翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
最小特権の CloudFormation アクセス用にアイデンティティベースのポリシーを設定するためのベストプラクティス
-
CloudFormation にアクセスするためのアクセス許可を必要とする IAM プリンシパルの場合、CloudFormation を運用するためのアクセス許可の必要性と最小特権の原則のバランスを取る必要があります。最小特権の原則に準拠できるように、プリンシパルが以下を実行できるようにする特定のアクションを使用して、IAM プリンシパルのアイデンティティベースを定義することをお勧めします。
-
CloudFormation スタックを作成、更新、削除します。
-
CloudFormation テンプレートで定義されているリソースをデプロイするために必要なアクセス許可を持つ 1 つ以上のサービスロールを渡します。これにより、CloudFormation はサービスロールを引き受け、IAM プリンシパルに代わってスタック内のリソースをプロビジョニングできます。
-
-
特権エスカレーションとは、アクセス権限を持つユーザーがアクセス許可レベルを引き上げ、セキュリティを侵害する能力を指します。最小特権は、特権のエスカレーションを防ぐのに役立つ重要なベストプラクティスです。CloudFormation はポリシーやロールなどの IAM リソースタイプのプロビジョニングをサポートしているため、IAM プリンシパルは CloudFormation を通じて権限を昇格できます。
-
CloudFormation スタックを使用して、権限の高いアクセス許可、ポリシー、または認証情報を持つ IAM プリンシパルをプロビジョニングする – これを防ぐには、アクセス許可ガードレールを使用して IAM プリンシパルのアクセスレベルを制限することをお勧めします。アクセス許可ガードレールは、アイデンティティベースのポリシーが IAM プリンシパルに付与できるアクセス許可の上限を設定します。これにより、意図的および意図しない権限のエスカレーションを防ぐことができます。次のタイプのポリシーをアクセス許可ガードレールとして使用できます。
-
アクセス許可の境界は、アイデンティティベースのポリシーが IAM プリンシパルに付与できるアクセス許可の上限を定義します。詳細については、「IAM エンティティのアクセス許可の境界」を参照してください。
-
では AWS Organizations、サービスコントロールポリシー (SCPs) を使用して、組織レベルで使用可能なアクセス許可の最大数を定義できます。SCPs組織内のアカウントによって管理される IAM ロールとユーザーのみに影響します。SCPs、アカウント、組織単位、または組織ルートにアタッチできます。詳細については、「許可に対する SCP の影響」を参照してください。
-
-
広範なアクセス許可を提供する CloudFormation サービスロールの作成 – これを防ぐには、CloudFormation を使用する IAM プリンシパルのアイデンティティベースのポリシーに次の詳細なアクセス許可を追加することをお勧めします。
-
cloudformation:RoleARN条件キーを使用して、IAM プリンシパルが使用できる CloudFormation サービスロールを制御します。 -
iam:PassRoleアクションは、IAM プリンシパルが渡す必要がある特定の CloudFormation サービスロールに対してのみ許可します。
-
詳細については、このガイドの「CloudFormation サービスロールを使用するためのアクセス許可を IAM プリンシパルに付与する」を参照してください。
-
-
アクセス許可の境界や SCPs、アイデンティティベースまたはリソースベースのポリシーを使用してアクセス許可を付与します。
