透過 AWS CloudFormation 漂移感知變更集安全地處理組態漂移
AWS CloudFormation 推出漂移感知變更集,可將 IaC 範本與基礎架構的實際狀態進行比較,並將漂移資源調整為與其範本定義相符的狀態。只要透過 AWS 管理主控台、SDK 或 CLI 修改 IaC 管理的基礎架構時,組態偏移就會發生。有了漂移感知變更集,您可以回復漂移狀態,並在基礎架構與範本之間保持同步。此外,您可以預覽部署對漂移資源的影響,並避免出現意外變更。
客戶能夠在疑難排解營運事件時修改 IaC 以外的基礎架構。這會在未來 IaC 部署中產生意外變更的風險,影響基礎架構的安全態勢,並降低測試和災難復原的可再現性。標準變更集可以比較範本與上次部署的範本,但並不會將漂移納入考量。漂移感知變更集能夠提供新範本、上次部署範本和實際基礎架構狀態之間的三方差異比較。如果差異預測出意外漂移覆寫,您可以更新範本值並重新建立變更集。在變更集執行期間,CloudFormation 會比對資源屬性與範本值,並重新建立在 IaC 外刪除的資源。如果發生佈建錯誤,CloudFormation 會在部署之前將基礎架構還原到其實際狀態。
若要著手使用,請透過 CloudFormation 主控台建立現有堆疊的變更集,然後針對變更集類型選擇「漂移感知」。或者,您也可以透過 AWS CLI 或 SDK,將 --deployment-mode REVERT_DRIFT 參數傳遞給 CreateChangeSet API。若要進一步了解,請瀏覽 CloudFormation 使用者指南。
漂移感知變更集適用於提供 CloudFormation 的 AWS 區域。若要進一步了解,請參閱 AWS 區域表。