AWS Cloudformation y cambios manuales

CloudFormation solo crea o modifica recursos de AWS durante la implementación, actualización o eliminación de una pila. No "verifica ni aplica" continuamente los estados de configuración de los recursos de pila individuales; definitivamente puede ocurrir una deriva.

Como ejemplo, si implemento una pila CF y luego modifico manualmente una regla de entrada en uno de sus grupos de seguridad, esta modificación persistirá hasta que ejecute una actualización CF explícita o vuelva a implementar la pila.

Aquí hay algunos fragmentos/enlaces útiles:

P: ¿Puedo administrar recursos de AWS individuales que forman parte de una pila de AWS CloudFormation?

Sí. AWS CloudFormation no estorba; usted conserva el control total de todos los elementos de su infraestructura. Puede continuar utilizando todas sus herramientas existentes de AWS y de terceros para administrar sus recursos de AWS.

Actualizaciones de las pilas de AWS CloudFormation: http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks.html

Evite actualizaciones de recursos de pila: http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/protect-stack-resources.html

Tenga en cuenta que el último enlace solo se refiere a la protección de recursos durante una acción de actualización de CloudFormation, no a cambios ad hoc realizados a través de la Consola de administración o API a recursos individuales.

Si altera los recursos que implementa Cloudformation, los recursos no se recuperarán, restaurarán ni se pondrán en conformidad; si realmente necesita hacer cumplir la integridad, deberá volver a implementar la pila.

Hasta donde yo sé, CloudFormation esencialmente impondrá un "estado del mundo" y corregirá los recursos mal configurados.

En su ejemplo, se volverá a crear una regla de enrutamiento eliminada. Si alguien ha modificado una verificación de estado de ELB, se restablecerá a la configuración declarada en la plantilla.