Bewährte Methoden für die Sicherheit für AWS CloudFormation - AWS CloudFormation

Bewährte Methoden für die Sicherheit für AWS CloudFormation

AWS CloudFormation enthält eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Verwendung von IAM für die Zugriffskontrolle

IAM ist ein AWS-Service, mit dem Sie Benutzer und deren Berechtigungen in AWS verwalten können. Sie können IAM mit AWS CloudFormation verwenden, um festzulegen, welche AWS CloudFormation-Aktionen Benutzer ausführen können, beispielsweise Stack-Vorlagen anzeigen, Stacks erstellen oder Stacks löschen. Zudem benötigt jeder, der AWS CloudFormation-Stacks verwaltet, Berechtigungen für Ressourcen innerhalb dieser Stacks. Wenn Benutzer beispielsweise AWS CloudFormation zum Starten, Aktualisieren oder Beenden von Amazon EC2 Instances verwenden, müssen sie über die Berechtigung verfügen, die relevanten Amazon EC2-Aktionen aufzurufen.

In den meisten Fällen benötigen Benutzer vollen Zugriff, um alle Ressourcen in einer Vorlage zu verwalten. AWS CloudFormation führt Aufrufe durch, um diese Ressourcen in ihrem Namen zu erstellen, zu ändern und zu löschen. Um die Berechtigungen zwischen einem Benutzer und dem AWS CloudFormation-Service zu trennen, verwenden Sie eine Service-Rolle. AWS CloudFormation verwendet die Richtlinie der Service-Rolle, um Aufrufe zu tätigen, anstatt die Richtlinie des Benutzers. Weitere Informationen finden Sie unter AWS CloudFormation-Servicerolle.

Keine Anmeldeinformationen in Vorlagen einbetten

Anstatt vertrauliche Informationen in Ihre AWS CloudFormation-Vorlagen einzubetten, empfehlen wir Ihnen, dynamische Referenzen in Ihrer Stapelvorlage zu verwenden.

Dynamische Referenzen bieten eine kompakte und leistungsstarke Möglichkeit, externe Werte zu referenzieren, die in anderen Services wie AWS Systems Manager Parameter Store oder AWS Secrets Manager gespeichert sind und verwaltet werden. Wenn Sie eine dynamische Referenz verwenden, ruft CloudFormation bei Bedarf den Wert der angegebenen Referenz in Stack- und Änderungssatz-Operationen ab und übergibt den Wert an die betreffende Ressource. CloudFormation speichert jedoch nie den tatsächlichen Referenzwert. Weitere Informationen finden Sie unter Verwenden von dynamischen Verweisen zum Angeben von Vorlagenwerten.

AWS Secrets Manager hilft Ihnen, die Anmeldeinformationen für Ihre Datenbanken und Services sicher zu verschlüsseln, zu speichern und wieder abzurufen. Der AWS Systems Manager Parameter Store ermöglicht eine sichere, hierarchische Speicherung für die Konfigurationsdatenverwaltung.

Für weitere Informationen zum Definieren von Vorlagenparametern siehe Parameter.

Verwenden von AWS CloudTrail zum Protokollieren von AWS CloudFormation-Aufrufen

AWS CloudTrail verfolgt jede Person, die AWS CloudFormation-API-Aufrufe in Ihrem AWS-Konto vornimmt. API-Aufrufe werden jedes Mal dann protokolliert, wenn jemand die AWS CloudFormation-API, die AWS CloudFormation-Konsole, eine Back-End-Konsole oder die AWS CloudFormation-AWS CLI-Befehle verwendet. Aktivieren Sie die Protokollierung, und legen Sie einen Amazon S3-Bucket zum Speichern der Protokolle fest. Auf diese Weise können bei Bedarf Sie nachvollziehen, wer welche AWS CloudFormation-Aufruf in Ihrem Konto ausgeführt hat. Weitere Informationen finden Sie unter Protokollieren von AWS CloudFormation-API-Aufrufen mit AWS CloudTrail.