Configurazione delle autorizzazioni con privilegi minimi da utilizzare CloudFormation - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione delle autorizzazioni con privilegi minimi da utilizzare CloudFormation

Questo capitolo esamina le opzioni per configurare le autorizzazioni per accedere e utilizzare il servizio. AWS CloudFormation

Quando un utente o un servizio fornisce AWS risorse CloudFormation, il primo passaggio consiste nell'effettuare una chiamata al CloudFormation servizio tramite un preside AWS Identity and Access Management (IAM). Questo principale IAM deve disporre delle autorizzazioni per creare gli CloudFormation stack. Successivamente, il preside IAM utilizza uno dei seguenti approcci per fornire risorse tramite: CloudFormation

  • Se il principale IAM non passa le operazioni dello stack a un ruolo di CloudFormation servizio, CloudFormation utilizza le credenziali del principale IAM per eseguire le operazioni dello stack. Questa è l'impostazione predefinita. Pertanto, oltre alle autorizzazioni per eseguire le operazioni di CloudFormation stack, il principale IAM necessita anche delle autorizzazioni per fornire le risorse definite nei modelli che utilizzerà. CloudFormation Ad esempio, se il responsabile IAM non dispone delle autorizzazioni per creare istanze Amazon Elastic Compute Cloud EC2 (Amazon), non può creare uno CloudFormation stack che consenta il provisioning di un'istanza Amazon. EC2

  • Se il principale IAM passa le operazioni dello stack a un ruolo di CloudFormation servizio, CloudFormation utilizza il ruolo di servizio per eseguire le operazioni dello stack e fornire le risorse nel modello. CloudFormation Questo ruolo CloudFormation di servizio deve essere definito con le autorizzazioni per fornire il servizio per Servizi AWS conto del principale IAM. Questo approccio evita di concedere autorizzazioni dirette al responsabile IAM per fornire le AWS risorse definite nei modelli. CloudFormation Il principale IAM necessita delle autorizzazioni per la creazione CloudFormation dello stack e CloudFormation utilizza la policy del ruolo di servizio per effettuare chiamate anziché la policy del principale IAM.

Utilizzando l'approccio del ruolo di servizio e il principio del privilegio minimo, è possibile standardizzare il provisioning delle risorse nel proprio AWS ambiente e richiedere che gli utenti forniscano le risorse tramite IaC. CloudFormation Poiché le policy allegate ai principi IAM non contengono le autorizzazioni per il provisioning diretto delle AWS risorse, gli utenti devono utilizzarle per il provisioning delle stesse. CloudFormation

Questo capitolo esamina i seguenti meccanismi per la configurazione e la gestione dell'accesso al CloudFormation servizio e agli stack: CloudFormation

  • Policy basate su identità per CloudFormation— Utilizza questo tipo di policy per configurare a quali presidi IAM possono accedere CloudFormation e in quali azioni possono eseguire. CloudFormation

  • Ruoli di servizio per CloudFormation— Crea un ruolo di servizio che CloudFormation consenta di creare, aggiornare o eliminare le risorse dello stack per conto del responsabile IAM che distribuisce lo stack. Il ruolo di servizio viene creato in IAM e può essere associato a uno o più stack.

  • CloudFormation politiche dello stack— Utilizzate questo tipo di policy per determinare quando uno stack può essere aggiornato. Questo tipo di policy può aiutare a impedire che le risorse dello stack vengano aggiornate o eliminate involontariamente. Le policy dello stack vengono create e associate agli stack in. CloudFormation