Le migliori pratiche per la configurazione di policy basate sull'identità per l'accesso con privilegi minimi CloudFormation - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le migliori pratiche per la configurazione di policy basate sull'identità per l'accesso con privilegi minimi CloudFormation

  • Per i responsabili IAM che richiedono autorizzazioni per accedere CloudFormation, è necessario bilanciare la necessità delle autorizzazioni per operare con il principio del privilegio minimo. CloudFormation Per aiutarti a rispettare il principio del privilegio minimo, ti consigliamo di definire il principale IAM in base all'identità con azioni specifiche che consentano al principale di fare quanto segue:

    • Crea, aggiorna ed elimina uno stack. CloudFormation

    • Assegna uno o più ruoli di servizio con le autorizzazioni necessarie per distribuire le risorse definite nei modelli. CloudFormation Ciò consente di CloudFormation assumere il ruolo di servizio e fornire le risorse dello stack per conto del responsabile IAM.

  • L'escalation dei privilegi si riferisce alla capacità di un utente con accesso di elevare i propri livelli di autorizzazione e compromettere la sicurezza. Il privilegio minimo è una best practice importante che può aiutare a prevenire l'escalation dei privilegi. Poiché CloudFormation supporta il provisioning di tipi di risorse IAM, come policy e ruoli, un responsabile IAM potrebbe aumentare i propri privilegi attraverso: CloudFormation

    • Utilizzo di uno CloudFormation stack per fornire a un principale IAM autorizzazioni, policy o credenziali altamente privilegiate: per evitare che ciò accada, consigliamo di utilizzare barriere di autorizzazione per limitare il livello di accesso per i principali IAM. I guardrail di autorizzazione impostano le autorizzazioni massime che una policy basata sull'identità può concedere a un responsabile IAM. Questo aiuta a prevenire l'escalation intenzionale e involontaria dei privilegi. È possibile utilizzare i seguenti tipi di politiche come protezioni per le autorizzazioni:

      • I limiti delle autorizzazioni definiscono le autorizzazioni massime che una policy basata sull'identità può concedere a un principale IAM. Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM.

      • In AWS Organizations, puoi utilizzare le policy di controllo del servizio (SCPs) per definire le autorizzazioni massime disponibili a livello organizzativo. SCPs riguardano solo i ruoli e gli utenti IAM gestiti dagli account dell'organizzazione. Puoi collegarti SCPs agli account, alle unità organizzative o alla radice dell'organizzazione. Per ulteriori informazioni, consulta Effetti delle SCP sulle autorizzazioni.

    • Creazione di un ruolo di CloudFormation servizio che offra autorizzazioni estese: per evitare che ciò accada, ti consigliamo di aggiungere le seguenti autorizzazioni granulari alle politiche basate sull'identità per i dirigenti IAM che utilizzeranno: CloudFormation

      • Utilizza la chiave cloudformation:RoleARN condition per controllare quali ruoli di servizio può utilizzare il preside IAM. CloudFormation

      • Consenti l'iam:PassRoleazione solo per i ruoli CloudFormation di servizio specifici che il principale IAM deve passare.

    Per ulteriori informazioni sul tagging, consulta Concessione a un IAM delle autorizzazioni principali per l'utilizzo di un CloudFormation ruolo di servizioin questa guida.

  • Limita le autorizzazioni utilizzando barriere di autorizzazione, come i limiti delle autorizzazioni e SCPs, e concedi le autorizzazioni utilizzando una politica basata sull'identità o sulle risorse.