ある企業がAWS CloudFormationを使ってインフラを管理している。本番スタックの設定変更を適用する前に、どのリソースが追加・変更・削除されるかを事前に確認したい。また、意図しない削除が発生しないようにしたい。この要件を満たすためのCloudFormationの機能として最も適切なものはどれか。
- A. スタックポリシー(Stack Policy)を設定して重要リソースへの変更を拒否する
- B. CloudFormationのロールバックトリガーを設定してデプロイ失敗時に自動ロールバックさせる
- C. ドリフト検出(Drift Detection)を実行して現在のリソース状態とテンプレートの差異を確認する
- D. 変更セット(Change Set)を作成して変更内容を確認した後、承認してから実行する
解答と解説を見る
正解: D
CloudFormationの変更セットは、スタックを更新する前に変更内容をプレビューする機能である。変更セットを作成すると追加・変更・削除されるリソースの一覧が表示され、意図しない削除(Replacement)が含まれていないかを確認できる。確認後に「実行」ボタンを押すまで実際の変更は行われない。Aのスタックポリシーは変更を制限するが、変更内容の事前確認という目的には使わない。Cのドリフト検出は既存のスタックリソースが手動変更されていないかを検出するものであり、これから適用する変更のプレビューではない。Bのロールバックトリガーはデプロイ失敗後の復旧であり、事前確認ではない。変更セット → 確認 → 実行というフローが本番環境での安全なデプロイの基本である。