Bewährte Methoden für die Konfiguration identitätsbasierter Richtlinien für den Zugriff mit geringsten Rechten CloudFormation - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Konfiguration identitätsbasierter Richtlinien für den Zugriff mit geringsten Rechten CloudFormation

  • Für IAM-Prinzipale, die Zugriffsberechtigungen benötigen CloudFormation, müssen Sie den Bedarf an Berechtigungen für den Betrieb mit dem Prinzip der geringsten Rechte abwägen. CloudFormation Um Ihnen die Einhaltung des Prinzips der geringsten Rechte zu erleichtern, empfehlen wir Ihnen, die Identität des IAM-Prinzipals anhand bestimmter Aktionen zu definieren, die es dem Prinzipal ermöglichen, Folgendes zu tun:

    • Einen Stack erstellen, aktualisieren und löschen. CloudFormation

    • Übergeben Sie eine oder mehrere Servicerollen, die über die erforderlichen Berechtigungen verfügen, um die in den CloudFormation Vorlagen definierten Ressourcen bereitzustellen. Auf diese Weise können CloudFormation Sie die Servicerolle übernehmen und die Ressourcen im Stack im Namen des IAM-Prinzipals bereitstellen.

  • Die Eskalation von Rechten bezieht sich auf die Fähigkeit eines Benutzers mit Zugriff, seine Berechtigungsstufen zu erhöhen und die Sicherheit zu gefährden. Least-Privilege ist eine wichtige bewährte Methode, die dazu beitragen kann, eine Eskalation von Rechten zu verhindern. Da CloudFormation die Bereitstellung von IAM-Ressourcentypen wie Richtlinien und Rollen unterstützt wird, könnte ein IAM-Principal seine Rechte wie folgt erweitern: CloudFormation

    • Verwendung eines CloudFormation Stacks zur Bereitstellung eines IAM-Prinzipals mit hochprivilegierten Berechtigungen, Richtlinien oder Anmeldeinformationen — Um dies zu verhindern, empfehlen wir, die Zugriffsebene für IAM-Prinzipale mithilfe von Berechtigungsleitlinien einzuschränken. Berechtigungsleitlinien legen die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einem IAM-Prinzipal gewähren kann. Dies trägt dazu bei, eine absichtliche und unbeabsichtigte Eskalation von Rechten zu verhindern. Sie können die folgenden Arten von Richtlinien als Schutzmaßnahmen für Berechtigungen verwenden:

      • Berechtigungsgrenzen definieren die maximalen Berechtigungen, die eine identitätsbasierte Richtlinie einem IAM-Prinzipal gewähren kann. Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.

      • In AWS Organizations können Sie Dienststeuerungsrichtlinien (SCPs) verwenden, um die maximal verfügbaren Berechtigungen auf Organisationsebene zu definieren. SCPs betreffen nur IAM-Rollen und Benutzer, die von Konten in der Organisation verwaltet werden. Sie können Verbindungen SCPs zu Konten, Organisationseinheiten oder zum Stammverzeichnis der Organisation hinzufügen. Weitere Informationen zu SCP-Auswirkungen auf Berechtigungen.

    • Eine CloudFormation Servicerolle erstellen, die umfangreiche Berechtigungen bietet — Um dies zu verhindern, empfehlen wir, dass Sie den identitätsbasierten Richtlinien für IAM-Prinzipale, die sie verwenden werden, die folgenden detaillierten Berechtigungen hinzufügen: CloudFormation

      • Verwenden Sie den cloudformation:RoleARN Bedingungsschlüssel, um zu steuern, welche CloudFormation Servicerollen der IAM-Prinzipal verwenden kann.

      • Lassen Sie die iam:PassRole Aktion nur für die spezifischen CloudFormation Dienstrollen zu, die der IAM-Prinzipal bestehen muss.

    Weitere Informationen finden Sie unter Einem IAM-Prinzipal Berechtigungen zur Verwendung einer CloudFormation Servicerolle gewähren in diesem Handbuch.

  • Schränken Sie Berechtigungen ein, indem Sie Leitplanken für Berechtigungen verwenden, wie z. B. Berechtigungsgrenzen und SCPs, und gewähren Sie Berechtigungen mithilfe einer identitäts- oder ressourcenbasierten Richtlinie.