安全性最佳做法 CloudFormation

AWS CloudFormation 在您開發和實作自己的安全性原則時，提供許多安全性功能供您考量。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

使用 IAM 控制存取

IAM是可用來管理中使用者及其權限的 AWS 服務 AWS。您可以使用IAM與 CloudFormation 來指定使用者可以執行的 CloudFormation 動作，例如檢視堆疊範本、建立堆疊或刪除堆疊。此外，任何管理 CloudFormation 堆疊的人都需要這些堆疊中資源的權限。例如，如果使用者想要用 CloudFormation 來啟動、更新或終止 Amazon EC2 執行個體，他們必須具有呼叫相關 Amazon EC2 動作的權限。

在大多數情況下，使用者需要完整存取權才能管理範本中的所有資源。 CloudFormation 代表他們進行呼叫，以創建，修改和刪除這些資源。若要分隔使用者與 CloudFormation 服務之間的權限，請使用服務角色。 CloudFormation 使用服務角色的策略來撥打電話，而不是使用者的策略。如需詳細資訊，請參閱 AWS CloudFormation 服務角色。

請勿在您的範本中內嵌憑證

我們建議您在堆疊 CloudFormation 範本中使用動態參考，而不是在範本中嵌入敏感資訊。

動態參考提供了一種精簡且功能強大的方式，可讓您參考在其他服務中儲存和管理的外部值，例如 AWS Systems Manager 參數存放區或 AWS Secrets Manager。當您使用動態參考時，在堆疊和變更集合作業期間必要時 CloudFormation擷取指定參照的值，並將該值傳遞給適當的資源。但是， CloudFormation永遠不要存儲實際的參考值。如需詳細資訊，請參閱 使用動態參照指定儲存在其他服務中的值。

AWS Secrets Manager 協助您安全地加密、儲存和擷取資料庫和其他服務的憑證。AWS Systems Manager 參數存放區提供安全的階層式儲存，以管理組態資料。

如需定義範本參數的詳細資訊，請參閱Parameters。

用 AWS CloudTrail 於記錄 CloudFormation 通話

AWS CloudTrail 跟踪任何人在您的 AWS 帳戶. CloudFormation API API每當任何人使用、控制台 CloudFormation API、後端 CloudFormation 控制台或 CloudFormation AWS CLI 命令時，呼叫都會記錄。啟用記錄，然後指定 Amazon S3 儲存貯體來存放日誌。這樣，如果您需要，您可以審核誰在您的帳戶中 CloudFormation撥打了什麼電話。如需更多詳細資訊，請參閱 記錄 AWS CloudFormation API呼叫 AWS CloudTrail。