cloudformation-to-pulumi

bởi pulumi

Chuyển đổi, di chuyển hoặc nhập các stack hoặc template AWS CloudFormation thành chương trình Pulumi. Tải kỹ năng này bất cứ khi nào người dùng muốn chuyển từ CloudFormation sang…

npx skills add https://github.com/pulumi/agent-skills --skill cloudformation-to-pulumi

IMPORTANT: PLAN ADJUSTMENT REQUIRED

If you have already generated a migration plan before loading this skill, you MUST:

  1. Review your existing plan against the workflows and requirements in this skill
  2. Identify any gaps, missing steps, or incorrect assumptions
  3. Update and revise your plan to align with this skill's guidance
  4. Communicate the adjusted plan to the user before proceeding

CRITICAL SUCCESS REQUIREMENTS

The migration output MUST meet all of the following:

  1. Complete Resource Coverage

    • Every CloudFormation resource MUST be represented in the Pulumi program OR explicitly justified in the final report.
  2. CloudFormation Logical ID as Resource Name

    • CRITICAL: Every Pulumi resource MUST use the CloudFormation Logical ID as its resource name.
    • This enables the cdk-importer tool to automatically find import IDs.
    • DO NOT rename resources. Automated import will FAIL if you change the logical IDs.
  3. Successful Deployment

    • The produced Pulumi program must be structurally valid and capable of a successful pulumi preview (assuming proper config).
  4. Zero-Diff Import Validation (if importing existing resources)

    • After import, pulumi preview must show NO updates, replaces, creates, or deletes.
  5. Final Migration Report

    • Always output a formal migration report suitable for a Pull Request.

WHEN INFORMATION IS MISSING

If the user has not provided a CloudFormation template, you MUST fetch it from AWS using the stack name.

MIGRATION WORKFLOW

Follow this workflow exactly and in this order:

1. INFORMATION GATHERING

1.1 Verify AWS Credentials (ESC)

Running AWS commands requires credentials loaded via Pulumi ESC.

  • If the user has already provided an ESC environment, use it.
  • If no ESC environment is specified, ask the user which ESC environment to use before proceeding.

For detailed ESC information: Use skill pulumi-esc.

You MUST confirm the AWS region with the user.

1.2 Get the CloudFormation Template

If user provided a template file: Read the template directly.

If user only provided a stack name: Fetch the template from AWS:

aws cloudformation get-template \
  --region <region> \
  --stack-name <stack-name> \
  --query 'TemplateBody' \
  --output json > template.json

1.3 Build Resource Inventory

List all resources in the stack:

aws cloudformation list-stack-resources \
  --region <region> \
  --stack-name <stack-name> \
  --output json

This provides:

  • LogicalResourceId - Use this as the Pulumi resource name
  • PhysicalResourceId - The actual AWS resource ID
  • ResourceType - The CloudFormation resource type

1.4 Analyze Template Structure

Extract from the template:

  • Parameters and their defaults
  • Mappings
  • Conditions
  • Outputs
  • Resource dependencies (Ref, GetAtt, DependsOn)

2. CODE CONVERSION (CloudFormation → Pulumi)

IMPORTANT: There is NO automated conversion tool for CloudFormation. You MUST convert each resource manually.

2.1 Resource Name Convention (CRITICAL)

Every Pulumi resource MUST use the CloudFormation Logical ID as its name.

// CloudFormation:
// "MyAppBucketABC123": { "Type": "AWS::S3::Bucket", ... }

// Pulumi - CORRECT:
const myAppBucket = new aws.s3.Bucket("MyAppBucketABC123", { ... });

// Pulumi - WRONG (DO NOT do this - import will fail):
const myAppBucket = new aws.s3.Bucket("my-app-bucket", { ... });

This naming convention is REQUIRED because the cdk-importer tool matches resources by name.

2.2 Provider Strategy

⚠️ CRITICAL: ALWAYS USE aws-native BY DEFAULT ⚠️

  • Use aws-native for all resources unless there's a specific reason to use aws.
  • CloudFormation types map directly to aws-native (e.g., AWS::S3::Bucketaws-native.s3.Bucket).
  • Only use aws (classic) when aws-native doesn't support a required feature.

This is MANDATORY for successful imports with cdk-importer. The cdk-importer works by matching CloudFormation resources to Pulumi resources, and CloudFormation maps 1:1 to aws-native. Using the classic aws provider will cause import failures.

2.3 CloudFormation Intrinsic Functions

Map CloudFormation intrinsic functions to Pulumi equivalents:

CloudFormationPulumi Equivalent
!Ref (resource)Resource output (e.g., bucket.id)
!Ref (parameter)Pulumi config
!GetAtt Resource.AttrResource property output
!Sub "..."pulumi.interpolate
!Join [delim, [...]]pulumi.interpolate or .apply()
!If [cond, true, false]Ternary operator
!Equals [a, b]=== comparison
!Select [idx, list]Array indexing with .apply()
!Split [delim, str].apply(v => v.split(...))
Fn::ImportValueStack references or config
Example: !Sub
// CloudFormation: !Sub "arn:aws:s3:::${MyBucket}/*"
// Pulumi:
const bucketArn = pulumi.interpolate`arn:aws:s3:::${myBucket.bucket}/*`;
Example: !GetAtt
// CloudFormation: !GetAtt MyFunction.Arn
// Pulumi:
const functionArn = myFunction.arn;

2.4 CloudFormation Conditions

Convert CloudFormation conditions to TypeScript logic:

// CloudFormation:
// "Conditions": {
//   "CreateProdResources": { "Fn::Equals": [{ "Ref": "Environment" }, "prod"] }
// }

// Pulumi:
const config = new pulumi.Config();
const environment = config.require("environment");
const createProdResources = environment === "prod";

if (createProdResources) {
  // Create production-only resources
}

2.5 CloudFormation Parameters

Convert parameters to Pulumi config:

// CloudFormation:
// "Parameters": {
//   "InstanceType": { "Type": "String", "Default": "t3.micro" }
// }

// Pulumi:
const config = new pulumi.Config();
const instanceType = config.get("instanceType") || "t3.micro";

2.6 CloudFormation Mappings

Convert mappings to TypeScript objects:

// CloudFormation:
// "Mappings": {
//   "RegionMap": {
//     "us-east-1": { "AMI": "ami-12345" },
//     "us-west-2": { "AMI": "ami-67890" }
//   }
// }

// Pulumi:
const regionMap: Record<string, { ami: string }> = {
  "us-east-1": { ami: "ami-12345" },
  "us-west-2": { ami: "ami-67890" },
};
const ami = regionMap[aws.config.region!].ami;

2.7 Custom Resources

CloudFormation Custom Resources (AWS::CloudFormation::CustomResource or Custom::*) require special handling:

  1. Identify the purpose: Read the Lambda function code to understand what it does
  2. Find native replacement: Check if Pulumi has a native resource that provides the same functionality
  3. If no replacement: Document in the migration report that manual implementation is needed

2.8 TypeScript Output Handling

aws-native outputs often include undefined. Avoid ! non-null assertions. Always safely unwrap with .apply():

// WRONG
functionName: lambdaFunction.functionName!,

// CORRECT
functionName: lambdaFunction.functionName.apply(name => name || ""),

3. RESOURCE IMPORT

After conversion, import existing resources to be managed by Pulumi.

3.0 Pre-Import Validation (REQUIRED)

Before proceeding with import, verify your code:

  1. Check Provider Usage: Scan your code to ensure all resources use aws-native
  2. Document Exceptions: Any use of aws (classic) provider must be justified
  3. Verify Resource Names: Confirm all resources use CloudFormation Logical IDs as names

3.1 Automated Import with cdk-importer

Because you used CloudFormation Logical IDs as resource names, you can use the cdk-importer tool to automatically import resources.

Follow cfn-importer.md for detailed import procedures.

3.2 Manual Import for Failed Resources

For resources that fail automatic import:

  1. Follow cloudformation-id-lookup.md to find the import ID format
  2. Use pulumi import:
pulumi import <pulumi-resource-type> <logical-id> <import-id>

3.3 Running Preview After Import

After import, run pulumi preview. There must be:

  • NO updates
  • NO replaces
  • NO creates
  • NO deletes

If there are changes, investigate and update the program until preview is clean.

OUTPUT FORMAT (REQUIRED)

When performing a migration, always produce:

  1. Overview (high-level description)
  2. Migration Plan Summary
  3. Pulumi Code Outputs (TypeScript; organized by file)
  4. Resource Mapping Table:
CloudFormation Logical IDCFN TypePulumi TypeProvider
MyAppBucketABC123AWS::S3::Bucketaws-native.s3.Bucketaws-native
MyLambdaFunction456AWS::Lambda::Functionaws-native.lambda.Functionaws-native
  1. Custom Resources Summary (if any)
  2. Final Migration Report (PR-ready)
  3. Next Steps (import instructions)

FOR DETAILED DOCUMENTATION

Fetch content from official Pulumi documentation:

Thêm skills từ pulumi

package-usage
pulumi
Theo dõi các stack trong một tổ chức Pulumi sử dụng một gói cụ thể và ở phiên bản nào. Dùng để kiểm tra chéo giữa các stack, xác định các gói lỗi thời hoặc không được bảo trì…
official
provider-upgrade
pulumi
Nâng cấp nhà cung cấp là một bản dịch, không phải yêu cầu thay đổi.
official
pulumi-arm-to-pulumi
pulumi
Chuyển đổi các mẫu ARM, Bicep hoặc tài nguyên Azure hiện có thành mã cơ sở hạ tầng Pulumi. Xử lý chuyển đổi toàn bộ mẫu ARM sang Pulumi (TypeScript, Python, Go, C#, Java hoặc YAML) với hỗ trợ tham số, biến, vòng lặp, điều kiện và các mẫu lồng nhau. Hỗ trợ cả nhà cung cấp azure-native (bao phủ toàn bộ API) và azure (cổ điển, đơn giản hóa); tự động chọn nhà cung cấp phù hợp cho từng tài nguyên. Nhập các tài nguyên Azure đã triển khai hiện có vào Pulumi với xác thực không khác biệt...
official
pulumi-automation-api
pulumi
Điều phối lập trình các hoạt động hạ tầng Pulumi trên nhiều stack và ứng dụng. Hỗ trợ cả kiến trúc nguồn cục bộ (dự án Pulumi hiện có) và nguồn nội tuyến (chương trình nhúng), cho phép các mẫu triển khai linh hoạt từ đơn giản đến phức tạp với nhiều stack. Xử lý điều phối nhiều stack với trình tự phụ thuộc, triển khai độc lập song song và truyền đầu ra giữa các stack để cung cấp hạ tầng phối hợp. Cung cấp lập trình...
official
pulumi-best-practices
pulumi
Các phương pháp hay nhất toàn diện để viết mã cơ sở hạ tầng Pulumi đáng tin cậy và dễ bảo trì. Tránh tạo tài nguyên bên trong các callback apply(); truyền trực tiếp các đối tượng Output làm đầu vào để duy trì khả năng theo dõi phụ thuộc và hiển thị xem trước. Sử dụng các lớp ComponentResource để nhóm các tài nguyên liên quan thành các đơn vị logic có thể tái sử dụng với hệ thống phân cấp cha-con phù hợp thông qua parent: this. Mã hóa bí mật ngay từ đầu bằng cờ --secret hoặc config.requireSecret() để ngăn rò rỉ thông tin xác thực trong các tệp trạng thái...
official
pulumi-cdk-to-pulumi
pulumi
Tải kỹ năng này khi người dùng muốn di chuyển, chuyển đổi, chuyển giao, dịch hoặc chuyển một ứng dụng AWS CDK (bao gồm các CDK stacks, constructs, hoặc…
official
pulumi-component
pulumi
Các thành phần cơ sở hạ tầng có thể tái sử dụng với hỗ trợ đa ngôn ngữ, các giá trị mặc định hợp lý và các mẫu tổ hợp. Yêu cầu bốn yếu tố cốt lõi: mở rộng ComponentResource, chấp nhận các tham số tiêu chuẩn, đặt parent: this trên tất cả các thành phần con và gọi registerOutputs() ở cuối hàm tạo. Các giao diện Args phải sử dụng trình bao bọc Input<T>, tránh các kiểu union và hàm, đồng thời giữ cấu trúc phẳng để hỗ trợ tạo SDK đa ngôn ngữ. Chỉ hiển thị các đầu ra thiết yếu dưới dạng thuộc tính công khai; ẩn...
official
pulumi-esc
pulumi
Quản lý tập trung các bí mật, cấu hình và thông tin xác thực động cho cơ sở hạ tầng và ứng dụng Pulumi. Hỗ trợ tổng hợp môi trường thông qua import và phân lớp, với các khóa dành riêng cho environmentVariables, pulumiConfig và files. Tạo thông tin xác thực ngắn hạn qua OIDC cho AWS, Azure và GCP; tích hợp với AWS Secrets Manager, Azure Key Vault, HashiCorp Vault và 1Password. Các lệnh CLI chính bao gồm pulumi env init, pulumi env edit, pulumi env open (hiển thị...
official