Gerenciar com segurança os desvios de configuração com os conjuntos de alterações sensíveis a desvios do AWS CloudFormation
O AWS CloudFormation lança conjuntos de alterações com reconhecimento de desvios que podem comparar um modelo de IaC com o estado real da infraestrutura e alinhar os recursos desviados com suas definições de modelo. O desvio de configuração ocorre quando a infraestrutura gerenciada pela IaC é modificada por meio do Console de Gerenciamento da AWS, SDK ou CLI. Com conjuntos de alterações que reconhecem desvios, você pode reverter desvios e manter a infraestrutura sincronizada com os modelos. Além disso, você pode visualizar o impacto das implantações nos recursos desviados e evitar alterações inesperadas.
Os clientes podem modificar a infraestrutura fora da IaC ao solucionar incidentes operacionais. Isso cria o risco de alterações inesperadas em futuras implantações de IaC, afeta a postura de segurança da infraestrutura e dificulta a reprodutibilidade para testes e recuperação de desastres. Os conjuntos de alterações padrão podem comparar um modelo com o modelo implantado pela última vez, mas não consideram o desvio. Os conjuntos de alterações com reconhecimento de desvio fornecem uma diferença tripla entre um novo modelo, um modelo implantado pela última vez e o estado real da infraestrutura. Se a sua análise de diferenças prever substituições não intencionais de desvios, você poderá atualizar os valores do seu modelo e recriar o conjunto de alterações. Durante a execução do conjunto de alterações, o CloudFormation combinará as propriedades dos recursos com os valores do modelo e recriará os recursos excluídos fora da IaC. Se ocorrer um erro de provisionamento, o CloudFormation restaurará a infraestrutura ao seu estado real antes da implantação.
Para começar, crie um conjunto de alterações para uma pilha existente no console do CloudFormation e escolha “Drift-aware” como o tipo de conjunto de alterações. Como alternativa, passe o parâmetro --deployment-mode REVERT_DRIFT para a API CreateChangeSet na AWS CLI ou no SDK. Para saber mais, consulte o Guia do usuário do CloudFormation.
Os conjuntos de alterações sensíveis a desvios estão disponíveis nas regiões da AWS que oferecem o CloudFormation. Consulte a tabela de regiões da AWS para saber mais.