AWS CDK CLI 参考 - AWS Cloud Development Kit (AWS CDK) v2
CDK CLI 命令指定选项及其值内置帮助版本报告使用进行身份验证 AWS指定区域和其他配置指定应用程序命令指定堆栈引导您的环境 AWS创建新应用程序列出堆栈合成堆栈部署堆栈比较堆栈将现有资源导入到堆栈中配置 (cdk.json)

这是 AWS CDK v2 开发者指南。较旧的 CDK v1 于 2022 年 6 月 1 日进入维护阶段,并于 2023 年 6 月 1 日终止支持。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS CDK CLI 参考

AWS Cloud Development Kit (AWS CDK) 命令行界面 (AWS CDK CLI),也称为 CDK Toolkit,是与您的 AWS CDK 应用程序交互的主要工具。它执行您的应用程序,查询您定义的应用程序模型,并生成和部署由生成的 AWS CloudFormation 模板。 AWS CDK它还提供了其他可用于创建和处理 AWS CDK 项目的功能。本主题包含有关常见用例的信息 CDK CLI.

这些区域有:CDKCLI 与 Node Package Manager 一起安装。大多数情况下,我们建议在全局范围内安装。

npm install -g aws-cdk             # install latest version
npm install -g aws-cdk@X.YY.Z      # install specific version
提示

如果您经常使用多个版本的 AWS CDK,请考虑安装匹配版本的 CDK CLI 在个人CDK项目中。为此,请在 npm install 命令中省略 -g。然后使用 npx aws-cdk 来调用它。如果存在本地版本,则运行本地版本;如果不存在,则回退到全局版本。

CDK CLI 命令

所有 CDK CLI 命令以开头cdk,后面是子命令(listsynthesizedeploy、等)。一些子命令具有等效的简短版本(lssynth 等)。选项和参数按任意顺序跟在子命令之后。

有关所有子命令、选项和参数的说明,请参阅 AWS CDK CLI   命令参考

指定选项及其值

命令行选项以两个连字符 (--) 开头。一些常用的选项具有以单个连字符开头的单字母同义词(例如,--app 具有同义词 -a)。选项在中的顺序 CDK CLI 命令并不重要。

所有选项都接受一个值,该值必须跟在选项名称之后。该值可以用空格或等号 = 与名称隔开。以下两个选项是等效的。

--toolkit-stack-name MyBootstrapStack
--toolkit-stack-name=MyBootstrapStack

有些选项是标志(布尔值)。您可以指定 truefalse 作为它们的值。如果您未提供值,则该值被认为是 true。您还可以在选项名称前加上前缀 no- 来表示 false

# sets staging flag to true
--staging
--staging=true
--staging true

# sets staging flag to false
--no-staging
--staging=false
--staging false

您可以多次指定几个选项(即 --context--parameters--plugin--tags--trust)以指定多个值。这些被注明为有[array]打字的 CDK CLI 救命。例如:

cdk bootstrap --tags costCenter=0123 --tags responsibleParty=jdoe

内置帮助

这些区域有:CDKCLI 已集成帮助。您可以通过发出以下命令来查看有关实用程序的一般帮助和所提供的子命令列表:

cdk --help

要查看特定子命令(例如 deploy)的帮助,请在 --help 标志之前指定该子命令。

cdk deploy --help

显示版本的问题 cdk version CDK CLI。 在请求支持时提供此信息。

版本报告

为了深入了解 AWS CDK 是如何使用的, AWS CDK 应用程序使用的构造是通过使用标识为AWS::CDK::Metadata的资源来收集和报告的。此资源已添加到 AWS CloudFormation 模板中,可以轻松查看。这些信息还可用于使用存在已知安全或可靠性问题的结构来识别堆栈。 AWS 它还可用于与用户联系以提供重要信息。

注意

在 1.93.0 版本之前, AWS CDK 报告的是合成期间加载的模块的名称和版本,而不是堆栈中使用的构造。

默认情况下,会 AWS CDK 报告堆栈中使用的以下NPM模块中构造的使用情况:

  • AWS CDK 核心模块

  • AWS 构造库模块

  • AWS 解决方案构造模块

  • AWS 渲染农场部署套件模块

AWS::CDK::Metadata 资源看起来如下所示。

CDKMetadata:
  Type: "AWS::CDK::Metadata"
  Properties:
    Analytics: "v2:deflate64:H4sIAND9SGAAAzXKSw5AMBAA0L1b2PdzBYnEAdio3RglglY60zQi7u6TWL/XKmNUlxeQSOKwaPTBqrNhwEWU3hGHiCzK0dWWfAxoL/Fd8mvk+QkS/0X6BdjnCdgmOOQKWz+AqqLDt2Y3YMnLYWwAAAA="

Analytics 属性是堆栈中构造的 gzip、base64 编码、前缀编码列表。

选择退出版本报告

您可以通过以下方式选择退出版本报告 CDK CLI 或者通过配置项目的cdk.json文件。

要选择退出版本报告,请使用 CDK CLI

  • 将该--no-version-reporting选项与任何 CDK CLI 命令选择退出单个命令。以下是模板合成期间选择退出的示例:

    $ cdk synth --no-version-reporting

    由于运行时会自动 AWS CDK 合成模板cdk deploy,因此您还应--no-version-reporting使用该cdk deploy命令。

通过配置 cdk.json 文件选择退出版本报告

  • ./cdk.json~/.cdk.json 中将 versionReporting 设置为 false 默认情况下,这会让您选择退出。以下是示例:

    {
  "app": "...",
  "versionReporting": false
}

    配置完成后,您可以覆盖这一行为,通过在单个命令中指定 --version-reporting 来选择加入。

注意

当您选择退出版本报告时, AWS CDK 将不会收集或报告有关您正在使用的构造的数据。因此, AWS CDK 将无法识别您是否受到安全问题的影响,也不会向您发送有关这些问题的通知。

使用进行身份验证 AWS

您可以通过不同的方式配置对 AWS 资源的编程访问权限,具体取决于环境和可用的 AWS 访问权限。

选择您的身份验证方法并将其配置为 CDK CLI,请参阅 为 AWS CDKCLI 配置安全凭证

对于在本地开发的新用户,如果雇主没有向他们提供身份验证方法,推荐的方法是设置 AWS IAM Identity Center。此方法包括安装 AWS CLI 以便于配置和定期登录 AWS 访问门户。如果您选择此方法,则在完成AWS SDKs和工具参考指南中的 Identity Cent er IAM 身份验证过程后,您的环境应包含以下元素:

  • AWS CLI,用于在运行应用程序之前启动 AWS 访问门户会话。

  • 共享 AWSconfig 文件,其 [default] 配置文件包含一组可从 AWS CDK中引用的配置值。要查找此文件的位置,请参阅AWS SDKs和工具参考指南中的共享文件的位置

  • 共享 config 文件设置了 region 设置。这会设置默认 AWS 区域 值 AWS CDK 和 CDK CLI 用于 AWS 请求。

  • 这些区域有:CDKCLI 在向发送请求之前,使用配置文件的SSO令牌提供者配置来获取凭证 AWS。该sso_role_name值是与 Ident IAM ity Center 权限集关联的IAM角色,应允许访问应用程序中的用户。 AWS 服务

    以下示例config文件显示了使用SSO令牌提供者配置设置的默认配置文件。配置文件的 sso_session 设置是指所指定的 sso-session。该sso-session部分包含启动 AWS 访问门户会话的设置。

    [default]
sso_session = my-sso
sso_account_id = 111122223333
sso_role_name = SampleRole
region = us-east-1
output = json

[sso-session my-sso]
sso_region = us-east-1
sso_start_url = https://provided-domain.awsapps.com/start
sso_registration_scopes = sso:account:access

启动 AWS 访问门户会话

在访问之前 AWS 服务,您需要进行有效的 AWS 访问门户会话才能访问 CDK CLI 使用IAM身份中心身份验证来解析凭证。根据您配置的会话时长,您的访问权限最终将过期,并且 CDK CLI 将遇到身份验证错误。在中运行以下命令登录 AWS CLI AWS 访问门户。

aws sso login

如果您的SSO令牌提供程序配置使用命名配置文件而不是默认配置文件,则命令为aws sso login --profile NAME。使用 --profile 选项或 AWS_PROFILE 环境变量发出 cdk 命令时,也应指定此配置文件。

要测试是否已有活动会话,请运行以下 AWS CLI 命令。

aws sts get-caller-identity

对此命令的响应应报告共享config文件中配置的 IAM Identity Center 帐户和权限集。

注意

如果您已经有一个有效的 AWS 访问门户会话并且aws sso login正在运行,则无需提供凭据。

登录过程可能会提示您允许 AWS CLI 访问您的数据。由于 AWS CLI 是在SDK适用于 Python 的基础上构建的,因此权限消息可能包含botocore名称的变体。

指定区域和其他配置

这些区域有:CDKCLI 需要知道您要部署到的 AWS 区域以及如何进行身份验证 AWS。这是部署操作以及合成期间检索上下文值所必需的。您的账户和区域共同构成了环境

您可以使用环境变量或在配置文件中指定区域。这些变量和文件与其他 AWS 工具(例如和各种)使用的变量 AWS CLI 和文件相同 AWS SDKs。这些区域有:CDKCLI 按以下顺序查找此信息。

  • AWS_DEFAULT_REGION 环境变量。

  • 在标准 AWS config文件中定义的命名配置文件,并使用cdk命令上的--profile选项指定。

  • 标准 AWS config文件的[default]部分。

除了在该[default]部分中指定 AWS 身份验证和区域外,您还可以添加一个或多个[profile NAME]部分,其中NAME是配置文件的名称。有关命名配置文件的更多信息,请参阅工具参考指南中的共享配置AWS SDKs和凭据文件

标准 AWS config文件位于 ~/.aws/config (macOS/Linux) 或 %USERPROFILE%\.aws\config (Windows)。有关详细信息和其他位置,请参阅《工具参考指南》和《工具参考指南》中的共享配置AWS SDKs和凭据文件的位置

合成过程中会使用您在 AWS CDK 应用程序中使用堆栈env属性指定的环境。它用于生成特定于环境的 AWS CloudFormation 模板,在部署期间,它会覆盖通过上述方法之一指定的账户或区域。有关更多信息,请参阅 AWS CDK 的环境

注意

AWS CDK 使用与其他 AWS 工具相同的源文件中的凭据SDKs,包括AWS Command Line Interface。但是,它们的行为 AWS CDK 可能与这些工具略有不同。它使用引擎盖 AWS SDK for JavaScript 下方。有关为设置凭据的完整详细信息 AWS SDK for JavaScript,请参阅设置凭据

您可以选择使用--role-arn(或-r)选项来ARN指定应用于部署的IAM角色。此角色必须由所使用的 AWS 账户担任。

指定应用程序命令

的许多功能 CDK CLI 需要合成一个或多个 AWS CloudFormation 模板,这反过来又需要运行您的应用程序。 AWS CDK 支持用多种语言编写的程序。因此,它使用配置选项来指定运行应用程序所需的确切命令。可通过以下两种方式指定此选项。

首先,也是最常见的,可以使用文件 cdk.json 中的 app 密钥进行指定。它位于 AWS CDK 项目的主目录中。这些区域有:CDKCLI 在使用创建新项目时提供了相应的命令cdk init。例如,以下是cdk.json来自一个新 TypeScript 项目的内容。

{
  "app": "npx ts-node bin/hello-cdk.ts"
}

这些区域有:CDKCLI 尝试运行应用程序时,会在当前工作目录cdk.json中查找。因此,你可以在项目的主目录中打开一个 shell 以供发布 CDK CLI 命令。

这些区域有:CDKCLI 如果找不到应用程序密钥,还会在~/.cdk.json(即你的主目录中)中查找它./cdk.json。如果您通常使用相同语言的CDK代码,则在此处添加 app 命令会很有用。

如果您位于其他目录中,或者要使用 cdk.json 之外的命令运行应用程序,请使用 --app(或 -a)选项进行指定。

cdk --app "npx ts-node bin/hello-cdk.ts" ls

部署时,您还可以将包含合成云程序集(例如 cdk.out)的目录指定为 --app 的值。指定的堆栈是从此目录部署的;应用程序不是合成的。

指定堆栈

很多 CDK CLI 命令(例如cdk deploy)适用于您的应用程序中定义的堆栈。如果您的应用程序仅包含一个堆栈,则 CDK CLI 如果你没有明确指定堆栈,则假设你的意思是那个。

否则,您必须指定要使用的堆栈。您可以通过在命令行上按 ID 单独指定所需的堆栈来实现此目的。请注意,ID 是实例化堆栈时第二个参数指定的值。

cdk synth PipelineStack LambdaStack

您也可以使用通配符来指定与模式IDs相匹配的内容。

  • ? 匹配任何单个字符

  • * 匹配任意数量的字符(* 单独匹配所有堆栈)

  • ** 匹配层次结构中的所有内容

您也可以使用 --all 选项来指定所有堆栈。

如果您的应用程序使用CDK流水线,CDKCLI 将你的堆栈和关卡理解为一个层次结构。此外,--all 选项和 * 通配符仅匹配顶级堆栈。要匹配所有堆栈,请使用 **。也可以使用 ** 来表示特定层次结构下的所有堆栈。

使用通配符时,请用引号将模式括起来,或者使用 \ 转义通配符。如果不这样做,Shell 可能会尝试将模式扩展为当前目录中的文件名。在最好的情况下,后果只是您未达到预期成果;但在最坏的情况下,您可能部署原本不打算部署的堆栈。在 Windows 上,这并不是绝对必要的,因为 cmd.exe 不会扩展通配符,但还是不错的做法。

cdk synth "*Stack"    # PipelineStack, LambdaStack, etc.
cdk synth 'Stack?'    # StackA, StackB, Stack1, etc.
cdk synth \*          # All stacks in the app, or all top-level stacks in a CDK Pipelines app
cdk synth '**'        # All stacks in a CDK Pipelines app
cdk synth 'PipelineStack/Prod/**'   # All stacks in Prod stage in a CDK Pipelines app
注意

您指定堆栈的顺序不一定是处理堆栈的顺序。这些区域有:CDKCLI 在决定堆栈的处理顺序时,会考虑堆栈之间的依赖关系。例如,假设一个堆栈使用另一个堆栈产生的值(例如第二个堆栈中定义ARN的资源的值)。在这种情况下,由于这种依赖关系,第二个堆栈会先于第一个堆栈合成。您可以使用堆栈的 addDependency() 方法在堆栈之间手动添加依赖关系。

引导您的环境 AWS

使用部署堆栈CDK需要配置特殊的专用 AWS CDK 资源。cdk bootstrap 命令会为您创建必要的资源。只有在部署需要这些专用资源的堆栈时,才需要引导。有关详细信息,请参阅AWS CDK 引导

cdk bootstrap

如果在没有参数的情况下发出(如下所示),则 cdk bootstrap 命令会合成当前应用程序并引导其堆栈将部署到的环境。如果应用程序包含与环境无关的堆栈(未明确指定环境),则会引导默认账户和区域,或者使用 --profile 指定的环境。

在应用程序之外,您必须明确指定要引导的环境。您也可以这样做来引导未在您的应用程序或本地 AWS 配置文件中指定的环境。您必须为指定的账户和区域配置凭证(例如,在 ~/.aws/credentials 中)。您可以指定包含所需凭证的配置文件。

cdk bootstrap ACCOUNT-NUMBER/REGION # e.g.
cdk bootstrap 1111111111/us-east-1
cdk bootstrap --profile test 1111111111/us-east-1
重要

必须单独引导此类堆栈部署到的每个环境(账户/区域组合)。

您可能会因为在引导资源中 AWS CDK 存储的内容而产生 AWS 费用。此外,如果您使用-bootstrap-customer-key,则会创建一个AWSKMS密钥,这也会对每个环境产生费用。

注意

默认情况下,早期版本的引导模板会创建KMS密钥。为避免产生费用,请使用 --no-bootstrap-customer-key 重新引导。

注意

CDK CLI v2 不支持默认与 v1 一起使用的原始引导模板(称为旧版模板)。CDK

重要

现代引导模板可以有效地向--trust列表中的任何 AWS 账户授--cloudformation-execution-policies予隐含的权限。默认情况下,这会扩展对引导账户中任何资源的读取和写入权限。请务必使用您熟悉的策略和可信账户来配置引导堆栈

创建新应用程序

要创建新应用程序,请为其创建一个目录,然后在该目录内发出 cdk init

mkdir my-cdk-app
cd my-cdk-app
cdk init TEMPLATE --language LANGUAGE

支持的语言 (LANGUAGE) 有:

代码

语言

typescript

TypeScript

javascript

JavaScript

python

Python

java

Java

csharp

C#

TEMPLATE是一个可选模板。如果所需的模板是 app(默认值),则可以省略它。可用的模板包括:

模板

描述

app(默认)

创建一个空 AWS CDK 应用程序。

sample-app

使用包含亚马逊SQS队列和亚马逊SNS主题的堆栈创建 AWS CDK 应用程序。

模板使用项目文件夹的名称来生成新应用程序中的文件和类的名称。

列出堆栈

要查看 AWS CDK 应用程序IDs中的堆栈列表,请输入以下等效命令之一:

cdk list
cdk ls

如果您的应用程序包含CDK流水线堆栈,则 CDK CLI 根据堆栈名称在管道层次结构中的位置将堆栈名称显示为路径。(例如 PipelineStackPipelineStack/ProdPipelineStack/Prod/MyService。)

如果您的应用程序包含许多堆栈,则可以指定要列出的堆栈IDs的全部或部分堆栈。有关更多信息,请参阅 指定堆栈

添加--long标志以查看有关堆栈的更多信息,包括堆栈名称及其环境(AWS 账户和区域)。

合成堆栈

cdk synthesize命令(几乎总是缩写synth)将应用程序中定义的堆栈合成一个 CloudFormation 模板。

cdk synth         # if app contains only one stack
cdk synth MyStack
cdk synth Stack1 Stack2
cdk synth "*"     # all stacks in app
注意

这些区域有:CDKCLI 实际上是在大多数操作(例如部署或比较堆栈时)之前运行您的应用程序并合成新的模板。默认情况下,这些模板存储在 cdk.out 目录中。cdk synth 命令仅会输出一个或多个指定堆栈生成的模板。

有关所有可用选项,请参阅 cdk synth --help。以下部分介绍了一些最常用的选项。

指定上下文值

使用--context-c选项将运行时上下文值传递给您的CDK应用程序。

# specify a single context value
cdk synth --context key=value MyStack

# specify multiple context values (any number)
cdk synth --context key1=value1 --context key2=value2 MyStack

部署多个堆栈时,指定的上下文值通常会传递给所有堆栈。如果需要,可以通过在上下文值前面加上堆栈名称来为每个堆栈指定不同的值。

# different context values for each stack
cdk synth --context Stack1:key=value Stack2:key=value Stack1 Stack2

指定显示格式

默认情况下,合成后的模板以YAML格式显示。添加--json旗帜以改为以JSON格式显示。

cdk synth --json MyStack

指定输出目录

添加 --output (-o) 选项,将合成后的模板写入 cdk.out 以外的目录。

cdk synth --output=~/templates

部署堆栈

cdk deploy子命令将一个或多个指定的堆栈部署到您的账户。 AWS 

cdk deploy        # if app contains only one stack
cdk deploy MyStack
cdk deploy Stack1 Stack2
cdk deploy "*"    # all stacks in app
注意

这些区域有:CDKCLI 在部署任何内容之前,先运行您的应用程序并合成新的 AWS CloudFormation 模板。因此,可以与 cdk synth 结合使用的大多数命令行选项(例如 --context)也可以与 cdk deploy 结合使用。

有关所有可用选项,请参阅 cdk deploy --help。以下部分介绍了一些最有用的选项。

跳过合成

cdk deploy 命令通常会在部署之前合成应用程序的堆栈,以确保部署反映应用程序的最新版本。如果您知道自上次运行 cdk synth 以来没有更改过代码,则可以在部署时取消冗余合成步骤。为此,请在 --app 选项中指定项目的 cdk.out 目录。

cdk deploy --app cdk.out StackOne StackTwo

禁用回滚

AWS CloudFormation 能够回滚更改,从而实现原子部署。这意味着这些部署要么整体成功,要么整体失败。 AWS CDK 继承了此功能,因为它可以合成和部署 AWS CloudFormation 模板。

回滚可确保资源始终处于一致状态,这对于生产堆栈至关重要。但是,当您仍在开发基础设施时,有些故障是不可避免的,而回滚失败的部署可能会减慢速度。

出于这个原因,CDKCLI 允许您通过在cdk deploy命令中添加--no-rollback来禁用回滚。使用此标志时,失败的部署不会回滚。相反,在失败资源之前部署的资源会保留在原处,而下一次部署则从失败资源开始。等待部署的时间会更少,开发基础设施的时间会更多。

热交换

使用带的--hotswap标志cdk deploy尝试直接更新您的 AWS 资源,而不是生成 AWS CloudFormation 更改集并将其部署。如果无法进行热交换,则 AWS CloudFormation 部署将回退到部署。

目前热交换支持 Lambda 函数、Step Functions 状态机和亚马逊容器镜像。ECS--hotswap 标志还会禁用回滚(即 --no-rollback)。

重要

不建议对生产部署使用热交换。

监视模式

这些区域有:CDKCLI的监视模式(cdk deploy --watchcdk watch简称)会持续监控CDK应用程序的源文件和资产是否有更改。当检测到更改时,该模式会立即部署指定的堆栈。

默认情况下,这些部署使用 --hotswap 标志,该标志可快速跟踪对 Lambda 函数的更改的部署。 AWS CloudFormation 如果您更改了基础架构配置,它也会回退到通过部署。要cdk watch始终执行完整 AWS CloudFormation 部署,请将--no-hotswap标志添加到cdk watch

cdk watch 在已执行部署时所做的任何更改都将合并到一个部署中,该部署会在进行中的部署完成后立即开始。

监视模式使用项目的 "watch" 中的 cdk.json 键来确定要监控哪些文件。默认情况下,这些文件是应用程序文件和资产,但可以通过修改 "watch" 键中的 "include""exclude" 条目来更改这些文件和资产。以下 cdk.json 文件显示了这些条目的示例。

{
  "app": "mvn -e -q compile exec:java",
  "watch": {
    "include": "src/main/**",
    "exclude": "target/*"
  }
}

cdk watch 在合成之前执行 cdk.json 中的 "build" 命令来构建应用程序。如果您的部署需要任何命令来构建或打包您的 Lambda 代码(或其他不在您的CDK应用程序中的代码),请在此处添加该代码。

Git 样式的通配符(***)可用于 "watch""build" 键。每个路径都是相对于 cdk.json 的父目录解释的。include 的默认值为 **/*,表示项目根目录中的所有文件和目录。exclude 是可选的。

重要

不建议对生产部署使用监视模式。

指定 AWS CloudFormation 参数

这些区域有:CDKCLI 支持在部署时指定 AWS CloudFormation 参数。您可以在命令行上的 --parameters 标志后面提供这些信息。

cdk deploy MyStack --parameters uploadBucketName=UploadBucket

要定义多个参数,请使用多个 --parameters 标志。

cdk deploy MyStack --parameters uploadBucketName=UpBucket --parameters downloadBucketName=DownBucket

如果要部署多个堆栈,则可以为每个堆栈的每个参数指定不同的值。为此,请在参数名称前加上堆栈名称和冒号。否则,将相同的值传递给所有堆栈。

cdk deploy MyStack YourStack --parameters MyStack:uploadBucketName=UploadBucket --parameters YourStack:uploadBucketName=UpBucket

默认情况下, AWS CDK 会保留先前部署中的参数值,如果未明确指定,则在以后的部署中使用这些值。使用 --no-previous-parameters 标志可要求指定所有参数。

指定输出文件

如果您的堆栈声明了 AWS CloudFormation 输出,则这些输出通常会在部署结束时显示在屏幕上。要将它们以JSON格式写入文件,请使用标--outputs-file志。

cdk deploy --outputs-file outputs.json MyStack

批准安全相关的更改

为了保护您免受影响安全状况的意外更改的影响,CDKCLI 在部署与安全相关的更改之前,会提示您批准这些更改。您可以指定需要批准的更改级别:

cdk deploy --require-approval LEVEL

LEVEL 的值可以是以下值之一:

租期

含义

never

从不需要批准

any-change

任何IAM security-group-related变更都需要获得批准

broadening(默认)

 添加IAM声明或交通规则时需要批准;移除不需要批准

也可以在 cdk.json 文件中配置该设置。

{
  "app": "...",
  "requireApproval": "never"
}

比较堆栈

cdk diff命令将应用程序中定义的堆栈(及其依赖项)的当前版本与已部署的版本或已保存的 AWS CloudFormation 模板进行比较,并显示更改列表。

Stack HelloCdkStack
IAM Statement Changes
┌───┬──────────────────────────────┬────────┬──────────────────────────────┬──────────────────────────────┬───────────┐
│   │ Resource                     │ Effect │ Action                       │ Principal                    │ Condition │
├───┼──────────────────────────────┼────────┼──────────────────────────────┼──────────────────────────────┼───────────┤
│ + │ ${Custom::S3AutoDeleteObject │ Allow  │ sts:AssumeRole               │ Service:lambda.amazonaws.com │           │
│   │ sCustomResourceProvider/Role │        │                              │                              │           │
│   │ .Arn}                        │        │                              │                              │           │
├───┼──────────────────────────────┼────────┼──────────────────────────────┼──────────────────────────────┼───────────┤
│ + │ ${MyFirstBucket.Arn}         │ Allow  │ s3:DeleteObject*             │ AWS:${Custom::S3AutoDeleteOb │           │
│   │ ${MyFirstBucket.Arn}/*       │        │ s3:GetBucket*                │ jectsCustomResourceProvider/ │           │
│   │                              │        │ s3:GetObject*                │ Role.Arn}                    │           │
│   │                              │        │ s3:List*                     │                              │           │
└───┴──────────────────────────────┴────────┴──────────────────────────────┴──────────────────────────────┴───────────┘
IAM Policy Changes
┌───┬────────────────────────────────────────────────────────┬────────────────────────────────────────────────────────┐
│   │ Resource                                               │ Managed Policy ARN                                     │
├───┼────────────────────────────────────────────────────────┼────────────────────────────────────────────────────────┤
│ + │ ${Custom::S3AutoDeleteObjectsCustomResourceProvider/Ro │ {"Fn::Sub":"arn:${AWS::Partition}:iam::aws:policy/serv │
│   │ le}                                                    │ ice-role/AWSLambdaBasicExecutionRole"}                 │
└───┴────────────────────────────────────────────────────────┴────────────────────────────────────────────────────────┘
(NOTE: There may be security-related changes not in this list. See https://github.com/aws/aws-cdk/issues/1299)

Parameters
[+] Parameter AssetParameters/4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392/S3Bucket AssetParameters4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392S3BucketBF7A7F3F: {"Type":"String","Description":"S3 bucket for asset \"4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392\""}
[+] Parameter AssetParameters/4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392/S3VersionKey AssetParameters4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392S3VersionKeyFAF93626: {"Type":"String","Description":"S3 key for asset version \"4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392\""}
[+] Parameter AssetParameters/4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392/ArtifactHash AssetParameters4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392ArtifactHashE56CD69A: {"Type":"String","Description":"Artifact hash for asset \"4cd61014b71160e8c66fe167e43710d5ba068b80b134e9bd84508cf9238b2392\""}

Resources
[+] AWS::S3::BucketPolicy MyFirstBucket/Policy MyFirstBucketPolicy3243DEFD
[+] Custom::S3AutoDeleteObjects MyFirstBucket/AutoDeleteObjectsCustomResource MyFirstBucketAutoDeleteObjectsCustomResourceC52FCF6E
[+] AWS::IAM::Role Custom::S3AutoDeleteObjectsCustomResourceProvider/Role CustomS3AutoDeleteObjectsCustomResourceProviderRole3B1BD092
[+] AWS::Lambda::Function Custom::S3AutoDeleteObjectsCustomResourceProvider/Handler CustomS3AutoDeleteObjectsCustomResourceProviderHandler9D90184F
[~] AWS::S3::Bucket MyFirstBucket MyFirstBucketB8884501
 ├─ [~] DeletionPolicy
 │   ├─ [-] Retain
 │   └─ [+] Delete
 └─ [~] UpdateReplacePolicy
     ├─ [-] Retain
     └─ [+] Delete

要将应用程序的堆栈与现有部署进行比较,请执行以下操作:

cdk diff MyStack

要将应用的堆栈与已保存的 CloudFormation 模板进行比较,请执行以下操作:

cdk diff --template ~/stacks/MyStack.old MyStack

将现有资源导入到堆栈中

您可以使用cdk import命令将特定 AWS CDK 堆栈的资源置于 CloudFormation 的管理之下。如果您要迁移到堆栈 AWS CDK,或者要在堆栈之间移动资源或更改其逻辑 ID,则此功能非常有用。cdk import使用 CloudFormation 资源导入。请参阅可在此处导入的资源列表

要将现有资源导入 AWS CDK 堆栈,请执行以下步骤:

  • 确保资源当前未由任何其他 CloudFormation 堆栈管理。如果是,请先在资源当前所在的堆栈中将移除策略设置为 RemovalPolicy.RETAIN 并执行部署。然后,从堆栈中移除资源并再次执行部署。此过程将确保资源不再由管理, CloudFormation 但不会将其删除。

  • 运行 acdk diff,确保要将资源导入到的 AWS CDK 堆栈中没有待处理的更改。“导入”操作中唯一允许的更改是添加要导入的新资源。

  • 为要导入到堆栈的资源添加构造。例如,如果您要导入 Amazon S3 存储桶,请添加类似 new s3.Bucket(this, 'ImportedS3Bucket', {}); 的内容。请勿对任何其他资源进行任何修改。

    您还必须确保将资源当前具有的状态准确地建模到定义中。以存储桶为例,请务必包含 AWS KMS 密钥、生命周期策略以及与存储桶相关的任何其他内容。否则,后续更新操作可能无法达到您的预期。

    您可以选择是否包含物理存储桶名称。我们通常建议不要在资源定义中包含 AWS CDK 资源名称,这样可以更轻松地多次部署资源。

  • 运行 cdk import STACKNAME

  • 如果您的模型中没有资源名称,则CLI会提示您传入要导入的资源的实际名称。之后,导入将开始。

  • cdk import报告成功后,资源现在由 AWS CDK 和管理 CloudFormation。您随后对 AWS CDK 应用程序中的资源属性(构造配置)所做的任何更改都将应用于下一次部署。

  • 要确认 AWS CDK 应用程序中的资源定义是否与资源的当前状态相匹配,您可以启动CloudFormation 偏差检测操作

此功能目前不支持将资源导入到嵌套堆栈中。

配置 (cdk.json)

许多人的默认值 CDK CLI 命令行标志可以存储在项目cdk.json文件中,也可以存储在用户目录.cdk.json的文件中。以下是按字母顺序对支持的配置设置的引用。

备注 CDK CLI option
app 执行CDK应用程序的命令。 --app
assetMetadata 如果false,则CDK不向使用资产的资源添加元数据。 --no-asset-metadata
bootstrapKmsKeyId 覆盖用于加密 Amazon S3 部署存储桶的密 AWS KMS 钥的 ID。 --bootstrap-kms-key-id
build 在合成之前编译或生成CDK应用程序的命令。~/.cdk.json 中不允许此命令。 --build
browser 用于为 cdk docs 子命令启动 Web 浏览器的命令。 --browser
context 请参阅 上下文值和 AWS CDK。配置文件中的上下文值不会被 cdk context --clear 擦除。(的 CDK CLI 将缓存的上下文值放在cdk.context.json。) --context
debug 如果true,CDKCLI 会发出对调试有用的更详细的信息。 --debug
language 用于初始化新项目的语言。 --language
lookups 如果为 false,则不允许上下文查找。如果需要执行任何上下文查找,则合成会失败。 --no-lookups
notices 如果为 false,则禁止显示有关安全漏洞、回归和不支持的版本的消息。 --no-notices
output 合成云程序集(默认为 "cdk.out")发出到的目录的名称。 --output
outputsFile 将已部署堆栈的 AWS CloudFormation 输出写入的文件(JSON格式)。 --outputs-file
pathMetadata 如果false,则不会将CDK路径元数据添加到合成模板中。 --no-path-metadata
plugin JSON数组,指定软件包名称或扩展的软件包的本地路径 CDK --plugin
profile 用于指定区域和账户凭证的默认 AWS 配置文件的名称。 --profile
progress 如果设置为"events",则 CDK CLI 显示部署期间的所有 AWS CloudFormation 事件,而不是进度条。 --progress
requireApproval 安全更改的默认批准级别。请参阅 批准安全相关的更改 --require-approval
rollback 如果为 false,则失败的部署不会回滚。 --no-rollback
staging 如果是false,则不会将资源复制到输出目录(用于对源文件进行本地调试 AWS SAM)。 --no-staging
tags JSON包含堆栈标签(键值对)的对象。 --tags
toolkitBucketName 用于部署资产(例如 Lambda 函数和容器映像)的 Amazon S3 存储桶的名称(请参阅引导您的环境 AWS)。 --toolkit-bucket-name
toolkitStackName 引导堆栈的名称(请参阅引导您的环境 AWS)。 --toolkit-stack-name
versionReporting 如果为 false,则选择退出版本报告。 --no-version-reporting
watch JSON包含对象"include"和表示哪些文件在更改时应该(或不应该)触发项目重建的"exclude"键。请参阅 监视模式 --watch