CloudFormation スタックポリシー

スタックポリシーは、スタックの更新中にスタックのリソースが意図せず更新または削除されるのを防止するのに役立ちます。スタックポリシーは、指定したリソースに対して実行できる更新アクションを定義する JSON ドキュメントです。デフォルトでは、cloudformation:UpdateStackアクセス許可を持つ IAM プリンシパルは、 AWS CloudFormation スタック内のすべてのリソースを更新できます。更新により中断が発生したり、リソースが完全に削除または置換されたりする可能性があります。スタックポリシーを使用すると、最小特権のアクセス許可を設定して、スタックにさらなる保護を提供できます。

デフォルトでは、スタックポリシーによってスタック内のすべてのリソースを保護できます。ただし、CloudFormation スタックにデプロイされた各 AWS リソースをきめ細かく制御できるスタックポリシーの主な利点です。スタックポリシーを使用するとスタック内の特定のリソースのみを保護し、同じスタック内の他のリソースの更新または削除を許可できます。特定のリソースの更新を許可するには、スタックポリシーでこれらのリソースに対する Allow ステートメントを明示的に指定します。

スタックポリシーによって、アタッチ先の CloudFormation スタックを予防的にコントロールできます。各スタックにはスタックポリシーを 1 つのみアタッチできますが、そのスタックポリシーでスタック内のすべてのリソースを保護できます。1 つのスタックポリシーを複数のスタックに適用できます。

例えば、機密性の高いアーティファクトを作成し、後で処理するため一時的に Amazon Simple Storage Service (Amazon S3) バケットに保存するパイプラインがあるとします。S3 バケットは CloudFormation によってプロビジョニングされており、必要なすべてのセキュリティコントロールが設定されています。スタックポリシーがない場合、開発者が意図的、または意図せずにパイプラインのアーティファクトの送信先を安全性の低い S3 バケットに変更し、機密データが漏洩する可能性があります。スタックポリシーがスタックに適用されていれば、許可されたユーザーが望ましくない更新または削除アクションを実行できなくなります。