從 CloudFormation 登錄檔使用第三方公有擴充功能 - AWS CloudFormation
IAM 角色自動使用新版本的延伸模組使用別名來參考延伸模組使用公有擴充功能的常用 AWS CLI 命令

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從 CloudFormation 登錄檔使用第三方公有擴充功能

若要在範本中使用第三方公有擴充功能,您必須先為要使用該擴充功能的帳戶和區域啟用擴充功能。啟用 擴充功能可在啟用擴充功能的帳戶和區域中的堆疊操作中使用。

當您啟用第三方公有擴充功能時,CloudFormation 會在您帳戶的擴充功能登錄檔中為已啟用的擴充功能建立項目,做為私有擴充功能。這可讓您設定延伸模組包含的任何組態屬性。組態屬性會定義如何為指定 AWS 帳戶 和 區域設定延伸模組。

除了設定組態屬性之外,您也可以透過下列方式自訂擴充功能:

  • 指定 CloudFormation 用來啟動擴充功能的執行角色,以及設定擴充功能的記錄。

  • 指定新的次要或修補程式版本可用時是否自動更新擴充功能。

  • 指定要使用的別名,而非第三方公有延伸名稱。這有助於避免第三方擴充功能之間的命名衝突。

主題

使用 IAM 許可和公有延伸存取的信任政策來設定執行角色

當您從 CloudFormation 登錄檔啟用公有擴充功能時,您可以提供執行角色,為 CloudFormation 提供在 AWS 帳戶 和 區域中叫用該擴充功能的必要許可。

執行角色所需的許可會在延伸結構描述的處理常式區段中定義。您必須建立 IAM 政策,以授予延伸模組所需的特定許可,並將其連接至執行角色。

除了許可政策之外,執行角色還必須具有允許 CloudFormation 擔任該角色的信任政策。遵循《IAM 使用者指南》中的使用自訂信任政策建立角色的指引,以使用自訂信任政策建立角色。

信任關係

以下顯示您可以使用的範例信任政策。

您可以選擇性地限制跨服務混淆代理人預防的許可範圍,方法是在 Condition欄位中使用一或多個全域條件內容索引鍵。如需詳細資訊,請參閱預防跨服務混淆代理人

  • aws:SourceAccount 值設定為您的帳戶 ID。

  • aws:SourceArn值設定為延伸模組的 ARN。

範例信任政策 1

以下是資源類型延伸的範例 IAM 角色信任政策。

{
    "Version": "2012-10-17",
    "Statement":[
        {
            "Effect": "Allow",
            "Principal":{
                "Service": "resources.cloudformation.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
                "StringEquals":{
                    "aws:SourceAccount":"123456789012"
                },
                "StringLike":{
                    "aws:SourceArn":"arn:aws:cloudformation:us-west-2:123456789012:type/resource/Organization-Service-Resource/*"
                }
            }
        }
    ]
}
範例信任政策 2

以下是 Hook 延伸模組的範例 IAM 角色信任政策。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Effect":"Allow",
            "Principal": {
                "Service": [
                    "resources.cloudformation.amazonaws.com",
                    "hooks.cloudformation.amazonaws.com"
                ]
            },
            "Action":"sts:AssumeRole",
            "Condition":{
                "StringEquals":{
                    "aws:SourceAccount":"123456789012"
                },
                "StringLike":{
                     "aws:SourceArn":"arn:aws:cloudformation:us-west-2:123456789012:type/hook/Organization-Service-Hook/*"
                }
            }
        }
    ]
}

自動使用新版本的延伸模組

啟用擴充功能時,您也可以指定要使用最新次要版本的擴充功能類型。發佈者在已啟用的擴充功能上發佈新版本時,擴充功能類型就會更新次要版本。

例如,下次您使用包含該擴充功能的範本執行堆疊操作 (例如建立或更新堆疊) 時,CloudFormation 會使用新的次要版本。

自動或手動更新為新的擴充功能版本,不會影響堆疊中已佈建的任何擴充功能執行個體。

CloudFormation 會將擴充功能的主要版本更新視為可能包含重大變更,因此需要您手動更新為擴充功能的新主要版本。

根據預設, 發佈的延伸 AWS 項目會針對可用的所有帳戶和區域啟用,並一律使用每個 中可用的最新版本 AWS 區域。

重要

由於您控制擴充功能是否和何時更新至您帳戶中的最新版本,因此最終可能會使用不同版本的相同擴充功能部署在不同帳戶和區域中。

這可能會導致在這些帳戶和區域中使用包含該延伸的相同範本時產生意外結果。

使用別名來參考延伸模組

您無法在指定 AWS 帳戶 和 區域中啟用具有指定名稱的多個延伸。由於不同的發佈者可能會提供具有相同擴充功能名稱的公有擴充功能,CloudFormation 讓您可以為啟用的任何第三方公有擴充功能指定別名。

如果您為延伸模組指定別名,CloudFormation 會將別名視為帳戶和區域中的延伸模組類型名稱。您必須使用別名來參考範本、API 呼叫和 CloudFormation 主控台中的擴充功能。

在指定帳戶和區域中的擴充功能別名必須是唯一的。您可以使用不同類型名稱別名,在同一帳戶和區域中多次啟用相同的公有資源。

重要

雖然延伸別名在指定帳戶和區域中只需要是唯一的,但我們強烈建議使用者不要在帳戶和區域中將相同的別名指派給不同的第三方公有延伸。這樣做可能會在跨多個帳戶或區域使用包含延伸別名的範本時產生非預期的結果。

使用公有擴充功能的常用 AWS CLI 命令

使用公有擴充功能的常用命令包括:

  • activate-type 在您的帳戶中啟用公有第三方模組或資源類型。

  • set-type-configuration 指定您帳戶中延伸模組的組態資料,以及停用和啟用勾點。

  • list-types 列出您帳戶中的擴充功能。

  • describe-type 傳回特定擴充功能或特定擴充功能版本的詳細資訊,包括目前的組態資料。

  • set-type-default-version 指定哪個擴充功能版本是預設版本。

  • deactivate-type 停用您帳戶中先前啟用的公有第三方模組或資源類型。