Bonnes pratiques de sécurité pour CloudFormation - AWS CloudFormation
Utilisation du contrôle d'accès IAMN'incorporez pas d'informations d'identification dans vos modèlesUtilisation de AWS CloudTrail pour journaliser les appels CloudFormation

Bonnes pratiques de sécurité pour CloudFormation

CloudFormation fournit différentes fonctions de sécurité à prendre en compte lorsque vous développez et implémentez vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

Utilisation du contrôle d'accès IAM

IAM est un service AWS que vous pouvez utiliser pour gérer les utilisateurs et leurs autorisations dans AWS. Vous pouvez utiliser IAM avec CloudFormation pour spécifier les actions CloudFormation que les utilisateurs sont autorisés à effectuer, comme afficher les modèles de piles, créer des piles ou supprimer des piles. De plus, toute personne qui gère des piles CloudFormation doit disposer d’autorisations pour les ressources contenues dans ces piles. Par exemple, si des utilisateurs souhaitent utiliser CloudFormation pour lancer, mettre à jour ou résilier des instances Amazon EC2, ils doivent disposer de l’autorisation d’appeler les actions Amazon EC2 correspondantes.

Dans la majorité des cas, les utilisateurs doivent avoir un accès complet pour gérer toutes les ressources d’un modèle. CloudFormation effectue les appels permettant de créer, modifier et supprimer ces ressources en leur nom. Pour séparer les autorisations entre un utilisateur et le service CloudFormation, utilisez un rôle de service. CloudFormation utilise la stratégie du rôle de service pour effectuer les appels, au lieu de la stratégie de l’utilisateur. Pour de plus amples informations, consultez CloudFormationRôle de service .

N'incorporez pas d'informations d'identification dans vos modèles

Plutôt que de vectoriser des informations sensibles dans vos modèles CloudFormation, nous vous recommandons d’utiliser des références dynamiques dans votre modèle de pile.

Les références dynamiques vous permettent de faire référence de façon concise et efficace à des valeurs externes stockées et gérées dans d'autres services, tels qu'AWS Systems Manager Parameter Store ou AWS Secrets Manager. Lorsque vous utilisez une référence dynamique, CloudFormation récupère la valeur de la référence spécifiée lorsque cela est nécessaire au cours d'opérations de pile et de jeu de modifications et transmet cette valeur à la ressource appropriée. Cependant, CloudFormation ne stocke jamais la valeur de référence réelle. Pour de plus amples informations, consultez Obtenir les valeurs stockées dans d’autres services à l’aide de références dynamiques.

AWS Secrets Manager vous aider à chiffrer, stocker et récupérer en toute sécurité des informations d'identification pour vos bases de données et d'autres services. AWS Systems Manager Parameter Store offre un stockage sécurisé et hiérarchique de la gestion des données de configuration.

Pour plus d'informations sur la définition des paramètres de modèle, consultez Syntaxe Parameters du modèle CloudFormation.

Utilisation de AWS CloudTrail pour journaliser les appels CloudFormation

AWS CloudTrail suit toutes les personnes qui effectuent des appels d’API CloudFormation dans votre Compte AWS. Les appels d’API sont journalisés chaque fois qu’une personne utilise l’API CloudFormation, la console CloudFormation, une console back-end ou des commandes AWS CLI CloudFormation. Activez la journalisation et spécifiez un compartiment Amazon S3 pour y stocker les journaux. De cette façon, le cas échéant, vous pourrez déterminer qui a effectué quel appel CloudFormation dans votre compte. Pour de plus amples informations, consultez Journalisation des appels d’API CloudFormation avec AWS CloudTrail.