CloudFormation políticas de pilha - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudFormation políticas de pilha

As políticas de pilha podem ajudar a evitar que os recursos da pilha sejam atualizados ou excluídos acidentalmente durante uma atualização da pilha. Uma política de pilha é um documento JSON que define as ações de atualização que podem ser executadas nos recursos designados. Por padrão, qualquer diretor do IAM com cloudformation:UpdateStack permissões pode atualizar todos os recursos em uma AWS CloudFormation pilha. As atualizações podem causar interrupções ou podem excluir e substituir completamente os recursos. Você pode usar uma política de pilha para ajudar a configurar permissões com privilégios mínimos. As políticas de pilha podem fornecer uma camada extra de proteção.

Por padrão, uma política de pilha ajuda a proteger todos os recursos na pilha. No entanto, o principal benefício das políticas de pilha é que elas fornecem controle granular para cada AWS recurso implantado em uma pilha. CloudFormation Você pode usar uma política de pilha para ajudar a proteger somente recursos específicos em uma pilha e permitir atualizações ou exclusão de outros recursos na mesma pilha. Para permitir atualizações para recursos específicos, você inclui uma Allow declaração explícita desses recursos em sua política de pilha.

As políticas de pilha fornecem controles preventivos para as CloudFormation pilhas às quais estão anexadas. Cada pilha pode ter somente uma política de pilha, mas você pode usar essa política de pilha para ajudar a proteger todos os recursos dentro dessa pilha. Você pode aplicar uma política de pilha a várias pilhas.

Por exemplo, imagine que você tenha um pipeline que produz artefatos confidenciais e os armazena temporariamente em um bucket do Amazon Simple Storage Service (Amazon S3) para processamento adicional. O bucket S3 é provisionado por CloudFormation, e todos os controles de segurança necessários estão em vigor. Sem políticas de pilha, um desenvolvedor pode alterar intencionalmente ou não o destino dos artefatos do pipeline para um bucket S3 menos seguro e expor dados confidenciais. Se você tiver uma política de pilha aplicada à pilha, ela impede que usuários autorizados realizem ações indesejadas de atualização ou exclusão.

Esta seção contém os seguintes tópicos: