Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
CloudFormation politiche dello stack
Le policy dello stack possono aiutare a impedire che le risorse dello stack vengano aggiornate o eliminate involontariamente durante un aggiornamento dello stack. Una politica dello stack è un documento JSON che definisce le azioni di aggiornamento che possono essere eseguite su risorse designate. Per impostazione predefinita, qualsiasi principale IAM con cloudformation:UpdateStack autorizzazioni può aggiornare tutte le risorse di uno stack. AWS CloudFormation Gli aggiornamenti possono causare interruzioni oppure eliminare e sostituire completamente le risorse. È possibile utilizzare una politica di stack per configurare le autorizzazioni con privilegi minimi. Le policy dello stack possono fornire un ulteriore livello di protezione.
Per impostazione predefinita, una policy di stack aiuta a proteggere tutte le risorse dello stack. Tuttavia, il vantaggio principale delle policy di stack è che forniscono un controllo granulare per ogni AWS risorsa distribuita in uno stack. CloudFormation È possibile utilizzare una policy di stack per proteggere solo risorse specifiche in uno stack e consentire l'aggiornamento o l'eliminazione di altre risorse nello stesso stack. Per consentire gli aggiornamenti per risorse specifiche, includi una Allow dichiarazione esplicita per tali risorse nella tua politica dello stack.
Le policy di stack forniscono controlli preventivi per gli CloudFormation stack a cui sono collegate. Ogni stack può avere una sola policy di stack, ma è possibile utilizzare tale policy per proteggere tutte le risorse all'interno di quello stack. È possibile applicare una politica di stack a più stack.
Ad esempio, immagina di avere una pipeline che produce artefatti sensibili e li archivia temporaneamente in un bucket Amazon Simple Storage Service (Amazon S3) per un'ulteriore elaborazione. Il bucket S3 viene fornito da e tutti i controlli di sicurezza CloudFormation necessari sono stati implementati. Senza politiche di stack, uno sviluppatore potrebbe modificare intenzionalmente o meno la destinazione degli artefatti della pipeline in un bucket S3 meno sicuro ed esporre dati sensibili. Se allo stack viene applicata una policy di stack, questa impedisce agli utenti autorizzati di eseguire azioni di aggiornamento o eliminazione indesiderate.
Questa sezione contiene i seguenti argomenti:
