DevOps

Hasta dónde ve la detección de drift de CloudFormation - Cómo rastrea cambios manuales y sus limitaciones

Aprenda cómo la detección de drift de CloudFormation compara internamente el estado actual de los recursos con el estado esperado definido en las plantillas, el límite entre cambios detectables y no detectables, y estrategias para la remediación de drift.

約 4 分で読めます

Qué es el drift - La brecha entre plantillas y realidad

El drift (desviación) se refiere a la brecha entre el estado de los recursos definido en una plantilla de CloudFormation y el estado real de esos recursos en AWS. El drift ocurre cuando alguien modifica recursos directamente a través de la consola AWS, CLI o SDK sin actualizar la plantilla de CloudFormation. Por ejemplo, si un grupo de seguridad creado por CloudFormation se modifica manualmente para agregar una regla de entrada, esa regla existe en la realidad pero no en la plantilla. La detección de drift de CloudFormation identifica estas discrepancias comparando el estado esperado (definido en la plantilla) con el estado actual (consultado desde las APIs de AWS).

Cómo funciona internamente la detección de drift

Cuando inicia la detección de drift, CloudFormation realiza los siguientes pasos internamente. Primero, lee la plantilla del stack y determina el estado esperado de cada recurso y sus propiedades. Luego, llama a las APIs Describe/Get del servicio AWS correspondiente para obtener el estado actual de cada recurso. Finalmente, compara las propiedades esperadas con las propiedades reales e informa las diferencias. La comparación se realiza a nivel de propiedad: cada propiedad del recurso se marca como IN_SYNC (coincide), MODIFIED (cambiada), DELETED (eliminada de la realidad) o NOT_CHECKED (no verificable). El estado general del recurso se marca como IN_SYNC, MODIFIED o DELETED. Para profundizar sus conocimientos sobre operaciones IaC, libros especializados en Amazon pueden ser útiles.

Cambios detectables y no detectables

La detección de drift tiene limitaciones importantes. Solo puede detectar cambios en propiedades que CloudFormation rastrea: propiedades explícitamente definidas en la plantilla y propiedades que CloudFormation establece por defecto. Los cambios no detectables incluyen: recursos creados fuera de CloudFormation (no están en el stack, por lo que no se verifican), cambios en recursos que CloudFormation no soporta para detección de drift (no todos los tipos de recursos están soportados), y cambios en propiedades de solo escritura que no pueden leerse de vuelta desde la API. Además, la detección de drift no detecta recursos eliminados que fueron creados por el stack pero eliminados manualmente fuera de CloudFormation.

Estrategias de remediación de drift

Cuando se detecta drift, hay varias estrategias de remediación. La importación de recursos permite traer recursos modificados manualmente de vuelta bajo la gestión de CloudFormation actualizando la plantilla para que coincida con el estado actual. La actualización del stack aplica la plantilla original para revertir los cambios manuales al estado deseado. Para drift complejo, puede ser necesario recrear recursos. La elección entre estas estrategias depende de si el cambio manual fue intencional (actualizar la plantilla para que coincida) o accidental (revertir al estado de la plantilla).

Mecanismos para prevenir el drift

Prevenir el drift es más efectivo que detectarlo y remediarlo. Las estrategias de prevención incluyen: usar políticas IAM para restringir el acceso directo a la consola para recursos gestionados por CloudFormation, implementar SCP (Service Control Policies) que denieguen modificaciones a recursos etiquetados como gestionados por CloudFormation, ejecutar detección de drift programada (vía EventBridge + Lambda) para detectar drift tempranamente, e integrar verificaciones de drift en pipelines CI/CD para detectar drift antes de los despliegues. AWS Config Rules también puede monitorear continuamente la conformidad de recursos y alertar sobre cambios que se desvían de las configuraciones esperadas.

Servicios relacionados

AWS CloudFormationUn servicio de IaC que define y aprovisiona recursos AWS como código mediante plantillasAWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamente

Artículos relacionados

Qué sucede durante una actualización de stack de CloudFormation - Detrás de change sets, rollbacks y reemplazosAprenda sobre el flujo de procesamiento interno cuando CloudFormation actualiza un stack, incluyendo cómo los change sets detectan diferencias, la lógica detrás de las decisiones de actualización, reemplazo y eliminación de recursos, y cómo funcionan los rollbacks.Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.

Más sobre este tema

Leyendo el futuro de AWS a 3 años desde los anuncios de re:Invent - El ciclo de vida de los servicios y las leyes de la discontinuaciónEnfrentamos el hecho de que los servicios de AWS también tienen vida útil, como la suspensión de nuevas inscripciones de CodeCommit y el fin de facto de SimpleDB, proporcionando una perspectiva de selección tecnológica para analizar el ciclo de vida de los servicios e identificar los servicios que no desaparecerán.Ingeniería del caos en la práctica - Verificación de tolerancia a fallos con AWS Fault Injection SimulatorAprenda sobre la práctica de ingeniería del caos con AWS Fault Injection Simulator (FIS). Cubre el diseño de escenarios de inyección de fallos, la inyección de fallos en EC2, ECS y RDS, y la realización de experimentos seguros.Automatización de pipelines CI/CD - Entrega continua con AWS CodePipelineAprenda sobre la automatización de pipelines CI/CD usando AWS CodePipeline y CodeBuild.Qué sucede durante una actualización de stack de CloudFormation - Detrás de change sets, rollbacks y reemplazosAprenda sobre el flujo de procesamiento interno cuando CloudFormation actualiza un stack, incluyendo cómo los change sets detectan diferencias, la lógica detrás de las decisiones de actualización, reemplazo y eliminación de recursos, y cómo funcionan los rollbacks.Estrategias de despliegue de AWS CodeDeploy - Despliegue blue/green en EC2, ECS y LambdaGestione estrategias de despliegue de forma unificada para las 3 plataformas EC2, ECS y Lambda. Presentamos el despliegue blue/green en ECS y el rollback automático vinculado con alarmas de CloudWatch.Despliegue EC2/On-Premises de AWS CodeDeploy - Diseño de AppSpec y hooks de ciclo de vidaDefina declarativamente las rutas de destino de despliegue y los hooks de ciclo de vida con el archivo AppSpec. Presentamos la gestión de flotas con grupos de despliegue basados en etiquetas e integración con Auto Scaling.Pipeline CI/CD con AWS CodePipeline - Automatización desde el código fuente hasta el despliegueAutomatice desde la detección de cambios en el código fuente hasta la compilación, pruebas y despliegue. Presentamos filtros de trigger V2, acciones de aprobación manual y diseño de despliegue entre cuentas.Automatización de despliegue de aplicaciones con Elastic Beanstalk - Desde la configuración del entorno hasta el despliegue rollingAutomatiza desde la configuración del entorno hasta el despliegue rolling. Presentamos los criterios de selección de políticas de despliegue y técnicas de personalización con .ebextensions.

Artículos y servicios similares

AWS CloudFormationServicio de Infrastructure as Code que permite definir y gestionar infraestructura AWS como código mediante plantillas JSON o YAML, automatizando la creación, actualización y eliminación de recursosPráctica de infraestructura como código con AWS CloudFormation - Diseño de plantillas y gestión de stacksDefina infraestructura con plantillas y previsualice el impacto con change sets antes del despliegue. Detecte drift de configuración con detección de drift y despliegue en toda su organización con StackSets.Qué sucede durante una actualización de stack de CloudFormation - Detrás de change sets, rollbacks y reemplazosAprenda sobre el flujo de procesamiento interno cuando CloudFormation actualiza un stack, incluyendo cómo los change sets detectan diferencias, la lógica detrás de las decisiones de actualización, reemplazo y eliminación de recursos, y cómo funcionan los rollbacks.AWS CDKFramework de Infrastructure as Code que permite definir infraestructura AWS con lenguajes de programación como TypeScript o Python y desplegarla como plantillas CloudFormation