CloudFormation políticas de pilha - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

CloudFormation políticas de pilha

As políticas de pilha podem ajudar a impedir que os recursos de pilha sejam involuntariamente atualizados ou excluídos durante uma atualização da pilha. Uma política de pilha é um documento JSON que define quais ações de atualização podem ser executadas nos recursos designados. Por padrão, qualquer diretor do IAM com cloudformation:UpdateStack permissões pode atualizar todos os recursos em uma AWS CloudFormation pilha. As atualizações podem causar interrupções ou podem excluir e substituir completamente os recursos. Você pode usar uma política de pilha para ajudar a configurar permissões com privilégio mínimo. As políticas de pilha podem fornecer uma camada extra de proteção.

Por padrão, uma política de pilha ajuda a proteger todos os recursos na pilha. No entanto, o principal benefício das políticas de pilha é que elas fornecem controle granular para cada AWS recurso implantado em uma pilha. CloudFormation Você pode usar uma política de pilha para ajudar a proteger somente recursos específicos em uma pilha e permitir atualizações ou a exclusão de outros recursos na mesma pilha. Para permitir atualizações em recursos específicos, você inclui uma instrução Allow explícita para esses recursos em sua política de pilha.

As políticas de pilha fornecem controles preventivos para as CloudFormation pilhas às quais estão anexadas. Cada pilha pode ter somente uma política de pilha, mas você pode usar essa política de pilha para ajudar a proteger todos os recursos dentro dessa pilha. Você pode aplicar uma política de pilha a várias pilhas.

Por exemplo, imagine que você tenha um pipeline que produz artefatos sensíveis e os armazena em um bucket do Amazon Simple Storage Service (Amazon S3) temporariamente para processamento adicional. O bucket S3 é provisionado por CloudFormation, e todos os controles de segurança necessários estão em vigor. Sem políticas de pilha, um desenvolvedor pode alterar intencionalmente ou não o destino dos artefatos do pipeline para um bucket S3 menos seguro e expor dados sensíveis. Se você tiver uma política de pilha aplicada à pilha, ela impedirá que usuários autorizados realizem ações indesejadas de atualização ou exclusão.

Esta seção contém os seguintes tópicos: