Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Implementación de políticas para los permisos con privilegios mínimos para AWS CloudFormation
Nima Fotouhi y Moumita Saha, Amazon Web Services (AWS)
mayo de 2023 (historial de documentos)
AWS CloudFormation es un servicio de infraestructura como código (IaC) que es útil para escalar el desarrollo de la infraestructura en la nube mediante el aprovisionamiento de recursos de AWS. También es útil para administrar esos recursos a lo largo de su ciclo de vida, en Cuentas de AWS y Regiones de AWS. En CloudFormation, se definen las plantillas, que actúan como esquema para un conjunto de recursos. Luego, se aprovisionan esos recursos al crear e implementar una pila, que es un grupo de recursos relacionados que se administran como una sola unidad. También puede utilizar CloudFormation para implementar los conjuntos de pilas, que son grupos de pilas que puede crear, actualizar y eliminar en varias cuentas y Regiones de AWS con una sola operación. En esta guía se proporciona información general sobre cómo implementar los permisos con privilegios mínimos para AWS CloudFormation y los recursos aprovisionados a través de CloudFormation.
Se pueden implementar las pilas o los conjuntos de pilas de CloudFormation mediante una de las acciones siguientes:
-
Acceda de manera directa al entorno de AWS a través de una entidad principal de AWS Identity and Access Management (IAM) e implemente las pilas de CloudFormation.
-
Inserte las pilas de CloudFormation en una canalización de implementación e inicie la implementación de las pilas a través de la canalización. La canalización accede al entorno de AWS a través de una entidad principal de IAM e implementa las pilas. Este enfoque es una práctica recomendada.
En el caso de cualquiera de estos enfoques, son necesarios los permisos para implementar las pilas de CloudFormation. Por ejemplo, pensemos en un usuario que tiene previsto utilizar CloudFormation para crear una instancia de Amazon Elastic Compute Cloud (Amazon EC2). Para esa instancia sería necesario un perfil de instancia de IAM para acceder a otros Servicios de AWS. La entidad principal de IAM que se utiliza para implementar la pila de CloudFormation requeriría los permisos siguientes:
-
Permisos para acceder a CloudFormation
-
Permisos para crear pilas de CloudFormation.
-
Permisos para crear instancias en Amazon EC2
-
Permisos para crear los perfiles de instancias de IAM necesarios
¿Qué es el privilegio mínimo?
El privilegio mínimo es la práctica recomendada de seguridad que consiste en conceder los permisos mínimos necesarios para realizar una tarea. El principio del privilegio mínimo forma parte del pilar de seguridad del Marco de AWS Well-Architected. Al implementar esta práctica recomendada, puede ayudar a proteger su entorno de AWS de los riesgos de aumento de privilegios, reducir la superficie expuesta a ataques, mejorar la seguridad de los datos y evitar errores de los usuarios (como la configuración incorrecta o la eliminación de un recurso por error).
Para implementar los privilegios mínimos de los recursos de AWS, configure las políticas, tales como las políticas basadas en identidades en AWS Identity and Access Management (IAM). Estas políticas definen los permisos y especifican las condiciones de acceso. Las organizaciones pueden empezar con políticas administradas por AWS, pero luego suelen crear políticas personalizadas que limitan el alcance de los permisos solo a las acciones necesarias para la carga de trabajo o el caso de uso.
Los permisos con privilegios mínimos para el servicio CloudFormation son una consideración de seguridad importante. Dado que los usuarios y los desarrolladores que interactúan con CloudFormation pueden crear, modificar o eliminar recursos de manera rápida y a escala, los privilegios mínimos son muy importantes. Sin embargo, CloudFormation requiere los permisos necesarios para crear, actualizar y modificar los recursos en sus Cuentas de AWS. Debe equilibrar la necesidad de permisos para utilizar CloudFormation con el principio de privilegio mínimo.
Al aplicar el principio de privilegios mínimos a CloudFormation, debe tener en cuenta lo siguiente:
-
Permisos para el servicio CloudFormation: ¿qué usuarios deben acceder a CloudFormation, qué nivel de acceso necesitan y qué medidas pueden adoptar para crear, actualizar o eliminar las pilas?
-
Permisos para aprovisionar recursos: ¿qué recursos pueden aprovisionar los usuarios a través de CloudFormation?
-
Permisos para los recursos aprovisionados: ¿cómo se configuran los permisos con privilegios mínimos en el caso de los recursos que se aprovisionan a través de CloudFormation?
Resultados empresariales específicos
Si sigue las prácticas recomendadas y las recomendaciones de esta guía, podrá hacer lo siguiente:
-
Determinar qué usuarios de su organización necesitan acceso a CloudFormation y, a continuación, configurar los permisos con privilegios mínimos para esos usuarios.
-
Utilizar las políticas de las pilas para proteger las pilas de CloudFormation de las actualizaciones no deseadas.
-
Configurar los permisos con privilegios mínimos para los usuarios y los recursos de CloudFormation con el fin de evitar la escalada de privilegios y el problema de los suplentes confusos.
-
Utilizar AWS CloudFormation para aprovisionar recursos de AWS con los permisos de privilegios mínimos. De este modo, su organización puede mantener una posición de seguridad más sólida.
-
Reducir de manera proactiva la cantidad de tiempo, energía y dinero necesarios para investigar y mitigar los incidentes de seguridad.
Destinatarios previstos
Esta guía está destinada a arquitectos de infraestructura en la nube, ingenieros de DevOps e ingenieros de confiabilidad del sitio (SRE) que administran y aprovisionan los recursos mediante CloudFormation.
