amazon-web-services - 修复 CloudFormation 偏离模板上下文的问题

Question

我之前做过漂移检测，并且不得不更改 CloudFormation 模板来修复漂移。但是，如果我找不到模板并怀疑更改是通过 AWS 控制台等手动进行的，该怎么办？具体资源是

• 管道角色
• 部署 ID
• CODETEST_CodeTestHistoryViewLambda_DO-NOT-DELETE

我在其他问题上看到我可能需要修改 IAM 策略才能解决这些问题。其他人说我必须手动删除堆栈并重新创建它，但我不想这样做。想知道接下来的最佳步骤是什么。谢谢。

Answer 1

what if I can't find the template

云形成automatically tags它创建的几乎所有资源:

AWS CloudFormation automatically creates the following stack-level tags with the prefix aws:

• aws:cloudformation:逻辑 ID

• aws:cloudformation:stack-id

• aws:cloudformation:堆栈名称

因此，这是检查您是否有资源并且不确定哪个模板创建了该资源的第一个地方。

并非所有资源都支持漂移检测，仅some 。因此，您只能检查这些资源的漂移。根据您列出的内容，管道的 IAM 角色可用于漂移检测。目前还不清楚其他两个资源是什么意思。

如何处理漂移是一个具体情况的任务。您可以手动将资源修改回与其CFN模板一致，修改模板以匹配资源，重新创建资源。

以下AWS 博客文章提供了有关如何处理以资源导入为重点的偏差的一般建议:

• Remediate drift via resource import with AWS CloudFormation

Once drift is detected, you have a few options. The simplest option tends to be updating the template itself to match the current live state. However, this may require potentially undesirable changes to your resource. Another option is to update the resource itself to match the template, but sometimes the live resource state is the desired state. Resource import affords us a third option. By decoupling the resource from the template, with a deletion policy of retain and importing the same resource back, we can adopt the updated property changes without having to execute a resource update that requires replacement.