Sicherer Umgang mit Konfigurationsabweichungen mit AWS CloudFormation driftfähigen Änderungssätze
AWS CloudFormation führt driftfähige Änderungssätze ein, die eine IaC-Vorlage mit dem tatsächlichen Zustand der Infrastruktur vergleichen und driftfähige Ressourcen in Einklang mit ihren Vorlagendefinitionen bringen können. Ein Konfigurationsdrift tritt auf, wenn die von IaC verwaltete Infrastruktur über die AWS-Managementkonsole, das SDK oder die CLI geändert wird. Mit driftfähigen Änderungssätzen können Sie Drifts rückgängig machen und die Infrastruktur mit den Vorlagen synchronisieren. Darüber hinaus können Sie die Auswirkungen von Bereitstellungen auf verschobene Ressourcen in der Vorschau anzeigen und unerwartete Änderungen verhindern.
Kunden können bei der Behebung von Betriebsstörungen die Infrastruktur außerhalb von IaC ändern. Dies birgt das Risiko unerwarteter Änderungen bei künftigen IaC-Bereitstellungen, wirkt sich auf die Sicherheit der Infrastruktur aus und erschwert die Reproduzierbarkeit bei Tests und Notfallwiederherstellung. Standard-Änderungssätze können eine Vorlage mit Ihrer zuletzt bereitgestellten Vorlage vergleichen, berücksichtigen aber keine Drift. Driftfähige Änderungssätze bieten einen Drei-Wege-Vergleich zwischen einer neuen Vorlage, der zuletzt bereitgestellten Vorlage und dem aktuellen Zustand der Infrastruktur. Wenn Ihr Diff unbeabsichtigte Überschreibungen von Drifts vorhersagt, können Sie Ihre Vorlagenwerte aktualisieren und den Änderungssatz neu erstellen. Während der Ausführung des Änderungssatzes gleicht CloudFormation die Ressourceneigenschaften mit den Werten der Vorlage ab und erstellt die außerhalb von IaC gelöschten Ressourcen neu. Wenn ein Fehler bei der Bereitstellung auftritt, versetzt CloudFormation die Infrastruktur in den Zustand vor der Bereitstellung zurück.
Um loszulegen, erstellen Sie in der CloudFormation-Konsole einen Änderungssatz für einen bestehenden Stack und wählen als Typ des Änderungssatzes „Driftfähig“. Alternativ können Sie den Parameter --deployment-mode REVERT_DRIFT an die CreateChangeSet API von der AWS CLI oder dem SDK übergeben. Um mehr zu erfahren, besuchen Sie das CloudFormation Benutzerhandbuch.
Driftfähige Änderungssätze sind in AWS-Regionen verfügbar, in denen CloudFormation verfügbar ist. Weitere Informationen finden Sie in der Tabelle AWS-Region.