Obtenir les valeurs stockées dans d’autres services à l’aide de références dynamiques

Les références dynamiques vous permettent de spécifier facilement des valeurs externes stockées et gérées dans d’autres services et de dissocier les informations sensibles de vos modèles d’infrastructure en tant que code. CloudFormation récupère la valeur de la référence spécifiée lorsque cela est nécessaire pendant les opérations de pile et de modification.

Grâce aux références dynamiques, vous pouvez :

Utiliser des chaînes sécurisées : pour les données sensibles, utilisez toujours des paramètres de chaîne sécurisés dans Parameter Store AWS Systems Manager ou des secrets dans AWS Secrets Manager afin de garantir le chiffrement de vos données au repos.
Limiter l’accès : limitez l’accès aux paramètres du magasin de paramètres ou aux secrets du gestionnaire de secrets aux seuls principaux et rôles autorisés.
Rotation des informations d’identification : effectuez régulièrement la rotation des données sensibles stockées dans Parameter Store ou Secrets Manager afin de maintenir un niveau de sécurité élevé.
Rotation automatique : tirez parti des fonctionnalités de rotation automatique de Secrets Manager pour mettre à jour et distribuer périodiquement vos données sensibles dans vos applications et environnements.

Considérations d’ordre général

Voici les considérations générales à prendre en compte avant de spécifier des références dynamiques dans vos modèles CloudFormation :

Évitez d’inclure des références dynamiques ou des données sensibles dans les propriétés qui font partie de l’identifiant principal d’une ressource. CloudFormation peut utiliser la valeur en clair réelle dans l’identifiant de ressource principal, ce qui pourrait constituer un risque pour la sécurité. Cet ID de ressource peut apparaître dans toutes les sorties ou destinations dérivées.

Pour déterminer quelles propriétés de ressource constituent l’identifiant principal d’un type de ressource, reportez-vous à la documentation de référence de cette ressource dans la référence des types de ressources et de propriétés AWS. Dans la section Valeurs renvoyées, la valeur de retour de la fonction Ref représente les propriétés de la ressource qui constituent l'identifiant principal du type de ressource.
Vous pouvez inclure jusqu'à 60 références dynamiques dans un modèle de pile.
Si vous utilisez des transformations (telles que AWS::Include ou AWS::Serverless), CloudFormation ne résout pas les références dynamiques avant d’appliquer la transformation. Au lieu de cela, il transmet la chaîne littérale de la référence dynamique à la transformation et résout les références lorsque vous exécutez le jeu de modifications à l’aide du modèle.
Les références dynamiques ne peuvent pas être utilisées pour les valeurs sécurisées (telles que celles stockées dans Parameter Store ou Secrets Manager) dans les ressources personnalisées.
Les références dynamiques ne sont pas non plus prises en charge dans les métadonnées AWS::CloudFormation::Init et les propriétés Amazon EC2 UserData.
Ne créez pas de référence dynamique se terminant par une barre oblique inverse (\). CloudFormation ne peut pas résoudre ces références, ce qui entraînera l’échec des opérations de stack.

Les rubriques suivantes fournissent des informations et d’autres considérations sur l’utilisation de références dynamiques.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Propriétés en écriture seule AWS::Lambda::Function

Obtenir la valeur en texte brut de Systems Manager