Protección de una pila para evitar la eliminación accidental - AWS CloudFormation

Protección de una pila para evitar la eliminación accidental

Es posible evitar que una pila se elimine de manera accidental; para ello, habilite la protección de terminación en la pila. Si un usuario intenta eliminar una pila con la protección de terminación habilitada, la eliminación fallará y la pila junto con su estado no cambiarán. Es posible habilitar la protección de terminación en una pila al crearla. La protección de terminación no está habilitada de manera predeterminada en las pilas. Puede configurar la protección de terminación en una pila con cualquier estado excepto DELETE_IN_PROGRESS o DELETE_COMPLETE.

Al habilitar o deshabilitar la protección de terminación en una pila, también se habilita o deshabilita en las pilas anidadas. No se puede habilitar o deshabilitar la protección de terminación directamente en una pila anidada. Si un usuario intenta eliminar directamente una pila anidada que pertenece a una pila la con protección de terminación habilitada, la operación fallará y la pila anidada no cambiará.

Sin embargo, si un usuario realiza una actualización de la pila que eliminaría la pila anidada, AWS CloudFormation la elimina.

La protección de terminación no es igual a la deshabilitación de restauración. La protección de terminación solo es posible en los intentos de eliminar pilas, mientras que la deshabilitación de restauración es posible en la restauración automática cuando se produce algún error durante la creación de la pila.

Habilitación de la protección de terminación al crear una pila
Habilitación o deshabilitación de la protección de terminación de una pila
  1. Inicie sesión en la AWS Management Console y abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation/.

  2. Seleccione la pila que desee.

    nota

    Si aparece el texto NESTED (anidado) junto al nombre de la pila, significa que es una pila anidada. Solo se puede cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada.

  3. En el panel de detalles de la pila, seleccione Stack actions (Acciones de la pila) y, a continuación, haga clic en Edit termination protection (Editar protección de terminación).

    CloudFormation muestra el cuadro de diálogo Edit termination protection (Editar protección de terminación).

  4. Seleccione Enable (Habilitar) o Disable (Deshabilitar) y, a continuación, seleccione Save (Guardar).

Habilitación o deshabilitación de la protección de terminación de una pila anidada

Si aparece el texto NESTED (anidado) junto al nombre de la pila, significa que es una pila anidada. Solo se puede cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada. Cambio de la protección de terminación de la pila raíz:

  1. Inicie sesión en la AWS Management Console y abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation/.

  2. Seleccione la pila anidada que desee.

  3. En el panel Stack info (Información de la pila), en la sección Overview (Información general), seleccione el nombre de la pila mostrada como Root stack (Pila raíz).

    CloudFormation muestra los detalles de la pila raíz.

  4. Seleccione Stack actions (Acciones de la pila) y, a continuación, seleccione Edit Termination Protection (Editar protección de terminación).

    CloudFormation muestra el cuadro de diálogo Edit termination protection (Editar protección de terminación).

  5. Seleccione Enable (Habilitar) o Disable (Deshabilitar) y, a continuación, seleccione Save (Guardar).

Habilitación o deshabilitación de la protección de terminación con la línea de comandos

Control de quién puede cambiar la protección de terminación de pilas

Para habilitar o deshabilitar la protección de terminación de pilas, un usuario requiere permiso para la acción cloudformation:UpdateTerminationProtection. Por ejemplo, la política que figura a continuación permite a los usuarios habilitar o deshabilitar la protección de terminación de pilas.

Para obtener más información acerca de cómo especificar permisos en AWS CloudFormation, consulte Control del acceso con AWS Identity and Access Management.

ejemplo Un ejemplo de política que concede permisos para cambiar la protección de terminación de pilas
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:UpdateTerminationProtection" ], "Resource":"*" }] }