Mejores prácticas para configurar políticas basadas en la identidad para el acceso con privilegios mínimos CloudFormation - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas para configurar políticas basadas en la identidad para el acceso con privilegios mínimos CloudFormation

  • En el caso de los directores de IAM que necesitan permisos para acceder CloudFormation, deben sopesar la necesidad de permisos para funcionar con el principio de privilegios mínimos. CloudFormation Para ayudarle a cumplir el principio del privilegio mínimo, le recomendamos que defina la identidad del director de IAM con acciones específicas que le permitan hacer lo siguiente:

    • Cree, actualice y elimine una pila. CloudFormation

    • Transfiera una o más funciones de servicio que tengan los permisos necesarios para implementar los recursos definidos en las CloudFormation plantillas. Esto permite CloudFormation asumir la función de servicio y aprovisionar los recursos de la pila en nombre del director de IAM.

  • La escalada de privilegios se refiere a la capacidad de un usuario con acceso de elevar sus niveles de permisos y comprometer la seguridad. El mínimo privilegio es una práctica recomendada importante que puede ayudar a evitar la escalada de privilegios. Dado que CloudFormation admite el aprovisionamiento de tipos de recursos de IAM, como políticas y funciones, un director de IAM podría aumentar sus privilegios de la siguiente manera: CloudFormation

    • Utilizar una CloudFormation pila para dotar a un director de IAM de permisos, políticas o credenciales altamente privilegiados. Para evitar esto, recomendamos utilizar barreras de permisos para limitar el nivel de acceso de los directores de IAM. Los límites de permisos establecen los permisos máximos que una política basada en la identidad puede conceder a un responsable de IAM. Esto ayuda a evitar la escalada de privilegios intencionada y no intencionada. Puede utilizar los siguientes tipos de políticas como barreras de protección de los permisos:

      • Los límites de permisos definen los permisos máximos que una política basada en la identidad puede conceder a un responsable de IAM. Para obtener más información, consulte Límites de permisos para las entidades de IAM.

      • En AWS Organizations, puede utilizar las políticas de control de servicios (SCPs) para definir el máximo de permisos disponibles a nivel organizativo. SCPs afectan únicamente a los roles y usuarios de IAM gestionados por las cuentas de la organización. Puedes asociarte SCPs a cuentas, unidades organizativas o a la raíz de la organización. Para más información, consulte Efectos de las SCP en los permisos.

    • Crear un rol de CloudFormation servicio que ofrezca amplios permisos: para evitar que esto ocurra, te recomendamos que añadas los siguientes permisos detallados a las políticas basadas en la identidad para los directores de IAM que vayan a utilizarlos: CloudFormation

      • Utilice la clave de cloudformation:RoleARN condición para controlar qué funciones de CloudFormation servicio puede utilizar el director de IAM.

      • Permita la iam:PassRole acción solo para las funciones de CloudFormation servicio específicas que el director de IAM deba desempeñar.

    Para obtener más información, consulte la sección Otorgar permisos a un director de IAM para usar un rol CloudFormation de servicio de esta guía.

  • Restrinja los permisos mediante barreras de protección de permisos, como los límites de los permisos SCPs, y conceda los permisos mediante una política basada en la identidad o en los recursos.