Configurando permissões de privilégio mínimo a serem usadas CloudFormation - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando permissões de privilégio mínimo a serem usadas CloudFormation

Este capítulo analisa as opções para configurar as permissões para acessar e usar o AWS CloudFormation serviço.

Quando um usuário ou serviço provisiona AWS recursos CloudFormation, a primeira etapa é fazer uma chamada para o CloudFormation serviço por meio de um diretor AWS Identity and Access Management (IAM). Esse diretor do IAM deve ter permissões para criar as CloudFormation pilhas. Em seguida, o diretor do IAM usa uma das seguintes abordagens para provisionar recursos por meio de CloudFormation:

  • Se o diretor do IAM não passar as operações da pilha para uma função de CloudFormation serviço, CloudFormation usa as credenciais do diretor do IAM para realizar as operações da pilha. Esse é o padrão. Portanto, além das permissões para realizar as operações de CloudFormation pilha, o diretor do IAM também precisa de permissões para provisionar os recursos definidos nos CloudFormation modelos que eles usarão. Por exemplo, se o diretor do IAM não tiver permissões para criar instâncias do Amazon Elastic Compute Cloud (Amazon EC2), ele não poderá criar uma CloudFormation pilha que provisionaria uma instância da Amazon EC2 .

  • Se o diretor do IAM passar as operações da pilha para uma função de CloudFormation serviço, CloudFormation usará a função de serviço para realizar as operações da pilha e provisionar os recursos no CloudFormation modelo. Essa função CloudFormation de serviço deve ser definida com permissões para Serviços da AWS provisioná-la em nome do diretor do IAM. Essa abordagem evita dar permissões diretas ao diretor do IAM para provisionar os AWS recursos definidos nos CloudFormation modelos. O diretor do IAM precisa de permissões de criação da CloudFormation pilha e CloudFormation usa a política da função de serviço para fazer chamadas em vez da política do diretor do IAM.

Usando a abordagem da função de serviço e o princípio do privilégio mínimo, você pode padronizar o provisionamento de recursos em seu AWS ambiente e exigir que os usuários provisionem recursos de acordo com a IaC. CloudFormation Como as políticas anexadas aos diretores do IAM não contêm permissões para provisionar AWS recursos diretamente, os usuários devem usá-las CloudFormation para provisioná-las.

Este capítulo analisa os seguintes mecanismos para configurar e gerenciar o acesso ao CloudFormation serviço e às CloudFormation pilhas:

  • Políticas baseadas em identidade para o CloudFormation— Use esse tipo de política para configurar quais diretores do IAM podem acessar CloudFormation e quais ações eles podem realizar. CloudFormation

  • Funções de serviço para CloudFormation— Crie uma função de serviço que permita CloudFormation criar, atualizar ou excluir recursos da pilha em nome do diretor do IAM que implanta a pilha. A função de serviço é criada no IAM e pode ser associada a uma ou mais pilhas.

  • CloudFormation políticas de pilha— Use esse tipo de política para determinar quando uma pilha pode ser atualizada. Esse tipo de política pode ajudar a evitar que os recursos da pilha sejam atualizados ou excluídos acidentalmente. As políticas de pilha são criadas e associadas às pilhas em. CloudFormation