問題タブ [amazon-cloudformation]

現在、アプリケーションにAWSCloudFormationを使用しています。現在、インスタンスを自動スケーリングできます。今、私はすべてのものをAmazonVPCに置きたいと思います。CloudFormationを使用してVPCを作成できますか？テンプレートにELBがある場合、CloudFormationを介してElastic IPアドレスをどのように管理できますか？AWS CloudFormationサンプルテンプレートでVPC関連の例を見つけましたが、既存のVPCにリソースをプロビジョニングするだけで、テンプレートに新しいリソースを作成しません。

Windows 2008 R2 AMI での CloudFormation の使用に関する適切なドキュメントが見つかりません。AWS は最近、CloudFormation ツールがプリインストールされた新しい Windows AMI をリリースしました。

AMI 自体は、 https ://aws.amazon.com/amis/microsoft-windows-server-2008-r2-base-cloudformation にあります。

目的: CloudFormation を使用して、起動時にインスタンスが S3 からアプリケーションの最新の dll と構成ファイルをダウンロードできるようにしたいと考えています。

• その AMI では、デフォルトで、これらのツールは C:\ の下のどこにありますか? (ファイルシステムを検索しましたが、見つかりませんでした)

• これらのツールは、起動時にデフォルトで自動的に実行されますか? または、そのためにスクリプトを作成し、EBS でサポートされた AMI を再バンドル (リメイク) する必要がありますか? これをテストしたいです！

• AWS for Windows が提供するサンプル テンプレートを試すために、 https : //s3.amazonaws.com/cloudformation-templates-us-east-1/Windows_Single_Server_SharePoint_Foundation.template にある Windows Sharepoint テンプレートを起動してみました。そのテンプレートで指定されたこのスタックを起動すると、次のエラーとロールバックが表示されます: AccessDenied. ユーザーには iam:CreateUser を呼び出す権限がありません

「アカウント所有者」によると、私の IAM アカウントは「新しいユーザーを作成できない」管理者グループに属しています。その場合、この問題にどのように対処すればよいでしょうか。

私の理解では、CloudFormation を使用してメタデータを取得する必要がある場合、CloudFormation スタックは「DescribeStackResource」アクション権限のみを持つ新しい IAM ユーザーを作成し、この新しい IAM ユーザーはそのスタックが存続する限り存続します。

Drupal テンプレートに基づいて CloudFormation スタックを作成しました。

これにより EC2 インスタンスが作成されましたが、テンプレートのセットアップ中に MySQL ルート パスワードも要求されました。

そのため、「Amazon Management Console->Amazon RDS」にエントリが表示されることを期待していましたが、表示されません。

このMySQLデータベースがどこにあるのか誰か説明できますか? そして、なぜそれがRDSの下にないのですか。

AWSは最近、Windows Server2008R2にデフォルトでCloudFormationツールがインストールされている新しいAMIをリリースしました。AMI自体はここにあります：[ https://aws.amazon.com/amis/microsoft-windows-server-2008-r2-base-cloudformation]

このAMIをCloudFormationテンプレート内で直接使用してスタックを起動すると、スタックを簡単に起動でき、インスタンスは起動時に問題なくS3にあるファイルをダウンロードします。cfn-initコマンドで作成されたすべてのフォルダーも期待通りに見えた。

ただし、AMIを変更して（IISを有効にするだけで）カスタマイズし、新しいAMIを再作成して、テンプレート内でこのAMIを使用すると、ファイルはダウンロードされず、他のフォルダーもcfn-initコマンドで作成されると想定されます。見られる。

助言がありますか ？！私は何かが足りないのですか？！

AWS CloudFormation を使用して、2 つのスタック (スタック A とスタック B と呼びましょう) があり、どちらも AWS で公開された Windows AMI (CloudFormation ツールがプリインストールされています) の起動時に cfn-init を使用します。

どちらのスタックでも、cfn-init スクリプトは S3 バケットから一連のファイルをダウンロードします。S3 バケットはスタックの前に作成され、バケット内のファイルはプライベートです。スタックの作成中にポリシーが S3 バケットに適用されます。「このスタックで作成された IAM ユーザーは、S3 バケットからオブジェクトを取得できる必要があります。」

これらの両方のスタックを作成すると、スタック A は問題なくすべてのファイルをダウンロードするため、アプリケーションに問題はありません。

しかし、スタック B は「少数のファイル」のみをダウンロードします。少数のファイルとは、14 個の異なるファイルをダウンロードすると想定される場合に、1 つ、場合によっては最初の 2 つ、場合によっては最初の 3 つのファイルのみを辞書順で意味します。

これにより、さらなる開発が妨げられています。

どんな助けでも大歓迎です。

Cloudformation を使用して、S3 バケットを作成するときに、Authenticated Users グループにアクセス制御を配置/削除するように設定できますか?

クラウド形成テンプレートを使用してアプリケーションを自動スケーリングしますが、1 回のスケールアップ ポリシーで 2 つのインスタンスを起動したいです

たとえば、Web アプリケーションをスケールアップするときと同様に、データベース インスタンスも別のユーザー データ イン フォーメーション テンプレートで起動します。

1 つの起動構成で複数のインスタンスを起動する方法を知っている人なら誰でも。すでに実装されている団体があれば、私を助けてください

AWS Toolkit for Visual Studio を使用して、CloudFormation スタックをデプロイします。スタック テンプレート ファイルを作成するか、サンプル テンプレートを選択する必要があります。

asp.net に適したサンプル テンプレートはどれですか?

CloudFormation を使用して Tomcat ウェブサーバー スタックを管理していますが、新しいアプリケーション バージョンの未加工の AMI 管理にうんざりしています。シェフの方向に進みたいのですが、今は時間がありません。代わりに、Web サーバーのインスタンス化における単純な問題を克服しようとしています: 新しいマシンがスピンアップしたときに「現在の」WAR をダウンロードするにはどうすればよいですか?

私の考えでは、プライベート S3 バケットと cloudinit を利用することでしたが、IAM クレデンシャルをどうするかについて少し困惑しています。それらをテンプレートのユーザー データに入れることもできますが、特にそのファイルのバージョン管理を行っているため、そうするのは気が進まないのです。私が考えることができる唯一の代替手段は、AMI 自体で環境変数を使用することです。それらは平文である必要がありますが...ええと、私のインスタンスに侵入できれば、私のWebサーバー全体を圧縮してダウンロードできます. IAM ユーザーが他の目的で再利用されず、定期的にローテーションされる限り、問題を解決する合理的な方法のように思えます。何か不足していますか？cloudinit を使用してプライベート S3 アセットを安全にダウンロードするにはどうすればよいですか?

アプリケーションの最新バージョンをダウンロードするためにプライベート S3 バケットにアクセスする必要があるスタックを構築しています。私はIAM ロールを使用しています。これは、EC2 インスタンスに特定のロールを割り当てることができる比較的新しい AWS 機能であり、その後、IAM ポリシーと結合されます。残念ながら、これらのロールには、インスタンス化時に生成された一時的な API 資格情報が付属しています。それは不自由ではありませんが、この cloud-init スクリプトのようなことをすることを余儀なくされました (関連するビットだけに簡略化されています):

何よりもまず、これは機能し、かなりうまく機能します。それでも、CloudFormation のソース アクセスに対する既存のサポートを使用したいと思います。具体的には、 S3 バケットなどの保護されたデータを取得するための認証リソースcfn-initの使用をサポートします。内からこれらのキーを取得したり、IAM ロールを認証リソースに関連付けたりする方法はありますか?cfn-init

別の方法として、ソースを他の認証済みサービスの背後に配置することも考えられますが、現時点では実行可能なオプションではありません。

別の有望なリードはAWS::IAM::AccessKey リソースですが、ドキュメントではロールで使用できることは示唆されていません。とにかくやってみます。