の最小特権アクセス許可のベストプラクティス AWS CloudFormation

このガイドでは、CloudFormation を通じてプロビジョニングされた およびリソースへの最小特権アクセスを設定するために使用できるさまざまなアプローチ AWS CloudFormation といくつかのタイプのポリシーについて説明します。このガイドでは、IAM プリンシパル、サービスロール、スタックポリシーを使用して CloudFormation へのアクセスを設定することに焦点を当てています。含まれている推奨事項とベストプラクティスは、承認されたユーザーによる意図しないアクションや、過剰なアクセス許可を悪用する可能性のある悪意のある行為からアカウントとスタックリソースを保護するように設計されています。

このガイドで説明されているベストプラクティスの概要を次に示します。これらのベストプラクティスは、CloudFormation および CloudFormation を介してプロビジョニングされたリソースを使用するアクセス許可を設定するときに、最小特権の原則に従うのに役立ちます CloudFormation 。

• CloudFormation サービスを使用するために必要なアクセスレベルを決定し、必要な最小限のアクセスのみを付与します。例えば、インターンと監査人にビューアクセスを許可し、これらのタイプのユーザーにスタックの作成、更新、削除を許可しません。

• CloudFormation スタックを介して複数のタイプの AWS リソースをプロビジョニングする必要がある IAM プリンシパルの場合、プリンシパルのアイデンティティベースのポリシー AWS のサービス でリソースへのアクセスを設定する代わりに、サービスロールを使用して CloudFormation がプリンシパルに代わってリソースをプロビジョニングできるようにすることを検討してください。

• IAM プリンシパルのアイデンティティベースのポリシーでは、 cloudformation:RoleARN条件キーを使用して、渡すことができる CloudFormation サービスロールを制御します。

• 権限のエスカレーションを防ぐには、以下を実行します。

  • CloudFormation サービスにアクセスできるすべての IAM プリンシパルとそのアクセスレベルを厳密にモニタリングします。

  • これらの IAM プリンシパルにアクセスできるユーザーを厳密にモニタリングします。

  • 特権サービスロールを CloudFormation に渡すことができる IAM プリンシパルのアクティビティをモニタリングします。ID ベースのポリシーを使用して IAM リソースを作成するアクセス許可がない場合がありますが、渡すことができるサービスロールによって IAM リソースが作成される可能性があります。

• 重要なリソースがあるスタックを作成するときは常に、スタックポリシーを指定してください。これにより、重要なスタックリソースが中断または置き換えられる可能性のある意図しない更新から重要なスタックリソースを保護することができます。

• CloudFormation を通じてプロビジョニングされるリソースについては、そのサービスのアクセス管理の推奨事項とセキュリティのベストプラクティスを参照してください。

• アイデンティティベースのポリシーとリソースベースのポリシーに関するこのガイドの推奨事項を補完するには、サービスコントロールポリシー (SCPs) やアクセス許可の境界など、最小特権のアクセス許可に対する追加のセキュリティコントロールを実装することを検討してください。詳細については、「次のステップ」を参照してください。

CloudFormation ドキュメントには、CloudFormation をより効果的かつ安全に使用するのに役立つ追加のベストプラクティスとセキュリティのベストプラクティスが含まれています。さらに、このガイド最小特権の CloudFormation アクセス用にアイデンティティベースのポリシーを設定するためのベストプラクティスの「」を参照してください。