Praktik terbaik untuk izin hak istimewa paling sedikit untuk AWS CloudFormation - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk izin hak istimewa paling sedikit untuk AWS CloudFormation

Panduan ini meninjau berbagai pendekatan dan beberapa jenis kebijakan yang dapat Anda gunakan untuk mengonfigurasi akses hak istimewa AWS CloudFormation dan sumber daya yang disediakan. CloudFormation Panduan ini berfokus pada konfigurasi akses ke CloudFormation melalui prinsip-prinsip IAM, peran layanan, dan kebijakan tumpukan. Rekomendasi dan praktik terbaik yang disertakan dirancang untuk membantu melindungi akun Anda dan menumpuk sumber daya dari tindakan yang tidak diinginkan oleh pengguna yang berwenang dan dari aktor jahat yang mungkin mengeksploitasi izin berlebihan.

Berikut ini adalah ringkasan dari praktik terbaik yang dijelaskan dalam panduan ini. Praktik terbaik ini dapat membantu Anda mematuhi prinsip hak istimewa paling sedikit saat mengonfigurasi izin untuk digunakan CloudFormation dan sumber daya yang disediakan melalui: CloudFormation

  • Tentukan tingkat akses yang dibutuhkan pengguna dan tim untuk menggunakan CloudFormation layanan, dan berikan hanya akses minimum yang diperlukan. Misalnya, berikan akses tampilan ke magang dan auditor, dan jangan izinkan jenis pengguna ini membuat, memperbarui, atau menghapus tumpukan.

  • Untuk prinsipal IAM yang perlu menyediakan beberapa jenis AWS sumber daya melalui CloudFormation tumpukan, pertimbangkan untuk menggunakan peran layanan CloudFormation untuk memungkinkan penyediaan sumber daya atas nama kepala sekolah, alih-alih mengonfigurasi akses ke yang ada Layanan AWS dalam kebijakan berbasis identitas kepala sekolah.

  • Dalam kebijakan berbasis identitas untuk prinsipal IAM, gunakan kunci cloudformation:RoleARN kondisi untuk mengontrol peran layanan mana yang dapat diteruskan. CloudFormation

  • Untuk membantu mencegah eskalasi hak istimewa, lakukan hal berikut:

    • Pantau secara ketat semua kepala sekolah IAM yang memiliki akses ke CloudFormation layanan dan tingkat akses yang mereka miliki.

    • Pantau secara ketat pengguna mana yang dapat mengakses prinsipal IAM ini.

    • Pantau aktivitas prinsipal IAM yang dapat meneruskan peran layanan istimewa ke. CloudFormation Meskipun mereka mungkin tidak memiliki izin untuk membuat sumber daya IAM melalui kebijakan berbasis identitas mereka, peran layanan yang dapat mereka lewati dapat membuat sumber daya IAM.

  • Tentukan kebijakan tumpukan setiap kali Anda membuat tumpukan yang memiliki sumber daya penting. Ini dapat membantu melindungi sumber daya tumpukan penting dari pembaruan yang tidak disengaja yang dapat menyebabkan sumber daya tersebut terganggu atau diganti.

  • Untuk sumber daya yang disediakan melalui CloudFormation, lihat rekomendasi manajemen akses dan praktik terbaik keamanan untuk layanan tersebut.

  • Untuk melengkapi rekomendasi dalam panduan ini untuk kebijakan berbasis identitas dan kebijakan berbasis sumber daya, pertimbangkan untuk menerapkan kontrol keamanan tambahan untuk izin hak istimewa terkecil, seperti kebijakan kontrol layanan () dan batas izin. SCPs Untuk informasi selengkapnya, lihat Langkah selanjutnya.

CloudFormation Dokumentasi berisi Praktik Terbaik dan praktik terbaik Keamanan tambahan yang dapat membantu Anda menggunakan dengan CloudFormation lebih efektif dan aman. Selain itu, lihat Praktik terbaik untuk mengonfigurasi kebijakan berbasis identitas untuk akses hak istimewa paling sedikit CloudFormation di panduan ini.