AWS CloudFormation のドリフト対応変更セットで設定のドリフトを安全に処理
AWS CloudFormation でドリフト対応変更セットが導入されました。IaC テンプレートをインフラストラクチャの実際の状態と比較し、ドリフトされたリソースをテンプレート定義と一致させることができます。IaC で管理されているインフラストラクチャが AWS マネジメントコンソール、SDK、または CLI で変更されると、設定のドリフトが発生します。ドリフト対応変更セットを使用すると、ドリフトを元に戻し、インフラストラクチャをテンプレートと同期させることができます。さらに、ドリフトされたリソースに対してデプロイが与える影響をプレビューし、予期しない変更を防ぐことができます。
お客様は、運用上のインシデントをトラブルシューティングするときに、IaC 以外の方法でインフラストラクチャを変更することがあります。これにより、将来の IaC のデプロイで予期せぬ変更が発生するリスクが生じ、インフラストラクチャのセキュリティ体制に影響が及び、テストやディザスタリカバリの再現性が抑制されます。標準変更セットでは、テンプレートと、最後にデプロイしたテンプレートとを比較できますが、ドリフトは考慮されません。ドリフト対応の変更セットにより、新しいテンプレート、最後にデプロイされたテンプレート、実際のインフラストラクチャの状態の間の 3 方向の差分が得られます。ドリフトの意図しない上書きが差分から予測される場合は、テンプレート値を更新して変更セットを再作成できます。変更セットの実行中、CloudFormation はリソースプロパティをテンプレート値と照合し、IaC 以外の方法で削除されたリソースを再作成します。プロビジョニングエラーが発生した場合、CloudFormation はインフラストラクチャをデプロイ前の実際の状態に復元します。
はじめに、CloudFormation コンソールから既存のスタックの変更セットを作成し、変更セットタイプとして [Drift-aware] を選択します。または、AWS CLI または SDK から、CreateChangeSet API に --deployment-mode REVERT_DRIFT パラメータを渡してください。詳細については、CloudFormation ユーザーガイドを参照してください。
ドリフト対応変更セットは、CloudFormation が利用可能な AWS リージョンでご利用いただけます。詳細については、AWS リージョン一覧表を参照してください。