Лучший способ поддерживать состояние Пулюми / Терраформ с помощью автоматического развертывания?

На слиянии с master ветке, запускается задание Jenkins для обновления определения задачи AWS новым образом Docker с новым версионным тегом.

Я пытаюсь максимально использовать IAC, и это задание развертывания создает дрейф в состоянии AWS по сравнению с тем, что зафиксировал Pulumi.

Я рассмотрел толкание latest тег на развертывание от мастера и просто перезапустить службу (которая использует latest тегом, а не версионным), но тогда я теряю строгий контроль версий, и это затрудняет откат.

Каков наилучший способ достижения автоматизированного процесса CICD при сохранении IAC?