本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
針對最低權限的 CloudFormation 存取設定身分型政策的最佳實務
-
對於需要存取 CloudFormation 許可的 IAM 主體,您必須平衡操作 CloudFormation 的許可需求與最低權限原則。為了協助您遵守最低權限原則,建議您使用允許主體執行下列動作的特定動作來定義 IAM 主體的身分型:
-
建立、更新和刪除 CloudFormation 堆疊。
-
傳遞具有部署 CloudFormation 範本中定義資源所需許可的一或多個服務角色。這可讓 CloudFormation 擔任服務角色,並代表 IAM 主體在堆疊中佈建資源。
-
-
權限提升是指具有存取權的使用者提升其許可層級並危及安全性的能力。最低權限是可協助防止權限提升的重要最佳實務。由於 CloudFormation 支援佈建 IAM 資源類型,例如政策和角色,IAM 主體可以透過 CloudFormation 提升其權限:
-
使用 CloudFormation 堆疊來佈建具有高權限許可、政策或憑證的 IAM 主體 – 為了協助防止這種情況,建議使用許可防護機制來限制 IAM 主體的存取層級。許可護欄會設定身分型政策可授予 IAM 主體的最大許可。這有助於防止有意和無意的權限提升。您可以使用下列類型的政策做為許可護欄:
-
許可界限定義身分型政策可授予 IAM 主體的最大許可。如需詳細資訊,請參閱 IAM 實體的許可界限。
-
在 中 AWS Organizations,您可以使用服務控制政策 SCPs) 來定義組織層級的最大可用許可。SCPs 只會影響由組織中帳戶管理的 IAM 角色和使用者。您可以將 SCPs連接到帳戶、組織單位或組織根目錄。如需詳細資訊,請參閱 SCP 對許可的影響。
-
-
建立提供廣泛許可的 CloudFormation 服務角色 – 為了協助防止這種情況,建議您為將使用 CloudFormation 的 IAM 主體,將下列精細許可新增至身分型政策:
-
使用
cloudformation:RoleARN條件金鑰來控制 IAM 主體可以使用的 CloudFormation 服務角色。 -
僅允許 IAM 主體需要傳遞的特定 CloudFormation 服務角色執行
iam:PassRole動作。
-
如需詳細資訊,請參閱本指南中的 授予 IAM 主體使用 CloudFormation 服務角色的許可。
-
-
使用許可防護機制來限制許可,例如許可界限和 SCPs,並使用身分型或資源型政策來授予許可。
