Obter valores armazenados em outros serviços usando referências dinâmicas

As referências dinâmicas fornecem uma maneira conveniente de especificar valores externos armazenados e gerenciados em outros serviços e dissociar informações confidenciais de seus modelos de infraestrutura como código. O CloudFormation recupera o valor da referência especificada quando necessário durante operações de pilha e conjunto de alterações.

Com as referências dinâmicas, é possível:

Usar strings seguras: para dados confidenciais, sempre use parâmetros de strings seguros no AWS Systems Manager Parameter Store ou segredos no AWS Secrets Manager para garantir que seus dados sejam criptografados em repouso.
Limitar o acesso: restrinja o acesso aos parâmetros do Parameter Store ou aos segredos do Secrets Manager somente a entidades principais e perfis autorizados.
Faça a rotação das credenciais: faça regularmente a rotação dos seus dados confidenciais armazenados no Parameter Store ou no Secrets Manager para manter um alto nível de segurança.
Automatize a rotação: use os recursos de rotação automática do Secrets Manager para atualizar e distribuir periodicamente seus dados confidenciais em seus ambientes e aplicações.

Considerações gerais

Antes de especificar referências dinâmicas em seus modelos do CloudFormation, leve em conta as seguintes considerações gerais:

Evite referências dinâmicas, ou dados confidenciais, nas propriedades do recurso que fazem parte do identificador primário de um recurso. O CloudFormation pode usar o valor em texto simples real no identificador do recurso primário, o que pode ser um risco à segurança. Esse ID de recurso pode aparecer em quaisquer saídas ou destinos derivados.

Para determinar quais propriedades de recursos compreendem o identificador primário de um tipo de recurso, consulte a documentação de referência de recursos desse recurso em Referência de tipos de propriedades e recursos da AWS. Na seção Return values (Valores de retorno), o valor de retorno da função Ref representa as propriedades do recurso que compõem o identificador primário do tipo de recurso.
Você pode incluir até 60 referências dinâmicas em um modelo de pilha.
Se você estiver usando transformações (como AWS::Include ou AWS::Serverless), o CloudFormation não resolverá referências dinâmicas antes de aplicar a transformação. Em vez disso, ele passa a string literal da referência dinâmica para a transformação e resolve as referências quando você executa o conjunto de alterações usando esse modelo.
Não é possível usar referências dinâmicas para valores seguros (como aqueles armazenados no Parameter Store ou no Secrets Manager) em recursos personalizados.
Não crie uma referência dinâmica que termine com uma barra invertida (\). O CloudFormation não consegue resolver essas referências, o que fará com que as operações de pilha falhem.

Os tópicos a seguir fornecem informações e outras considerações sobre o uso de referências dinâmicas.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Propriedades somente gravação de AWS::Lambda::Function

Obter valor em texto simples do Systems Manager