Mejores prácticas para los permisos con privilegios mínimos para AWS CloudFormation - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas para los permisos con privilegios mínimos para AWS CloudFormation

En esta guía, se analizan diferentes enfoques y algunos tipos de políticas que puede utilizar para configurar el acceso con privilegios mínimos AWS CloudFormation y los recursos aprovisionados a través de ellos. CloudFormation Esta guía se centra en configurar el acceso a CloudFormation través de los principios, las funciones de servicio y las políticas de pila de IAM. Las recomendaciones y las mejores prácticas incluidas están diseñadas para ayudar a proteger sus cuentas y acumular recursos frente a acciones no intencionadas por parte de los usuarios autorizados y contra personas malintencionadas que podrían aprovechar los permisos excesivos.

El siguiente es un resumen de las prácticas recomendadas que se explican en esta guía. Estas prácticas recomendadas pueden ayudarle a cumplir con el principio de privilegios mínimos al configurar los permisos de uso CloudFormation y los recursos aprovisionados mediante CloudFormation:

  • Determine qué nivel de acceso necesitan los usuarios y los equipos para usar el CloudFormation servicio y conceda solo el acceso mínimo requerido. Por ejemplo, conceda acceso de visualización a los pasantes y auditores y no permita que este tipo de usuarios creen, actualicen o eliminen pilas.

  • En el caso de los directores de IAM que necesiten aprovisionar varios tipos de AWS recursos mediante CloudFormation pilas, considere la posibilidad de utilizar funciones de servicio para poder aprovisionar recursos en nombre del director, en lugar de configurar el acceso a los que figuran Servicios de AWS en las políticas basadas en la identidad del director. CloudFormation

  • En las políticas basadas en la identidad para los directores de IAM, utilice la clave de cloudformation:RoleARN condición para controlar qué funciones de servicio pueden transferirse. CloudFormation

  • Para evitar la escalada de privilegios, haga lo siguiente:

    • Supervise estrictamente a todos los directores de IAM que tienen acceso al CloudFormation servicio y sus niveles de acceso.

    • Supervise estrictamente qué usuarios pueden acceder a estos principios de IAM.

    • Supervise la actividad de los directores de IAM a los que se les puede transferir una función de servicio privilegiada. CloudFormation Si bien es posible que no tengan permisos para crear recursos de IAM a través de su política basada en la identidad, la función de servicio que puedan transferir podría crear recursos de IAM.

  • Especifique una política de pilas cada vez que cree una pila que tenga recursos de vital importancia. Esto puede ayudar a proteger los recursos críticos de la pila de actualizaciones no intencionadas que podrían provocar la interrupción o el reemplazo de esos recursos.

  • Para obtener información sobre los recursos aprovisionados mediante este servicio CloudFormation, consulte las recomendaciones de administración de acceso y las mejores prácticas de seguridad para ese servicio.

  • Para complementar las recomendaciones de esta guía sobre las políticas basadas en la identidad y las políticas basadas en los recursos, considere la posibilidad de implementar controles de seguridad adicionales para los permisos con privilegios mínimos, como las políticas de control de servicios () y los límites de los permisos. SCPs Para obtener más información, consulte Pasos a seguir a continuación.

La CloudFormation documentación contiene prácticas recomendadas y prácticas recomendadas de seguridad adicionales que pueden ayudarle a utilizarlas de forma más eficaz y segura. CloudFormation Además, consulte Mejores prácticas para configurar políticas basadas en la identidad para el acceso con privilegios mínimos CloudFormation en esta guía.