Praktik terbaik untuk mengonfigurasi kebijakan berbasis identitas untuk akses hak istimewa paling sedikit CloudFormation - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk mengonfigurasi kebijakan berbasis identitas untuk akses hak istimewa paling sedikit CloudFormation

  • Untuk kepala sekolah IAM yang memerlukan izin untuk mengakses CloudFormation, Anda harus menyeimbangkan kebutuhan izin untuk beroperasi CloudFormation dengan prinsip hak istimewa paling sedikit. Untuk membantu Anda mematuhi prinsip hak istimewa terkecil, kami sarankan Anda mendefinisikan identitas kepala sekolah IAM berdasarkan tindakan spesifik yang memungkinkan prinsipal melakukan hal berikut:

    • Buat, perbarui, dan hapus CloudFormation tumpukan.

    • Lulus satu atau beberapa peran layanan yang memiliki izin yang diperlukan untuk menyebarkan sumber daya yang ditentukan dalam templat. CloudFormation Hal ini memungkinkan CloudFormation untuk mengambil peran layanan dan menyediakan sumber daya dalam tumpukan atas nama prinsipal IAM.

  • Eskalasi hak istimewa mengacu pada kemampuan pengguna dengan akses, untuk meningkatkan tingkat izin mereka dan membahayakan keamanan. Keistimewaan paling sedikit adalah praktik terbaik penting yang dapat membantu mencegah eskalasi hak istimewa. Karena CloudFormation mendukung penyediaan jenis sumber daya IAM, seperti kebijakan dan peran, prinsipal IAM dapat meningkatkan hak istimewa mereka melalui: CloudFormation

    • Menggunakan CloudFormation tumpukan untuk menyediakan prinsipal IAM dengan izin, kebijakan, atau kredensional yang sangat istimewa — Untuk membantu mencegah hal ini, sebaiknya gunakan pagar pembatas izin untuk membatasi tingkat akses bagi prinsipal IAM. Pagar pembatas izin menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada prinsipal IAM. Ini membantu mencegah eskalasi hak istimewa yang disengaja dan tidak disengaja. Anda dapat menggunakan jenis kebijakan berikut sebagai pagar pembatas izin:

      • Batas izin menentukan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada prinsipal IAM. Untuk informasi selengkapnya, lihat Batas izin untuk entitas IAM.

      • Di AWS Organizations, Anda dapat menggunakan kebijakan kontrol layanan (SCPs) untuk menentukan izin maksimum yang tersedia di tingkat organisasi. SCPs hanya memengaruhi peran IAM dan pengguna yang dikelola oleh akun di organisasi. Anda dapat melampirkan SCPs ke akun, unit organisasi, atau ke akar organisasi. Untuk informasi selengkapnya, lihat efek SCP pada izin.

    • Membuat peran CloudFormation layanan yang menawarkan izin ekstensif — Untuk membantu mencegah hal ini, sebaiknya Anda menambahkan izin berbutir halus berikut ke kebijakan berbasis identitas untuk prinsipal IAM yang akan menggunakan: CloudFormation

      • Gunakan tombol cloudformation:RoleARN kondisi untuk mengontrol peran CloudFormation layanan mana yang dapat digunakan oleh prinsipal IAM.

      • Izinkan iam:PassRole tindakan hanya untuk peran CloudFormation layanan tertentu yang harus dilewati oleh kepala sekolah IAM.

    Untuk informasi selengkapnya, lihat Memberikan izin utama IAM untuk menggunakan peran layanan CloudFormation dalam panduan ini.

  • Batasi izin dengan menggunakan pagar pembatas izin, seperti batas izin dan SCPs, dan berikan izin dengan menggunakan kebijakan berbasis identitas atau berbasis sumber daya.