Protección de las pilas de CloudFormation para evitar la eliminación - AWS CloudFormation
Control de quién puede cambiar la protección de terminación de pilas

Protección de las pilas de CloudFormation para evitar la eliminación

Es posible evitar que una pila se elimine de manera accidental; para ello, habilite la protección de terminación en la pila. Si un usuario intenta eliminar una pila con la protección de terminación habilitada, la eliminación fallará y la pila junto con su estado no cambiarán. Es posible habilitar la protección de terminación en una pila al crearla. La protección de terminación no está habilitada de manera predeterminada en las pilas. Puede configurar la protección de terminación en una pila con cualquier estado excepto DELETE_IN_PROGRESS o DELETE_COMPLETE.

Al habilitar o deshabilitar la protección de terminación en una pila, también se habilita o deshabilita en las pilas anidadas. No se puede habilitar o deshabilitar la protección de terminación directamente en una pila anidada. Si un usuario intenta eliminar directamente una pila anidada que pertenece a una pila la con protección de terminación habilitada, la operación fallará y la pila anidada no cambiará.

Sin embargo, si un usuario realiza una actualización de la pila que eliminaría la pila anidada, AWS CloudFormation la elimina.

La protección de terminación no es igual a la deshabilitación de restauración. La protección de terminación solo es posible en los intentos de eliminar pilas, mientras que la deshabilitación de restauración es posible en la restauración automática cuando se produce algún error durante la creación de la pila.

Habilitación de la protección de terminación al crear una pila

En la página Specify stack options (Especificar opciones de pila) del asistente Create stack (Crear pila), en Advanced options (Opciones avanzadas), amplíe la sección Termination Protection (Protección de terminación) y seleccione Enable (Habilitar). Para obtener más información, consulte Configurar las opciones la pila.

Habilitación o deshabilitación de la protección de terminación de una pila

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  2. En la barra de navegación de la parte superior de la pantalla, elija la Región de AWS.

  3. Seleccione la pila que desee.

    nota

    Si aparece el texto NESTED junto al nombre de la pila, es una pila anidada. Solo es posible cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada.

  4. En el panel de detalles de la pila, seleccione Stack actions (Acciones de la pila) y, a continuación, haga clic en Edit termination protection (Editar protección de terminación).

    CloudFormation muestra el cuadro de diálogo Editar protección de terminación.

  5. Elija Enable (Habilitar) o Disable (Deshabilitar) y, a continuación, seleccione Save (Guardar).

Habilitación o deshabilitación de la protección de terminación de una pila anidada

Si aparece el texto NESTED junto al nombre de la pila, es una pila anidada. Solo es posible cambiar la protección de terminación de la pila raíz a la que pertenece la pila anidada. Cambio de la protección de terminación de la pila raíz:

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.

  2. En la barra de navegación de la parte superior de la pantalla, elija la Región de AWS.

  3. Seleccione la pila anidada que desee.

  4. En el panel Stack info (Información de la pila), en la sección Overview (Información general), seleccione el nombre de la pila mostrada como Root stack (Pila raíz).

    CloudFormation muestra los detalles de la pila raíz.

  5. Seleccione Stack actions (Acciones de la pila) y, a continuación, seleccione Edit Termination Protection (Editar protección de terminación).

    CloudFormation muestra el cuadro de diálogo Editar protección de terminación.

  6. Elija Enable (Habilitar) o Disable (Deshabilitar) y, a continuación, seleccione Save (Guardar).

Habilitación o deshabilitación de la protección de terminación con la línea de comandos

Utilice el comando update-termination-protection.

Control de quién puede cambiar la protección de terminación de pilas

Para habilitar o deshabilitar la protección de terminación de pilas, un usuario requiere permiso para la acción cloudformation:UpdateTerminationProtection. Por ejemplo, la política que figura a continuación permite a los usuarios habilitar o deshabilitar la protección de terminación de pilas.

Para obtener más información acerca de cómo especificar permisos en AWS CloudFormation, consulte Control del acceso a CloudFormation con AWS Identity and Access Management.

ejemplo Un ejemplo de política que concede permisos para cambiar la protección de terminación de pilas
{
    "Version":"2012-10-17",
    "Statement":[{
        "Effect":"Allow",
        "Action":[
            "cloudformation:UpdateTerminationProtection"
        ],
        "Resource":"*"
    }]
}