Práticas recomendadas para permissões com privilégios mínimos para AWS CloudFormation - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para permissões com privilégios mínimos para AWS CloudFormation

Este guia analisa diferentes abordagens e alguns tipos de políticas que você pode usar para configurar o acesso com privilégios mínimos AWS CloudFormation e os recursos provisionados por meio deles. CloudFormation Este guia se concentra na configuração do acesso CloudFormation por meio de diretores, funções de serviço e políticas de pilha do IAM. As recomendações e as melhores práticas incluídas foram criadas para ajudar a proteger suas contas e acumular recursos contra ações não intencionais de usuários autorizados e de pessoas mal-intencionadas que possam explorar permissões excessivas.

Veja a seguir um resumo das melhores práticas explicadas neste guia. Essas melhores práticas podem ajudá-lo a aderir ao princípio do privilégio mínimo ao configurar permissões de uso CloudFormation e recursos provisionados por meio de: CloudFormation

  • Determine o nível de acesso que os usuários e as equipes precisam para usar o CloudFormation serviço e conceda somente o acesso mínimo necessário. Por exemplo, conceda acesso de visualização a estagiários e auditores e não permita que esses tipos de usuários criem, atualizem ou excluam pilhas.

  • Para diretores do IAM que precisam provisionar vários tipos de AWS recursos por meio de CloudFormation pilhas, considere usar funções de serviço CloudFormation para permitir o provisionamento de recursos em nome do diretor, em vez de configurar o acesso às políticas baseadas Serviços da AWS em identidade do diretor.

  • Nas políticas baseadas em identidade para diretores do IAM, use a chave de cloudformation:RoleARN condição para controlar quais funções de CloudFormation serviço podem ser passadas.

  • Para ajudar a evitar o aumento de privilégios, faça o seguinte:

    • Monitore rigorosamente todos os diretores do IAM que têm acesso ao CloudFormation serviço e os níveis de acesso que eles têm.

    • Monitore rigorosamente quais usuários podem acessar esses diretores do IAM.

    • Monitore a atividade dos diretores do IAM que podem passar uma função de serviço privilegiada para o. CloudFormation Embora eles possam não ter permissões para criar recursos do IAM por meio de sua política baseada em identidade, a função de serviço que eles podem transmitir pode criar recursos do IAM.

  • Especifique uma política de pilha sempre que criar uma pilha com recursos críticos. Isso pode ajudar a proteger os recursos essenciais da pilha contra atualizações não intencionais que podem fazer com que esses recursos sejam interrompidos ou substituídos.

  • Para recursos provisionados por meio de CloudFormation, consulte as recomendações de gerenciamento de acesso e as melhores práticas de segurança para esse serviço.

  • Para complementar as recomendações deste guia para políticas baseadas em identidade e políticas baseadas em recursos, considere a implementação de controles de segurança adicionais para permissões de privilégios mínimos, como políticas de controle de serviço () e limites de permissões. SCPs Para obter mais informações, consulte Próximas etapas.

A CloudFormation documentação contém práticas recomendadas e práticas recomendadas de segurança adicionais que podem ajudar você a usar com CloudFormation mais eficiência e segurança. Além disso, consulte Melhores práticas para configurar políticas baseadas em identidade para acesso com privilégios mínimos CloudFormation neste guia.