Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
CloudFormation kebijakan tumpukan
Kebijakan tumpukan dapat membantu mencegah sumber daya tumpukan diperbarui atau dihapus secara tidak sengaja selama pembaruan tumpukan. Kebijakan tumpukan adalah dokumen JSON yang mendefinisikan tindakan pembaruan yang dapat dilakukan pada sumber daya yang ditentukan. Secara default, setiap prinsipal IAM dengan cloudformation:UpdateStack izin dapat memperbarui semua sumber daya dalam tumpukan. AWS CloudFormation Pembaruan dapat menyebabkan gangguan, atau mereka dapat sepenuhnya menghapus dan mengganti sumber daya. Anda dapat menggunakan kebijakan tumpukan untuk membantu mengonfigurasi izin hak istimewa terkecil. Kebijakan tumpukan dapat memberikan lapisan perlindungan tambahan.
Secara default, kebijakan tumpukan membantu melindungi semua sumber daya dalam tumpukan. Namun, manfaat utama dari kebijakan tumpukan adalah mereka menyediakan kontrol granular untuk setiap AWS sumber daya yang digunakan dalam tumpukan. CloudFormation Anda dapat menggunakan kebijakan tumpukan untuk membantu melindungi hanya sumber daya tertentu dalam tumpukan dan mengizinkan pembaruan atau penghapusan sumber daya lain dalam tumpukan yang sama. Untuk mengizinkan pembaruan sumber daya tertentu, Anda menyertakan Allow pernyataan eksplisit untuk sumber daya tersebut dalam kebijakan tumpukan Anda.
Kebijakan tumpukan memberikan kontrol preventif untuk CloudFormation tumpukan yang dilampirkan. Setiap tumpukan hanya dapat memiliki satu kebijakan tumpukan, tetapi Anda dapat menggunakan kebijakan tumpukan itu untuk membantu melindungi semua sumber daya dalam tumpukan itu. Anda dapat menerapkan kebijakan tumpukan ke beberapa tumpukan.
Misalnya, bayangkan Anda memiliki pipeline yang menghasilkan artefak sensitif dan menyimpannya di bucket Amazon Simple Storage Service (Amazon S3) untuk sementara waktu untuk diproses lebih lanjut. Bucket S3 disediakan oleh CloudFormation, dan semua kontrol keamanan yang diperlukan sudah ada. Tanpa kebijakan tumpukan, pengembang mungkin sengaja atau tidak sengaja mengubah tujuan artefak pipeline menjadi bucket S3 yang kurang aman dan mengekspos data sensitif. Jika Anda memiliki kebijakan tumpukan yang diterapkan ke tumpukan, ini mencegah pengguna yang berwenang melakukan tindakan pembaruan atau penghapusan yang tidak diinginkan.
Bagian ini berisi topik berikut:
