Melhores práticas para configurar políticas baseadas em identidade para acesso com privilégios mínimos CloudFormation - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Melhores práticas para configurar políticas baseadas em identidade para acesso com privilégios mínimos CloudFormation

  • Para diretores do IAM que precisam de permissões de acesso CloudFormation, você deve equilibrar a necessidade de permissões para operar CloudFormation com o princípio do menor privilégio. Para ajudá-lo a aderir ao princípio do menor privilégio, recomendamos que você defina a identidade do diretor do IAM com base em ações específicas que permitam que o diretor faça o seguinte:

    • Crie, atualize e exclua uma CloudFormation pilha.

    • Passe uma ou mais funções de serviço que tenham as permissões necessárias para implantar os recursos definidos nos CloudFormation modelos. Isso permite assumir CloudFormation a função de serviço e provisionar os recursos na pilha em nome do diretor do IAM.

  • O escalonamento de privilégios se refere à capacidade de um usuário com acesso elevar seus níveis de permissão e comprometer a segurança. O privilégio mínimo é uma prática recomendada importante que pode ajudar a evitar o aumento de privilégios. Como CloudFormation oferece suporte ao provisionamento de tipos de recursos do IAM, como políticas e funções, um diretor do IAM pode escalar seus privilégios da seguinte forma: CloudFormation

    • Usar uma CloudFormation pilha para provisionar um diretor do IAM com permissões, políticas ou credenciais altamente privilegiadas — Para ajudar a evitar isso, recomendamos o uso de proteções de permissão para restringir o nível de acesso dos diretores do IAM. As grades de proteção de permissão definem o máximo de permissões que uma política baseada em identidade pode conceder a um diretor do IAM. Isso ajuda a evitar o aumento intencional e não intencional de privilégios. Você pode usar os seguintes tipos de políticas como proteções de permissões:

      • Os limites de permissões definem o máximo de permissões que uma política baseada em identidade pode conceder a um diretor do IAM. Para obter mais informações, consulte Limites de permissões para entidades do IAM.

      • Em AWS Organizations, você pode usar políticas de controle de serviço (SCPs) para definir o máximo de permissões disponíveis em um nível organizacional. SCPs afetam somente funções e usuários do IAM que são gerenciados por contas na organização. Você pode SCPs anexar a contas, unidades organizacionais ou à raiz organizacional. Para obter mais informações, consulte Efeitos do SCP sobre as permissões.

    • Criação CloudFormation de uma função de serviço que ofereça permissões abrangentes — Para ajudar a evitar isso, recomendamos que você adicione as seguintes permissões refinadas às políticas baseadas em identidade para diretores do IAM que usarão: CloudFormation

      • Use a chave de cloudformation:RoleARN condição para controlar quais funções CloudFormation de serviço o diretor do IAM pode usar.

      • Permita a iam:PassRole ação somente para as funções CloudFormation de serviço específicas que o diretor do IAM precisa passar.

    Para obter mais informações, consulte Conceder permissões principais ao IAM para usar uma função de CloudFormation serviço neste guia.

  • Restrinja as permissões usando proteções de permissões, como limites de permissões e SCPs, e conceda permissões usando uma política baseada em identidade ou em recursos.