Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Sicherheitsverfahren für CloudFormation

CloudFormation enthält eine Reihe von Sicherheitsfeatures, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

Verwendung von IAM für die Zugriffskontrolle

IAM ist ein AWS-Service, mit dem Sie Benutzer und deren Berechtigungen in AWS verwalten können. Sie können IAM mit CloudFormation verwenden, um festzulegen, welche CloudFormation-Aktionen Benutzer durchführen können, wie beispielsweise das Anzeigen von Stapelvorlagen, das Erstellen von Stapeln oder das Löschen von Stapeln. Außerdem benötigt jeder, der CloudFormation-Stacks verwaltet, Berechtigungen für die Ressourcen innerhalb dieser Stacks. Wenn Benutzer CloudFormation beispielsweise zum Starten, Aktualisieren oder Beenden von Amazon EC2-Instances verwenden möchten, müssen sie über die Berechtigung zum Aufrufen der entsprechenden Amazon EC2-Aktionen verfügen.

In den meisten Fällen benötigen Benutzer vollen Zugriff, um alle Ressourcen in einer Vorlage zu verwalten. CloudFormation ruft diese Ressourcen in ihrem Namen auf, um sie zu erstellen, zu ändern und zu löschen. Um die Berechtigungen zwischen einem Benutzer und dem CloudFormation-Dienst zu trennen, verwenden Sie eine Dienstrolle. CloudFormation verwendet die Richtlinie der Service-Rolle, um Anrufe zu tätigen, und nicht die Richtlinie des Benutzers. Weitere Informationen finden Sie unter CloudFormation-Servicerolle.

Keine Anmeldeinformationen in Vorlagen einbetten

Anstatt sensible Informationen in Ihre CloudFormation-Vorlagen einzubetten, empfehlen wir Ihnen die Verwendung von dynamischen Referenzen in Ihrer Stack-Vorlage.

Dynamische Referenzen bieten eine kompakte und leistungsstarke Möglichkeit, externe Werte zu referenzieren, die in anderen Services wie AWS Systems Manager Parameter Store oder AWS Secrets Manager gespeichert sind und verwaltet werden. Wenn Sie eine dynamische Referenz verwenden, ruft CloudFormation bei Bedarf den Wert der angegebenen Referenz in Stack- und Änderungssatz-Operationen ab und übergibt den Wert an die betreffende Ressource. CloudFormation speichert jedoch nie den tatsächlichen Referenzwert. Weitere Informationen finden Sie unter Abrufen von in anderen Diensten gespeicherten Werten mit Hilfe von dynamischen Referenzen.

AWS Secrets Manager hilft Ihnen, die Anmeldeinformationen für Ihre Datenbanken und Services sicher zu verschlüsseln, zu speichern und wieder abzurufen. Der AWS Systems Manager Parameter Store ermöglicht eine sichere, hierarchische Speicherung für die Konfigurationsdatenverwaltung.

Für weitere Informationen zum Definieren von Vorlagenparametern siehe CloudFormation Vorlage Parameters-Syntax.

Verwenden Sie AWS CloudTrail, um CloudFormation-Aufrufe zu protokollieren.

AWS CloudTrail verfolgt jeden, der CloudFormation API-Aufrufe in Ihrem AWS-Kontomacht. API-Aufrufe werden immer dann protokolliert, wenn jemand die CloudFormation-API, die CloudFormation-Konsole, eine Back-End-Konsole oder CloudFormation AWS CLI-Befehle verwendet. Aktivieren Sie die Protokollierung und legen Sie einen Amazon-S3-Bucket zum Speichern der Protokolle fest. Auf diese Weise können Sie bei Bedarf überprüfen, wer welchen CloudFormation-Aufruf in Ihrem Konto vorgenommen hat. Weitere Informationen finden Sie unter Protokollierung von CloudFormation-API-Aufrufen mit AWS CloudTrail.