Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques en matière d'autorisations de moindre privilège pour AWS CloudFormation
Ce guide passe en revue les différentes approches et certains types de politiques que vous pouvez utiliser pour configurer l'accès au moindre privilège aux ressources mises en service par le biais AWS CloudFormation de ce dernier. CloudFormation Ce guide se concentre sur la configuration de l'accès CloudFormation via les principes IAM, les rôles de service et les politiques de stack. Les recommandations et les meilleures pratiques incluses sont conçues pour protéger vos comptes et vos ressources contre les actions involontaires des utilisateurs autorisés et contre les acteurs malveillants susceptibles d'exploiter des autorisations excessives.
Ce qui suit est un résumé des meilleures pratiques expliquées dans ce guide. Ces bonnes pratiques peuvent vous aider à respecter le principe du moindre privilège lors de la configuration des autorisations d'utilisation CloudFormation et des ressources fournies par le biais CloudFormation de :
-
Déterminez le niveau d'accès dont les utilisateurs et les équipes ont besoin pour utiliser le CloudFormation service, et accordez uniquement l'accès minimum requis. Par exemple, accordez un accès de consultation aux stagiaires et aux auditeurs, et n'autorisez pas ces types d'utilisateurs à créer, mettre à jour ou supprimer des piles.
-
Pour les responsables IAM qui doivent fournir plusieurs types de AWS ressources par le biais de CloudFormation piles, envisagez d'utiliser des rôles de service pour permettre CloudFormation de fournir des ressources au nom du principal, au lieu de configurer l'accès à celles définies Services AWS dans les politiques basées sur l'identité du principal.
-
Dans les politiques basées sur l'identité pour les principaux IAM, utilisez la clé de
cloudformation:RoleARNcondition pour contrôler les rôles de CloudFormation service pouvant être transmis. -
Pour empêcher l'augmentation des privilèges, procédez comme suit :
-
Surveillez strictement tous les principaux IAM qui ont accès au CloudFormation service et les niveaux d'accès dont ils disposent.
-
Surveillez strictement quels utilisateurs peuvent accéder à ces principes IAM.
-
Surveillez l'activité des responsables IAM auxquels un rôle de service privilégié peut être transféré. CloudFormation Bien qu'ils ne soient pas autorisés à créer des ressources IAM par le biais de leur politique basée sur l'identité, le rôle de service qu'ils peuvent transmettre peut créer des ressources IAM.
-
-
Spécifiez une politique de pile chaque fois que vous créez une pile qui contient des ressources critiques. Cela peut aider à protéger les ressources critiques contre les mises à jour involontaires susceptibles d'entraîner l'interruption ou le remplacement de ces ressources.
-
Pour les ressources mises à disposition via CloudFormation ce service, reportez-vous aux recommandations de gestion des accès et aux meilleures pratiques de sécurité relatives à ce service.
-
Pour compléter les recommandations de ce guide concernant les politiques basées sur l'identité et les politiques basées sur les ressources, envisagez de mettre en œuvre des contrôles de sécurité supplémentaires pour les autorisations relatives au moindre privilège, tels que des politiques de contrôle des services () et des limites d'autorisations. SCPs Pour de plus amples informations, veuillez consulter Étapes suivantes.
La CloudFormation documentation contient des bonnes pratiques supplémentaires et des meilleures pratiques de sécurité qui peuvent vous aider à les utiliser de manière CloudFormation plus efficace et plus sûre. Consultez également Meilleures pratiques pour configurer des politiques basées sur l'identité pour un accès avec le moindre privilège CloudFormation ce guide.
