Prácticas recomendadas de seguridad para AWS CloudFormation
AWS CloudFormation proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
Temas
Utilice IAM para controlar el acceso
IAM es un servicio de AWS que puede utilizar para administrar los usuarios y sus permisos en AWS. Puede utilizar IAM con AWS CloudFormation para especificar qué acciones de AWS CloudFormation pueden hacer los usuarios, como, por ejemplo, ver plantillas de pila, crear pilas o eliminar pilas. Además, cualquiera que administre pilas de AWS CloudFormation necesitará permisos para acceder a los recursos de dichas pilas. Por ejemplo, si los usuarios desean utilizar AWS CloudFormation para lanzar, actualizar o terminar instancias de Amazon EC2, deben tener permiso para llamar a las acciones de Amazon EC2 relevantes.
En la mayoría de los casos, los usuarios requieren acceso completo para administrar todos los recursos de una plantilla. AWS CloudFormation realiza llamadas para crear, modificar y eliminar esos recursos en su nombre. Para separar los permisos del usuario y del servicio AWS CloudFormation, utilice un rol de servicio. AWS CloudFormation utiliza la política del rol de servicio para realizar llamadas en lugar de la política de usuarios. Para obtener más información, consulte Rol de servicio AWS CloudFormation.
No integre credenciales en sus plantillas
En lugar de incrustar información confidencial en sus plantillas de AWS CloudFormation, le recomendamos que utilice referencias dinámicas en su plantilla de pila.
Las referencias dinámicas son una forma eficaz y coherente de hacer referencia a valores externos almacenados y administrados en otros servicios, como AWS Systems Manager Parameter Store o AWS Secrets Manager. Cuando se utiliza una referencia dinámica, CloudFormation recupera el valor de la referencia especificada cuando es necesario durante las operaciones de pila y de conjunto de cambios, y pasa el valor al recurso correspondiente. Sin embargo, CloudFormation no almacena nunca el valor de referencia real. Para obtener más información, consulte Uso de referencias dinámicas para especificar valores de plantillas.
AWS Secrets Manager ayuda a cifrar, almacenar y recuperar de forma segura las credenciales de sus bases de datos y otros servicios. AWS Systems Manager Parameter Store proporciona un almacenamiento seguro y jerárquico para administrar los datos de configuración.
Para obtener más información sobre cómo definir parámetros de plantillas, consulte Parámetros.
Utilice AWS CloudTrail para registrar las llamadas de AWS CloudFormation
AWS CloudTrail rastrea a cualquier persona que realice llamadas a la API de AWS CloudFormation en una cuenta de AWS. Las llamadas a la API se registran cuando se utiliza la API de AWS CloudFormation, la consola de AWS CloudFormation, una consola de backend o comandos de la AWS CLI de AWS CloudFormation. Active el registro y especifique un bucket de Amazon S3 para almacenar los registros. De ese modo, si lo necesita, puede auditar quién hizo qué llamada a AWS CloudFormation en su cuenta. Para obtener más información, consulte Registro de llamadas a la API de AWS CloudFormation con AWS CloudTrail.
