使用awscli更新云端配置

Question

我想用awscli编辑/更新我的CloudFront分配。

我使用的是最新的cli版本：

aws-cli/1.11.56 Python/2.7.10 Darwin/16.4.0 botocore/1.5.19

要在awscli中使用cloudfront功能，您需要将其添加到您的aws配置文件中：

[preview]
cloudfront = true

我正在修改我想修改的发布内容：

aws cloudfront get-distribution-config --id FOO_BAR_ID > cf_config.json

看起来它按预期工作。 Config看起来对我不错。现在我尝试使用相同的配置重新配置我的CF发行版。

aws cloudfront update-distribution --distribution-config file://cf_config.json --id FOO_BAR_ID

我得到了：

Parameter validation failed:
Missing required parameter in DistributionConfig: "CallerReference"
Missing required parameter in DistributionConfig: "Origins"
Missing required parameter in DistributionConfig: "DefaultCacheBehavior"
Missing required parameter in DistributionConfig: "Comment"
Missing required parameter in DistributionConfig: "Enabled"
Unknown parameter in DistributionConfig: "ETag", must be one of: CallerReference, Aliases, DefaultRootObject, Origins, DefaultCacheBehavior, CacheBehaviors, CustomErrorResponses, Comment, Logging, PriceClass, Enabled, ViewerCertificate, Restrictions, WebACLId, HttpVersion, IsIPV6Enabled
Unknown parameter in DistributionConfig: "DistributionConfig", must be one of: CallerReference, Aliases, DefaultRootObject, Origins, DefaultCacheBehavior, CacheBehaviors, CustomErrorResponses, Comment, Logging, PriceClass, Enabled, ViewerCertificate, Restrictions, WebACLId, HttpVersion, IsIPV6Enabled

使用awscli重新配置CF的正确方法是什么？

Answer 1

@usterk 的回答是正确的，但我又花了 3 个小时才找到我需要的脚本。在这里，我分享一下。

我的案例：CI/CD 使用 S3/CloudFront 和手动工件版本控制

我在 S3 中托管一个静态网站 (SSG)，我希望它由 CloudFront 提供服务。该网站的代码（不仅仅是内容）经常更新，我想将网站的所有版本存储在 S3 中（就像所有工件或 docker 图像一样）并更新 CloudFront 以指向新版本，对吧在新版本推送到 S3 之后。

我知道 S3 中存在“文件版本控制”，但这种保留所有资产版本的老式格式有助于分析资产以及轻松回滚。

我的配置

• 构建资产（JS、CSS 等）后，新文件将上传到 S3 中的 s3://<mybucket-name>/artifacts/<version-id> 等文件夹
• 在 CloudFront 中，我有一个用于 www 网站的分发。 www.domain.com 的 Route53 指向它。
• 在那个分发中，我有几个起源（例如，一个将 /api 路径发送到 ELB。）
• 重要的起源是www，它的OriginPath指向/artifacts/<version-id>。

工作流程

• 通过 AWS CLI 完成 S3 同步后，我需要更新 CloudFront 的配置，使 www Origin 的 OriginPath 值指向 S3 中的新路径。
• 我还需要对分发启动失效，以便 CloudFront 在内部（在 S3 和它之间）获取新文件

任务

正如@usterk 和@BrianLeishman 指出的那样，此作业的唯一 CLI 命令是 update-distribution，其中 per the documentation 需要将 ENTIRE CONFIGURATION 分发到 更换。因此，没有命令可以部分更新配置中的一个字段。

要实现这一点，必须首先获取当前的 distribution-config，然后提取“DistributionConfig”组件，然后更新它所需要的字段，最后，将其放回正确的格式并使用正确的验证令牌。

>

请注意，“update”命令需要的是“get”返回的“子集”。所以通过 jq 解析 JSON 是不可避免的。

Bash 脚本

我想出的以下脚本对我有用：

# 0) You need to set the followings for your case
CLOUDFRONT_DISTRIBUTION_ID="EABCDEF12345ABCD"
NEW_ORIGIN_PATH="/art/0.0.9"
CLOUDFRONT_ORIGIN_ID="E1A2B3C4D5E6F"

DIST_CONFIG_OLD_FILENAME="dist-config.json" # a temp file, which will be removed later
DIST_CONFIG_NEW_FILENAME="dist-config2.json" # a temp file, which will be removed later

# 1) Get the current config, entirely, and put it in a file
aws cloudfront get-distribution --id $CLOUDFRONT_DISTRIBUTION_ID > $DIST_CONFIG_OLD_FILENAME

# 2) Extract the Etag which we need this later for update
Etag=`cat $DIST_CONFIG_OLD_FILENAME | jq '.ETag' | tr -d \"`

# 3) Modify the config as wished, for me I used `jq` extensively to update the "OriginPath" of the desired "originId"
cat $DIST_CONFIG_OLD_FILENAME | jq \
    --arg targetOriginId $CLOUDFRONT_ORIGIN_ID \
    --arg newOriginPath $NEW_ORIGIN_PATH \
    '.Distribution.DistributionConfig | .Origins.Items = (.Origins.Items | map(if (.Id == $targetOriginId) then (.OriginPath = $newOriginPath) else . end))' \
    > $DIST_CONFIG_NEW_FILENAME

# 4) Update the distribution with the new file
aws cloudfront update-distribution --id $CLOUDFRONT_DISTRIBUTION_ID \
    --distribution-config "file://${DIST_CONFIG_NEW_FILENAME}" \
    --if-match $Etag \
    > /dev/null

# 5) Invalidate the distribution to pick up the changes
aws cloudfront create-invalidation --distribution-id $CLOUDFRONT_DISTRIBUTION_ID --paths "/*"

# 6) Clean up
rm -f $DIST_CONFIG_OLD_FILENAME $DIST_CONFIG_NEW_FILENAME

最后说明：IAM 访问

执行这些操作的用户需要对 CloudFront 中分配的 Get、Invalidate 和 Update 操作进行 IAM 访问。这是提供该政策的政策：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "cloudfront:GetDistribution",
                "cloudfront:UpdateDistribution",
                "cloudfront:CreateInvalidation"
            ],
            "Resource": "arn:aws:cloudfront::<ACCOUNT_ID>:distribution/<DISTRIBUTION_ID>
        }
    ]
}

Answer 2

在使用update-distribution并删除

之前，您必须先编辑cf_config.json

{
    "ETag": "ETag_Value",
    "DistributionConfig":

从文件的开头到最后一次

}

从文件末尾开始。

然后使用此命令以及从id

中删除的正确的ETag和cf_config.json值

aws cloudfront update-distribution --distribution-config file://cf_config.json --id FOO_BAR_ID --if-match ETag_Value