O CloudFormation apenas cria ou modifica recursos da AWS durante a implantação, atualização ou exclusão de uma pilha. Ele não verifica e aplica continuamente os estados de configuração dos recursos individuais da pilha - o desvio definitivamente pode ocorrer.
Como exemplo, se eu implantar uma pilha do CF e depois modificar manualmente uma regra de entrada em um dos seus grupos de segurança, essa modificação persistirá até que eu execute uma atualização do CF explícita ou reimplante a pilha.
Aqui estão alguns trechos / links úteis:
Q: Can I manage individual AWS resources that are part of an AWS CloudFormation stack?
Yes. AWS CloudFormation does not get in the way; you retain full control of all elements of your infrastructure. You can continue using all your existing AWS and third-party tools to manage your AWS resources.
Atualizações de pilhas do AWS CloudFormation: link
Impedir atualizações para recursos de pilha: link
O último link refere-se apenas à proteção de recursos durante uma ação de atualização do CloudFormation, e não a alterações ad-hoc feitas por meio do console de gerenciamento ou da API a recursos individuais.