如何使用EC2将安全组添加到现有的CloudFormation实例

Question

目前，我们的AWS基础设施有许多附加到安全组的实例，我在控制台中创建了这些实例。

我们正在用CloudFormation重新构造我们的安全组，因此我们可以在每条规则中都有一个注释和描述。

我的问题是：

• 使用CloudFormation创建新的安全组时，如何在不删除实例的情况下将其添加到现有的EC2实例
• 我在AWS中看到了一些堆栈模板，但是它们只有一个模板来创建一个带有安全组的新实例，所以我不知道如何只为安全组创建一个堆栈。如果我更新堆栈，它是否立即应用于所有实例？
• 如何将当前的安全组导出到JSON，从而不必重新创建CloudFormation中的所有安全组？

Answer 1

你不能这么做。

亚马逊CloudFormation模板可以创建资源，这些资源可以引用同一模板中的其他资源。例如，您可以创建一个安全组和一个实例，并将实例配置为使用Security。当在模板中进行这样的引用时，可以通过名称引用资源(例如SecurityGroup1、Web Server)。

如果希望CloudFormation中的资源与已经存在的资源相关联，则需要通过其唯一的ID引用外部资源。

例如，可以在EC2模板中创建Amazon实例，并引用现有的安全组。

但是，您的需求正好相反！您希望修改(一个现有的资源)以指向一个新的资源。例如，修改现有实例以指向新的安全组。这在模板中是不可能的，因为它只能创建资源并配置这些资源--它不能修改模板之外的资源。

从逻辑上讲，安全组在创建Amazon实例之前需要存在，因为实例链接到安全组。

导出到JSON

如果希望将现有资源导出到CloudFormation模板(例如导出当前安全组定义)，可以使用：

• 使用CloudFormer从现有AWS资源创建AWS CloudFormation模板
• hava.io
• visualops.io

Answer 2

添加安全组不会重新创建您的实例，只会修改它。

你可以测试它：

• 添加一个安全组，执行更改集
• 将该安全组添加到实例中(在同一个模板中)，并再次进行更改。

YourSecurityGroup：<在这里输入代码> YourInstance:属性: SecurityGroupIds：- !Ref YourSecurityGroup