Cómo permitir el acceso a las vistas Cómo permitir la creación de pilas según una plantilla Cómo denegar la actualización o eliminación de una pila

Políticas de muestra basadas en identidades para CloudFormation

En esta sección se incluyen las políticas de muestra basadas en identidades que muestran cómo conceder y denegar los permisos para CloudFormation. Puede utilizar estas políticas de ejemplo para empezar a diseñar sus propias políticas que cumplan con el principio de privilegios mínimos.

Para obtener una lista de las acciones y condiciones específicas de CloudFormation, consulte Actions, resources, and condition keys for AWS CloudFormation y las condiciones de AWS CloudFormation. Para obtener una lista de los tipos de recursos que se pueden utilizar con condiciones, consulte Referencia de tipos de recursos y propiedades de AWS.

En esta sección se incluyen las políticas siguientes de ejemplo:

Cómo permitir el acceso a las vistas
Cómo permitir la creación de pilas según una plantilla
Cómo denegar la actualización o eliminación de una pila

Cómo permitir el acceso a las vistas

El acceso a las vistas es el tipo de acceso con privilegios mínimos a CloudFormation. Este tipo de política podría ser adecuada para las entidades principales de IAM que quieren ver todas las pilas de CloudFormation de la Cuenta de AWS. La política de muestra siguiente concede los permisos para ver los detalles de las pilas de CloudFormation de la cuenta.


{ 
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:DescribeStackResource",
        "cloudformation:DescribeStackResources"
      ],
      "Resource": "*"
    }
  ]
}

Cómo permitir la creación de pilas según una plantilla

La política de muestra siguiente permite a las entidades principales de IAM crear pilas mediante solo las plantillas de CloudFormation almacenadas en un bucket de Amazon Simple Storage Service (Amazon S3) concreto. El nombre del bucket es my-CFN-templates. Puede cargar las plantillas aprobadas en este bucket. La clave de condición de cloudformation:TemplateUrl de la política evita que la entidad principal de IAM utilice otras plantillas para crear pilas.

importante

Permita que la entidad principal de IAM tenga acceso de solo lectura a este bucket de S3. Esto ayuda a evitar que la entidad principal de IAM agregue, elimine o modifique las plantillas aprobadas.


{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:CreateStack"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloudformation:TemplateUrl": "https:// my-CFN-templates.s3.amazonaws.com/*"
        }
      }
    }
  ]
}

Cómo denegar la actualización o eliminación de una pila

Para proteger pilas específicas de CloudFormation que aprovisionan a los recursos de AWS esenciales para la empresa, puede restringir las acciones de actualización y eliminación de esas pilas específicas. Puede permitir estas acciones solo para pocas entidades principales de IAM específicas y denegarlas para cualquier otra entidad principal de IAM del entorno. La instrucción de política siguiente deniega los permisos para actualizar o eliminar una pila de CloudFormation específica en una Región de AWS y Cuenta de AWS específica.


{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:DeleteStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/<stack_ID>"
    }
  ]
}

Esta instrucción de política deniega los permisos para actualizar o eliminar la pila de CloudFormation MyProductionStack, que se encuentra en la Región de AWS us-east-1 y en la Cuenta de AWS 123456789012. Puede ver el id. de la pila en la consola de CloudFormation. A continuación, se muestran algunos ejemplos de cómo podría modificar el elemento Resource de esta instrucción para su caso de uso:

Puede agregar varios id. de pilas de CloudFormation en el elemento Resource de esta política.
Puede utilizar arn:aws:cloudformation:us-east-1:123456789012:stack/* para evitar que las entidades principales de IAM actualicen o eliminen las pilas que estén en la Región de AWS us-east-1 y en la cuenta 123456789012.

Un paso importante es decidir qué política debe incluir esta instrucción. Puede agregar esta instrucción a las políticas siguientes:

La política basada en identidades adjunta a la entidad principal de IAM: al incluir la instrucción en esta política se evita que la entidad principal de IAM específica cree o elimine una pila de CloudFormation específica.
Un límite de permisos asociado a la entidad principal de IAM: al incluir esta instrucción en esta política se crea una barrera de protección de permisos. Evita que más de una entidad principal de IAM cree o elimine una pila específica de CloudFormation, pero no restringe todas las entidades principales del entorno.
Una SCP asociada a una cuenta, unidad organizativa u organización: al incluir esta instrucción en esta política se crea una barrera de protección de permisos. Evita que todas las entidades principales de IAM de la cuenta, unidad organizativa u organización de destino creen o eliminen una pila específica de CloudFormation.

Sin embargo, si no permite que al menos una entidad principal de IAM, una entidad principal privilegiada, actualice o elimine la pila de CloudFormation, no podrá hacer ningún cambio, cuando sea necesario, en los recursos aprovisionados a través de esta pila. Un usuario o una canalización de desarrollo (recomendado) pueden asumir esta entidad principal privilegiada. Si quiere implementar la restricción como una SCP, le recomendamos utilizar la instrucción de política siguiente.
```
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:DeleteStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/<stack_ID>",
      "Condition": {
        "ArnNotLike": {
          "aws:PrincipalARN": [
            "<ARN of the allowed privilege IAM principal>"
          ]
        }
      }
    }
  ]
}
```
En esta instrucción, el elemento Condition define la entidad principal de IAM que está excluida de la SCP. Esta instrucción deniega los permisos de la entidad principal de IAM para actualizar o eliminar las pilas de CloudFormation, a menos que el ARN de la entidad principal de IAM coincida con el ARN del elemento Condition. La clave de condición aws:PrincipalARN acepta una lista, lo que significa que puede excluir más de una entidad principal de IAM de las restricciones, según sea necesario para el entorno. Para ver una SCP similar que evite la modificación de los recursos de CloudFormation, consulte SCP-CLOUDFORMATION-1 (GitHub).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas

Roles de servicio