Gestione de forma segura la desviación de la configuración con los conjuntos de cambios con reconocimiento de desviación de AWS CloudFormation
AWS CloudFormation lanza conjuntos de cambios con reconocimiento de desviación que pueden comparar una plantilla de IaC con el estado real de la infraestructura y alinear los recursos desviados con las definiciones de sus plantillas. La configuración se desvía cuando la infraestructura gestionada por IaC se modifica mediante la Consola de administración, el SDK o la CLI de AWS. Con los conjuntos de cambios con reconocimiento de desviación, puede revertir la desviación y mantener la infraestructura sincronizada con las plantillas. Además, puede obtener una vista previa del impacto de las implementaciones en los recursos desviados y evitar cambios inesperados.
Los clientes pueden modificar la infraestructura fuera de IaC al solucionar los incidentes operativos. Esto crea el riesgo de cambios inesperados en las futuras implementaciones de IaC, afecta a la postura de seguridad de la infraestructura y dificulta la capacidad de reproducción de las pruebas y la recuperación ante desastres. Los conjuntos de cambios estándar pueden comparar una plantilla con la plantilla implementada por última vez, pero no tienen en cuenta las desviaciones. Los conjuntos de cambios con reconocimiento de desviación proporcionan una diferencia triple entre una plantilla nueva, una plantilla implementada por última vez y el estado real de la infraestructura. Si la comparación anticipa sobrescrituras no deseadas de la desviación, puede actualizar los valores de la plantilla y volver a crear el conjunto de cambios. Durante la ejecución del conjunto de cambios, CloudFormation comparará las propiedades de los recursos con los valores de las plantillas y recreará los recursos eliminados fuera de IaC. Si se produce un error de aprovisionamiento, CloudFormation restaurará la infraestructura a su estado actual antes de la implementación.
Para empezar, cree un conjunto de cambios para una pila existente desde la consola de CloudFormation y elija “Drift-aware” (Reconocimiento de desviación) como tipo de conjunto de cambios. Como alternativa, pase el parámetro --deployment-mode REVERT_DRIFT a la API CreateChangeSet desde la CLI o el SDK de AWS. Para obtener más información, consulte la Guía del usuario de CloudFormation.
Los conjuntos de cambios con reconocimiento de desviación están disponibles en las regiones de AWS donde CloudFormation está disponible. Consulte la tabla de regiones de AWS para obtener más información.