Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
CloudFormation Richtlinien stapeln
Stack-Richtlinien können dazu beitragen, zu verhindern, dass Stack-Ressourcen während eines Stack-Updates unbeabsichtigt aktualisiert oder gelöscht werden. Eine Stack-Richtlinie ist ein JSON-Dokument, das die Aktualisierungsaktionen definiert, die für bestimmte Ressourcen ausgeführt werden können. Standardmäßig kann jeder IAM-Prinzipal mit cloudformation:UpdateStack Berechtigungen alle Ressourcen in einem AWS CloudFormation Stack aktualisieren. Aktualisierungen können zu Unterbrechungen führen oder Ressourcen vollständig löschen und ersetzen. Sie können eine Stack-Richtlinie verwenden, um Berechtigungen mit den geringsten Rechten zu konfigurieren. Die Stack-Richtlinien können eine zusätzliche Schutzebene bieten.
Standardmäßig trägt eine Stack-Richtlinie zum Schutz aller Ressourcen im Stack bei. Der Hauptvorteil von Stack-Richtlinien besteht jedoch darin, dass sie eine detaillierte Kontrolle für jede AWS Ressource bieten, die in einem CloudFormation Stack eingesetzt wird. Sie können eine Stack-Richtlinie verwenden, um nur bestimmte Ressourcen in einem Stack zu schützen und Aktualisierungen oder das Löschen anderer Ressourcen im selben Stack zu ermöglichen. Um Aktualisierungen für bestimmte Ressourcen zuzulassen, fügen Sie eine ausdrückliche Allow Erklärung für diese Ressourcen in Ihre Stack-Richtlinie ein.
Stack-Richtlinien bieten präventive Kontrollen für die CloudFormation Stacks, an die sie angehängt sind. Jeder Stack kann nur eine Stack-Richtlinie haben, aber Sie können diese Stack-Richtlinie verwenden, um alle Ressourcen innerhalb dieses Stacks zu schützen. Sie können eine Stack-Richtlinie auf mehrere Stacks anwenden.
Stellen Sie sich zum Beispiel vor, Sie haben eine Pipeline, die sensible Artefakte erzeugt und diese vorübergehend zur weiteren Verarbeitung in einem Amazon Simple Storage Service (Amazon S3) -Bucket speichert. Der S3-Bucket wird von bereitgestellt CloudFormation, und alle erforderlichen Sicherheitskontrollen sind vorhanden. Ohne Stack-Richtlinien könnte ein Entwickler das Ziel der Pipeline-Artefakte absichtlich oder unabsichtlich in einen weniger sicheren S3-Bucket ändern und sensible Daten offenlegen. Wenn Sie eine Stack-Richtlinie auf den Stack angewendet haben, verhindert diese, dass autorisierte Benutzer unerwünschte Aktualisierungs- oder Löschaktionen ausführen.
In diesem Abschnitt werden folgende Themen behandelt:
