Implementierung von Richtlinien für Berechtigungen mit den geringsten Rechten für AWS CloudFormation

Nima Fotouhi und Moumita Saha, Amazon Web Services ()AWS

Mai 2023 (Dokumentverlauf)

AWS CloudFormationist ein Infrastructure-as-Code-Service (IaC), mit dem Sie Ihre Cloud-Infrastrukturentwicklung durch die Bereitstellung von Ressourcen skalieren können. AWS Er hilft Ihnen auch bei der Verwaltung dieser Ressourcen während ihres gesamten Lebenszyklus, über AWS-Konten und. AWS-Regionen In CloudFormation definieren Sie Vorlagen, die als Vorlage für eine Reihe von Ressourcen dienen. Anschließend stellen Sie diese Ressourcen bereit, indem Sie einen Stack erstellen und bereitstellen. Dabei handelt es sich um eine Gruppe verwandter Ressourcen, die Sie als eine Einheit verwalten. Sie können damit auch Stack-Sets bereitstellen. Dabei handelt es sich CloudFormation um Gruppen von Stacks, die Sie für mehrere Konten und AWS-Regionen mit einem einzigen Vorgang erstellen, aktualisieren und löschen können. Dieses Handbuch bietet einen Überblick darüber, wie Sie Berechtigungen mit den geringsten Rechten für AWS CloudFormation und Ressourcen, die über bereitgestellt werden, implementieren können. CloudFormation

Sie können CloudFormation Stacks oder Stack-Sets bereitstellen, indem Sie einen der folgenden Schritte ausführen:

• Greifen Sie über einen AWS Identity and Access Management (IAM-) Principal direkt auf die AWS Umgebung zu und stellen Sie CloudFormation Stacks bereit.

• Führen Sie die CloudFormation Stacks in einer Bereitstellungspipeline durch und initiieren Sie die Stack-Bereitstellung über die Pipeline. Die Pipeline greift über einen IAM-Principal auf die AWS Umgebung zu und stellt die Stacks bereit. Dieser Ansatz ist eine empfohlene bewährte Methode.

Für jeden dieser Ansätze sind Berechtigungen zum Bereitstellen von CloudFormation Stacks erforderlich. Stellen Sie sich zum Beispiel einen Benutzer vor, der plant, eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance zu erstellen. CloudFormation Für diese Instance wäre ein IAM-Instance-Profil erforderlich, um auf andere zuzugreifen. AWS-Services Der für die Bereitstellung des CloudFormation Stacks verwendete IAM-Principal würde die folgenden Berechtigungen benötigen:

• Zugriffsberechtigungen CloudFormation

• Berechtigungen zum Erstellen von Stacks in CloudFormation

• Berechtigungen zum Erstellen von Instances in Amazon EC2

• Berechtigungen zum Erstellen der erforderlichen IAM-Instance-Profile

Was sind die geringsten Rechte?

Geringste Berechtigung ist die bewährte Methode, die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen zu gewähren. Das Prinzip der geringsten Rechte ist Teil der Sicherheitssäule im AWS Well-Architected Framework. Wenn Sie diese bewährte Methode implementieren, kann sie dazu beitragen, Ihre AWS Umgebung vor Risiken durch die Eskalation von Rechten zu schützen, die Angriffsfläche zu reduzieren, die Datensicherheit zu verbessern und Benutzerfehler zu verhindern (wie z. B. eine fehlerhafte Konfiguration oder das versehentliche Löschen einer Ressource).

Um die geringsten Rechte für Ihre AWS Ressourcen zu implementieren, konfigurieren Sie Richtlinien, wie z. B. identitätsbasierte Richtlinien in AWS Identity and Access Management (IAM). Diese Richtlinien definieren Berechtigungen und legen die Zugriffsbedingungen fest. Organizations beginnen möglicherweise mit AWS verwalteten Richtlinien, erstellen dann aber in der Regel benutzerdefinierte Richtlinien, die den Umfang der Berechtigungen auf die Aktionen beschränken, die für die Arbeitslast oder den Anwendungsfall erforderlich sind.

Die Verwendung von Berechtigungen mit den geringsten Rechten für den CloudFormation Dienst ist ein wichtiger Sicherheitsaspekt. Da Benutzer und Entwickler, die mit ihnen interagieren, in der Lage sein CloudFormation können, Ressourcen schnell und in großem Umfang zu erstellen, zu ändern oder zu löschen, ist die geringste Zugriffsberechtigung besonders wichtig. CloudFormation Erfordert jedoch die erforderlichen Berechtigungen, um Ressourcen in Ihrem zu erstellen, zu aktualisieren und zu ändern AWS-Konten. Sie müssen den Bedarf an Berechtigungen für den Betrieb CloudFormation mit dem Prinzip der geringsten Rechte abwägen.

Bei der Anwendung des Prinzips der geringsten Rechte auf müssen Sie Folgendes berücksichtigen: CloudFormation

• Berechtigungen für den CloudFormation Service — Welche Benutzer benötigen Zugriff CloudFormation, welche Zugriffsebene benötigen sie und welche Aktionen können sie ergreifen, um Stacks zu erstellen, zu aktualisieren oder zu löschen?

• Berechtigungen zur Bereitstellung von Ressourcen — Über welche Ressourcen können Benutzer Ressourcen bereitstellen? CloudFormation

• Berechtigungen für bereitgestellte Ressourcen — Wie konfigurieren Sie Berechtigungen mit den geringsten Rechten für die Ressourcen, über die Sie die Bereitstellung vornehmen? CloudFormation

Gezielte Geschäftsergebnisse

Wenn Sie die bewährten Methoden und Empfehlungen in diesem Leitfaden befolgen, können Sie:

• Ermitteln Sie, für welche Benutzer in Ihrer Organisation Zugriff erforderlich ist CloudFormation, und konfigurieren Sie dann die Berechtigungen mit den geringsten Rechten für diese Benutzer.

• Verwenden Sie Stack-Richtlinien, um CloudFormation Stacks vor unbeabsichtigten Updates zu schützen.

• Konfigurieren Sie Berechtigungen mit den geringsten Rechten für CloudFormation Benutzer und Ressourcen, um eine Eskalation von Rechten und das Problem des verwirrten Stellvertreters zu verhindern.

• Wird verwendet AWS CloudFormation , um AWS Ressourcen mit den geringsten Rechten bereitzustellen. Dies hilft Ihrem Unternehmen dabei, ein robusteres Sicherheitsniveau aufrechtzuerhalten.

• Reduzieren Sie proaktiv den Zeit-, Energie- und Kostenaufwand für die Untersuchung und Abwehr von Sicherheitsvorfällen.

Zielgruppe

Dieser Leitfaden richtet sich an Cloud-Infrastrukturarchitekten, DevOps Techniker und Site Reliability Engineers (SREs), die Ressourcen mithilfe von... verwalten und bereitstellen. CloudFormation