cloudformation-stack-drift-detection-check
AWS CloudFormation (CloudFormation) スタックの実際の設定が、意図した設定と異なっているかどうか、またはドリフトしているかどうかを確認します。スタックの 1 つ以上のリソースが意図した設定と異なっている場合、スタックはドリフトしたと見なされます。このルールとスタックは、スタックのドリフトステータスが IN_SYNC の場合、COMPLIANT です。このルールは、スタックのドリフトステータスが DRIFTED の場合、NON_COMPLIANT です。
注記
このルールでは、アカウント内の各スタックで DetectStackDrift オペレーションを実行します。スタックに含まれるリソースの数によっては、DetectStackDrift オペレーションに数分かかることがあります。このルールの最大実行時間は 15 分に制限されているため、アカウント内のすべてのスタックの評価が完了する前にルールがタイムアウトする可能性があります。
この問題が発生した場合は、タグを使用してルールの対象となるスタック数を制限することを推奨します。以下の操作を行うことができます。
スタックをグループに分け、それぞれに異なるタグを付けます。
そのグループのすべてのスタックに、同じタグを適用します。
アカウントにはこのルールのインスタンスを複数用意し、それぞれを異なるタグでスコープを指定します。これにより、ルールの各インスタンスは、対応するタグがスコープに記述されているスタックのみを処理できます。
識別子: CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK
リソースタイプ: AWS::CloudFormation::Stack
トリガータイプ: 設定変更および定期的
AWS リージョン: アジアパシフィック (ジャカルタ)、中東 (アラブ首長国連邦)、AWS Secret 西部、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ) リージョンを除く、サポートされているすべての AWS リージョン
[パラメータ:]
- cloudformationRoleArn
- 型: 文字列
-
CloudFormation スタックのドリフトを検出するポリシーアクセス許可を持つ IAM ロールの Amazon リソースネーム (ARN) です。ロールに必要な IAM 権限については、 ユーザーガイドの「スタックとリソースに対するアンマネージド型構成変更の検出 | ドリフトを検出する際の考慮事項」を参照してください。
AWS CloudFormation テンプレート
AWS Config テンプレートを使用して AWS CloudFormation マネージドルールを作成するには、「AWS Config テンプレートを使用した AWS CloudFormation マネージドルールの作成」を参照してください。
