向Bucket添加公共访问(Adding Public Access to Bucket)
在模块5中,我们已经看到如何使用CloudFormation创建和更新一个Bucket。现在我们将进一步更新该Bucket,添加公共访问权限。我们在模块5中使用的模板(third_template.txt)如下所示:
{
"Resources": {
"cloudformationbucket" : {
"Type": "AWS::S3::Bucket",
"DeletionPolicy": "Delete",
"Properties": {
"BucketName": "pchakrab-cf-bucket-new"
}
}
}
}
当前的Bucket未显示为"公共",如下所示:
(插图显示当前的Bucket未被设置为公共)
让我们更新模板,以便使用此CloudFormation堆栈自动托管静态网站。首先,我们将index.html和error.html(与模块2中的文件相同)上传到我们要托管网站的Bucket(在本例中为pchakrab-cf-bucket-new)。现在我们将在上面的模板中的"Properties"标签中添加"AccessControl"和"WebsiteConfiguration"属性。我们将为访问控制指定"PublicRead",并为网站配置指定index和error文件。更新后的模板如下所示:
{
"Resources": {
"cloudformationbucket" : {
"Type": "AWS::S3::Bucket",
"DeletionPolicy": "Delete",
"Properties": {
"BucketName": "pchakrab-cf-bucket-new",
"AccessControl": "PublicRead",
"WebsiteConfiguration": {
"IndexDocument": "index.html",
"ErrorDocument": "error.html"
}
}
}
}
}
我们现在将这个模板更新为"fourth_template.txt"并上传到Bucket中,然后复制此模板的对象URL。接下来,按照我们在模块5中看到的相同步骤更新我们的堆栈。更新堆栈后,Bucket将允许公共读取,静态网站将自动启用,如下所示:
(插图显示更新后的Bucket配置)
我们仍然无法打开网站,因为缺少策略声明。因此,我们需要再次更新我们的堆栈。我们将在下一个主题中看到这一点。
使用CloudFormation添加Bucket策略(Adding Bucket Policy using CloudFormation)
延续上一个主题,我们现在使用CloudFormation堆栈添加一个Bucket策略,以便可以通过浏览器访问网站。请注意,我们需要使用我们使用的逻辑名称(例如,"cloudformationbucket")作为"Ref"。这是我们在模块2中使用的相同Bucket策略。我们进行了两处更改 - 在"Ref"(我们在这里给出了逻辑名称)和"Resource"(我们给出了物理名称/arn)。我们必须更新当前的模板并上传到S3 Bucket。我们上次使用的模板如下:
首先,如果Bucket访问未设置为"公共",我们需要取消选中"权限"选项卡中的"阻止所有公共访问"。
{
"Resources": {
"cloudformationbucket" : {
"Type": "AWS::S3::Bucket",
"DeletionPolicy": "Delete",
"Properties": {
"BucketName": "pchakrab-cf-bucket-new",
"AccessControl": "PublicRead",
"WebsiteConfiguration": {
"IndexDocument": "index.html",
"ErrorDocument": "error.html"
}
}
}
//我们将在此处添加我们的策略......
}
}
"BucketPolicy"是一个类似于"Bucket"的资源,它具有"Type"和"Properties"。"Properties"标签包括一个引用的"Bucket"和一个"PolicyDocument"标签。我们通过其逻辑名称在"Bucket"标签中添加对工作Bucket的引用。"PolicyDocument"进一步包括一个属性,称为"Statement"。"Statement"属性包括五个子属性 - "Sid","Effect","Principal","Action"和"Resource"。"Resource"属性需要Bucket的ARN(包括物理名称)。 "Principal"是"Statement"中的强制性子属性。策略如下所示:
"samplebucketpolicy" : {
"Type" : "AWS::S3::BucketPolicy",
"Properties" : {
"Bucket" : {"Ref" : "cloudformationbucket"},
"PolicyDocument": {
"Statement": [{
"Sid": "AllowPublicRead",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::pchakrab-cf-bucket-new/*"
}]
}
}
}
添加策略后的更新模板如下所示:
{
"Resources": {
"cloudformationbucket" : {
"Type": "AWS::S3::Bucket",
"DeletionPolicy": "Delete",
"Properties": {
"BucketName": "pchakrab-cf-bucket-new",
"AccessControl": "PublicRead",
"WebsiteConfiguration": {
"IndexDocument": "index.html",
"ErrorDocument": "error.html"
}
}
},
"samplebucketpolicy" : {
"Type" : "AWS::S3::BucketPolicy",
"Properties" : {
"Bucket" : {"Ref" : "cloudformationbucket"},
"PolicyDocument": {
"Version": "2008-10-17",
"Statement": [{
"Sid": "AllowPublicRead",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::pchakrab-cf-bucket-new/*"
}]
}
}
}
}
}
我们可以将此模板上传到S3 Bucket并复制对象URL。然后,我们可以按照之前的步骤更新堆栈。一旦堆栈更新完毕,我们将在Bucket的"权限"选项卡中看到添加的Bucket策略。
使用CloudFormation创建DynamoDB表(Creating a DynamoDB Table with CloudFormation)
我们可以使用CloudFormation模板创建DynamoDB表。创建DynamoDB表的模板具有以下语法:
{
"Type" : "AWS::DynamoDB::Table",
"Properties" : {
"AttributeDefinitions" : [ AttributeDefinition, ... ],
"BillingMode" : String,
"ContributorInsightsSpecification" : ContributorInsightsSpecification,
"GlobalSecondaryIndexes" : [ GlobalSecondaryIndex, ... ],
"KeySchema" : [ KeySchema, ... ],
"KinesisStreamSpecification" : KinesisStreamSpecification,
"LocalSecondaryIndexes" : [ LocalSecondaryIndex, ... ],
"PointInTimeRecoverySpecification" : PointInTimeRecoverySpecification,
"ProvisionedThroughput" : ProvisionedThroughput,
"SSESpecification" : SSESpecification,
"StreamSpecification" : StreamSpecification,
"TableClass" : String,
"TableName" : String,
"Tags" : [ Tag, ... ],
"TimeToLiveSpecification" : TimeToLiveSpecification
}
}
上述语法应嵌入在"Resources"标签中,如我们之前在S3 Bucket中看到的。我们通常不需要使用所有这些属性。我们可以使用以下模板创建一个带有主键"Id"的简单"Employee"表:
{
"Resources": {
"EmployeeTable": {
"Type": "AWS::DynamoDB::Table",
"Properties": {
"TableName": "Employee",
"AttributeDefinitions": [
{
"AttributeName" : "Id",
"AttributeType" : "N"
}
],
"KeySchema": [
{
"AttributeName" : "Id",
"KeyType" : "HASH"
}
],
"ProvisionedThroughput": {
"ReadCapacityUnits": 5,
"WriteCapacityUnits": 5
}
}
}
}
}
"EmployeeTable"是资源的逻辑名称。接下来,我们需要指定资源的"Type",它将是一个DynamoDB表,即"AWS::DynamoDB::Table"。表的属性包括"TableName"、"AttributeDefinitions"、"KeySchema"和"ProvisionedThroughput"。我们不需要添加所有表属性,只需添加与主键相关的属性。 "KeySchema"定义了在"AttributeDefinitions"中定义的主键类型。指定表的吞吐量,包括读取和写入的值。
DynamoDB表
使用上述部分中显示的CloudFormation模板创建一个DynamoDB表。您需要使用不同的表名称和逻辑名称。
模板参数(Template Parameter)
一个示例参数语法如下所示:
"Parameters" : {
"ParameterLogicalID" : {
"Type": "DataType",
"ParameterProperty" : "value"
}
}
这是我们如何将此参数的引用添加到我们的资源中。
"SomeResourceLogicalID" : {
"Type": "type",
"Properties" : {
"SomeProperty" : { "Ref" : "ParameterLogicalID" },
....................................
}
}
我们现在将看到如何使用参数添加主键的示例,为此我们将稍微更新我们上次使用的模板。让我们创建一个名为"EmployeeNew"的"Employee"表的副本。
{
"Parameters": {
"PrimaryKeyName": {
"Type": "String",
"Default": "EmployeeId",
"Description": "Primary Key Name"
},
"PrimaryKeyType": {
"Type": "String",
"Default": "N",
"Description": "Primary Key Type"
}
},
"Resources": {
"EmployeeTableNew": {
"Type": "AWS::DynamoDB::Table",
"Properties": {
"TableName": "EmployeeNew",
"AttributeDefinitions": [
{
"AttributeName" : {"Ref": "PrimaryKeyName"},
"AttributeType" : {"Ref": "PrimaryKeyType"}
}
],
"KeySchema": [
{
"AttributeName" : {"Ref": "PrimaryKeyName"},
"KeyType" : "HASH"
}
],
"ProvisionedThroughput": {
"ReadCapacityUnits": 5,
"WriteCapacityUnits": 5
}
}
}
}
}
每个参数都有一个类型,并定义了资源的必要属性,在我们的例子中是主键的名称和类型。我们可以在CloudFormation堆栈中应用模板以查看创建的DynamoDB表。