Permitir el acceso a la vista Permite la creación de pilas en función de una plantilla Denegar la actualización o eliminación de una pila

Ejemplos de políticas basadas en la identidad para CloudFormation

Esta sección contiene ejemplos de políticas basadas en la identidad que muestran cómo conceder y denegar permisos para. CloudFormation Puede utilizar estos ejemplos de políticas para empezar a diseñar sus propias políticas que se ajusten al principio de privilegios mínimos.

Para obtener una lista de acciones y condiciones CloudFormation específicas, consulte Acciones, recursos y claves de condiciones para AWS CloudFormation y AWS CloudFormation condiciones. Para obtener una lista de los tipos de recursos que se pueden usar con las condiciones, consulte la referencia de tipos de AWS recursos y propiedades.

Esta sección contiene los siguientes ejemplos de políticas:

Permitir el acceso a la vista
Permite la creación de pilas en función de una plantilla
Denegar la actualización o eliminación de una pila

Permitir el acceso a la vista

El acceso a la vista es el tipo de acceso menos privilegiado al. CloudFormation Este tipo de política podría ser adecuada para los directores de IAM que deseen ver todas las pilas del. CloudFormation Cuenta de AWS El siguiente ejemplo de política otorga permisos para ver los detalles de cualquier CloudFormation pila de la cuenta.


{ 
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStackResource",
        "cloudformation:DescribeStackResources"
      ],
      "Resource": "*"
    }
  ]
}

Permite la creación de pilas en función de una plantilla

El siguiente ejemplo de política permite a los directores de IAM crear pilas utilizando únicamente las CloudFormation plantillas almacenadas en un bucket específico de Amazon Simple Storage Service (Amazon S3). El nombre del bucket es. my-CFN-templates Puedes subir plantillas aprobadas a este depósito. La clave de cloudformation:TemplateUrl condición de la política impide que el director de IAM utilice otras plantillas para crear pilas.

importante

Permita que el director de IAM tenga acceso de solo lectura a este bucket de S3. Esto ayuda a evitar que el director de IAM añada, elimine o modifique las plantillas aprobadas.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloudformation:TemplateUrl": "https:// my-CFN-templates.s3.amazonaws.com/*"
        }
      }
    }
  ]
}

Denegar la actualización o eliminación de una pila

Para ayudar a proteger CloudFormation pilas específicas que aprovisionan AWS recursos esenciales para la empresa, puede restringir las acciones de actualización y eliminación de esas pilas específicas. Puede permitir estas acciones solo para unos pocos principios de IAM específicos y denegarlas para cualquier otro principio de IAM del entorno. La siguiente declaración de política deniega los permisos para actualizar o eliminar una CloudFormation pila específica en una y específica. Región de AWS Cuenta de AWS


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:DeleteStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/<stack_ID>"
    }
  ]
}

Esta declaración de política deniega los permisos para actualizar o eliminar la MyProductionStack CloudFormation pila, que se encuentra en us-east-1 Región de AWS y en 123456789012 Cuenta de AWS. Puedes ver el ID de la pila en la CloudFormation consola. Los siguientes son algunos ejemplos de cómo puede modificar el Resource elemento de esta declaración para su caso de uso:

Puede añadir varias CloudFormation pilas IDs en el Resource elemento de esta política.
Puedes usarlo arn:aws:cloudformation:us-east-1:123456789012:stack/* para evitar que los directores de IAM actualicen o eliminen cualquier pila que esté en la cuenta us-east-1 Región de AWS y en la 123456789012 cuenta.

Un paso importante es decidir qué política debe incluir esta declaración. Puede añadir esta declaración a las siguientes políticas:

La política basada en la identidad adjunta al principio de IAM: incluir esta declaración en esta política impide que el principal de IAM específico cree o elimine una pila específica. CloudFormation
Un límite de permisos asociado al principal de la IAM: al incluir esta declaración en esta política, se crea una barrera de permisos. Impide que más de una entidad principal de IAM cree o elimine una CloudFormation pila específica, pero no restringe todas las entidades principales de su entorno.
Un SCP asociado a una cuenta, unidad organizativa u organización: si incluyes esta declaración en esta política, se crea un límite de permisos. Impide que todos los directores de IAM de la cuenta, unidad organizativa u organización de destino creen o eliminen una pila específica. CloudFormation

Sin embargo, si no permites que al menos un principal de IAM, un principal privilegiado, actualice o elimine la CloudFormation pila, no podrás realizar ningún cambio, cuando sea necesario, en los recursos aprovisionados a través de esta pila. Un usuario o un canal de desarrollo (recomendado) pueden asumir este principio privilegiado. Si quieres implementar la restricción como un SCP, te recomendamos que utilices la siguiente declaración de política.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:DeleteStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/<stack_ID>",
      "Condition": {
        "ArnNotLike": {
          "aws:PrincipalARN": [
            "<ARN of the allowed privilege IAM principal>"
          ]
        }
      }
    }
  ]
}
```
En esta declaración, el Condition elemento define el principal de IAM que está excluido del SCP. Esta declaración deniega cualquier permiso principal de IAM para actualizar o eliminar CloudFormation pilas, a menos que el ARN del principal de IAM coincida con el ARN del elemento. Condition La clave de aws:PrincipalARN condición acepta una lista, lo que significa que puede excluir más de un principal de IAM de las restricciones, según sea necesario para su entorno. Para ver un SCP similar que impida la modificación de CloudFormation los recursos, consulte SCP-CLOUDFORMATION-1 (). GitHub

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas

Roles de servicio