Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
CloudFormation políticas de apilamiento
Las políticas de pilas pueden ayudar a evitar que los recursos de las pilas se actualicen o eliminen sin querer durante una actualización de las pilas. Una política de pilas es un documento de JSON en el que se describen las acciones de actualización que pueden realizarse en los recursos designados. De forma predeterminada, cualquier director de IAM con cloudformation:UpdateStack permisos puede actualizar todos los recursos de una AWS CloudFormation pila. Las actualizaciones pueden provocar interrupciones o pueden eliminar y sustituir por completo los recursos. Puede utilizar una política de pilas para configurar los permisos con privilegios mínimos. Las políticas de pilas pueden proporcionar una capa adicional de protección.
De manera predeterminada, una política de pilas ayuda a proteger todos los recursos de la pila. Sin embargo, la principal ventaja de las políticas de pila es que proporcionan un control pormenorizado de cada AWS recurso desplegado en una CloudFormation pila. Puede utilizar una política de pilas para proteger solo los recursos concretos de una pila y permitir que otros recursos de la misma pila se actualicen o eliminen. Para permitir que recursos concretos se actualicen, incluye una instrucción Allow explícita para esos recursos en la política de pilas.
Las políticas de pila proporcionan controles preventivos para las CloudFormation pilas a las que están conectadas. Cada pila solo puede tener una política de pilas, pero puede utilizar dicha política para proteger todos los recursos de esa pila. Puede aplicar una política de pilas a varias pilas.
Por ejemplo, imagine que tiene una canalización que produce artefactos confidenciales y los almacena de manera temporal en un bucket de Amazon Simple Storage Service (Amazon S3) para su posterior procesamiento. El depósito S3 lo aprovisiona y todos los controles de seguridad necesarios están implementados. CloudFormation Sin políticas de pilas, un desarrollador podría cambiar intencional o involuntariamente el destino de los artefactos de la canalización a un bucket de S3 menos seguro y exponer la información confidencial. Si aplica una política de pilas a la pila, evitará que los usuarios autorizados hagan actualizaciones o eliminaciones no deseadas.
Esta sección contiene los siguientes temas:
