CloudFormation で EC2 のセキュリティグループの変更を実施した際に EC2 の置き換えが発生する場合の対処方法

CloudFormation で EC2 のセキュリティグループの変更を実施した際に EC2 の置き換えが発生する場合の対処方法

AWS::EC2::Instance の NetworkInterface プロパティに変更が加えられるとリソースの置き換えが行われるため、そのサブプロパティである GroupSet も変更が行われるとリソースの置換が発生します。
AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS CloudFormation
#Amazon EC2
#Amazon VPC
#AWS
Funa

Funa

facebook logohatena logotwitter logo
Clock Icon2022.01.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

CloudFormation で以下のテンプレートを使用して EC2 インスタンスを作成しました。

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  Test20220121Server:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: "ami-066333d9c572b0680"
      InstanceType: t2.micro
      NetworkInterfaces:
        - DeviceIndex: "0"
          SubnetId: subnet-21a*****
          GroupSet:
            - sg-6a9*****
            - sg-075**************

その後、NetworkInterfaces プロパティ内の GroupSet にセキュリティグループを追加/削除してスタックのアップデートを実施したところ、 EC2 インスタンスの置き換え(新規インスタンスが作成され、既存インスタンスが削除される)が発生してしまいました。  

リソースの置き換え

EC2 インスタンスの置き換えを発生させずにセキュリティグループを追加/削除する方法はありますか。

どう対応すればいいの?

対応方法は2通りあります。

① セキュリティグループの追加/削除を行わずに、既存のセキュリティグループのルールを変更して対応する

運用的に問題がなく、変更が必要となるルールの数が少なければ、こちらの対応が楽かと思います。

② AWS::EC2::NetworkInterface と AWS::EC2::Instance を組み合わせてリソース作成をおこなう

AWS::EC2::NetworkInterface の GroupSet プロパティは変更を加えてもリソースの置換が発生しません。

GroupSet

The security group IDs associated with this network interface.

(省略)

Update requires: No interruption

そのため、以下のように AWS::EC2::NetworkInterface と AWS::EC2::Instance で分けてテンプレートを構成すると、後にセキュリティグループの変更が必要になった際に EC2 インスタンスの置き換えを避けることができます。

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  TestNetWorkInterface:
    Type: AWS::EC2::NetworkInterface
    Properties:
      SubnetId: subnet-21a*****
      GroupSet:
        - sg-6a9*****
        - sg-075**************

  Test20220121Server:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: "ami-066333d9c572b0680"
      InstanceType: t2.micro
      NetworkInterfaces:
        - DeviceIndex: '0'
          NetworkInterfaceId:
            !Ref TestNetWorkInterface

なぜ EC2 インスタンスの置き換えが発生するの?

AWS::EC2::Instance の NetworkInterface プロパティ を変更すると、リソースの置換が発生します。

NetworkInterfaces

The network interfaces to associate with the instance.

(省略)

Update requires: Replacement

それにより、AWS::EC2::Instance の NetworkInterface プロパティのサブプロパティである GroupSet を変更した場合も NetworkInterface プロパティの変更と見なされ、リソースの置換が発生します。

おわりに

AWS::EC2::Instance NetworkInterface のドキュメント では、GroupSet の更新は「No interruption」との記載があるため、EC2 インスタンスの置き換えは発生しない認識でしたが、実際にスタックを作成してみて勉強になりました。

参照

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート] AWS CDK でリプレースメントタイプの更新が含まれている場合に自動的に `--no-rollback` フラグを無効にするか、ユーザーに確認を求める機能が追加されました

[アップデート] AWS CDK でリプレースメントタイプの更新が含まれている場合に自動的に `--no-rollback` フラグを無効にするか、ユーザーに確認を求める機能が追加されました

User avatar
若槻龍太
2024.11.19
AWS WAF コストの最適化、静的コンテンツの保護とログ記録を除外した利用を試してみた

AWS WAF コストの最適化、静的コンテンツの保護とログ記録を除外した利用を試してみた

User avatar
suzuki.ryo
2024.11.19
CloudFormationでSageMaker Studioの自動シャットダウン設定を有効にする

CloudFormationでSageMaker Studioの自動シャットダウン設定を有効にする

User avatar
神野 雄大
2024.11.18
Helix Core・Helix Swarm・Helix Planを、公式テンプレートを使用してAWS上に構築してみた

Helix Core・Helix Swarm・Helix Planを、公式テンプレートを使用してAWS上に構築してみた

User avatar
sora
2024.11.18
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.