Melhores práticas de segurança do AWS CloudFormation - AWS CloudFormation

Melhores práticas de segurança do AWS CloudFormation

O AWS CloudFormation fornece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis em vez de requisitos.

Usar o IAM para controlar o acesso

O IAM é um produto da AWS que você pode usar para gerenciar usuários e suas respectivas permissões na AWS. Você pode usar o IAM com o AWS CloudFormation para especificar quais ações do AWS CloudFormation os usuários podem executar, como visualizar os modelos de pilha, criar pilhas ou excluir pilhas. Além disso, qualquer pessoa que gerencie as pilhas do AWS CloudFormation precisará de permissões para os recursos dentro dessas pilhas. Por exemplo, se os usuários quiserem usar o AWS CloudFormation para executar, atualizar ou encerrar instâncias do Amazon EC2, precisam ter permissão para chamar as ações do Amazon EC2 relevantes.

Na maioria dos casos, os usuários precisam de acesso total para gerenciar todos os recursos em um modelo. O AWS CloudFormation faz chamadas para criar, modificar e excluir esses recursos em nome deles. Para permissões separadas entre um usuário e o serviço do AWS CloudFormation, use uma função de serviço. O AWS CloudFormation usa a política da função de serviço para fazer chamadas em vez da política do usuário. Para mais informações, consulte Função de serviço do AWS CloudFormation.

Não incorporar credenciais em seus modelos

Em vez de incorporar informações confidenciais nos modelos do AWS CloudFormation, é recomendável usar referências dinâmicas no modelo de pilha.

As referências dinâmicas fornecem uma maneira compacta e avançada para você fazer referência a valores externos que são armazenados e gerenciados em outros serviços, como o Repositório de parâmetros do AWS Systems Manager ou o AWS Secrets Manager. Quando você usa uma referência dinâmica, o CloudFormation recupera o valor da referência especificada, se necessário, durante operações de pilha e conjunto de alterações e passa o valor para o recurso apropriado. No entanto, o CloudFormation nunca armazena o valor de referência real. Para obter mais informações, consulte Uso de referências dinâmicas para especificar valores de modelo.

O AWS Secrets Manager ajuda você a criptografar, armazenar e recuperar credenciais com segurança para bancos de dados e outros serviços. O AWS repositório de parâmetros do Systems Manager fornece armazenamento hierárquico seguro para o gerenciamento de dados de configuração.

Para obter mais informações sobre a definição de parâmetros do modelo, consulte Parâmetros.

Usar o AWS CloudTrail para registrar chamadas do AWS CloudFormation

O AWS CloudTrail rastreia qualquer pessoa que faça chamadas à API do AWS CloudFormation na sua conta da AWS. As chamadas à API são registradas em log sempre que alguém usa a API do AWS CloudFormation, o console do AWS CloudFormation, um console de back-end ou comandos da AWS CLI do AWS CloudFormation. Ative o registro em log e especifique um bucket do Amazon S3 para armazenar os logs. Dessa forma, se você precisar, poderá auditar quem fez qual chamada do AWS CloudFormation em sua conta. Para mais informações, consulte Registrar em log chamadas da API do AWS CloudFormation com o AWS CloudTrail.