Autoriser l'accès à la vue Autoriser la création de piles en fonction d'un modèle Refuser la mise à jour ou la suppression d'une pile

Exemples de politiques basées sur l'identité pour CloudFormation

Cette section contient des exemples de politiques basées sur l'identité qui montrent comment accorder et refuser des autorisations pour. CloudFormation Vous pouvez utiliser ces exemples de politiques pour commencer à concevoir vos propres politiques conformes au principe du moindre privilège.

Pour obtenir la liste des actions et conditions CloudFormation spécifiques, consultez la section Actions, ressources et clés de condition pour AWS CloudFormation et AWS CloudFormation conditions. Pour une liste des types de ressources à utiliser avec les conditions, consultez la référence des types de AWS ressources et de propriétés.

Cette section contient les exemples de politiques suivants :

Autoriser l'accès à la vue
Autoriser la création de piles en fonction d'un modèle
Refuser la mise à jour ou la suppression d'une pile

Autoriser l'accès à la vue

L'accès à la vue est le type d'accès le moins privilégié à. CloudFormation Ce type de politique peut être approprié pour les directeurs IAM qui souhaitent consulter toutes les CloudFormation piles du. Compte AWS L'exemple de politique suivant accorde des autorisations pour consulter les détails de n'importe quelle CloudFormation pile du compte.


{ 
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStackResource",
        "cloudformation:DescribeStackResources"
      ],
      "Resource": "*"
    }
  ]
}

Autoriser la création de piles en fonction d'un modèle

L'exemple de politique suivant permet aux responsables IAM de créer des piles en utilisant uniquement les CloudFormation modèles stockés dans un compartiment Amazon Simple Storage Service (Amazon S3) spécifique. Le nom du bucket estmy-CFN-templates. Vous pouvez télécharger des modèles approuvés dans ce compartiment. La clé de cloudformation:TemplateUrl condition contenue dans la politique empêche le principal IAM d'utiliser d'autres modèles pour créer des piles.

Important

Autorisez le principal IAM à avoir un accès en lecture seule à ce compartiment S3. Cela permet d'empêcher le directeur IAM d'ajouter, de supprimer ou de modifier les modèles approuvés.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloudformation:TemplateUrl": "https:// my-CFN-templates.s3.amazonaws.com/*"
        }
      }
    }
  ]
}

Refuser la mise à jour ou la suppression d'une pile

Pour protéger les CloudFormation piles spécifiques qui fournissent des AWS ressources critiques pour l'entreprise, vous pouvez limiter les actions de mise à jour et de suppression pour cette pile spécifique. Vous pouvez autoriser ces actions uniquement pour quelques principes IAM spécifiés et les refuser pour tout autre principal IAM de l'environnement. La déclaration de politique suivante refuse les autorisations de mise à jour ou de suppression d'une CloudFormation pile spécifique dans un Région AWS et spécifique Compte AWS.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:DeleteStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/<stack_ID>"
    }
  ]
}

Cette déclaration de politique refuse les autorisations de mise à jour ou de suppression de la MyProductionStack CloudFormation pile, qui se trouve dans le us-east-1 Région AWS et dans le 123456789012 Compte AWS. Vous pouvez consulter l'ID de pile dans la CloudFormation console. Voici quelques exemples de la manière dont vous pourriez modifier l'Resourceélément de cette déclaration en fonction de votre cas d'utilisation :

Vous pouvez ajouter plusieurs CloudFormation piles IDs dans l'Resourceélément de cette politique.
Vous pouvez l'utiliser arn:aws:cloudformation:us-east-1:123456789012:stack/* pour empêcher les principaux IAM de mettre à jour ou de supprimer toute pile présente dans us-east-1 Région AWS et dans le 123456789012 compte.

Une étape importante consiste à décider quelle politique doit contenir cette déclaration. Vous pouvez ajouter cette déclaration aux politiques suivantes :

La politique basée sur l'identité attachée au principal IAM : le fait de placer la déclaration dans cette politique empêche le principal IAM spécifique de créer ou de supprimer une pile spécifique. CloudFormation
Une limite d'autorisations attachée au principal IAM : le fait d'intégrer la déclaration dans cette politique crée un garde-fou en matière d'autorisations. Cela empêche plusieurs principaux IAM de créer ou de supprimer une CloudFormation pile spécifique, mais cela ne restreint pas tous les principaux de votre environnement.
Un SCP attaché à un compte, à une unité organisationnelle ou à une organisation : l'inclusion de cette déclaration dans cette politique crée un garde-fou en matière d'autorisations. Il empêche tous les principaux IAM du compte, de l'unité organisationnelle ou de l'organisation cible de créer ou de supprimer une pile spécifique. CloudFormation

Toutefois, si vous n'autorisez pas au moins un principal IAM, un principal privilégié, à mettre à jour ou à supprimer la CloudFormation pile, vous ne pourrez apporter aucune modification, si nécessaire, aux ressources fournies via cette pile. Un utilisateur ou un pipeline de développement (recommandé) peut assumer ce principe privilégié. Si vous souhaitez déployer la restriction en tant que SCP, nous vous recommandons plutôt la déclaration de politique suivante.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:DeleteStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/<stack_ID>",
      "Condition": {
        "ArnNotLike": {
          "aws:PrincipalARN": [
            "<ARN of the allowed privilege IAM principal>"
          ]
        }
      }
    }
  ]
}
```
Dans cette déclaration, l'Conditionélément définit le principal IAM qui est exclu du SCP. Cette déclaration refuse à tout principal IAM l'autorisation de mettre à jour ou de supprimer des CloudFormation piles, sauf si l'ARN du principal IAM correspond à l'ARN de l'élément. Condition La clé de aws:PrincipalARN condition accepte une liste, ce qui signifie que vous pouvez exclure plusieurs principaux IAM des restrictions, selon les besoins de votre environnement. Pour un SCP similaire qui empêche toute modification des CloudFormation ressources, consultez SCP-CLOUDFORMATION-1 (). GitHub

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques

Rôles de service