
+ Lo stato deve essere`SUCCESS`.
+ Non deve restituire un codice di errore.
+ Il ritardo di callback deve essere impostato su `0` secondi, se specificato.
+ Per il caso `FAILED` di risposta:
+ Lo stato deve essere`FAILED`.
+ Deve restituire un codice di errore.
+ Deve avere un messaggio in risposta.
+ Il ritardo di callback deve essere impostato su `0` secondi, se specificato.
+ Per il caso `IN_PROGRESS` di risposta:
+ Non deve restituire un codice di errore.
+ `Result`il campo non deve essere impostato in risposta.
# Specificazione dei dati di input da utilizzare nei test contrattuali
Per impostazione predefinita, CloudFormation esegue i test contrattuali utilizzando le proprietà di input generate dai modelli definiti nello schema Hook. Tuttavia, la maggior parte degli Hook è sufficientemente complessa che le proprietà di input per la precreazione o il preaggiornamento degli stack di provisioning richiedono una comprensione della risorsa da fornire. Per risolvere questo problema, è possibile specificare l'input che CloudFormation utilizza durante l'esecuzione dei test contrattuali.
CloudFormation offre due modi per specificare i dati di input da utilizzare durante l'esecuzione dei test contrattuali:
+ Sostituisce il file
L'utilizzo di un `overrides` file fornisce un modo semplice per specificare i dati di input per determinate proprietà specifiche CloudFormation da utilizzare durante `preCreate` i test operativi. `preUpdate` `preDelete`
+ File di input
Puoi anche utilizzare più `input` file per specificare i dati di input del test contrattuale se:
+ Volete o dovete specificare dati di input diversi per le operazioni di creazione, aggiornamento ed eliminazione oppure dati non validi con cui eseguire il test.
+ Desiderate specificare più set di dati di input diversi.
## Specificare i dati di input utilizzando un file di override
Di seguito è riportato un esempio di dati di input di Amazon S3 Hook che utilizzano il `overrides` file.
```
{
"CREATE_PRE_PROVISION": {
"AWS::S3::Bucket": {
"resourceProperties": {
"/BucketName": "encryptedbucket-us-west-2-contractor",
"/BucketEncryption/ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "aws:kms"
}
}
]
}
},
"AWS::SQS::Queue": {
"resourceProperties": {
"/QueueName": "MyQueueContract",
"/KmsMasterKeyId": "hellocontract"
}
}
},
"UPDATE_PRE_PROVISION": {
"AWS::S3::Bucket": {
"resourceProperties": {
"/BucketName": "encryptedbucket-us-west-2-contractor",
"/BucketEncryption/ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "aws:kms"
}
}
]
},
"previousResourceProperties": {
"/BucketName": "encryptedbucket-us-west-2-contractor",
"/BucketEncryption/ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "aws:kms"
}
}
]
}
}
},
"INVALID_UPDATE_PRE_PROVISION": {
"AWS::S3::Bucket": {
"resourceProperties": {
"/BucketName": "encryptedbucket-us-west-2-contractor",
"/BucketEncryption/ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "AES256"
}
}
]
},
"previousResourceProperties": {
"/BucketName": "encryptedbucket-us-west-2-contractor",
"/BucketEncryption/ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "aws:kms"
}
}
]
}
}
},
"INVALID": {
"AWS::SQS::Queue": {
"resourceProperties": {
"/QueueName": "MyQueueContract",
"/KmsMasterKeyId": "KMS-KEY-ARN"
}
}
}
}
```
## Specificazione dei dati di input utilizzando i file di input
Utilizzate `input` i file per specificare diversi tipi di dati di input CloudFormation da utilizzare: `preCreate` input, `preUpdate` input e input non valido. Ogni tipo di dati è specificato in un file separato. È inoltre possibile specificare più set di dati di input per i test contrattuali.
Per specificare `input` i file CloudFormation da utilizzare nei test contrattuali, aggiungi una `inputs` cartella alla directory principale del tuo progetto Hooks. Quindi aggiungi i tuoi file di input.
Specificate il tipo di dati di input contenuti in un file utilizzando le seguenti convenzioni di denominazione, dove **n**è un numero intero:
+ `inputs_n_pre_create.json`: utilizza file con `preCreate` gestori per specificare gli input per la creazione della risorsa.
+ `inputs_n_pre_update.json`: Utilizza file con `preUpdate` gestori per specificare gli input per l'aggiornamento della risorsa.
+ `inputs_n_pre_delete.json`: Usa file con `preDelete` gestori per specificare gli input per l'eliminazione della risorsa.
+ `inputs_n_invalid.json`: Per specificare input non validi da testare.
Per specificare più set di dati di input per i test contrattuali, incrementa il numero intero nei nomi dei file per ordinare i set di dati di input. Ad esempio, il primo set di file di input dovrebbe essere denominato `inputs_1_pre_create.json``inputs_1_pre_update.json`, e. `inputs_1_pre_invalid.json` Il set successivo si chiamerebbe `inputs_2_pre_create.json``inputs_2_pre_update.json`,`inputs_2_pre_invalid.json`, e così via.
Ogni file di input è un file JSON contenente solo le proprietà delle risorse da utilizzare nei test.
Di seguito è riportata una directory di esempio `inputs` per Amazon S3 specificare i dati di input utilizzando i file di input.
`inputs_1_pre_create.json`
Di seguito è riportato un esempio di test del `inputs_1_pre_create.json` contratto.
```
{
"AWS::S3::Bucket": {
"resourceProperties": {
"AccessControl": "BucketOwnerFullControl",
"AnalyticsConfigurations": [],
"BucketEncryption": {
"ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "aws:kms"
}
}
]
},
"BucketName": "encryptedbucket-us-west-2"
}
},
"AWS::SQS::Queue": {
"resourceProperties": {
"QueueName": "MyQueue",
"KmsMasterKeyId": "KMS-KEY-ARN"
}
}
}
```
`inputs_1_pre_update.json`
Quello che segue è un esempio di test del `inputs_1_pre_update.json` contratto.
```
{
"AWS::S3::Bucket": {
"resourceProperties": {
"BucketEncryption": {
"ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "aws:kms"
}
}
]
},
"BucketName": "encryptedbucket-us-west-2"
},
"previousResourceProperties": {
"BucketEncryption": {
"ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "aws:kms"
}
}
]
},
"BucketName": "encryptedbucket-us-west-2"
}
}
}
```
`inputs_1_invalid.json`
Quello che segue è un esempio di test del `inputs_1_invalid.json` contratto.
```
{
"AWS::S3::Bucket": {
"resourceProperties": {
"AccessControl": "BucketOwnerFullControl",
"AnalyticsConfigurations": [],
"BucketEncryption": {
"ServerSideEncryptionConfiguration": [
{
"ServerSideEncryptionByDefault": {
"SSEAlgorithm": "AES256"
}
}
]
},
"BucketName": "encryptedbucket-us-west-2"
}
},
"AWS::SQS::Queue": {
"resourceProperties": {
"NotValid": "The property of this resource is not valid."
}
}
}
```
`inputs_1_invalid_pre_update.json`
Quello che segue è un esempio di test del `inputs_1_invalid_pre_update.json` contratto.
```
{
"AWS::S3::Bucket": {
"resourceProperties": {
"BucketEncryption": {
"ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "AES256"
}
}
]
},
"BucketName": "encryptedbucket-us-west-2"
},
"previousResourceProperties": {
"BucketEncryption": {
"ServerSideEncryptionConfiguration": [
{
"BucketKeyEnabled": true,
"ServerSideEncryptionByDefault": {
"KMSMasterKeyID": "KMS-KEY-ARN",
"SSEAlgorithm": "aws:kms"
}
}
]
},
"BucketName": "encryptedbucket-us-west-2"
}
}
}
```
Per ulteriori informazioni, consulta [Publishing extensions to make them available for public use](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/publish-extension.html) (Pubblicazione di estensioni per renderle disponibili per l'uso pubblico) nella *Guida per l'utente dell'interfaccia a riga di comando di CloudFormation *.
# Riferimento alla sintassi dello schema per CloudFormation Hooks
Questa sezione descrive la sintassi dello schema utilizzato per sviluppare CloudFormation Hooks.
Un Hook include una specifica Hook rappresentata da uno schema JSON e da gestori Hook. Il primo passaggio per creare un Hook personalizzato consiste nella modellazione di uno schema che definisca l'Hook, le sue proprietà e i relativi attributi. Quando inizializzi un progetto Hook personalizzato utilizzando il comando CloudFormation [https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-init.html](https://docs.aws.amazon.com/cloudformation-cli/latest/userguide/resource-type-cli-init.html)CLI, viene creato automaticamente un file di schema Hook. Utilizzate questo file di schema come punto di partenza per definire la forma e la semantica del vostro Hook personalizzato.
## Sintassi dello schema
Lo schema seguente è la struttura di un Hook.
```
{
"typeName": "string",
"description": "string",
"sourceUrl": "string",
"documentationUrl": "string",
"definitions": {
"definitionName": {
. . .
}
},
"typeConfiguration": {
"properties": {
"propertyName": {
"description": "string",
"type": "string",
. . .
},
},
"required": [
"propertyName"
. . .
],
"additionalProperties": false
},
"handlers": {
"preCreate": {
"targetNames": [
],
"permissions": [
]
},
"preUpdate": {
"targetNames": [
],
"permissions": [
]
},
"preDelete": {
"targetNames": [
],
"permissions": [
]
}
},
"additionalProperties": false
}
```
`typeName`
Il nome univoco del tuo Hook. Specifica uno spazio dei nomi in tre parti per il tuo Hook, con uno schema consigliato di. `Organization::Service::Hook`
I seguenti namespace dell'organizzazione sono riservati e non possono essere utilizzati nei nomi dei tipi di Hook:
+ `Alexa`
+ `AMZN`
+ `Amazon`
+ `ASK`
+ `AWS`
+ `Custom`
+ `Dev`
*Obbligatorio:* sì
*Pattern*: `^[a-zA-Z0-9]{2,64}::[a-zA-Z0-9]{2,64}::[a-zA-Z0-9]{2,64}$`
*Minimum*: `10`
*Maximum*: `196`
`description`
Una breve descrizione dell'Hook visualizzato nella console. CloudFormation
*Obbligatorio:* sì
`sourceUrl`
L'URL del codice sorgente dell'Hook, se pubblico.
*Obbligatorio:* no
*Maximum*: `4096`
`documentationUrl`
L'URL di una pagina che fornisce la documentazione dettagliata per l'Hook.
*Obbligatorio:* sì
*Pattern*: `^https\:\/\/[0-9a-zA-Z]([-.\w]*[0-9a-zA-Z])(\:[0-9]*)*([\?/#].*)?$`
*Maximum*: `4096`
Sebbene lo schema Hook debba includere descrizioni delle proprietà complete e accurate, è possibile utilizzare la `documentationURL` proprietà per fornire agli utenti maggiori dettagli, inclusi esempi, casi d'uso e altre informazioni dettagliate.
`definitions`
Utilizzate il `definitions` blocco per fornire schemi di proprietà Hook condivisi.
È consigliabile utilizzare la `definitions` sezione per definire gli elementi dello schema che possono essere utilizzati in più punti dello schema di tipo Hook. È quindi possibile utilizzare un puntatore JSON per fare riferimento a quell'elemento nei punti appropriati dello schema di tipo Hook.
*Obbligatorio:* no
`typeConfiguration`
La definizione dei dati di configurazione di un Hook.
*Obbligatorio:* sì
`properties`
Le proprietà dell'Hook. Tutte le proprietà di un Hook devono essere espresse nello schema. Allinea le proprietà dello schema Hook con le proprietà di configurazione del tipo Hook.
Le proprietà annidate non sono consentite. Definite invece tutte le proprietà annidate nell'`definitions`elemento e utilizzate un `$ref` puntatore per farvi riferimento nella proprietà desiderata.
Attualmente sono supportate le seguenti proprietà:
+ `default`— Il valore predefinito della proprietà.
+ `description`— Una descrizione della proprietà.
+ `pattern`— Un modello regex utilizzato per convalidare l'input.
+ `type`— Il tipo di proprietà accettato.
`additionalProperties`
`additionalProperties` deve essere impostato su `false`. Tutte le proprietà di un Hook devono essere espresse nello schema: non sono consentiti input arbitrari.
*Obbligatorio:* sì
*Valori validi*: `false`
`handlers`
I gestori specificano le operazioni che possono avviare l'Hook definito nello schema, come i punti di invocazione Hook. Ad esempio, un `preUpdate` gestore viene richiamato prima delle operazioni di aggiornamento per tutte le destinazioni specificate nel gestore.
*Valori validi*: `preCreate` \$1 `preUpdate` \$1 `preDelete`
È necessario specificare almeno un valore per il gestore.
Le operazioni di stack che determinano lo stato di `UpdateCleanup` non richiamano un Hook. Ad esempio, durante i due scenari seguenti, il `preDelete` gestore di Hook non viene richiamato:
+ lo stack viene aggiornato dopo aver rimosso una risorsa dal modello.
+ viene eliminata una risorsa con il tipo di aggiornamento [sostitutivo](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-update-behaviors.html#update-replacement).
`targetNames`
Una matrice di stringhe di nomi di tipo a cui Hook si rivolge. Ad esempio, se un `preCreate` gestore ha una `AWS::S3::Bucket` destinazione, l'Hook viene eseguito per i bucket Amazon S3 durante la fase di preprovisioning.
+ `TargetName`
Specificare almeno un nome di destinazione per ogni gestore implementato.
*Pattern*: `^[a-zA-Z0-9]{2,64}::[a-zA-Z0-9]{2,64}::[a-zA-Z0-9]{2,64}$`
*Minimum*: `1`
*Obbligatorio:* sì
**avvertimento**
I riferimenti dinamici a SSM SecureString e Secrets Manager non vengono risolti prima di essere passati a Hooks.
`permissions`
Un array di stringhe che specifica le AWS autorizzazioni necessarie per richiamare il gestore.
*Obbligatorio:* sì
`additionalProperties`
`additionalProperties` deve essere impostato su `false`. Tutte le proprietà di un Hook devono essere espresse nello schema: non sono consentiti input arbitrari.
*Obbligatorio:* sì
*Valori validi*: `false`
## Esempi di schemi Hooks
**Esempio 1**
Le procedure dettagliate per Java e Python utilizzano il seguente esempio di codice. Di seguito è riportato un esempio di struttura per un Hook chiamato. `mycompany-testing-mytesthook.json`
```
{
"typeName":"MyCompany::Testing::MyTestHook",
"description":"Verifies S3 bucket and SQS queues properties before create and update",
"sourceUrl":"https://mycorp.com/my-repo.git",
"documentationUrl":"https://mycorp.com/documentation",
"typeConfiguration":{
"properties":{
"minBuckets":{
"description":"Minimum number of compliant buckets",
"type":"string"
},
"minQueues":{
"description":"Minimum number of compliant queues",
"type":"string"
},
"encryptionAlgorithm":{
"description":"Encryption algorithm for SSE",
"default":"AES256",
"type":"string",
"pattern": "[a-zA-Z]*[1-9]"
}
},
"required":[
],
"additionalProperties":false
},
"handlers":{
"preCreate":{
"targetNames":[
"AWS::S3::Bucket",
"AWS::SQS::Queue"
],
"permissions":[
]
},
"preUpdate":{
"targetNames":[
"AWS::S3::Bucket",
"AWS::SQS::Queue"
],
"permissions":[
]
},
"preDelete":{
"targetNames":[
"AWS::S3::Bucket",
"AWS::SQS::Queue"
],
"permissions":[
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetEncryptionConfiguration",
"sqs:ListQueues",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl"
]
}
},
"additionalProperties":false
}
```
**Esempio 2**
L'esempio seguente è uno schema che utilizza `STACK` and `CHANGE_SET` for per `targetNames` indirizzare un modello di stack e un'operazione di set di modifiche.
```
{
"typeName":"MyCompany::Testing::MyTestHook",
"description":"Verifies Stack and Change Set properties before create and update",
"sourceUrl":"https://mycorp.com/my-repo.git",
"documentationUrl":"https://mycorp.com/documentation",
"typeConfiguration":{
"properties":{
"minBuckets":{
"description":"Minimum number of compliant buckets",
"type":"string"
},
"minQueues":{
"description":"Minimum number of compliant queues",
"type":"string"
},
"encryptionAlgorithm":{
"description":"Encryption algorithm for SSE",
"default":"AES256",
"type":"string",
"pattern": "[a-zA-Z]*[1-9]"
}
},
"required":[
],
"additionalProperties":false
},
"handlers":{
"preCreate":{
"targetNames":[
"STACK",
"CHANGE_SET"
],
"permissions":[
]
},
"preUpdate":{
"targetNames":[
"STACK"
],
"permissions":[
]
},
"preDelete":{
"targetNames":[
"STACK"
],
"permissions":[
]
}
},
"additionalProperties":false
}
```