1. Zuhause
  2. Frage und Antwort
  3. Wie kann ein AWS CloudFormation-Stapel vor dem Löschen geschützt werden?

Wie kann ein AWS CloudFormation-Stapel vor dem Löschen geschützt werden?

2015-09-16 14 views
5

Ich habe einen Stapel, der eine dreistufige Anwendung erstellt. Ich möchte meinen Stack vor versehentlichem Löschen schützen. Gibt es eine Möglichkeit, einen AWS CloudFormation-Stack zu schützen?Wie kann ein AWS CloudFormation-Stapel vor dem Löschen geschützt werden?

Auch ich würde gerne wissen, wie, auch wenn mein Stack gelöscht wird, wie kann ich Ressourcen mit dem Stack gelöscht werden zu stoppen.

Quelle

2015-09-16 user60679

Antwort

5

Es gibt mehrere Möglichkeiten zum Schützen von Ressourcen, die von AWS CloudFormation erstellt werden.

den Stapel Schützen

AWS Cloudformation eine Vorlage nimmt die gewünschten Ressourcen beschreibt und setzt sie als Stapel von Ressourcen. Wenn ein Stapel gelöscht wird, werden auch die Ressourcen gelöscht.

Daher ist die erste Methode zu steuern, welche Benutzer die Berechtigung zum Löschen des Stapels haben. Dies kann über Identity and Access Management (IAM) zugewiesen werden. Hier

ist ein Beispiel aus der Controlling Access with AWS Identity and Access Management Dokumentation:

Eine Probe Politik, die die Lösch und Update-Stack Aktionen für den MyProductionStack verweigert:

{ 
    "Version":"2012-10-17", 
    "Statement":[{ 
     "Effect":"Deny", 
     "Action":[ 
      "cloudformation:DeleteStack", 
      "cloudformation:UpdateStack" 
     ], 
     "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*" 
    }] 
}

Eine Politik kann auch require use of a Multi-factor Authentication (MFA) code vor der Durchführung sensible Vorgänge wie das Löschen eines Stapels.

schützen die Ressourcen

Ressourcen von Cloudformation erstellt wird, kann immer noch von jedem Benutzer mit entsprechenden Berechtigungen gelöscht/geändert werden. Daher ist es wichtig, dass Sie wichtige Ressourcen davor schützen, dass sie von nicht autorisierten Benutzern beeinflusst werden. AWS empfiehlt, Least Privilege zu erteilen, sodass Benutzer nur die Kontrolle über die benötigten Ressourcen haben und nicht mehr.

Cloudformation Löschrichtlinien

Eine Löschrichtlinie definiert Ressourcen, sollte nicht gelöscht werden, wenn ein Stapel gelöscht.

Vom CloudFormation documentation:

Mit dem DeletionPolicy Attribut können Sie bewahren oder (in einigen Fällen) Backup eine Ressource, wenn seine Stapel gelöscht. Sie geben für jede Ressource, die Sie steuern möchten, ein DeletionPolicy-Attribut an. Wenn eine Ressource kein DeletionPolicy-Attribut aufweist, löscht AWS CloudFormation die Ressource standardmäßig.

Um eine Ressource beim Löschen ihres Stapels beizubehalten, geben Sie Retain für diese Ressource an. Sie können Retain für jede Ressource verwenden. Sie können beispielsweise einen Amazon S3-Bucket oder eine Amazon EC2-Instanz beibehalten, sodass Sie diese Ressourcen nach dem Löschen ihrer Stacks weiterhin verwenden oder ändern können.

Dies wird normalerweise verwendet, um Ressourcen nach absichtlichem Löschen von Stapeln zu behalten. Sie können beispielsweise einen Amazon S3-Bucket oder eine Amazon RDS-Datenbank beibehalten. Es kann jedoch auch verwendet werden, um Ressourcen zu erhalten, selbst wenn ein Stack versehentlich gelöscht wird.

Quelle

2015-09-16 10:14:56

Verwandte Themen

 Verwandte Themen