Mengonfigurasi izin hak istimewa paling sedikit untuk digunakan CloudFormation - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi izin hak istimewa paling sedikit untuk digunakan CloudFormation

Bab ini mengulas opsi untuk mengonfigurasi izin untuk mengakses dan menggunakan layanan. AWS CloudFormation

Ketika pengguna atau layanan menyediakan sumber AWS daya melalui CloudFormation, langkah pertama adalah melakukan panggilan ke CloudFormation layanan melalui AWS Identity and Access Management (IAM) prinsipal. Prinsipal IAM ini harus memiliki izin untuk membuat tumpukan. CloudFormation Selanjutnya, prinsipal IAM menggunakan salah satu pendekatan berikut untuk menyediakan sumber daya melalui CloudFormation:

  • Jika prinsipal IAM tidak meneruskan operasi tumpukan ke peran CloudFormation layanan, CloudFormation gunakan kredensi prinsipal IAM untuk melakukan operasi tumpukan. Ini adalah opsi default. Oleh karena itu, selain izin untuk melakukan operasi CloudFormation tumpukan, prinsipal IAM juga memerlukan izin untuk menyediakan sumber daya yang ditentukan dalam CloudFormation templat yang akan mereka gunakan. Misalnya, jika prinsipal IAM tidak memiliki izin untuk membuat instans Amazon Elastic Compute Cloud (Amazon EC2), maka mereka tidak dapat membuat CloudFormation tumpukan yang akan menyediakan instance Amazon. EC2

  • Jika prinsipal IAM meneruskan operasi tumpukan ke peran CloudFormation layanan, maka CloudFormation gunakan peran layanan untuk melakukan operasi tumpukan dan menyediakan sumber daya dalam CloudFormation template. Peran CloudFormation layanan ini harus didefinisikan dengan izin untuk menyediakan Layanan AWS atas nama prinsipal IAM. Pendekatan ini menghindari pemberian izin langsung ke prinsipal IAM untuk menyediakan AWS sumber daya yang ditentukan dalam templat. CloudFormation Prinsipal IAM membutuhkan izin pembuatan CloudFormation tumpukan, dan CloudFormation menggunakan kebijakan peran layanan untuk melakukan panggilan alih-alih kebijakan prinsipal IAM.

Dengan menggunakan pendekatan peran layanan dan prinsip hak istimewa terkecil, Anda dapat membakukan penyediaan sumber daya di AWS lingkungan Anda dan mengharuskan pengguna menyediakan sumber daya sebagai IAc. CloudFormation Karena kebijakan yang dilampirkan pada prinsipal IAM tidak berisi izin untuk menyediakan AWS sumber daya secara langsung, pengguna harus menggunakannya untuk menyediakannya. CloudFormation

Bab ini mengulas mekanisme berikut untuk mengonfigurasi dan mengelola akses ke CloudFormation layanan dan CloudFormation tumpukan:

  • Kebijakan berbasis identitas untuk CloudFormation— Gunakan jenis kebijakan ini untuk mengonfigurasi prinsipal IAM mana yang dapat diakses CloudFormation dan tindakan apa yang dapat mereka lakukan. CloudFormation

  • Peran layanan untuk CloudFormation— Buat peran layanan yang memungkinkan CloudFormation untuk membuat, memperbarui, atau menghapus sumber daya tumpukan atas nama kepala IAM yang menyebarkan tumpukan. Peran layanan dibuat di IAM dan dapat dikaitkan dengan satu atau lebih tumpukan.

  • CloudFormation kebijakan tumpukan— Gunakan jenis kebijakan ini untuk menentukan kapan tumpukan dapat diperbarui. Jenis kebijakan ini dapat membantu mencegah sumber daya tumpukan diperbarui atau dihapus secara tidak sengaja. Kebijakan tumpukan dibuat dan dikaitkan dengan tumpukan di CloudFormation.