Configuración de los permisos con privilegios mínimos para usar CloudFormation - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de los permisos con privilegios mínimos para usar CloudFormation

En este capítulo se analizan las opciones para configurar los permisos de acceso y uso del AWS CloudFormation servicio.

Cuando un usuario o un servicio AWS aprovisiona recursos CloudFormation, el primer paso es realizar una llamada al CloudFormation servicio a través de un director AWS Identity and Access Management (IAM). Este director de IAM debe tener permisos para crear las CloudFormation pilas. A continuación, el director de IAM utiliza uno de los siguientes enfoques para aprovisionar recursos mediante: CloudFormation

  • Si el director de IAM no transfiere las operaciones de pila a una función de CloudFormation servicio, CloudFormation utiliza las credenciales del director de IAM para realizar las operaciones de pila. Esta es la opción predeterminada. Por lo tanto, además de los permisos para realizar las operaciones de CloudFormation apilamiento, el director de IAM también necesita permisos para aprovisionar los recursos definidos en las CloudFormation plantillas que utilizará. Por ejemplo, si el director de IAM no tiene permisos para crear instancias de Amazon Elastic Compute Cloud (Amazon EC2), no podrá crear una CloudFormation pila que aprovisione una EC2 instancia de Amazon.

  • Si el director de IAM transfiere las operaciones de pila a una función de CloudFormation servicio, CloudFormation utiliza la función de servicio para realizar las operaciones de pila y aprovisionar los recursos de la plantilla. CloudFormation Esta función CloudFormation de servicio debe definirse con permisos para aprovisionarla Servicios de AWS en nombre del principal de IAM. Este enfoque evita conceder permisos directos al director de IAM para aprovisionar los AWS recursos definidos en las CloudFormation plantillas. El director de IAM necesita permisos de creación de CloudFormation pilas y CloudFormation utiliza la política del rol de servicio para realizar llamadas en lugar de la política del director de IAM.

Al utilizar el enfoque de la función de servicio y el principio del privilegio mínimo, puede estandarizar el aprovisionamiento de recursos en su AWS entorno y exigir que los usuarios aprovisionen los recursos a través de la IaC. CloudFormation Como las políticas asociadas a los principios de IAM no contienen permisos para aprovisionar AWS recursos directamente, los usuarios deben utilizarlos para aprovisionarlos. CloudFormation

En este capítulo se analizan los siguientes mecanismos para configurar y administrar el acceso al CloudFormation servicio y a CloudFormation las pilas:

  • Políticas de CloudFormation basadas en identidades— Utilice este tipo de política para configurar a qué directores de IAM pueden acceder CloudFormation y en qué acciones pueden realizar. CloudFormation

  • Funciones de servicio para CloudFormation— Cree un rol de servicio que permita CloudFormation crear, actualizar o eliminar los recursos de la pila en nombre del director de IAM que despliega la pila. La función de servicio se crea en IAM y se puede asociar a una o más pilas.

  • CloudFormation apilar políticas— Utilice este tipo de política para determinar cuándo se puede actualizar una pila. Este tipo de política puede ayudar a evitar que los recursos de la pila se actualicen o eliminen involuntariamente. Las políticas de apilamiento se crean y asocian a las pilas. CloudFormation