CloudFormationスタックポリシーでスタック更新を防止する

2021/09/01

CloudFormationのスタックにスタックポリシーを設定することによって、スタック更新時に特定のリソースの更新を防止できます。

CloudFormationテンプレート

AWSTemplateFormatVersion: 2010-09-09

Resources:
  MyInstance:
    Type: 'AWS::EC2::Instance'
    Properties:
      ImageId: ami-0c2b8ca1dad447f8a
      InstanceType: t3a.nano
      SecurityGroups:
        - !Ref ServerSecurityGroup

  ServerSecurityGroup:
    Type: 'AWS::EC2::SecurityGroup'
    Properties:
      GroupDescription: Enable HTTP access via port 80
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: '80'
          ToPort: '80'
          CidrIp: 0.0.0.0/0

AWSTemplateFormatVersion: 2010-09-09

Resources:

MyInstance:

Type: 'AWS::EC2::Instance'

Properties:

ImageId: ami-0c2b8ca1dad447f8a

InstanceType: t3a.nano

SecurityGroups:

- !Ref ServerSecurityGroup

ServerSecurityGroup:

Type: 'AWS::EC2::SecurityGroup'

Properties:

GroupDescription: Enable HTTP access via port 80

SecurityGroupIngress:

- IpProtocol: tcp

FromPort: '80'

ToPort: '80'

CidrIp: 0.0.0.0/0

例えば上記のようなテンプレート(バージニア北部リージョン用)でスタックを作成します。

スタックポリシー

{
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : "Update:*",
      "Principal": "*",
      "Resource" : "LogicalResourceId/ServerSecurityGroup"
    }
  ]
}

{

"Statement" : [

{

"Effect" : "Allow",

"Action" : "Update:*",

"Principal": "*",

"Resource" : "LogicalResourceId/ServerSecurityGroup"

}

]

}

スタック作成時の詳細オプションでスタックポリシーを指定できます。
セキュリティグループのみを変更許可するスタックポリシーにしてスタックを作成しました。

更新失敗確認用CloudFormationテンプレート

AWSTemplateFormatVersion: 2010-09-09

Resources:
  MyInstance:
    Type: 'AWS::EC2::Instance'
    Properties:
      ImageId: ami-0c2b8ca1dad447f8a
      InstanceType: t3a.micro
      SecurityGroups:
        - !Ref ServerSecurityGroup

  ServerSecurityGroup:
    Type: 'AWS::EC2::SecurityGroup'
    Properties:
      GroupDescription: Enable HTTP access via port 80
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: '80'
          ToPort: '80'
          CidrIp: 0.0.0.0/0

AWSTemplateFormatVersion: 2010-09-09

Resources:

MyInstance:

Type: 'AWS::EC2::Instance'

Properties:

ImageId: ami-0c2b8ca1dad447f8a

InstanceType: t3a.micro

SecurityGroups:

- !Ref ServerSecurityGroup

ServerSecurityGroup:

Type: 'AWS::EC2::SecurityGroup'

Properties:

GroupDescription: Enable HTTP access via port 80

SecurityGroupIngress:

- IpProtocol: tcp

FromPort: '80'

ToPort: '80'

CidrIp: 0.0.0.0/0

EC2のインスタンスタイプを変更してスタックの更新をしてみます。

EC2インスタンスの更新がスタックポリシーで許可されていないので、UPDATE_FAILDになりました。
スタックポリシーは明示的な許可がない場合は更新が拒否されます。
許可するリソースが多くて、拒否するリソースが限定的な場合はすべてを許可して拒否するリソースのみDenyで明示的な拒否ができます。

更新成功確認用CloudFormationテンプレート

AWSTemplateFormatVersion: 2010-09-09

Resources:
  MyInstance:
    Type: 'AWS::EC2::Instance'
    Properties:
      ImageId: ami-0c2b8ca1dad447f8a
      InstanceType: t3a.nano
      SecurityGroups:
        - !Ref ServerSecurityGroup

  ServerSecurityGroup:
    Type: 'AWS::EC2::SecurityGroup'
    Properties:
      GroupDescription: Enable HTTP access via port 80
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: '443'
          ToPort: '443'
          CidrIp: 0.0.0.0/0