에 대한 최소 권한 권한 모범 사례 AWS CloudFormation - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 최소 권한 권한 모범 사례 AWS CloudFormation

이 안내서에서는 CloudFormation을 통해 프로비저닝된 리소스 및에 대한 최소 권한 액세스를 구성하는 데 사용할 수 있는 다양한 접근 방식 AWS CloudFormation 과 몇 가지 유형의 정책을 검토합니다. 이 가이드는 IAM 보안 주체, 서비스 역할 및 스택 정책을 통해 CloudFormation에 대한 액세스를 구성하는 데 중점을 둡니다. 포함된 권장 사항 및 모범 사례는 권한 있는 사용자의 의도하지 않은 행동과 과도한 권한을 악용할 수 있는 악의적인 행위자로부터 계정 및 스택 리소스를 보호하는 데 도움이 되도록 설계되었습니다.

다음은이 가이드에서 설명하는 모범 사례의 요약입니다. 이러한 모범 사례는 CloudFormation 및 CloudFormation을 통해 CloudFormation

  • CloudFormation 서비스를 사용하는 데 필요한 액세스 수준을 결정하고 필요한 최소 액세스 권한만 부여합니다. 예를 들어 인턴 및 감사자에게 뷰 액세스 권한을 부여하고 이러한 유형의 사용자가 스택을 생성, 업데이트 또는 삭제하도록 허용하지 않습니다.

  • CloudFormation 스택을 통해 여러 유형의 AWS 리소스를 프로비저닝해야 하는 IAM 보안 주체의 경우, CloudFormation이 보안 주체의 자격 증명 기반 정책에 AWS 서비스 있는 리소스에 대한 액세스를 구성하는 대신 서비스 역할을 사용하여 보안 주체를 대신하여 리소스를 프로비저닝할 수 있도록 하는 것이 좋습니다.

  • IAM 보안 주체에 대한 자격 증명 기반 정책에서 cloudformation:RoleARN 조건 키를 사용하여 전달할 수 있는 CloudFormation 서비스 역할을 제어합니다.

  • 권한 에스컬레이션을 방지하려면 다음을 수행합니다.

    • CloudFormation 서비스에 액세스할 수 있는 모든 IAM 보안 주체와 액세스 수준을 엄격하게 모니터링합니다.

    • 이러한 IAM 보안 주체에 액세스할 수 있는 사용자를 엄격하게 모니터링합니다.

    • CloudFormation에 권한 있는 서비스 역할을 전달할 수 있는 IAM 보안 주체의 활동을 모니터링합니다. 자격 증명 기반 정책을 통해 IAM 리소스를 생성할 권한이 없을 수 있지만 전달할 수 있는 서비스 역할은 IAM 리소스를 생성할 수 있습니다.

  • 중요 리소스가 있는 스택을 생성할 때마다 스택 정책을 지정합니다. 이렇게 하면 중요한 스택 리소스가 중단되거나 교체될 수 있는 의도하지 않은 업데이트로부터 보호할 수 있습니다.

  • CloudFormation을 통해 프로비저닝된 리소스는 해당 서비스의 액세스 관리 권장 사항 및 보안 모범 사례를 참조하세요.

  • 자격 증명 기반 정책 및 리소스 기반 정책에 대한이 가이드의 권장 사항을 보완하려면 서비스 제어 정책(SCPs 것이 좋습니다. 자세한 내용은 다음 단계 단원을 참조하십시오.

CloudFormation 설명서에는 CloudFormation을 보다 효과적이고 안전하게 사용하는 데 도움이 되는 추가 모범 사례보안 모범 사례가 포함되어 있습니다. 또한이 가이드최소 권한 CloudFormation 액세스를 위한 자격 증명 기반 정책 구성 모범 사례의 섹션을 참조하세요.