Proteger una pila para impedir que la eliminen accidentalmente - AWS CloudFormation

Proteger una pila para impedir que la eliminen accidentalmente

Es posible evitar que una pila se elimine accidentalmente; para ello, habilite la protección de terminación en la pila. Si un usuario intenta eliminar una pila con protección de terminación habilitada, la eliminación falla y la pila, así como su estado, no cambian. Es posible habilitar la protección de terminación en una pila al crearla. La protección contra terminación está deshabilitada en las pilas de forma predeterminada. Puede establecer la protección de terminación en una pila con cualquier estado excepto DELETE_IN_PROGRESS o DELETE_COMPLETE.

Al habilitar o inhabilitar la protección de terminación en una pila, también se habilita o inhabilita en sus pilas anidadas. No puede habilitar o deshabilitar la protección de terminación directamente en una pila anidada. Si un usuario intenta eliminar directamente una pila anidada que pertenece a una pila con protección de terminación habilitada, la operación falla y la pila anidada no cambia.

Sin embargo, si un usuario realiza una actualización de la pila que eliminaría la pila anidada, AWS CloudFormation la elimina.

La protección de terminación no es igual a la inhabilitación de restauración. La protección de terminación es aplicable únicamente a los intentos de eliminar pilas, mientras que la inhabilitación de restauración es aplicable a la restauración automática cuando se produce algún error durante la creación de la pila.

Para habilitar la protección de terminación al crear una pila

Para habilitar o deshabilitar la protección contra terminación de una pila

  1. Inicie sesión en la AWS Management Console y abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation/.

  2. Seleccione la pila que desee.

    nota

    Si aparece el texto NESTED junto al nombre de la pila, es una pila anidada. Solo es posible cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada.

  3. En el panel de detalles de la pila, seleccione Stack actions (Acciones de la pila) y, a continuación, haga clic en Edit termination protection (Editar protección de terminación).

    CloudFormation muestra el cuadro de diálogo Edit termination protection (Editar protección de terminación).

  4. Elija Enable (Habilitar) o Disable (Deshabilitar) y, a continuación, seleccione Save (Guardar).

Para habilitar o deshabilitar la protección contra terminación de una pila anidada

Si aparece el texto NESTED junto al nombre de la pila, es una pila anidada. Solo es posible cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada. Para cambiar la protección de terminación de la pila raíz:

  1. Inicie sesión en la AWS Management Console y abra la consola de CloudFormation en https://console.aws.amazon.com/cloudformation/.

  2. Seleccione la pila anidada que desee.

  3. En el panel Stack info (Información de la pila), en la sección Overview (Información general), seleccione el nombre de la pila mostrada como Root stack (Pila raíz).

    CloudFormation muestra los detalles de la pila raíz.

  4. Elija Stack actions (Acciones de la pila) y, a continuación, elija Edit Termination Protection (Editar protección de terminación).

    CloudFormation muestra el cuadro de diálogo Edit termination protection (Editar protección de terminación).

  5. Elija Enable (Habilitar) o Disable (Deshabilitar) y, a continuación, seleccione Save (Guardar).

Para habilitar o deshabilitar la protección contra terminación en la línea de comandos

Controlar quién puede cambiar la protección de terminación de pilas

Para habilitar o deshabilitar la protección de terminación de pilas, un usuario requiere permiso para la acción cloudformation:UpdateTerminationProtection. Por ejemplo, la política a continuación permite a los usuarios habilitar o deshabilitar la protección de terminación de pilas.

Para obtener más información acerca de cómo especificar permisos en AWS CloudFormation, consulte: Controlar el acceso con AWS Identity and Access Management.

ejemplo Un ejemplo de política que concede permisos para cambiar la protección de terminación de pilas

{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:UpdateTerminationProtection" ], "Resource":"*" }] }