Meilleures pratiques pour configurer des politiques basées sur l'identité pour un accès avec le moindre privilège CloudFormation - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Meilleures pratiques pour configurer des politiques basées sur l'identité pour un accès avec le moindre privilège CloudFormation

  • Pour les responsables IAM qui ont besoin d'autorisations d'accès CloudFormation, vous devez trouver un équilibre entre le besoin d'autorisations pour fonctionner CloudFormation et le principe du moindre privilège. Pour vous aider à respecter le principe du moindre privilège, nous vous recommandons de définir l'identité du principal IAM à l'aide d'actions spécifiques qui permettent au principal d'effectuer les opérations suivantes :

    • Créez, mettez à jour et supprimez une CloudFormation pile.

    • Transmettez un ou plusieurs rôles de service dotés des autorisations requises pour déployer les ressources définies dans les CloudFormation modèles. Cela permet d' CloudFormation assumer le rôle de service et de fournir les ressources de la pile pour le compte du principal IAM.

  • L'augmentation des privilèges fait référence à la capacité d'un utilisateur disposant d'un accès à augmenter ses niveaux d'autorisation et à compromettre la sécurité. Le principe du moindre privilège est une bonne pratique importante qui peut aider à prévenir l'augmentation des privilèges. Dans la mesure où il CloudFormation prend en charge le provisionnement de types de ressources IAM, tels que les politiques et les rôles, un principal IAM peut augmenter ses privilèges en : CloudFormation

    • Utilisation d'une CloudFormation pile pour doter un principal IAM d'autorisations, de politiques ou d'informations d'identification hautement privilégiées — Pour éviter cela, nous recommandons d'utiliser des dispositifs de protection des autorisations afin de limiter le niveau d'accès pour les principaux IAM. Les barrières de protection des autorisations définissent le nombre maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un principal IAM. Cela permet d'empêcher l'augmentation intentionnelle et involontaire des privilèges. Vous pouvez utiliser les types de politiques suivants pour protéger les autorisations :

      • Les limites d'autorisations définissent les autorisations maximales qu'une politique basée sur l'identité peut accorder à un principal IAM. Pour plus d'informations, consultez la section Limites des autorisations pour les entités IAM.

      • Dans AWS Organizations, vous pouvez utiliser les politiques de contrôle des services (SCPs) pour définir le maximum d'autorisations disponibles au niveau de l'organisation. SCPs concernent uniquement les rôles et les utilisateurs IAM gérés par des comptes au sein de l'organisation. Vous pouvez les joindre SCPs à des comptes, à des unités organisationnelles ou à la racine de l'organisation. Pour de plus amples informations, veuillez consulter Effets des SCP sur les autorisations.

    • Création d'un rôle de CloudFormation service offrant des autorisations étendues — Pour éviter cela, nous vous recommandons d'ajouter les autorisations détaillées suivantes aux politiques basées sur l'identité pour les principaux IAM qui utiliseront : CloudFormation

      • Utilisez la clé de cloudformation:RoleARN condition pour contrôler les rôles CloudFormation de service que le principal IAM peut utiliser.

      • N'iam:PassRoleautorisez l'action que pour les rôles CloudFormation de service spécifiques que le principal IAM doit transmettre.

    Pour plus d’informations, consultez Octroi d'autorisations principales à un IAM pour utiliser un rôle CloudFormation de service dans ce guide.

  • Limitez les autorisations en utilisant des barrières de sécurité, telles que des limites d'autorisations et SCPs accordez des autorisations en utilisant une politique basée sur l'identité ou les ressources.