Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas para los permisos con privilegios mínimos para AWS CloudFormation
En esta guía, se analizan diferentes enfoques y algunos tipos de políticas que puede utilizar para configurar el acceso con privilegios mínimos AWS CloudFormation y los recursos aprovisionados a través de ellos. CloudFormation Esta guía se centra en configurar el acceso a CloudFormation través de los principios, las funciones de servicio y las políticas de pila de IAM. Las recomendaciones y las prácticas recomendadas que se incluyen están diseñadas para ayudar a proteger las cuentas y acumular los recursos contra acciones no intencionadas por parte de los usuarios autorizados y contra personas malintencionadas que podrían aprovechar los permisos excesivos.
A continuación, se muestra un resumen de las prácticas recomendadas que se explican en esta guía. Estas prácticas recomendadas pueden ayudarle a cumplir con el principio de privilegios mínimos a la hora de configurar los permisos de uso CloudFormation y los recursos aprovisionados mediante: CloudFormation
-
Determine qué nivel de acceso necesitan los usuarios y los equipos para usar el CloudFormation servicio y conceda solo el acceso mínimo requerido. Por ejemplo, conceda acceso de visualización a los pasantes y auditores y no permita que este tipo de usuarios creen, actualicen o eliminen las pilas.
-
En el caso de los directores de IAM que necesiten aprovisionar varios tipos de AWS recursos mediante CloudFormation pilas, considere la posibilidad de utilizar funciones de servicio para poder aprovisionar los recursos en nombre del director, en lugar de configurar el acceso a los que figuran Servicios de AWS en las políticas basadas en la identidad del director. CloudFormation
-
En las políticas basadas en la identidad para los directores de IAM, utilice la clave de
cloudformation:RoleARNcondición para controlar qué funciones de servicio pueden transferirse. CloudFormation -
Para evitar el escalado de privilegios, haga lo siguiente:
-
Supervise estrictamente a todos los directores de IAM que tienen acceso al CloudFormation servicio y sus niveles de acceso.
-
Supervise de manera estricta qué usuarios pueden acceder a estas entidades principales de IAM.
-
Supervise la actividad de los directores de IAM a los que se les puede transferir una función de servicio privilegiada. CloudFormation Si bien es posible que no tengan permisos para crear recursos de IAM a través de su política basada en identidades, el rol de servicio que puedan transferir podría crear recursos de IAM.
-
-
Especifique una política de pilas cada vez que cree una pila que tenga recursos de vital importancia. De este modo, se pueden proteger los recursos de pila críticos contra las actualizaciones involuntarias que podrían interrumpir esos recursos o sustituirlos.
-
Para obtener información sobre los recursos aprovisionados a través de él CloudFormation, consulte las recomendaciones de administración de acceso y las mejores prácticas de seguridad para ese servicio.
-
Para complementar las recomendaciones de esta guía sobre las políticas basadas en la identidad y las políticas basadas en los recursos, considere la posibilidad de implementar controles de seguridad adicionales para los permisos con privilegios mínimos, como las políticas de control de servicios () y los límites de los permisos. SCPs Para obtener más información, consulte Pasos a seguir a continuación.
La CloudFormation documentación contiene prácticas recomendadas y prácticas recomendadas de seguridad adicionales que pueden ayudarle a utilizarlas de forma más eficaz y segura. CloudFormation Además, consulte Prácticas recomendadas para configurar políticas basadas en la identidad para el acceso con los privilegios mínimos CloudFormation en esta guía.
