Konfiguration der zu verwendenden Berechtigungen mit den geringsten Rechten CloudFormation - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der zu verwendenden Berechtigungen mit den geringsten Rechten CloudFormation

In diesem Kapitel werden die Optionen für die Konfiguration von Zugriffs- und Nutzungsberechtigungen für den AWS CloudFormation Dienst beschrieben.

Wenn ein Benutzer oder ein Dienst AWS Ressourcen bereitstellt CloudFormation, besteht der erste Schritt darin, den CloudFormation Dienst über einen AWS Identity and Access Management (IAM-) Principal aufzurufen. Dieser IAM-Prinzipal muss über Berechtigungen zum Erstellen der CloudFormation Stacks verfügen. Als Nächstes verwendet der IAM-Prinzipal einen der folgenden Ansätze zur Bereitstellung von Ressourcen über: CloudFormation

  • Wenn der IAM-Prinzipal die Stack-Operationen nicht an eine CloudFormation Servicerolle weitergibt, CloudFormation verwendet er die Anmeldeinformationen des IAM-Prinzipals, um die Stack-Operationen auszuführen. Dies ist die Standardeinstellung. Daher benötigt der IAM-Principal zusätzlich zu den Berechtigungen zur Ausführung der CloudFormation Stack-Operationen auch Berechtigungen zur Bereitstellung der Ressourcen, die in den CloudFormation Vorlagen definiert sind, die er verwenden wird. Wenn der IAM-Principal beispielsweise nicht berechtigt ist, Amazon Elastic Compute Cloud (Amazon EC2) -Instances zu erstellen, kann er keinen CloudFormation Stack erstellen, der eine EC2 Amazon-Instance bereitstellen würde.

  • Wenn der IAM-Principal die Stack-Operationen an eine CloudFormation Service-Rolle weitergibt, CloudFormation verwendet er dann die Service-Rolle, um die Stack-Operationen durchzuführen und die Ressourcen in der CloudFormation Vorlage bereitzustellen. Diese CloudFormation Servicerolle sollte mit Berechtigungen zur Bereitstellung im Namen des AWS-Services IAM-Prinzipals definiert werden. Bei diesem Ansatz wird vermieden, dass dem IAM-Prinzipal direkte Berechtigungen zur Bereitstellung der in den AWS CloudFormation Vorlagen definierten Ressourcen erteilt werden. Der IAM-Principal benötigt Berechtigungen zur CloudFormation Stack-Erstellung und CloudFormation verwendet anstelle der Richtlinie des IAM-Prinzipals die Richtlinie der Servicerolle, um Aufrufe zu tätigen.

Durch die Verwendung des Service-Rollen-Ansatzes und des Prinzips der geringsten Rechte können Sie die Ressourcenbereitstellung in Ihrer AWS Umgebung standardisieren und vorschreiben, dass Benutzer Ressourcen als IaC bereitstellen. CloudFormation Da die den IAM-Prinzipalen zugewiesenen Richtlinien keine Berechtigungen für die direkte Bereitstellung von AWS Ressourcen enthalten, müssen Benutzer diese für die Bereitstellung verwenden. CloudFormation

In diesem Kapitel werden die folgenden Mechanismen zur Konfiguration und Verwaltung des Zugriffs auf den CloudFormation Service und die Stacks beschrieben: CloudFormation

  • Identitätsbasierte Richtlinien für CloudFormation— Verwenden Sie diese Art von Richtlinie, um zu konfigurieren, auf welche IAM-Prinzipale zugreifen können CloudFormation und welche Aktionen sie ausführen können. CloudFormation

  • Servicerollen für CloudFormation— Erstellen Sie eine Servicerolle, die es ermöglicht CloudFormation , Stack-Ressourcen im Namen des IAM-Prinzipals, der den Stack bereitstellt, zu erstellen, zu aktualisieren oder zu löschen. Die Servicerolle wird in IAM erstellt und kann einem oder mehreren Stacks zugeordnet werden.

  • CloudFormation Richtlinien stapeln— Verwenden Sie diese Art von Richtlinie, um zu bestimmen, wann ein Stack aktualisiert werden kann. Diese Art von Richtlinie kann dazu beitragen, zu verhindern, dass Stack-Ressourcen unbeabsichtigt aktualisiert oder gelöscht werden. Stack-Richtlinien werden erstellt und Stacks in zugeordnet. CloudFormation