的最低權限許可最佳實務 AWS CloudFormation

本指南會檢閱不同的方法和某些類型的政策，您可以使用這些政策來設定透過 CloudFormation 佈建之最低權限存取 AWS CloudFormation 和資源。本指南著重於透過 IAM 主體、服務角色和堆疊政策設定對 CloudFormation 的存取。包含的建議和最佳實務旨在協助保護您的帳戶和堆疊資源，使其免受授權使用者和可能利用過多許可的不良行為者所採取的意外動作影響。

以下是本指南中說明的最佳實務摘要。這些最佳實務可協助您在設定許可以使用 CloudFormation 和透過 CloudFormation 佈建的資源時，遵守最低權限原則：

• 判斷使用者和團隊需要使用 CloudFormation 服務的存取層級，並僅授予所需的最低存取。例如，將檢視存取權授予實習生和稽核員，不允許這些類型的使用者建立、更新或刪除堆疊。

• 對於需要透過 CloudFormation 堆疊佈建多種 AWS 資源類型的 IAM 委託人，請考慮使用服務角色來允許 CloudFormation 代表委託人佈建資源，而不是設定對委託人身分型政策 AWS 服務 中資源的存取。

• 在 IAM 主體的身分型政策中，使用 cloudformation:RoleARN 條件索引鍵來控制哪些 CloudFormation 服務角色可以傳遞。

• 為了協助防止權限提升，請執行下列動作：

  • 嚴格監控可存取 CloudFormation 服務的所有 IAM 主體及其擁有的存取層級。

  • 嚴格監控哪些使用者可以存取這些 IAM 主體。

  • 監控可將特殊權限服務角色傳遞給 CloudFormation 的 IAM 主體活動。雖然他們可能沒有透過身分型政策建立 IAM 資源的許可，但可以傳遞的服務角色可以建立 IAM 資源。

• 每當您建立具有重要資源的堆疊時，請指定堆疊政策。這有助於保護關鍵堆疊資源免於發生可能導致這些資源中斷或取代的意外更新。

• 如需透過 CloudFormation 佈建的資源，請參閱該服務的存取管理建議和安全性最佳實務。

• 若要補充本指南中有關身分型政策和資源型政策的建議，請考慮針對最低權限許可實作其他安全控制，例如服務控制政策 SCPs) 和許可界限。如需詳細資訊，請參閱後續步驟。

CloudFormation 文件包含其他最佳實務和安全最佳實務，可協助您更有效安全地使用 CloudFormation。此外，請參閱本指南針對最低權限的 CloudFormation 存取設定身分型政策的最佳實務中的 。