Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik keamanan untuk AWS CloudFormation
AWS CloudFormation menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.
Topik
Gunakan IAM untuk mengontrol akses
IAM adalah AWS layanan yang dapat Anda gunakan untuk mengelola pengguna dan izin mereka. AWS Anda dapat menggunakan IAM AWS CloudFormation untuk menentukan AWS CloudFormation tindakan apa yang dapat dilakukan pengguna, seperti melihat templat tumpukan, membuat tumpukan, atau menghapus tumpukan. Selain itu, siapa pun yang mengelola tumpukan AWS CloudFormation akan memerlukan izin untuk sumber daya dalam tumpukan tersebut. Misalnya, jika pengguna ingin menggunakan AWS CloudFormation untuk meluncurkan, memperbarui, atau menghentikan instans Amazon EC2, mereka harus memiliki izin untuk memanggil tindakan Amazon EC2 yang relevan.
Dalam kebanyakan kasus, pengguna memerlukan akses penuh untuk mengelola semua sumber daya dalam templat. AWS CloudFormation membuat panggilan untuk membuat, memodifikasi, dan menghapus sumber daya atas nama mereka. Untuk memisahkan izin antara pengguna dan AWS CloudFormation layanan, gunakan peran layanan. AWS CloudFormation menggunakan kebijakan peran layanan untuk melakukan panggilan, bukan kebijakan pengguna. Untuk informasi selengkapnya, lihat AWS CloudFormation peran layanan.
Jangan menanamkan kredensial dalam templat Anda
Daripada menyematkan informasi sensitif di AWS CloudFormation template Anda, kami sarankan Anda menggunakan referensi dinamis di template tumpukan Anda.
Referensi dinamis menyediakan cara yang ringkas dan ampuh bagi Anda untuk mereferensikan nilai eksternal yang disimpan dan dikelola di layanan lain, seperti AWS Systems Manager Parameter Store atau AWS Secrets Manager. Bila Anda menggunakan referensi dinamis, CloudFormation mengambil nilai referensi yang ditentukan bila diperlukan selama tumpukan dan mengubah operasi set, dan meneruskan nilai ke sumber daya yang sesuai. Namun, CloudFormation jangan pernah menyimpan nilai referensi yang sebenarnya. Untuk informasi selengkapnya, lihat Menggunakan Referensi Dinamis untuk Menentukan Nilai Templat.
AWS Secrets Manager membantu Anda mengenkripsi, menyimpan, dan mengambil kredensi dengan aman untuk database dan layanan lainnya. AWS Systems Manager Parameter Store menyediakan penyimpanan hierarkis yang aman untuk pengelolaan data konfigurasi.
Untuk informasi lebih lanjut tentang menentukan parameter templat , lihat Parameter.
Gunakan AWS CloudTrail untuk mencatat AWS CloudFormation panggilan
AWS CloudTrail melacak siapa pun yang melakukan panggilan AWS CloudFormation API di AWS akun Anda. Panggilan API dicatat setiap kali ada yang menggunakan AWS CloudFormation API, AWS CloudFormation konsol, konsol back-end, atau AWS CloudFormation AWS CLI perintah. Aktifkan logging dan tentukan bucket Amazon S3 untuk menyimpan log. Dengan begitu, jika perlu, Anda dapat mengaudit siapa yang melakukan AWS CloudFormation panggilan apa di akun Anda. Untuk informasi selengkapnya, lihat Logging panggilan AWS CloudFormation API dengan AWS CloudTrail.
