Стеки CloudFormation отлично подходят для автоматизации, однако проблема, которую я вижу с ними, заключается в том, насколько легко их можно удалить и, в свою очередь, каскадно удалить другие ресурсы.
Я уже нашел решение последней проблемы, можно защитить каждый из ресурсов, изменив его политику удаления. А как насчет стека в целом? Можно ли его защитить?
Они добавили " Защита от завершения" в сентябре 2017 г. Вы можете включить ее на странице консоль или через aws-cli. Вы также можете контролировать, может ли роль устанавливать это или нет, с помощью разрешения «cloudformation:UpdateTerminationProtection».
Я думаю, что единственный способ — ограничить разрешения для пользователей IAM, которых вы используете. Вы можете удалить разрешение на удаление стека для всех соответствующих пользователей.
Насколько я знаю, для самого стека нет защиты от удаления. Лучшее, что вы можете сделать, это использовать "DeletionPolicy" : " Сохранить" на уровне ресурсов.
Другой способ защитить его — создать приложение-оболочку, которое управляет вашими стеками, а затем создает политику защиты для CloudFormation. Например, ваше приложение-оболочка может иметь модель базы данных для stack следующим образом:
String: name -- name of the stack
String: template -- JSON template for the stack
String: createdby -- name of the user that created the stack
Boolean: protected -- true if protected.
Это потребует, чтобы все ваши пользователи использовали это приложение для создания/удаления стека, и для реализации требуется гораздо больше работы, чем для AWS IAM, но для некоторых людей это может соответствовать всем требованиям.
Надеюсь, поможет.
