コンストラクトを使用したリソースの設定リソースの参照リソースの物理名一意のリソース識別子を渡すリソース間のアクセス許可の付与リソースメトリクスとアラームネットワークトラフィックイベント処理削除ポリシー

リソースと AWS CDK

リソースは、アプリケーションで使用するために設定 AWS のサービスしたものです。リソースはの機能です AWS CloudFormation。 AWS CloudFormation テンプレートでリソースとそのプロパティを設定することで、にデプロイ AWS CloudFormation してリソースをプロビジョニングできます。では AWS Cloud Development Kit (AWS CDK)、コンストラクトを使用してリソースを設定できます。次に、CDKアプリケーションをデプロイします。これには、 AWS CloudFormation テンプレートを合成し、にデプロイ AWS CloudFormation してリソースをプロビジョニングします。

コンストラクトを使用したリソースの設定

で説明されているようにAWS CDK 構築、 AWS CDK は、すべての AWS リソースを表すコンストラクト AWS と呼ばれるコンストラクトのリッチクラスライブラリを提供します。

対応するコンストラクトを使用してリソースのインスタンスを作成するには、スコープを最初の引数、コンストラクトの論理 ID、および一連の設定プロパティ (props) として渡します。例えば、Construct Library の sqs.Queue AWS コンストラクトを使用して AWS KMS 暗号化を使用して Amazon SQSキューを作成する方法を説明します。

一部の設定プロップはオプションであり、多くの場合デフォルト値があります。場合によっては、すべてのプロップはオプションであり、最後の引数は完全に省略できます。

リソース属性

AWS 構築ライブラリのほとんどのリソースは、デプロイ時にによって解決される属性を公開します AWS CloudFormation。属性は、タイプ名をプレフィックスとして、リソースクラスのプロパティの形式で公開されます。次の例は、 queueUrl (Python: queue_url) プロパティを使用して Amazon SQSキューURLのを取得する方法を示しています。

がデプロイタイム属性を文字列として AWS CDK エンコードする方法については、トークンと AWS CDK「」を参照してください。

リソースの参照

リソースを設定するときは、多くの場合、別のリソースのプロパティを参照する必要があります。次に例を示します。

Amazon Elastic Container Service (Amazon ECS) リソースでは、実行するクラスターへの参照が必要です。
Amazon CloudFront ディストリビューションには、ソースコードを含む Amazon Simple Storage Service (Amazon S3) バケットへの参照が必要です。

リソースは、次のいずれかの方法で参照できます。

同じスタックまたは別のスタックで、CDKアプリで定義されたリソースを渡す
AWS アカウントで定義されたリソースを参照し、リソースの一意の識別子 ( などARN) から作成されたプロキシオブジェクトを渡す

コンストラクトのプロパティが別のリソースのコンストラクトを表す場合、そのタイプはコンストラクトのインターフェイスタイプのものです。例えば、Amazon ECSコンストラクトは cluster型のプロパティを取得しますecs.ICluster。もう 1 つの例は、型のプロパティ sourceBucket (Python: source_bucket) を取得する CloudFront ディストリビューションコンストラクトですs3.IBucket。

同じ AWS CDK アプリで定義されている適切なタイプのリソースオブジェクトを直接渡すことができます。次の例では、Amazon ECSクラスターを定義し、それを使用して Amazon ECSサービスを定義します。

別のスタックのリソースの参照

同じアプリケーション内で定義され、同じ AWS 環境にある限り、別のスタックのリソースを参照できます。通常、次のパターンが使用されます。

コンストラクトへの参照を、リソースを生成するスタックの属性として保存します。（現在のコンストラクトのスタックへの参照を取得するには、を使用しますStack.of(this)。）
このリファレンスを、リソースをパラメータまたはプロパティとして消費するスタックのコンストラクターに渡します。次に、消費スタックは、それを必要とする任意のコンストラクトにプロパティとして渡します。

次の例では、スタックを定義しますstack1。このスタックは Amazon S3 バケットを定義し、バケットコンストラクトへの参照をスタックの属性として保存します。次に、アプリケーションはインスタンス化時にバケットstack2を受け入れる 2 番目のスタックを定義します。は、例えば、データストレージにバケットを使用する AWS Glue テーブルを定義するstack2場合があります。

リソースが同じ環境にあるが別のスタックにあるとが AWS CDK 判断した場合、は生成スタック内の AWS CloudFormation エクスポートと消費スタック内の Fn::ImportValue を自動的に合成して、その情報を 1 つのスタックから別のスタックに転送します。

依存関係のデッドロックの解決

別のスタック内の 1 つのスタックからリソースを参照すると、2 つのスタック間に依存関係が作成されます。これにより、正しい順序でデプロイされます。スタックがデプロイされると、この依存関係は具体的になります。その後、共有リソースを消費スタックから削除すると、予期しないデプロイ障害が発生する可能性があります。これは、2 つのスタック間に同じ順序でデプロイすることを強制する別の依存関係がある場合に発生します。また、最初にデプロイする CDK Toolkit によって生成スタックが単に選択されている場合、依存関係なしで発生する可能性があります。 AWS CloudFormation エクスポートは、不要になったため生成スタックから削除されますが、エクスポートされたリソースは、更新がまだデプロイされていないため、消費スタックでまだ使用されています。したがって、プロデューサースタックのデプロイは失敗します。

このデッドロックを解除するには、共有リソースの使用を消費スタックから削除します。（これにより、生成スタックから自動エクスポートが削除されます。）次に、自動生成されたエクスポートとまったく同じ論理 ID を使用して、生成スタックに同じエクスポートを手動で追加します。消費スタック内の共有リソースの使用を削除し、両方のスタックをデプロイします。次に、手動エクスポート (および不要になった場合は共有リソース) を削除し、両方のスタックを再度デプロイします。スタックの exportValue()メソッドは、この目的のために手動エクスポートを作成する便利な方法です。（リンクされたメソッドリファレンスの例を参照してください。）

AWS アカウントのリソースの参照

AWS CDK アプリの AWS アカウントで既に利用可能なリソースを使用するとします。これは、コンソール、、 AWS SDKを使用して直接 AWS CloudFormation、または別の AWS CDK アプリケーションで定義されたリソースである可能性があります。リソース ARN (または別の識別属性、または属性のグループ) をプロキシオブジェクトに変換できます。プロキシオブジェクトは、リソースのクラスで静的ファクトリメソッドを呼び出すことで、リソースへの参照として機能します。

このようなプロキシを作成すると、外部リソースはアプリケーションの一部にはなりません。 AWS CDK したがって、 AWS CDK アプリケーション内のプロキシに加えた変更は、デプロイされたリソースには影響しません。ただし、プロキシは、そのタイプのリソースを必要とする任意の AWS CDK メソッドに渡すことができます。

次の例は、arn:aws:s3::amzn-s3-demo-bucket1 ARN を持つ既存のバケットと、特定の ID VPCを持つ既存のに基づく Amazon Virtual Private Cloud に基づいてバケットを参照する方法を示しています。

TypeScript


// Construct a proxy for a bucket by its name (must be same account)
s3.Bucket.fromBucketName(this, 'amzn-s3-demo-bucket', 'amzn-s3-demo-bucket1');

// Construct a proxy for a bucket by its full ARN (can be another account)
s3.Bucket.fromBucketArn(this, 'amzn-s3-demo-bucket', 'arn:aws:s3:::amzn-s3-demo-bucket1');

// Construct a proxy for an existing VPC from its attribute(s)
ec2.Vpc.fromVpcAttributes(this, 'MyVpc', {
  vpcId: 'vpc-1234567890abcde',
});

JavaScript


// Construct a proxy for a bucket by its name (must be same account)
s3.Bucket.fromBucketName(this, 'amzn-s3-demo-bucket', 'amzn-s3-demo-bucket1');

// Construct a proxy for a bucket by its full ARN (can be another account)
s3.Bucket.fromBucketArn(this, 'amzn-s3-demo-bucket', 'arn:aws:s3:::amzn-s3-demo-bucket1');

// Construct a proxy for an existing VPC from its attribute(s)
ec2.Vpc.fromVpcAttributes(this, 'MyVpc', {
  vpcId: 'vpc-1234567890abcde'
});

Python


# Construct a proxy for a bucket by its name (must be same account)
s3.Bucket.from_bucket_name(self, "amzn-s3-demo-bucket", "amzn-s3-demo-bucket1")

# Construct a proxy for a bucket by its full ARN (can be another account)
s3.Bucket.from_bucket_arn(self, "amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket1")

# Construct a proxy for an existing VPC from its attribute(s)
ec2.Vpc.from_vpc_attributes(self, "MyVpc", vpc_id="vpc-1234567890abcdef")

Java


// Construct a proxy for a bucket by its name (must be same account)
Bucket.fromBucketName(this, "amzn-s3-demo-bucket", "amzn-s3-demo-bucket1");

// Construct a proxy for a bucket by its full ARN (can be another account)
Bucket.fromBucketArn(this, "amzn-s3-demo-bucket",
        "arn:aws:s3:::amzn-s3-demo-bucket1");

// Construct a proxy for an existing VPC from its attribute(s)
Vpc.fromVpcAttributes(this, "MyVpc", VpcAttributes.builder()
        .vpcId("vpc-1234567890abcdef").build());

C#


// Construct a proxy for a bucket by its name (must be same account)
Bucket.FromBucketName(this, "amzn-s3-demo-bucket", "amzn-s3-demo-bucket1");

// Construct a proxy for a bucket by its full ARN (can be another account)
Bucket.FromBucketArn(this, "amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket1");

// Construct a proxy for an existing VPC from its attribute(s)
Vpc.FromVpcAttributes(this, "MyVpc", new VpcAttributes
{ 
    VpcId = "vpc-1234567890abcdef" 
});

Go


// Define a proxy for a bucket by its name (must be same account)
s3.Bucket_FromBucketName(stack, jsii.String("amzn-s3-demo-bucket"), jsii.String("amzn-s3-demo-bucket1"))

// Define a proxy for a bucket by its full ARN (can be another account)
s3.Bucket_FromBucketArn(stack, jsii.String("amzn-s3-demo-bucket"), jsii.String("arn:aws:s3:::amzn-s3-demo-bucket1"))

// Define a proxy for an existing VPC from its attributes
ec2.Vpc_FromVpcAttributes(stack, jsii.String("MyVpc"), &ec2.VpcAttributes{
  VpcId: jsii.String("vpc-1234567890abcde"),
})

Vpc.fromLookup() メソッドを詳しく見てみましょう。ec2.Vpc コンストラクトは複雑なため、CDKアプリで使用する VPC を選択する方法は多数あります。これに対処するために、 VPC コンストラクトにはfromLookup静的メソッド (Python: from_lookup) があり、合成時に AWS アカウントをクエリVPCして目的の Amazon を検索できます。

を使用するにはVpc.fromLookup()、スタックを合成するシステムが Amazon を所有するアカウントにアクセスできる必要がありますVPC。これは、 CDK Toolkit がアカウントをクエリして、合成VPC時に適切な Amazon を見つけるためです。

さらに、は、明示的なアカウントとリージョンで定義されたスタックでのみVpc.fromLookup()機能します (「」を参照の環境 AWS CDK）。が環境に依存しないスタック VPCから Amazon を検索 AWS CDK しようとすると、 CDK ツールキットは、を検索するためにクエリする環境を知りませんVPC。

アカウントVPC内の AWS を一意に識別するのに十分なVpc.fromLookup()属性を指定する必要があります。例えば、デフォルトのは 1 つしかできないためVPC、デフォルトVPCとしてを指定すれば十分です。

tags プロパティを使用して、タグVPCsごとにクエリすることもできます。 AWS CloudFormation またはを使用して、作成VPC時に Amazon にタグを追加できます AWS CDK。 AWS Management Console、、またはを使用して AWS CLI、作成後にいつでもタグを編集できます AWS SDK。自分で追加したタグに加えて、は、作成するすべてのに次のタグ AWS CDK を自動的に追加VPCsします。

名前 – の名前VPC。
aws-cdk:subnet-name – サブネットの名前。
aws-cdk:subnet-type – サブネットのタイプ: Public、Private、または Isolated。

の結果Vpc.fromLookup()はプロジェクトのcdk.context.jsonファイルにキャッシュされます。(「コンテキスト値と AWS CDK」を参照してください。) アプリが同じ Amazon を引き続き参照できるように、このファイルをバージョン管理にコミットしますVPC。これは、後での属性を変更して、別の属性が選択されVPCsるようにしても機能VPCします。これは、CDKパイプラインなどのを定義する AWS アカウントにアクセスできない環境にスタックをデプロイする場合VPCに特に重要です。

外部リソースは、 AWS CDK アプリで定義された同様のリソースを使用する場所であればどこでも使用できますが、変更することはできません。例えば、外部で addToResourcePolicy (Python: add_to_resource_policy) を呼び出すs3.Bucketと何も行われません。

リソースの物理名

のリソースの論理名 AWS CloudFormation は、 AWS Management Console によってデプロイされた後に表示されるリソース名とは異なります AWS CloudFormation。は、これらの最終名の物理名 を AWS CDK 呼び出します。

例えば、前の例Stack2amzn-s3-demo-bucket4DD88B4Fの論理 ID と物理名を使用して Amazon S3 バケットを作成する AWS CloudFormation としますstack2amzn-s3-demo-bucket4dd88b4f-iuv1rbv9z3to。

プロパティを使用して、リソースを表すコンストラクトを作成するときに物理名を指定できます。<resourceType>名前。次の例では、物理名の Amazon S3 バケットを作成しますamzn-s3-demo-bucket。

リソースに物理名を割り当てると、にいくつかの欠点があります AWS CloudFormation。最も重要なのは、リソースの作成後に変更できないリソースのプロパティの変更など、リソースの置き換えを必要とするデプロイされたリソースへの変更は、リソースに物理名が割り当てられている場合に失敗することです。その状態になった場合、唯一の解決策は AWS CloudFormation スタックを削除し、 AWS CDK アプリケーションを再デプロイすることです。詳細については、AWS CloudFormation ドキュメントを参照してください。

環境間の参照を使用して AWS CDK アプリケーションを作成する場合など、が正しく機能 AWS CDK するには物理名が必要です。このような場合、自分で物理名を思いつきたくない場合は、 AWS CDK その名前を自分に任せることができます。そのためには、PhysicalName.GENERATE_IF_NEEDED次のように特別な値を使用します。

一意のリソース識別子を渡す

可能な限り、前のセクションで説明したように、リソースをリファレンスで渡す必要があります。ただし、その属性の 1 つでリソースを参照する以外に選択肢がない場合があります。ユースケースの例は次のとおりです。

低レベルの AWS CloudFormation リソースを使用している場合。
環境変数を介して Lambda 関数を参照する場合など、 AWS CDK アプリケーションのランタイムコンポーネントにリソースを公開する必要がある場合。

これらの識別子は、次のようなリソースの属性として使用できます。

次の例は、生成されたバケット名を AWS Lambda 関数に渡す方法を示しています。

リソース間のアクセス許可の付与

高レベルのコンストラクトは、アクセス許可要件を表現APIsするためにシンプルでインテントベースのものを提供することで、最小権限のアクセス許可を実現できます。例えば、多くの L2 コンストラクトは、アクセス許可ステートメントを手動で作成しなくても、リソースを操作するアクセス許可をエンティティ (IAMロールやユーザーなど) に付与するために使用できるIAM付与方法を提供します。

次の例では、Lambda 関数の実行ロールが特定の Amazon S3 バケットにオブジェクトを読み書きすることを許可するアクセス許可を作成します。Amazon S3 バケットが AWS KMS キーで暗号化されている場合、このメソッドは Lambda 関数の実行ロールにキーで復号するためのアクセス許可も付与します。

許可メソッドは iam.Grant オブジェクトを返します。Grant オブジェクトの success 属性を使用して、グラントが効果的に適用された (例えば、外部リソースに適用されていない) かどうかを判断します。Grant オブジェクトの assertSuccess (Python: assert_success) メソッドを使用して、グラントが正常に適用されたことを強制することもできます。

特定のグラントメソッドが特定のユースケースで利用できない場合は、汎用グラントメソッドを使用して、指定されたアクションのリストで新しいグラントを定義できます。

次の例は、Lambda 関数に Amazon DynamoDB CreateBackupアクションへのアクセスを許可する方法を示しています。

Lambda 関数などの多くのリソースでは、コードの実行時にロールを引き受ける必要があります。設定プロパティを使用すると、を指定できますiam.IRole。ロールが指定されていない場合、関数はこの用途専用のロールを自動的に作成します。その後、リソースで許可メソッドを使用して、ロールにステートメントを追加できます。

付与メソッドは、IAMポリシーでの処理APIsに下位レベルを使用して構築されます。ポリシーはPolicyDocumentオブジェクトとしてモデル化されます。addToRolePolicy メソッド (Python: ) を使用してロール (またはコンストラクトのアタッチされたロールadd_to_role_policy) に直接、または addToResourcePolicy (Python: ) メソッドを使用してリソースのポリシー (Bucketポリシーなどadd_to_resource_policy) にステートメントを追加します。

リソースメトリクスとアラーム

多くのリソースは、モニタリングダッシュボードとアラームの設定に使用できる CloudWatch メトリクスを出力します。高レベルのコンストラクトには、使用する正しい名前を検索せずにメトリクスにアクセスできるメトリクスメソッドがあります。

次の例は、Amazon SQSキューApproximateNumberOfMessagesNotVisibleのが 100 を超えたときにアラームを定義する方法を示しています。

TypeScript


import * as cw from '@aws-cdk/aws-cloudwatch';
import * as sqs from '@aws-cdk/aws-sqs';
import { Duration } from '@aws-cdk/core';

const queue = new sqs.Queue(this, 'MyQueue');

const metric = queue.metricApproximateNumberOfMessagesNotVisible({
  label: 'Messages Visible (Approx)',
  period: Duration.minutes(5),
  // ...
});
metric.createAlarm(this, 'TooManyMessagesAlarm', {
  comparisonOperator: cw.ComparisonOperator.GREATER_THAN_THRESHOLD,
  threshold: 100,
  // ...
});

JavaScript


const cw = require('@aws-cdk/aws-cloudwatch');
const sqs = require('@aws-cdk/aws-sqs');
const { Duration } = require('@aws-cdk/core');

const queue = new sqs.Queue(this, 'MyQueue');

const metric = queue.metricApproximateNumberOfMessagesNotVisible({
  label: 'Messages Visible (Approx)',
  period: Duration.minutes(5)
  // ...
});
metric.createAlarm(this, 'TooManyMessagesAlarm', {
  comparisonOperator: cw.ComparisonOperator.GREATER_THAN_THRESHOLD,
  threshold: 100
  // ...
});

Python


import aws_cdk.aws_cloudwatch as cw
import aws_cdk.aws_sqs as sqs
from aws_cdk.core import Duration

queue = sqs.Queue(self, "MyQueue")
metric = queue.metric_approximate_number_of_messages_not_visible(
    label="Messages Visible (Approx)",
    period=Duration.minutes(5),
    # ...
)
metric.create_alarm(self, "TooManyMessagesAlarm",
    comparison_operator=cw.ComparisonOperator.GREATER_THAN_THRESHOLD,
    threshold=100,
    # ...
)

Java


import software.amazon.awscdk.core.Duration;
import software.amazon.awscdk.services.sqs.Queue;
import software.amazon.awscdk.services.cloudwatch.Metric;
import software.amazon.awscdk.services.cloudwatch.MetricOptions;
import software.amazon.awscdk.services.cloudwatch.CreateAlarmOptions;
import software.amazon.awscdk.services.cloudwatch.ComparisonOperator;

Queue queue = new Queue(this, "MyQueue");

Metric metric = queue
        .metricApproximateNumberOfMessagesNotVisible(MetricOptions.builder()
                .label("Messages Visible (Approx)")
                .period(Duration.minutes(5)).build());

metric.createAlarm(this, "TooManyMessagesAlarm", CreateAlarmOptions.builder()
                .comparisonOperator(ComparisonOperator.GREATER_THAN_THRESHOLD)
                .threshold(100)
                // ...
                .build());

C#


using cdk = Amazon.CDK;
using cw = Amazon.CDK.AWS.CloudWatch;
using sqs = Amazon.CDK.AWS.SQS;

var queue = new sqs.Queue(this, "MyQueue");
var metric = queue.MetricApproximateNumberOfMessagesNotVisible(new cw.MetricOptions
{
    Label = "Messages Visible (Approx)",
    Period = cdk.Duration.Minutes(5),
    // ...
});
metric.CreateAlarm(this, "TooManyMessagesAlarm", new cw.CreateAlarmOptions
{
    ComparisonOperator = cw.ComparisonOperator.GREATER_THAN_THRESHOLD,
    Threshold = 100,
    // ..
});

Go


import (
  "github.com/aws/aws-cdk-go/awscdk/v2"
  "github.com/aws/jsii-runtime-go"
  cw "github.com/aws/aws-cdk-go/awscdk/v2/awscloudwatch"
  sqs "github.com/aws/aws-cdk-go/awscdk/v2/awssqs"
)

queue := sqs.NewQueue(this, jsii.String("MyQueue"), &sqs.QueueProps{})
metric := queue.MetricApproximateNumberOfMessagesNotVisible(&cw.MetricOptions{
  Label: jsii.String("Messages Visible (Approx)"),
  Period: awscdk.Duration_Minutes(jsii.Number(5)),
})

metric.CreateAlarm(this, jsii.String("TooManyMessagesAlarm"), &cw.CreateAlarmOptions{
  ComparisonOperator: cw.ComparisonOperator_GREATER_THAN_THRESHOLD,
  Threshold: jsii.Number(100),
})

特定のメトリクスにメソッドがない場合は、一般的なメトリクスメソッドを使用してメトリクス名を手動で指定できます。

メトリクスを CloudWatch ダッシュボードに追加することもできます。「」を参照してくださいCloudWatch。

ネットワークトラフィック

多くの場合、コンピューティングインフラストラクチャが永続化レイヤーにアクセスする必要がある場合など、アプリケーションが機能するようにネットワークに対するアクセス許可を有効にする必要があります。接続を確立またはリッスンするリソースは、セキュリティグループルールやネットワークの設定など、トラフィックフローを有効にするメソッドを公開しますACLs。

IConnectable リソースには、ネットワークトラフィックルール設定のゲートウェイである connections プロパティがあります。

allow メソッドを使用して、特定のネットワークパスでデータをフローできるようにします。次の例では、Amazon EC2 Auto Scaling グループからのウェブHTTPS接続と受信接続を有効にしますfleet2。

TypeScript


import * as asg from '@aws-cdk/aws-autoscaling';
import * as ec2 from '@aws-cdk/aws-ec2';

const fleet1: asg.AutoScalingGroup = asg.AutoScalingGroup(/*...*/);

// Allow surfing the (secure) web
fleet1.connections.allowTo(new ec2.Peer.anyIpv4(), new ec2.Port({ fromPort: 443, toPort: 443 }));

const fleet2: asg.AutoScalingGroup = asg.AutoScalingGroup(/*...*/);
fleet1.connections.allowFrom(fleet2, ec2.Port.AllTraffic());

JavaScript


const asg = require('@aws-cdk/aws-autoscaling');
const ec2 = require('@aws-cdk/aws-ec2');

const fleet1 = asg.AutoScalingGroup();

// Allow surfing the (secure) web
fleet1.connections.allowTo(new ec2.Peer.anyIpv4(), new ec2.Port({ fromPort: 443, toPort: 443 }));

const fleet2 = asg.AutoScalingGroup();
fleet1.connections.allowFrom(fleet2, ec2.Port.AllTraffic());

Python


import aws_cdk.aws_autoscaling as asg
import aws_cdk.aws_ec2 as ec2

fleet1 = asg.AutoScalingGroup( ... )

# Allow surfing the (secure) web
fleet1.connections.allow_to(ec2.Peer.any_ipv4(), 
  ec2.Port(PortProps(from_port=443, to_port=443)))

fleet2 = asg.AutoScalingGroup( ... )
fleet1.connections.allow_from(fleet2, ec2.Port.all_traffic())

Java


import software.amazon.awscdk.services.autoscaling.AutoScalingGroup;
import software.amazon.awscdk.services.ec2.Peer;
import software.amazon.awscdk.services.ec2.Port;

AutoScalingGroup fleet1 = AutoScalingGroup.Builder.create(this, "MyFleet")
        /* ... */.build();

// Allow surfing the (secure) Web
fleet1.getConnections().allowTo(Peer.anyIpv4(),
        Port.Builder.create().fromPort(443).toPort(443).build());

AutoScalingGroup fleet2 = AutoScalingGroup.Builder.create(this, "MyFleet2")
        /* ... */.build();
fleet1.getConnections().allowFrom(fleet2, Port.allTraffic());

C#


using cdk = Amazon.CDK;
using asg = Amazon.CDK.AWS.AutoScaling;
using ec2 = Amazon.CDK.AWS.EC2;

// Allow surfing the (secure) Web
var fleet1 = new asg.AutoScalingGroup(this, "MyFleet", new asg.AutoScalingGroupProps { /* ... */ });
fleet1.Connections.AllowTo(ec2.Peer.AnyIpv4(), new ec2.Port(new ec2.PortProps 
  { FromPort = 443, ToPort = 443 });

var fleet2 = new asg.AutoScalingGroup(this, "MyFleet2", new asg.AutoScalingGroupProps { /* ... */ });
fleet1.Connections.AllowFrom(fleet2, ec2.Port.AllTraffic());

Go


import (
  "github.com/aws/aws-cdk-go/awscdk/v2"
  "github.com/aws/jsii-runtime-go"
  autoscaling "github.com/aws/aws-cdk-go/awscdk/v2/awsautoscaling"
  ec2 "github.com/aws/aws-cdk-go/awscdk/v2/awsec2"
)

fleet1 := autoscaling.NewAutoScalingGroup(this, jsii.String("MyFleet1"), &autoscaling.AutoScalingGroupProps{})
fleet1.Connections().AllowTo(ec2.Peer_AnyIpv4(),ec2.NewPort(&ec2.PortProps{ FromPort: jsii.Number(443), ToPort: jsii.Number(443) }),jsii.String("secure web"))

fleet2 := autoscaling.NewAutoScalingGroup(this, jsii.String("MyFleet2"), &autoscaling.AutoScalingGroupProps{}) 
fleet1.Connections().AllowFrom(fleet2, ec2.Port_AllTraffic(),jsii.String("all traffic"))

特定のリソースには、デフォルトのポートが関連付けられています。例としては、パブリックポートのロードバランサーのリスナーや、データベースエンジンが Amazon RDS データベースのインスタンスの接続を受け入れるポートなどがあります。このような場合は、ポートを手動で指定しなくても、厳密なネットワーク制御を適用できます。これを行うには、 allowDefaultPortFrom および allowToDefaultPortメソッド (Python: allow_default_port_from、) を使用しますallow_to_default_port。

次の例は、任意のIPV4アドレスから接続を有効にし、Auto Scaling グループからデータベースにアクセスするための接続を有効にする方法を示しています。

イベント処理

一部のリソースはイベントソースとして機能します。addEventNotification メソッド (Python: add_event_notification) を使用して、リソースによって出力される特定のイベントタイプにイベントターゲットを登録します。これに加えて、 addXxxNotificationメソッドは一般的なイベントタイプにハンドラーを簡単に登録する方法を提供します。

次の例は、オブジェクトが Amazon S3 バケットに追加されると Lambda 関数をトリガーする方法を示しています。

削除ポリシー

データベース、Amazon S3 バケット、Amazon ECR レジストリなどの永続データを維持するリソースには、削除ポリシー があります。削除ポリシーは、永続オブジェクトを含むスタックが破棄されたときに AWS CDK 永続オブジェクトを削除するかどうかを示します。削除ポリシーを指定する値は、モジュールのRemovalPolicy列挙 AWS CDK coreを通じて使用できます。

注記

データを継続的に保存するリソース以外のリソースには、別の目的removalPolicyで使用されるがある場合があります。例えば、Lambda 関数バージョンは removalPolicy 属性を使用して、新しいバージョンがデプロイされたときに特定のバージョンが保持されているかどうかを判断します。これらは、Amazon S3 バケットまたは DynamoDB テーブルの削除ポリシーとは異なる意味とデフォルトを持ちます。

値	意味
`RemovalPolicy.RETAIN`	スタックを破棄するときは、リソースの内容を保持します (デフォルト）。リソースはスタックから孤立しているため、手動で削除する必要があります。リソースがまだ存在する間にスタックを再デプロイしようとすると、名前の競合によりエラーメッセージが表示されます。
`RemovalPolicy.DESTROY`	リソースはスタックとともに破棄されます。

AWS CloudFormation は、削除ポリシーがに設定されている場合でも、ファイルを含む Amazon S3 バケットを削除しませんDESTROY。試行は AWS CloudFormation エラーです。バケットからすべてのファイル AWS CDK を削除してから破棄するには、バケットの autoDeleteObjectsプロパティをに設定しますtrue。

以下に、 RemovalPolicy DESTROYおよびをに設定して Amazon S3 バケットを作成する例を示しますtrue。 autoDeleteOjbects

TypeScript


import * as cdk from '@aws-cdk/core';
import * as s3 from '@aws-cdk/aws-s3';
  
export class CdkTestStack extends cdk.Stack {
  constructor(scope: cdk.Construct, id: string, props?: cdk.StackProps) {
    super(scope, id, props);
  
    const bucket = new s3.Bucket(this, 'Bucket', {
      removalPolicy: cdk.RemovalPolicy.DESTROY,
      autoDeleteObjects: true
    });
  }
}

JavaScript


const cdk = require('@aws-cdk/core');
const s3 = require('@aws-cdk/aws-s3');
  
class CdkTestStack extends cdk.Stack {
  constructor(scope, id, props) {
    super(scope, id, props);
  
    const bucket = new s3.Bucket(this, 'Bucket', {
      removalPolicy: cdk.RemovalPolicy.DESTROY,
      autoDeleteObjects: true
    });
  }
}

module.exports = { CdkTestStack }

Python


import aws_cdk.core as cdk
import aws_cdk.aws_s3 as s3

class CdkTestStack(cdk.stack):
    def __init__(self, scope: cdk.Construct, id: str, **kwargs):
        super().__init__(scope, id, **kwargs)
        
        bucket = s3.Bucket(self, "Bucket",
            removal_policy=cdk.RemovalPolicy.DESTROY,
            auto_delete_objects=True)

Java


software.amazon.awscdk.core.*;
import software.amazon.awscdk.services.s3.*;

public class CdkTestStack extends Stack {
    public CdkTestStack(final Construct scope, final String id) {
        this(scope, id, null);
    }

    public CdkTestStack(final Construct scope, final String id, final StackProps props) {
        super(scope, id, props);

        Bucket.Builder.create(this, "Bucket")
                .removalPolicy(RemovalPolicy.DESTROY)
                .autoDeleteObjects(true).build();
    }
}

C#


using Amazon.CDK;
using Amazon.CDK.AWS.S3;

public CdkTestStack(Construct scope, string id, IStackProps props) : base(scope, id, props)
{
    new Bucket(this, "Bucket", new BucketProps {
        RemovalPolicy = RemovalPolicy.DESTROY,
        AutoDeleteObjects = true
    });
}

Go


import (
  "github.com/aws/aws-cdk-go/awscdk/v2"
  "github.com/aws/jsii-runtime-go"
  s3 "github.com/aws/aws-cdk-go/awscdk/v2/awss3"
)

s3.NewBucket(this, jsii.String("Bucket"), &s3.BucketProps{
  RemovalPolicy: awscdk.RemovalPolicy_DESTROY,
  AutoDeleteObjects: jsii.Bool(true),
})

削除ポリシーは、 applyRemovalPolicy()メソッドを使用して基盤となる AWS CloudFormation リソースに直接適用することもできます。このメソッドは、L2 リソースの props に removalPolicy プロパティを持たないステートフルリソースで使用できます。次に例を示します。

AWS CloudFormation スタック
Amazon Cognito ユーザープール
Amazon DocumentDB データベースインスタンス
Amazon EC2ボリューム
Amazon OpenSearch Service ドメイン
Amazon FSx ファイルシステム
Amazon SQSキュー

注記

AWS CDKのは、 AWS CloudFormationの RemovalPolicyに変換されますDeletionPolicy。ただし、のデフォルト AWS CDK はデータを保持することです。これは AWS CloudFormation デフォルトとは逆です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ブートストラッピング

識別子