Bewährte Methoden für Berechtigungen mit den geringsten Rechten für AWS CloudFormation - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für Berechtigungen mit den geringsten Rechten für AWS CloudFormation

In diesem Leitfaden werden verschiedene Ansätze und einige Arten von Richtlinien beschrieben, mit denen Sie den Zugriff auf Ressourcen mit den geringsten Rechten AWS CloudFormation und die bereitgestellten Ressourcen konfigurieren können. CloudFormation Dieser Leitfaden konzentriert sich auf die Konfiguration des Zugriffs CloudFormation über IAM-Prinzipale, Servicerollen und Stack-Richtlinien. Die enthaltenen Empfehlungen und bewährten Methoden sollen dazu beitragen, Ihre Konten und Stack-Ressourcen vor unbeabsichtigten Aktionen autorisierter Benutzer und vor böswilligen Akteuren zu schützen, die möglicherweise übermäßige Berechtigungen ausnutzen.

Im Folgenden finden Sie eine Zusammenfassung der in diesem Leitfaden erläuterten bewährten Methoden. Diese bewährten Methoden können Ihnen helfen, bei der Konfiguration von Nutzungsberechtigungen CloudFormation und Ressourcen, die bereitgestellt werden, das Prinzip der geringsten Rechte einzuhalten: CloudFormation

  • Ermitteln Sie, welche Zugriffsebene Benutzer und Teams benötigen, um den CloudFormation Service zu nutzen, und gewähren Sie nur den erforderlichen Mindestzugriff. Gewähren Sie beispielsweise Praktikanten und Auditoren Lesezugriff und erlauben Sie diesen Benutzertypen nicht, Stacks zu erstellen, zu aktualisieren oder zu löschen.

  • Für IAM-Prinzipale, die mehrere Arten von AWS Ressourcen über CloudFormation Stacks bereitstellen müssen, sollten Sie die Verwendung von Servicerollen in Betracht ziehen, um die Bereitstellung von Ressourcen im Namen des Prinzipals CloudFormation zu ermöglichen, anstatt den Zugriff auf diese Ressourcen AWS-Services in den identitätsbasierten Richtlinien des Prinzipals zu konfigurieren.

  • Verwenden Sie in identitätsbasierten Richtlinien für IAM-Prinzipale den cloudformation:RoleARN Bedingungsschlüssel, um zu steuern, welche Servicerollen übergeben werden können. CloudFormation

  • Gehen Sie wie folgt vor, um eine Eskalation von Rechten zu verhindern:

    • Überwachen Sie strikt alle IAM-Prinzipale, die Zugriff auf den CloudFormation Service haben, sowie deren Zugriffsebenen.

    • Überwachen Sie genau, welche Benutzer auf diese IAM-Prinzipale zugreifen können.

    • Überwachen Sie die Aktivität von IAM-Prinzipalen, an die eine privilegierte Servicerolle übergeben können. CloudFormation Auch wenn sie aufgrund ihrer identitätsbasierten Richtlinie möglicherweise nicht berechtigt sind, IAM-Ressourcen zu erstellen, könnte die Dienstrolle, die sie übergeben können, IAM-Ressourcen erzeugen.

  • Geben Sie bei der Erstellung eines Stack mit kritischen Ressourcen immer auch eine Stack-Richtlinie an. Dies kann dazu beitragen, kritische Stack-Ressourcen vor unbeabsichtigten Aktualisierungen zu schützen, die dazu führen könnten, dass diese Ressourcen unterbrochen oder ersetzt werden.

  • Informationen zu Ressourcen CloudFormation, die über bereitgestellt werden, finden Sie in den Empfehlungen zur Zugriffsverwaltung und den bewährten Sicherheitsmethoden für diesen Dienst.

  • Als Ergänzung zu den Empfehlungen in diesem Leitfaden für identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien sollten Sie die Implementierung zusätzlicher Sicherheitskontrollen für Berechtigungen mit den geringsten Rechten in Betracht ziehen, z. B. Richtlinien zur Dienststeuerung () und Berechtigungsgrenzen. SCPs Weitere Informationen finden Sie unter Nächste Schritte.

Die CloudFormation Dokumentation enthält zusätzliche bewährte Methoden und bewährte Sicherheitsmethoden, die Ihnen helfen können, die Nutzung effektiver und sicherer zu gestalten. CloudFormation Weitere Informationen finden Sie Bewährte Methoden für die Konfiguration identitätsbasierter Richtlinien für den Zugriff mit geringsten Rechten CloudFormation in diesem Handbuch.