本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudFormation 堆疊政策
堆疊政策有助於防止堆疊資源在堆疊更新期間意外更新或刪除。堆疊政策是 JSON 文件,定義可在指定資源上執行的更新動作。根據預設,任何具有 cloudformation:UpdateStack 許可的 IAM 主體都可以更新 AWS CloudFormation 堆疊中的所有資源。更新可能會導致中斷,或者可以完全刪除和取代資源。您可以使用堆疊政策來協助設定最低權限許可。堆疊政策可以提供額外的保護層。
根據預設,堆疊政策有助於保護堆疊中的所有資源。不過,堆疊政策的主要優點為 CloudFormation 堆疊中部署的每個 AWS 資源提供精細控制。您可以使用堆疊政策來協助僅保護堆疊中的特定資源,並允許更新或刪除相同堆疊中的其他資源。若要允許更新特定資源,請在堆疊政策中包含這些資源的明確Allow陳述式。
堆疊政策針對其連接的 CloudFormation 堆疊提供預防性控制。每個堆疊只能有一個堆疊政策,但您可以使用該堆疊政策來協助保護該堆疊中的所有資源。您可以將堆疊政策套用至多個堆疊。
例如,假設您的管道會產生敏感成品,並將其暫時存放在 Amazon Simple Storage Service (Amazon S3) 儲存貯體中,以供進一步處理。S3 儲存貯體是由 CloudFormation 佈建,且已備妥所有必要的安全控制。如果沒有堆疊政策,開發人員可能會有意或無意地將管道成品的目的地變更為較不安全的 S3 儲存貯體,並公開敏感資料。如果您將堆疊政策套用至堆疊,則可防止授權使用者執行不需要的更新或刪除動作。
