本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudFormation 堆栈策略
堆栈策略可以帮助防止堆栈资源在堆栈更新期间被意外更新或删除。堆栈策略是一个 JSON 文档,用于定义可在指定资源上执行的更新操作。默认情况下,任何具有cloudformation:UpdateStack权限的 IAM 委托人都可以更新 AWS CloudFormation 堆栈中的所有资源。更新可能会导致中断,也可能完全删除和替换资源。您可以使用堆栈策略来帮助配置最低权限权限。堆栈策略可以提供额外的保护层。
默认情况下,堆栈策略有助于保护堆栈中的所有资源。但是,堆栈策略的主要好处是它们为堆 CloudFormation 栈中部署的每个 AWS 资源提供了精细的控制。您可以使用堆栈策略来帮助仅保护堆栈中的特定资源,并允许更新或删除同一堆栈中的其他资源。要允许更新特定资源,请在堆栈策略中包含针对这些资源的明确Allow声明。
堆栈策略为它们所连接的 CloudFormation 堆栈提供预防性控制。每个堆栈只能有一个堆栈策略,但您可以使用该堆栈策略来帮助保护该堆栈中的所有资源。您可以将堆栈策略应用于多个堆栈。
例如,假设您有一个管道,该管道可以生成敏感项目并将其临时存储在亚马逊简单存储服务 (Amazon S3) 存储桶中以供进一步处理。S3 存储桶由配置 CloudFormation,并且所有必要的安全控制措施都已到位。如果没有堆栈策略,开发人员可能会有意或无意地将管道项目的目标更改为不太安全的 S3 存储桶,并暴露敏感数据。如果您对堆栈应用了堆栈策略,则它会阻止授权用户执行不必要的更新或删除操作。
