翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudFormation スタックポリシー
スタックポリシーは、スタックの更新中にスタックリソースが意図せず更新または削除されるのを防ぐのに役立ちます。スタックポリシーは、指定されたリソースで実行できる更新アクションを定義する JSON ドキュメントです。デフォルトでは、cloudformation:UpdateStackアクセス許可を持つ IAM プリンシパルは、 AWS CloudFormation スタック内のすべてのリソースを更新できます。更新により中断が発生するか、リソースを完全に削除して置き換えることができます。スタックポリシーを使用して、最小特権のアクセス許可を設定できます。スタックポリシーは、追加の保護レイヤーを提供できます。
デフォルトでは、スタックポリシーはスタック内のすべてのリソースを保護するのに役立ちます。ただし、CloudFormation スタックにデプロイされた各 AWS リソースをきめ細かく制御できるスタックポリシーの主な利点です。スタックポリシーを使用すると、スタック内の特定のリソースのみを保護し、同じスタック内の他のリソースの更新または削除を許可できます。特定のリソースの更新を許可するには、スタックポリシーにそれらのリソースの明示的なAllowステートメントを含めます。
スタックポリシーは、アタッチされている CloudFormation スタックの予防コントロールを提供します。各スタックには 1 つのスタックポリシーのみを含めることができますが、そのスタックポリシーを使用して、そのスタック内のすべてのリソースを保護することができます。スタックポリシーは、複数のスタックに適用できます。
たとえば、機密性の高いアーティファクトを生成し、さらに処理するために一時的に Amazon Simple Storage Service (Amazon S3) バケットに保存するパイプラインがあるとします。S3 バケットは CloudFormation によってプロビジョニングされ、必要なすべてのセキュリティコントロールが設定されています。スタックポリシーがない場合、開発者はパイプラインアーティファクトの送信先を意図的または意図せずに安全性の低い S3 バケットに変更し、機密データを公開する可能性があります。スタックポリシーがスタックに適用されている場合、許可されたユーザーが不要な更新または削除アクションを実行できなくなります。
このセクションは、以下のトピックで構成されます。
