CloudFormation 스택 정책

스택 정책은 스택 업데이트 중에 스택 리소스가 의도치 않게 업데이트되거나 삭제되는 것을 방지하는 데 도움이 될 수 있습니다. 스택 정책은 지정된 리소스에서 수행할 수 있는 업데이트 작업을 정의하는 JSON 문서입니다. 기본적으로 cloudformation:UpdateStack 권한이 있는 모든 IAM 보안 주체는 AWS CloudFormation 스택의 모든 리소스를 업데이트할 수 있습니다. 업데이트로 인해 중단이 발생하거나 리소스를 완전히 삭제하고 교체할 수 있습니다. 스택 정책을 사용하여 최소 권한 권한을 구성할 수 있습니다. 스택 정책은 추가 보호 계층을 제공할 수 있습니다.

기본적으로 스택 정책은 스택의 모든 리소스를 보호하는 데 도움이 됩니다. 그러나 CloudFormation 스택에 배포된 각 AWS 리소스에 대해 세분화된 제어를 제공하는 스택 정책의 주요 이점은 다음과 같습니다. 스택 정책을 사용하여 스택의 특정 리소스만 보호하고 동일한 스택의 다른 리소스에 대한 업데이트 또는 삭제를 허용할 수 있습니다. 특정 리소스에 대한 업데이트를 허용하려면 스택 정책에 해당 리소스에 대한 명시적 Allow 문을 포함합니다.

스택 정책은 연결된 CloudFormation 스택에 대한 예방 제어를 제공합니다. 각 스택에는 하나의 스택 정책만 있을 수 있지만 해당 스택 정책을 사용하여 해당 스택 내의 모든 리소스를 보호할 수 있습니다. 스택 정책을 여러 스택에 적용할 수 있습니다.

예를 들어, 민감한 아티팩트를 생성하고 추가 처리를 위해 일시적으로 Amazon Simple Storage Service(Amazon S3) 버킷에 저장하는 파이프라인이 있다고 가정해 보겠습니다. S3 버킷은 CloudFormation에서 프로비저닝되며 필요한 모든 보안 제어가 마련되어 있습니다. 스택 정책이 없으면 개발자는 의도적으로 또는 의도하지 않게 파이프라인 아티팩트의 대상을 덜 안전한 S3 버킷으로 변경하고 민감한 데이터를 노출할 수 있습니다. 스택에 스택 정책이 적용된 경우 권한 있는 사용자가 원치 않는 업데이트 또는 삭제 작업을 수행하지 못하게 됩니다.

이 섹션은 다음 주제를 포함합니다:

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

서비스 역할

스택 정책 구성