Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
CloudFormation politiques de pile
Les politiques de pile peuvent aider à empêcher les ressources de pile d'être mises à jour ou supprimées involontairement lors d'une mise à jour de pile. Une politique de pile est un document JSON qui définit les actions de mise à jour qui peuvent être effectuées sur des ressources désignées. Par défaut, tout principal IAM cloudformation:UpdateStack disposant d'autorisations peut mettre à jour toutes les ressources d'une AWS CloudFormation pile. Les mises à jour peuvent provoquer des interruptions ou supprimer et remplacer complètement des ressources. Vous pouvez utiliser une politique de pile pour configurer les autorisations du moindre privilège. Les politiques de pile peuvent fournir une couche de protection supplémentaire.
Par défaut, une politique de pile permet de protéger toutes les ressources de la pile. Cependant, le principal avantage des politiques de pile est qu'elles fournissent un contrôle granulaire pour chaque AWS ressource déployée dans une CloudFormation pile. Vous pouvez utiliser une politique de pile pour protéger uniquement des ressources spécifiques d'une pile et autoriser la mise à jour ou la suppression d'autres ressources de la même pile. Pour autoriser les mises à jour de ressources spécifiques, vous devez inclure une Allow déclaration explicite pour ces ressources dans votre politique de stack.
Les politiques relatives aux piles fournissent des contrôles préventifs pour les CloudFormation piles auxquelles elles sont associées. Chaque pile ne peut avoir qu'une seule politique de pile, mais vous pouvez utiliser cette politique de pile pour protéger toutes les ressources de cette pile. Vous pouvez appliquer une politique de pile à plusieurs piles.
Par exemple, imaginez que vous avez un pipeline qui produit des artefacts sensibles et les stocke temporairement dans un bucket Amazon Simple Storage Service (Amazon S3) pour un traitement ultérieur. Le compartiment S3 est approvisionné par CloudFormation, et tous les contrôles de sécurité nécessaires sont en place. Sans politiques de stack, un développeur peut, intentionnellement ou non, modifier la destination des artefacts du pipeline vers un compartiment S3 moins sécurisé et exposer des données sensibles. Si une politique de pile est appliquée à la pile, elle empêche les utilisateurs autorisés d'effectuer des actions de mise à jour ou de suppression indésirables.
Cette section contient les rubriques suivantes :
