AWS CloudFormation을 사용하면 IaC(Infrastructure as Code)를 쉽게 구현할 수 있습니다. 템플릿을 사용해 원하는 AWS 리소스 구성을 정의한 다음 이 템플릿을 사용하여 CloudFormation 스택을 시작할 수 있습니다.

스택에는 템플릿에 정의된 리소스 세트가 포함되고 지정한 대로 구성됩니다. 구성을 변경해야 하는 경우 템플릿을 업데이트하고 CloudFormation 변경 세트를 사용해 변경을 적용하면 됩니다. 템플릿은 완전하고 정확하게 인프라를 지정하므로 언제든지 템플릿을 사용하여 새로운 리소스 세트를 생성할 수 있습니다.

하지만 이는 이상적인 경우입니다! 실제로는 여전히 많은 조직이 IaC의 완벽한 구현을 위해 직접 작업을 수행합니다. 직원을 교육하고 프로세스를 조정하는 등의 작업을 수행하는데 둘 다 어느 정도 시간이 걸립니다. 이 전환 기간 동안 템플릿을 업데이트하지 않고 AWS 리소스(및 리소스 속성)를 직접 변경하는 조직이 가끔 있습니다. 예를 들어 EC2 인스턴스 유형을 변경하거나, Auto Scaling 파라미터를 수정하거나, IAM 권한을 업데이트하기 위해 즉각적인 변경을 수행하게 될 수 있습니다. 이와 같이 관리되지 않은 변경은 새로 시작할 때 문제가 됩니다. 실행 중인 스택의 구성이 템플릿에서 드리프트되었기 때문에 템플릿에 구성이 올바르게 설명되지 않습니다. 심각한 경우에는 변경으로 인해 스택을 업데이트하거나 삭제하려는 시도가 불가능해질 수도 있습니다.

새로운 드리프트 감지(Drift Detection)
오늘 강력한 최신 기능인 드리프트 감지 기능이 발표되었습니다. 이 기능은 앞서 설명한 상황을 해결하도록 설계되었습니다. 템플릿에서 스택을 생성한 후 콘솔, CLI 또는 자체 코드에서 드리프트를 감지할 수 있습니다. 전체 스택 또는 특정 리소스의 드리프트를 감지하고 단 몇 분 안에 결과를 볼 수 있습니다. 이 결과에서 템플릿을 업데이트하거나 리소스를 규정 준수 상태로 되돌리는 데 필요한 정보를 얻을 수 있습니다.

드리프트 감지 확인을 시작하면 CloudFormation이 현재 스택 구성을 스택 생성 또는 업데이트에 사용된 템플릿에 지정된 구성과 비교하고 차이를 보고하여 각 구성에 대한 자세한 정보를 제공합니다.

현재 서비스, 리소스 및 속성의 핵심 세트에 대한 지원을 시작하고 있으며 지속적으로 추가할 계획을 가지고 있습니다. 리소스의 초기 목록에는 API Gateway, Auto Scaling, CloudTrail, CloudWatch Events, CloudWatch Logs, DynamoDB, Amazon EC2, Elastic Load Balancing, IAM, AWS IoT, Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SNS, Amazon SQS 등에 대한 리소스가 포함됩니다.

CREATE_COMPLETE, UPDATE_COMPLETE, UPDATE_ROLLBACK_COMPLETE 및 UPDATE_ROLLBACK_FAILED 상태인 스택에서 드리프트 감지를 수행할 수 있습니다. 확인하는 스택 안에 중첩된 스택에는 드리프트 감지가 적용되지 않습니다. 대신 사용자가 이러한 확인을 직접 수행할 수 있습니다.

드리프트 감지의 작동 원리
Amazon EFS의 프로비저닝된 처리량에 관한 블로그를 작성할 때 사용한 단순한 스택에 이 기능을 테스트해봤습니다. 스택을 선택하고 [Action] 메뉴에서 [Detect drift] 메뉴를 선택합니다.

목적을 확인하고 [Yes, detect]를 클릭합니다.

드리프트 감지가 즉시 시작되며, 실행되는 동안 창을 닫을 수 있습니다.

드리프트 감지가 완료되면 스택의 [Drift status]가 IN_SYNC가 됩니다.

[Resources] 탭에서는 확인된 각 리소스의 드리프트 상태를 볼 수도 있습니다.

이제 IAM 역할을 편집하고 새 정책을 추가하여 구성을 변경해 보겠습니다.

드리프트가 두 번 감지되고 이번에는 스택의 상태가 Drifted로 변경됩니다.

[View details]를 클릭하고 [Resource drift status]를 조사해 자세한 내용을 확인합니다.

수정된 리소스의 상태 행을 확장하여 드리프트에 대한 추가 정보를 볼 수 있습니다.

지금 이용 가능
이 기능은 지금 이용 가능하며 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(캘리포니아 북부), 미국 서부(오레곤), 캐나다(중부), 아시아 태평양(뭄바이), 아시아 태평양(서울), 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), EU(프랑크푸르트), EU(아일랜드), EU(런던), EU(파리) 및 남아메리카(상파울루) 리전에서 오늘부터 사용을 시작할 수 있습니다. 위에서 말씀드렸듯이 강력한 초기 리소스 세트에 대한 지원을 시작하고 있으며 앞으로 더 많은 리소스 세트를 추가할 계획입니다.

— Jeff;