AWS Cloudformation e alterações manuais

O CloudFormation apenas cria ou modifica recursos da AWS durante a implantação, atualização ou exclusão de uma pilha. Ele não verifica e aplica continuamente os estados de configuração dos recursos individuais da pilha - o desvio definitivamente pode ocorrer.

Como exemplo, se eu implantar uma pilha do CF e depois modificar manualmente uma regra de entrada em um dos seus grupos de segurança, essa modificação persistirá até que eu execute uma atualização do CF explícita ou reimplante a pilha.

Aqui estão alguns trechos / links úteis:

Q: Can I manage individual AWS resources that are part of an AWS CloudFormation stack?

Yes. AWS CloudFormation does not get in the way; you retain full control of all elements of your infrastructure. You can continue using all your existing AWS and third-party tools to manage your AWS resources.

Atualizações de pilhas do AWS CloudFormation: link

Impedir atualizações para recursos de pilha: link

O último link refere-se apenas à proteção de recursos durante uma ação de atualização do CloudFormation, e não a alterações ad-hoc feitas por meio do console de gerenciamento ou da API a recursos individuais.

Se você mexer com recursos que o Cloudformation implanta, os recursos não serão recuperados / restaurados / colocados em conformidade, se você realmente precisar reforçar a integridade, precisará reimplantar a pilha.

Até onde eu sei, o CloudFormation reforça essencialmente um "estado do mundo" e corrige recursos mal configurados.

No seu exemplo, uma regra de roteamento excluída será recriada. Se alguém modificou uma verificação de saúde do ELB, ela será redefinida de volta para a configuração declarada no modelo.