Gestisci in sicurezza la deriva della configurazione con i set di modifiche con rilevamento delle deviazioni di AWS CloudFormation
AWS CloudFormation introduce set di modifiche con rilevamento delle deviazioni, in grado di confrontare un modello IaC con lo stato effettivo dell'infrastruttura e riportare in linea le risorse deviate con le definizioni del modello. La deviazione della configurazione si verifica quando l'infrastruttura gestita tramite IaC viene modificata attraverso la console di gestione AWS, l'SDK o l'interfaccia a riga di comando (CLI). I set di modifiche con rilevamento delle deviazioni consentono di annullare le deviazioni e mantenere l'infrastruttura allineata ai modelli. È inoltre possibile visualizzare in anteprima l'impatto dell'implementazione sulle risorse deviate ed evitare modifiche impreviste.
Durante la risoluzione di problemi operativi, è possibile apportare modifiche all'infrastruttura senza utilizzare IaC. In questo modo si introduce il rischio di modifiche impreviste durante le implementazioni IaC successive, si riduce il livello di sicurezza dell'infrastruttura e si ostacola la riproducibilità per i test e il disaster recovery. I set di modifiche standard possono confrontare un modello con l'ultimo modello implementato, ma non considerano la deriva. I set di modifiche con rilevamento delle deviazioni consentono di confrontare simultaneamente tre elementi: il nuovo modello proposto, l'ultimo modello implementato e la configurazione effettiva dell'infrastruttura. Nel caso in cui il confronto evidenzi il rischio di sovrascrivere involontariamente le deviazioni esistenti, si possono modificare i valori del modello e creare nuovamente il set di modifiche. Quando viene eseguito il set di modifiche, CloudFormation ripristina la corrispondenza tra le proprietà delle risorse e i valori definiti nel modello, ricreando anche le risorse eventualmente eliminate senza utilizzare IaC. Qualora si verifichi un errore durante il provisioning, CloudFormation ripristina l'infrastruttura allo stato effettivo che precede l'implementazione.
Per iniziare, crea un set di modifiche per uno stack esistente dalla console di CloudFormation e seleziona "Rilevamento delle deviazioni" come tipo di set di modifiche. In alternativa, specificare il parametro --deployment-mode REVERT_DRIFT per l'API CreateChangeSet tramite la CLI o l'SDK di AWS. Per saperne di più, consulta la guida utente di CloudFormation.
I set di modifiche con rilevamento delle deviazioni sono disponibili nelle regioni AWS in cui è accessibile CloudFormation. Per ulteriori informazioni, consulta la tabella delle regioni AWS.