<h2 id="%E6%A6%82%E8%A6%81" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h2>
<p data-line="2" class="code-line">2025年11月18日にCloudFormation(以下、CFn)の新しい変更セットとしてドリフト対応変更セットが公開されました。</p>
<p data-line="4" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__cfda9cafa7a6f" src="https://embed.zenn.studio/card#zenn-embedded__cfda9cafa7a6f" data-content="https%3A%2F%2Faws.amazon.com%2Fjp%2Fabout-aws%2Fwhats-new%2F2025%2F11%2Fconfiguration-drift-enhanced-cloudformation-sets%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://aws.amazon.com/jp/about-aws/whats-new/2025/11/configuration-drift-enhanced-cloudformation-sets/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://aws.amazon.com/jp/about-aws/whats-new/2025/11/configuration-drift-enhanced-cloudformation-sets/</a></p>
<p data-line="6" class="code-line">既存の変更セットではCFnに登録済みのテンプレートと更新対象のテンプレートを比較して差分を判定していました。<br>
そのため、CFnで作成したリソースのCFnで管理しているプロパティがCFn外で変更されてても、CFn更新時には差分として判定されず、ドリフトが発生したままとなる問題がありました。</p>
<p data-line="9" class="code-line">新しく公開されたドリフト対応変更セットでは、CFn外で更新されたドリフトも含めて変更セットを作ってくれるようなので確認してみました。</p>
<h2 id="%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95" data-line="11" class="code-line">
<a class="header-anchor-link" href="#%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 確認方法</h2>
<h3 id="%E5%88%9D%E6%9C%9F%E6%A7%8B%E7%AF%89%E3%81%A7%E4%BD%BF%E3%81%86cfn%E3%83%86%E3%83%B3%E3%83%97%E3%83%AC%E3%83%BC%E3%83%88" data-line="13" class="code-line">
<a class="header-anchor-link" href="#%E5%88%9D%E6%9C%9F%E6%A7%8B%E7%AF%89%E3%81%A7%E4%BD%BF%E3%81%86cfn%E3%83%86%E3%83%B3%E3%83%97%E3%83%AC%E3%83%BC%E3%83%88" aria-hidden="true"></a> 初期構築で使うCFnテンプレート</h3>
<p data-line="15" class="code-line">以下のテンプレートファイルを使ってVPCを作成します。</p>
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml code-line" data-line="17"><span class="token key atrule">AWSTemplateFormatVersion</span><span class="token punctuation">:</span> <span class="token datetime number">2010-09-09</span>

<span class="token key atrule">Resources</span><span class="token punctuation">:</span>
  <span class="token key atrule">TestVPC</span><span class="token punctuation">:</span>
    <span class="token key atrule">Type</span><span class="token punctuation">:</span> AWS<span class="token punctuation">:</span><span class="token punctuation">:</span>EC2<span class="token punctuation">:</span><span class="token punctuation">:</span>VPC
    <span class="token key atrule">Properties</span><span class="token punctuation">:</span>
      <span class="token key atrule">CidrBlock</span><span class="token punctuation">:</span> 10.0.0.0/16
      <span class="token key atrule">EnableDnsSupport</span><span class="token punctuation">:</span> <span class="token boolean important">true</span>
      <span class="token key atrule">Tags</span><span class="token punctuation">:</span>
       <span class="token punctuation">-</span> <span class="token key atrule">Key</span><span class="token punctuation">:</span> Name
         <span class="token key atrule">Value</span><span class="token punctuation">:</span> TestVPC
</code></pre></div><p data-line="31" class="code-line">今回の検証では、以下のCFnプロパティに該当する設定をAWSマネコンから修正し変更セットを確認します。</p>
<table data-line="33" class="code-line">
<thead data-line="33" class="code-line">
<tr data-line="33" class="code-line">
<th>プロパティ</th>
<th>設定値</th>
<th>変更値</th>
<th>備考</th>
</tr>
</thead>
<tbody data-line="35" class="code-line">
<tr data-line="35" class="code-line">
<td>EnableDnsHostnames</td>
<td>false</td>
<td>true</td>
<td>このプロパティはCFnテンプレートで明示的に指定していない場合、デフォルトでfalseとなります（デフォルトVPCを除く）。</td>
</tr>
<tr data-line="36" class="code-line">
<td>TagsのNameタグの値</td>
<td>TestVPC</td>
<td>TestVPC-edit</td>
<td></td>
</tr>
</tbody>
</table>
<h3 id="%E5%A4%89%E6%9B%B4%E3%82%BB%E3%83%83%E3%83%88%E4%BD%9C%E6%88%90%E6%99%82%E3%81%AB%E4%BD%BF%E3%81%86cfn%E3%83%86%E3%83%B3%E3%83%97%E3%83%AC%E3%83%BC%E3%83%88" data-line="38" class="code-line">
<a class="header-anchor-link" href="#%E5%A4%89%E6%9B%B4%E3%82%BB%E3%83%83%E3%83%88%E4%BD%9C%E6%88%90%E6%99%82%E3%81%AB%E4%BD%BF%E3%81%86cfn%E3%83%86%E3%83%B3%E3%83%97%E3%83%AC%E3%83%BC%E3%83%88" aria-hidden="true"></a> 変更セット作成時に使うCFnテンプレート</h3>
<p data-line="40" class="code-line">変更セット作成時には、 <code>EnableDnsSupport</code> を <code>false</code> に設定したCFnテンプレートを使います。</p>
<h2 id="%E6%A4%9C%E8%A8%BC%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89" data-line="42" class="code-line">
<a class="header-anchor-link" href="#%E6%A4%9C%E8%A8%BC%E7%92%B0%E5%A2%83%E6%A7%8B%E7%AF%89" aria-hidden="true"></a> 検証環境構築</h2>
<p data-line="44" class="code-line">CFnで構築した環境で以下を確認しました。</p>
<ul data-line="46" class="code-line">
<li data-line="46" class="code-line">VPCのNameタグがTestVPCであること</li>
<li data-line="47" class="code-line">DNS解決(EnableDnsSupport)が有効であること</li>
<li data-line="48" class="code-line">DNSホスト名(EnableDnsHostnames)が無効であること</li>
</ul>
<p data-line="50" class="code-line">下記は構築した検証環境のVPCの画面です。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/7bf015794010-20251130.png" alt="検証環境のVPCの画面(初期)" class="md-img" loading="lazy"></p>
<h2 id="%E6%A4%9C%E8%A8%BC%E7%92%B0%E5%A2%83%E3%81%AE%E5%A4%89%E6%9B%B4" data-line="53" class="code-line">
<a class="header-anchor-link" href="#%E6%A4%9C%E8%A8%BC%E7%92%B0%E5%A2%83%E3%81%AE%E5%A4%89%E6%9B%B4" aria-hidden="true"></a> 検証環境の変更</h2>
<p data-line="55" class="code-line">変更セットの確認を実施する前に、以下を変更します。</p>
<ul data-line="57" class="code-line">
<li data-line="57" class="code-line">VPCのNameタグをTestVPC-editに変更</li>
<li data-line="58" class="code-line">DNSホスト名(EnableDnsHostnames)を有効に変更</li>
</ul>
<p data-line="60" class="code-line">下記は上記の変更を反映した検証環境のVPCの画面です。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/a2952fa66cd6-20251130.png" alt="検証環境のVPCの画面(変更後)" class="md-img" loading="lazy"></p>
<h2 id="%E6%97%A2%E5%AD%98%E3%81%AE%E5%A4%89%E6%9B%B4%E3%82%BB%E3%83%83%E3%83%88" data-line="63" class="code-line">
<a class="header-anchor-link" href="#%E6%97%A2%E5%AD%98%E3%81%AE%E5%A4%89%E6%9B%B4%E3%82%BB%E3%83%83%E3%83%88" aria-hidden="true"></a> 既存の変更セット</h2>
<p data-line="65" class="code-line">CFnテンプレートで変更した <code>EnableDnsSupport</code> の変更が検出されていますが、手動で変更した以下の2点は変更として検出されませんでした。</p>
<ul data-line="67" class="code-line">
<li data-line="67" class="code-line">EnableDnsHostnames</li>
<li data-line="68" class="code-line">TagsのNameタグの値</li>
</ul>
<p data-line="70" class="code-line">下記は既存の変更セットでリソースの変更を確認した画面です。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/9a6318235a54-20251130.png" alt="既存の変更セット" class="md-img" loading="lazy"></p>
<h2 id="%E3%83%89%E3%83%AA%E3%83%95%E3%83%88%E5%AF%BE%E5%BF%9C%E5%A4%89%E6%9B%B4%E3%82%BB%E3%83%83%E3%83%88" data-line="73" class="code-line">
<a class="header-anchor-link" href="#%E3%83%89%E3%83%AA%E3%83%95%E3%83%88%E5%AF%BE%E5%BF%9C%E5%A4%89%E6%9B%B4%E3%82%BB%E3%83%83%E3%83%88" aria-hidden="true"></a> ドリフト対応変更セット</h2>
<p data-line="75" class="code-line">ドリフト対応変更セットではCFnテンプレートで変更した <code>EnableDnsSupport</code> の変更に加えて、ドリフトとして検出されたTagsのNameタグの値も変更対象として検出されました。<br>
一方で、CFnテンプレートのプロパティとして明記していない <code>EnableDnsHostnames</code> はドリフトとして検知されないため、ドリフト対応変更セットを使っても変更されません。</p>
<p data-line="78" class="code-line">下記はドリフト対応変更セットでリソースの変更を確認した画面です。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/915a6d9a5212-20251130.png" alt="ドリフト対応変更セット" class="md-img" loading="lazy"></p>
<p data-line="81" class="code-line">このCFnテンプレートに明記していないプロパティが変更セットとして認識されない件は、下記のドキュメントに注記があります。</p>
<blockquote data-line="83" class="code-line">
<p data-line="83" class="code-line">CloudFormation は、スタックテンプレートを通じて、またはテンプレートパラメータを指定することによって、明示的に設定されたプロパティについてのみドリフトを判断します。これには、リソースプロパティのデフォルト値は含まれません。ドリフトを決定する目的で CloudFormation にリソースプロパティを追跡させるには、デフォルト値に設定している場合でも、プロパティ値を明示的に設定します。</p>
</blockquote>
<p data-line="85" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__b79379d524837" src="https://embed.zenn.studio/card#zenn-embedded__b79379d524837" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2FAWSCloudFormation%2Flatest%2FUserGuide%2Fusing-cfn-stack-drift.html%23what-is-drift" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift</a></p>
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81" data-line="87" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
<ul data-line="89" class="code-line">
<li data-line="89" class="code-line">既存の変更セット：テンプレート間の差分のみ検出。ドリフトは検出されない。</li>
<li data-line="90" class="code-line">ドリフト対応変更セット：テンプレート間の差分＋ドリフトも検出・修正対象。</li>
</ul>
<h2 id="%E6%89%80%E6%84%9F" data-line="92" class="code-line">
<a class="header-anchor-link" href="#%E6%89%80%E6%84%9F" aria-hidden="true"></a> 所感</h2>
<p data-line="94" class="code-line">ドリフト対応変更セットがリリースされたことで、意図しない変更が発生していた際にCFnテンプレートの状態と一致させることが容易になりました。</p>
<p data-line="96" class="code-line">今回の検証からは話がそれますが、CFnテンプレートに未記載のパラメータもデフォルト値から変わっていたらドリフトとして認識してくれるようになるとよいなと思っています。<br>
そうなれば、デフォルト値でよいものはCFnテンプレートに書かなくても済むようになるので。。。</p>


【アップデート】CloudFormationのドリフト対応変更セットの確認

初期構築で使うCFnテンプレート

変更セット作成時に使うCFnテンプレート

cloudformation

Discussion