目前有一个大型 AWS cloudformation 堆栈,可以创建各种资源,如 VPC、RDS、API 网关、S3、Lambda 和 Cloudwatch 事件规则、安全组和 ELB。
我想按照这里的建议实施数据库加密 https://www.linkedin.com/pulse/how-encrypt-aws-cloudformation-managed-rds-database-steve-kinsman/ 我开始工作了,但是认为最好将 RDS 资源分离到它自己的堆栈中。 稍后这也将帮助我实施密码轮换策略以及将来的任何 RDS 升级。
但是我陷入了困境,因为像 VPC 和子网这样的资源是原始堆栈的一部分,我是否应该将它们也移动到我想要 RDS 的新堆栈中。
有什么推荐吗?
在现有堆栈中,我通过 RDS 资源上的“DeletionPolicy:保留”启动,以便从现有堆栈中分离现有 RDS。
但是当我开始在新堆栈中创建 RDS 时,我意识到我还需要 VPC 详细信息,所以现在我不确定我是需要创建新的 VPC 还是首先需要将其从现有堆栈中删除。