次のステップ

このガイドの情報と例を使用して、組織で最小特権の原則の適用を開始できます。リソース 「」セクションの追加リソースを確認することをお勧めします。これには、ポリシーの絞り込みに役立つドキュメントリファレンスとツールが含まれています。

このガイドは、最小特権アクセスの実装を開始するのに役立つことを目的としています AWS CloudFormation。ただし、組織内の最小特権の原則を強化するのに役立つ追加のタイプのポリシーがあります。環境とビジネス要件に基づいて、このガイドで説明されていない追加のコントロールを実装できます。次のステップとして、また詳細については、最小特権とアクセスとアクセス許可の設定に関連する以下のトピックを確認することをお勧めします。

• IAM エンティティのアクセス許可境界

• サービスコントロールポリシー (SCP)

• クロスアカウントアクセスのロール

• ID フェデレーション

• IAM の最終アクセス時間情報の表示

以下のツールは、CloudFormation の最小特権アクセスとアクセス許可をモニタリングするのに役立ちます。

• AWS Identity and Access Management Access Analyzer

• AWS Identity and Access Management (IAM) コンソールの Access Advisor タブを使用して、IAM ID に対する過剰なアクセス許可を特定できます。例については、S3 アクションのアクセス履歴を使用して IAM ユーザーとロールの S3 アクセス許可を強化する」（AWS ブログ記事) を参照してください。

• cfn-policy-validator (GitHub) などのリンティングツールを使用して、過剰なアクセス許可を特定できます。

CloudFormation アクセス許可の作成と管理に慣れている場合は、継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインを使用して CloudFormation テンプレートをデプロイすることをお勧めします。これにより、人為的ミスのリスクが軽減され、デプロイプロセスが高速化されます。