實作最低權限權限的原則 AWS CloudFormation

尼瑪佛圖日和穆米塔薩哈，Amazon Web Services（）AWS

2023 年 5 月 (文件歷史記錄)

AWS CloudFormation是一種基礎結構即程式碼 (IaC) 服務，可協助您透過佈建 AWS 資源來擴展雲端基礎架構開發。它還可以幫助您在整個資源的生命週期中管理這些資源，橫跨 AWS 帳戶 和 AWS 區域. 在中 CloudFormation，您可以定義範本，做為一組資源的藍圖。然後，您可以建立和部署堆疊來佈建這些資源，堆疊是您以單一單元進行管理的一組相關資源。您也可以使用 CloudFormation 來部署堆疊集，堆疊集是一組堆疊，您可以透過單一作業跨多個帳戶建立、更新和 AWS 區域 刪除。本指南提供如何為佈建的資源實作最低權限權限 AWS CloudFormation 的概觀。 CloudFormation

您可以執行下列其中一項作業來部署 CloudFormation 堆疊或堆疊集：

• 透過 AWS Identity and Access Management (IAM) 主體直接存取 AWS 環境並部署 CloudFormation 堆疊。

• 在部署管線中推送堆 CloudFormation 疊，並透過管線啟動堆疊部署。管線會透過 IAM 主體存取 AWS 環境，並部署堆疊。此方法是建議的最佳作法。

對於這些方法中的任何一種，部署 CloudFormation 堆疊都需要權限。例如，假設計劃用 CloudFormation 來建立 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的使用者。該執行個體需要 IAM 執行個體設定檔來存取其他執行個體 AWS 服務。用於部署 CloudFormation 堆疊的 IAM 主體需要下列許可：

• 存取權限 CloudFormation

• 在中建立堆疊的權限 CloudFormation

• 在 Amazon EC2 中創建實例的許可

• 建立所需 IAM 執行個體設定檔的許可

什麼是最小特權？

最低權限是授予執行任務所需的最低許可的安全最佳實務。最低權限原則是 AWS Well-Architected 架構中安全性支柱的一部分。當您實作此最佳作法時，它可以協助保護您的 AWS 環境免於遭受權限提升風險、減少攻擊面、改善資料安全性，以及防止使用者發生錯誤 (例如錯誤設定或刪除資源)。

若要為 AWS 資源實作最低權限，您可以在 AWS Identity and Access Management (IAM) 中設定政策，例如以身分為基礎的政策。這些原則會定義權限並指定存取條件。Organizations 可能會從 AWS 受管理的原則開始，但通常會建立自訂原則，將權限範圍限制為只有工作負載或使用案例所需的動作。

CloudFormation 服務的最低權限權限是一項重要的安全考量。由於與之互動的使用者和開發人員 CloudFormation 可以大規模快速建立、修改或刪除資源，因此最低權限尤其重要。但是， CloudFormation 需要具備建立、更新和修改 AWS 帳戶. 您必須平衡使 CloudFormation 用最小權限原則來操作權限的需求。

將最小權限原則套用至時 CloudFormation，您需要考慮下列事項：

• CloudFormation 服務的權限 — 哪些使用者需要存取權 CloudFormation、他們需要什麼層級的存取權，以及他們可以採取哪些動作來建立、更新或刪除堆疊？

• 佈建資源的權限 — 使用者可以透過哪些資源佈建 CloudFormation？

• 已佈建資源的權限 — 您如何為透過佈建的資源配置最低權限權限？ CloudFormation

目標業務成果

遵循本指南中的最佳做法和建議，您可以：

• 判斷組織中的哪些使用者需要存取權 CloudFormation，然後為這些使用者設定最低權限權限。

• 使用堆疊原則可協助保護 CloudFormation 堆疊不受意外更新的影響。

• 為 CloudFormation 使用者和資源配置最低權限，以防止權限提升和混淆的副問題。

• 用 AWS CloudFormation 於佈建具有最低權限權限的 AWS 資源。這有助於您的組織維持更穩健的安全狀態。

• 主動減少調查和減輕安全事件所需的時間、精力和金錢。

目標對象

本指南適用 CloudFormation於使用管理和佈建資源的雲端基礎架構設計 DevOps 師、工程師和站台可靠性工程師 (SRE)。