View a markdown version of this page

Cómo limitar y exigir políticas de pilas - AWS Guía prescriptiva
Concesión de permisos para vincular políticas de pilasCómo exigir políticas de pilas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo limitar y exigir políticas de pilas

Como práctica recomendada para los permisos con privilegios mínimos, considere la posibilidad de exigir a las entidades principales de IAM que asignen políticas de pilas y limitar las políticas de pilas que pueden asignar las entidades principales de IAM. Numerosas entidades principales de IAM no deben tener permisos para crear y asignar políticas de pilas personalizadas a sus propias pilas.

Una vez creadas las políticas de pilas, le recomendamos cargarlas en un bucket de S3. A continuación, puede hacer referencia a estas políticas de pilas con la clave de condición cloudformation:StackPolicyUrl y proporcione la URL de la política de pilas en el bucket de S3.

Concesión de permisos para vincular políticas de pilas

Como práctica recomendada para los permisos con privilegios mínimos, considere limitar las políticas de pila que los directores de IAM pueden adjuntar a las pilas. CloudFormation En la política basada en identidades de la entidad principal de IAM, puede especificar qué políticas de pilas puede asignar la entidad principal de IAM. Esto evita que la entidad principal de IAM vincule políticas de pilas, lo que puede reducir el riesgo de errores de configuración.

Por ejemplo, una organización puede tener distintos equipos con requisitos distintos. En consecuencia, cada equipo crea políticas de apilamiento para sus agrupaciones específicas. CloudFormation En un entorno compartido, si todos los equipos almacenan sus políticas de apilamiento en el mismo segmento de S3, un miembro del equipo podría adjuntar una política de apilamiento que esté disponible pero que no esté destinada a las agrupaciones de su equipo. CloudFormation Para evitar esta situación, puede definir una instrucción de política que permita a las entidades principales de IAM vincular solo políticas específicas de pilas.

La política de muestra siguiente permite a la entidad principal de IAM vincular políticas de pilas almacenadas en una carpeta concreta del equipo en un bucket de S3. Puede almacenar las políticas de pilas aprobadas en este bucket.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:SetStackPolicy"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloudformation:StackPolicyUrl": "<Bucket URL>/<Team folder>/*"
        }
      }
    }
  ]
}

Esta instrucción de política no requiere que una entidad principal de IAM asigne una política de pilas a cada pila. Incluso si la entidad principal de IAM tiene permisos para crear pilas con una política de pilas específica, podría optar por crear una pila que no tenga una política de pilas.

Cómo exigir políticas de pilas

Para garantizar que todas las entidades principales de IAM asignen políticas de pilas a sus pilas, puede definir una política de control de servicios (SCP) o un límite de permisos como barrera de protección.

En la siguiente política de ejemplo se muestra cómo configurar una SCP que exija que las entidades principales de IAM asignen una política de pilas al crear una pila. Si la entidad principal de IAM no vincula una política de pilas, no podrá crear la pila. Además, esta política evita que las entidades principales de IAM con permisos de actualización de pilas la eliminen durante una actualización. La política restringe la acción cloudformation:UpdateStack mediante la clave de condición cloudformation:StackPolicyUrl.


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "cloudformation:StackPolicyUrl": "true"
        }
      }
    }
  ]
}

Al incluir esta instrucción de política en una SCP en lugar de en un límite de permisos, puede aplicar su barrera de protección a todas las cuentas de la organización. De este modo, se puede hacer lo siguiente:

  1. Reducir el esfuerzo de vincular la política de manera individual a varias entidades principales de IAM de una Cuenta de AWS. Los límites de permisos solo se pueden vincular de manera directa a una entidad principal de IAM.

  2. Reducir el esfuerzo de crear y administrar varias copias del límite de permisos para Cuentas de AWS distintas. Esto reduce el riesgo de errores de configuración en varios límites de permisos idénticos.

nota

SCPs y los límites de los permisos son barreras de protección que definen el número máximo de permisos disponibles para los directores de IAM en una cuenta u organización. Estas políticas no conceden permisos a las entidades principales de IAM. Si quiere estandarizar el requisito de que todas las entidades principales de IAM de su cuenta u organización asignen políticas de pilas, debe utilizar las barreras de protección de permisos y las políticas basadas en identidades.