

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# CloudFormation Diretrizes, melhores práticas e limitações de ingestão
<a name="cfn-author-templates"></a>

Para que o AMS processe seu CloudFormation modelo, existem algumas diretrizes e restrições.

## Diretrizes
<a name="cfn-ingest-tips"></a>

Para reduzir CloudFormation erros ao realizar a CloudFormation ingestão, siga estas diretrizes:
+ **Não incorpore credenciais ou outras informações confidenciais no modelo** — o CloudFormation modelo está visível no CloudFormation console, então você não quer incorporar credenciais ou dados confidenciais no modelo. O modelo não pode conter informações confidenciais. Os seguintes recursos são permitidos somente se você usar o AWS Secrets Manager para o valor:
  + `AWS::RDS::DBInstance` - [MasterUserPassword,TdeCredentialPassword]
  + `AWS::RDS::DBCluster` - [MasterUserPassword]
  + `AWS::ElastiCache::ReplicationGroup` - [AuthToken]
**nota**  
Para obter informações sobre o uso de um segredo do AWS Secrets Manager em uma propriedade de recurso, consulte [Como criar e recuperar segredos gerenciados no AWS Secrets Manager usando CloudFormation modelos da AWS](https://aws.amazon.com/blogs/security/how-to-create-and-retrieve-secrets-managed-in-aws-secrets-manager-using-aws-cloudformation-template/) e Como [usar referências dinâmicas para especificar valores de modelos](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html).
+ **Use snapshots do Amazon RDS para criar instâncias de banco de dados do RDS** — Ao fazer isso, você evita a necessidade de fornecer uma. MasterUserPassword
+ Se o modelo enviado contiver um perfil de instância do IAM, ele deverá ser prefixado com “cliente”. Por exemplo, usar um perfil de instância com o nome example-instance-profile '' causa falha. Em vez disso, use um perfil de instância com o nome 'customer-example-instance-profile'.
+ **Não inclua dados confidenciais em `AWS::EC2::Instance`** - [UserData]. UserData não deve conter senhas, chaves de API ou outros dados confidenciais. Esse tipo de dado pode ser criptografado e armazenado em um bucket do S3 e baixado na instância usando UserData.
+ A **criação de políticas do IAM usando CloudFormation modelos é suportada por restrições** — as políticas do IAM precisam ser revisadas e aprovadas pelo AMS. SecOps Atualmente, só oferecemos suporte à implantação de funções do IAM com políticas em linha que contêm permissões pré-aprovadas. Em outros casos, as políticas do IAM não podem ser criadas usando CloudFormation modelos porque isso substituiria o SecOps processo do AMS.
+ ** KeyPairs Não há suporte para SSH** — as EC2 instâncias da Amazon devem ser acessadas por meio do sistema de gerenciamento de acesso AMS. O processo AMS RFC autentica você. Você não pode incluir pares de chaves SSH em CloudFormation modelos porque você não tem as permissões para criar pares de chaves SSH e substituir o modelo de gerenciamento de acesso do AMS. 
+ **As regras de entrada do grupo de segurança são restritas** — você não pode ter um intervalo de CIDR de origem de 0.0.0.0/0 ou um espaço de endereço publicamente roteável com uma porta TCP diferente de 80 ou 443.
+ **Siga CloudFormation as diretrizes ao escrever modelos de CloudFormation recursos** — Certifique-se de usar o type/property nome de dados correto para o recurso consultando o *Guia AWS CloudFormation do usuário* desse recurso. Por exemplo, o tipo de dados da SecurityGroupIds propriedade em um AWS::EC2::Instance recurso é “Lista de valores de string”, então ["sg-aaaaaaaa"] está ok (com colchetes), mas “sg-aaaaaaaa” não é (sem colchetes).

  Para obter mais informações, consulte a [Referência de tipos de recursos e propriedades da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-template-resource-type-ref.html).
+ **Configure seus CloudFormation modelos personalizados para usar parâmetros definidos na CT de CloudFormation ingestão do AMS** — Ao configurar seu CloudFormation modelo para usar parâmetros definidos na CT de CloudFormation ingestão do AMS, você pode reutilizar o CloudFormation modelo para criar pilhas semelhantes enviando-o com valores de parâmetros alterados na entrada do CT com o Gerenciamento \| Pilha personalizada \| Pilha a partir do CloudFormation modelo \| Atualizar CT (ct-361tlo1k7339x). Para obter um exemplo, consulte [CloudFormation Exemplos de ingestão: definição de recursos](cfn-ingest-ex-define-resource.md).
+ **Os endpoints de bucket do Amazon S3 com uma URL pré-assinada não podem expirar** — Se você estiver usando um endpoint de bucket do Amazon S3 com uma URL pré-assinada, verifique se a URL pré-assinada do Amazon S3 não expirou. Uma RFC CloudFormation de ingestão enviada com uma URL de bucket Amazon S3 pré-assinada expirada é rejeitada.
+ A **condição de espera requer lógica de sinal** — a condição de espera é usada para coordenar a criação de recursos da pilha com ações de configuração externas à criação da pilha. Se você usa o recurso Wait Condition no modelo, CloudFormation espera por um sinal de sucesso e marca a criação da pilha como uma falha se o número de sinais de sucesso não for gerado. Você precisa ter uma lógica para o sinal se usar o recurso Wait Condition. Para obter mais informações, consulte [Criação de condições de espera em um modelo](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-waitcondition.html).