Gérez la dérive de configuration en toute sécurité grâce aux ensembles de modifications sensibles à la dérive d'AWS CloudFormation
AWS CloudFormation lance des ensembles de modifications sensibles à la dérive, qui peuvent comparer un modèle IaC à l'état réel de l'infrastructure et aligner les ressources dérivées sur les définitions de leurs modèles. La dérive de configuration se produit lorsque l'infrastructure gérée par IaC est modifiée via la console de gestion AWS, le kit SDK ou la CLI. Grâce aux ensembles de modifications sensibles à la dérive, vous pouvez inverser la dérive et synchroniser l'infrastructure avec les modèles. En outre, vous pouvez prévisualiser l'impact des déploiements sur les ressources dérivées et éviter tout changement inattendu.
Les clients peuvent modifier l'infrastructure en dehors de l'IaC lorsqu'ils résolvent des incidents opérationnels. Cela crée le risque de changements inattendus dans les futurs déploiements d'IaC, a un impact sur la sécurité de l'infrastructure et entrave la reproductibilité pour les tests et la reprise après sinistre. Les ensembles de modifications standard peuvent comparer un modèle à votre dernier modèle déployé, mais ne tiennent pas compte de la dérive. Les ensembles de modifications tenant compte de la dérive fournissent une triple différence entre un nouveau modèle, le dernier modèle déployé et l'état réel de l'infrastructure. Si votre diff prédit un remplacement involontaire de la dérive, vous pouvez mettre à jour les valeurs de votre modèle et recréer l'ensemble de modifications. Lors de l'exécution de l'ensemble de modifications, CloudFormation associe les propriétés des ressources aux valeurs des modèles et recrée les ressources supprimées en dehors d'IaC. En cas d'erreur de provisionnement, CloudFormation restaurera l'infrastructure dans son état actuel avant le déploiement.
Pour commencer, créez un ensemble de modifications pour une pile existante à partir de la console CloudFormation et choisissez « Drift-aware » comme type d'ensemble de modifications. Vous pouvez également transmettre le paramètre --deployment-mode REVERT_DRIFT à l'API CreateChangeSet à partir de la CLI ou du kit SDK AWS. Pour en savoir plus, consultez le Guide de l’utilisateur CloudFormation.
Les ensembles de modifications sensibles à la dérive sont disponibles dans les régions AWS où CloudFormation est disponible. Consultez le tableau des régions AWS pour en savoir plus.