cloudformation-stack-drift-detection-check - AWS Config
Modelo do AWS CloudFormation

cloudformation-stack-drift-detection-check

Verifica se a configuração real de uma pilha do AWS CloudFormation (CloudFormation) difere ou se desviou de sua configuração esperada. Considera-se que uma pilha se desviou de sua configuração se um ou mais recursos diferirem da configuração esperada. A regra e a pilha serão COMPLIANT quando o status da pilha for IN_SYNC. A regra será NON_COMPLIANT se o status de desvio da pilha for DRIFTED.

nota

Essa regra executa a operação DetectStackDrift em cada pilha da sua conta. A operação DetectStackDrift pode levar vários minutos, dependendo do número de recursos incluídos na pilha. Como o tempo máximo de execução dessa regra é limitado a 15 minutos, é possível que a regra expire antes de concluir a avaliação de todas as pilhas em sua conta.

Se esse problema ocorrer, é recomendável que você restrinja o número de pilhas no escopo da regra usando tags. Você pode fazer o seguinte:

  1. Divida suas pilhas em grupos, usando uma tag diferente para cada grupo.

  2. Aplique a mesma tag a todas as pilhas desse grupo.

  3. Inclua várias instâncias dessa regra em sua conta, cada uma delimitada por uma tag diferente. Fazer isso permite que cada instância da regra processe somente as pilhas que têm a tag correspondente mencionada em seu escopo.

Identificador: CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK

Tipos de Recurso: AWS::CloudFormation::Stack

Tipo de acionador: alterações da configuração e da periodicidade

Região da AWS: todas as regiões da AWS compatíveis, exceto Ásia-Pacífico (Jacarta), Oriente Médio (UAU), Região Secret-West da AWS, Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Melbourne), Israel (Tel Aviv), Oeste do Canadá (Calgary), Europa (Espanha) e Europa (Zurique).

Parâmetros:

cloudformationRoleArn
Tipo: String

O nome do recurso da Amazon (ARN) do perfil do IAM com permissões de política para detectar o desvio das pilhas do CloudFormation. Para obter informações sobre as permissões necessárias do IAM para a função, consulte Detectar alterações de configuração não gerenciadas em pilhas e recursos | Considerações ao detectar o desvio no Guia do usuário do CloudFormation.

Modelo do AWS CloudFormation

Para criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation, consulte Criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.