ある企業がAWS CloudFormationのドリフト検出機能を活用してインフラの設定を管理している。CloudFormationスタックのドリフト検出について正しい説明はどれか。
- A. ドリフト検出はEC2インスタンスとIAMロールのみサポートし、S3やRDSなどのリソースには対応していない
- B. ドリフト検出はリアルタイムで自動的に実行され、手動変更が発生した瞬間にSNS通知が送信される
- C. ドリフト検出を実行すると検出されたドリフトが自動修復され、リソースがテンプレートの定義に戻る
- D. ドリフト検出はリクエストに応じて実行(オンデマンド)され、スタックのリソースが現在のテンプレート定義と異なるかどうかをレポートするが、修復は行わない
解答と解説を見る
正解: D
CloudFormationのドリフト検出はオンデマンド実行(コンソール操作・CLI・API呼び出し)で行われ、各リソースの現在の実際の設定とCloudFormationテンプレートの定義を比較して差異(ドリフト)を検出しレポートする。自動修復機能は存在せず、修復するにはスタックの更新(またはスタックセットの再適用)を手動で実行する必要がある。Bのリアルタイム自動実行とSNS通知はドリフト検出の動作ではない(AWS Configを使えばリアルタイム変更検知は可能)。Cの自動修復は行われない点が重要な理解ポイントである。Aのサポートリソースについては、CloudFormationがドリフト検出をサポートするリソースの種類は多数あり(EC2、IAM、S3、RDSなど主要リソースを含む)、EC2とIAMのみに限定されるわけではない。AWS公式ドキュメントのサポートリソース一覧を定期的に確認することが推奨される。