使用 Amazon CloudFormation 注册表 - Amazon CloudFormation
公有和私有扩展通过 CloudFormation 注册表管理扩展在 Amazon Config 中记录资源类型
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon CloudFormation 注册表

通过 CloudFormation 注册表,您可以管理可在您的 CloudFormation 账户中使用的公有和私有扩展。

公有和私有扩展

  • 公有扩展是指在注册表中公开发布的扩展,可供所有 CloudFormation 用户使用。这包括 Amazon 以及第三方扩展发布者发布的所有扩展。

    公有扩展有两种:

    • Amazon 公有扩展

      Amazon 发布的扩展始终是公有扩展,原定设置下激活,因此您在自己的账户中使用它们之前无需采取任何操作。此外,Amazon 掌握扩展的版本控制,因此您使用的始终是最新的可用版本。

    • 第三方公有扩展

      这些扩展可由 Amazon 以外的发布者普遍使用。

      要使用公有扩展,您必须首先在自己的账户和区域中激活它。当您激活公有第三方扩展时,CloudFormation 会在您账户的扩展注册表中为已激活的扩展创建一个条目,作为私有扩展。这允许您通过以下方式自定义扩展义,因为它已在您的账户中激活

      • 您可以指定要使用的别名,而不是公有第三方扩展名称。这有助于避免第三方扩展之间发生命名冲突。

      • 您可以指定在有新的次要版本或补丁版本可用时是否自动更新扩展。

      有关更多信息,请参阅使用公有扩展

      您可以发布自己的第三方扩展,以使其对一般 CloudFormation 用户可用。有关更多信息,请参阅 CloudFormation 命令行界面用户指南 中的发布扩展

  • 私有扩展是指您显式注册以在Amazon账户中使用的第三方扩展。

    私有扩展有两种:

    • 已激活私有扩展

      这些是您为自己的账户和区域激活的第三方扩展的本地副本。激活第三方公有扩展时,CloudFormation 会在您账户的注册表中创建该扩展的本地副本。

    • 已注册私有扩展

      您还可以激活未在公有 CloudFormation 注册表中列出的私有扩展。这些可能是您自己创建的扩展,也可能是您的组织或其他第三方与您共享的扩展。要在您的账户中使用此类私有扩展,您必须先注册它。注册扩展会将其副本上载到账户中的 CloudFormation 注册表并激活它。

      有关更多信息,请参阅使用私有扩展

      有关开发自己的私有扩展的信息,请参阅 CloudFormation 命令行界面用户指南中的创建资源类型

注意

私有扩展以及来自第三方发布者的已激活公有扩展可能会实现在创建、读取、更新、列出和删除操作期间运行的事件处理程序。因此,在 CloudFormation 堆栈中使用这些扩展时,将会在您的账户中产生费用。这不包括创建的资源产生的任何费用。有关更多信息,请参阅 Amazon CloudFormation 定价

通过 CloudFormation 注册表管理扩展

使用 CloudFormation 注册表管理账户中的扩展,包括:

  • 查看可用和已激活的扩展。

  • 注册私有扩展。

  • 激活公有扩展。

在 CloudFormation 控制台中查看扩展

  1. Amazon CloudFormation 控制台中,从 CloudFormation 导航窗格的 CloudFormation registry(CloudFormation 注册表)下选择您要查看的扩展类别:

    • Public extensions(公有扩展)显示您账户中可用的公有扩展。

      使用 Filter(筛选条件)选项进一步选择要查看的扩展。

    • Activated extensions(已激活的扩展)显示您账户中已激活的公有和私有扩展。

      使用 Filter(筛选条件)下拉菜单进一步选择要查看的扩展:

      • Amazon列出 Amazon 发布的扩展。Amazon 发布的扩展原定设置为激活。

      • Third-party(第三方)列出您在此账户中激活的所有来非 Amazon 发布者的公有扩展。

      • Registered(已注册)列出您在此账户中激活的所有私有扩展。

    • Publisher(发布者)显示您使用此账户发布的所有公有扩展。有关更多信息,请参阅扩展开发中的 CFN-CLI 用户指南中的发布扩展

  2. 选择扩展名称以查看扩展详细信息。

在 Amazon Config 中记录资源类型

您可以指定 Amazon Config 自动跟踪您的私有资源类型,并将对这些资源的更改作为配置项记录。这使您能够查看这些私有资源类型的配置历史记录,并编写 Amazon Config Rules 规则以验证配置最佳实践。

要让 Amazon Config 自动跟踪您的私有资源类型,请执行以下操作:

  • 通过 CloudFormation 管理资源。这包括通过 CloudFormation 执行所有资源创建、更新和删除操作。

    注意

    如果您使用 IAM 角色执行堆栈操作,则该 IAM 角色必须有权调用以下 Amazon Config 操作:

  • 配置 Amazon Config 以记录所有资源类型。有关更多信息,请参阅 Amazon Config开发人员指南中的记录第三方资源的配置

    注意

    如果私有资源包含同时定义为必需只写的属性,Amazon Config 不支持记录这些私有资源。

    根据设计,定义为只写的资源属性不会在用于创建 Amazon Config 配置项的架构中返回。因此,包含定义为只写和必需的属性将导致配置项创建失败,因为必需的属性不存在。要查看用于创建配置项的架构,您可以查看 DescribeType 操作的 schema 属性。

有关配置项的更多信息,请参阅 Amazon Config 开发人员指南 中的配置项

防止在配置项目中记录敏感属性

您的资源类型可能包含您视为敏感信息(如密码、密钥或其他敏感数据)的属性,您不希望在配置项目中记录这些属性。要防止在配置项目中记录属性,您可以将该属性包括在资源类型架构的 writeOnlyproperties 列表中。作为 writeOnlyproperties 列出的资源属性可由用户指定,但不会由 readlist 请求返回。

有关更多信息,请参阅 CloudFormation 命令行界面用户指南 中的资源提供程序架构