Configuration des autorisations de moindre privilège à utiliser CloudFormation - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des autorisations de moindre privilège à utiliser CloudFormation

Ce chapitre passe en revue les options de configuration des autorisations d'accès et d'utilisation du AWS CloudFormation service.

Lorsqu'un utilisateur ou un service AWS fournit des ressources CloudFormation, la première étape consiste à appeler le CloudFormation service via un principal AWS Identity and Access Management (IAM). Ce principal IAM doit disposer des autorisations nécessaires pour créer les CloudFormation piles. Ensuite, le directeur IAM utilise l'une des approches suivantes pour fournir des ressources par le biais CloudFormation de :

  • Si le principal IAM ne transmet pas les opérations de pile à un rôle de CloudFormation service, CloudFormation utilise les informations d'identification du principal IAM pour effectuer les opérations de pile. Il s’agit de l’option par défaut. Par conséquent, outre les autorisations nécessaires pour effectuer les opérations de CloudFormation stack, le principal IAM a également besoin d'autorisations pour fournir les ressources définies dans les CloudFormation modèles qu'il utilisera. Par exemple, si le responsable de l'IAM n'est pas autorisé à créer des instances Amazon Elastic Compute Cloud (Amazon EC2), il ne peut pas créer une CloudFormation pile qui fournirait une EC2 instance Amazon.

  • Si le principal IAM transmet les opérations de pile à un rôle de CloudFormation service, il CloudFormation utilise ensuite le rôle de service pour effectuer les opérations de pile et provisionner les ressources dans le CloudFormation modèle. Ce rôle CloudFormation de service doit être défini avec les autorisations nécessaires pour Services AWS le fournir au nom du principal IAM. Cette approche évite d'accorder des autorisations directes au principal IAM pour fournir les AWS ressources définies dans les CloudFormation modèles. Le principal IAM a besoin d'autorisations de création de CloudFormation pile et CloudFormation utilise la politique du rôle de service pour passer des appels au lieu de la politique du principal IAM.

En utilisant l'approche des rôles de service et le principe du moindre privilège, vous pouvez standardiser le provisionnement des ressources dans votre AWS environnement et exiger que les utilisateurs fournissent les ressources sous forme d'IaC via iAc. CloudFormation Étant donné que les politiques associées aux principes IAM ne contiennent pas d'autorisations permettant de provisionner directement des AWS ressources, les utilisateurs doivent les utiliser CloudFormation pour les provisionner.

Ce chapitre passe en revue les mécanismes suivants pour configurer et gérer l'accès au CloudFormation service et aux CloudFormation piles :

  • Stratégies basées sur l’identité pour CloudFormation— Utilisez ce type de politique pour configurer les adresses auxquelles les principaux IAM peuvent accéder CloudFormation et les actions qu'ils peuvent effectuer. CloudFormation

  • Rôles de service pour CloudFormation— Créez un rôle de service qui permet de CloudFormation créer, de mettre à jour ou de supprimer des ressources de pile pour le compte du principal IAM qui déploie la pile. Le rôle de service est créé dans IAM et peut être associé à une ou plusieurs piles.

  • CloudFormation politiques de pile— Utilisez ce type de politique pour déterminer quand une pile peut être mise à jour. Ce type de politique permet d'éviter que les ressources de pile ne soient mises à jour ou supprimées par inadvertance. Des politiques de stack sont créées et associées aux stacks in CloudFormation.