Déploiements IAM automatisés à l'aide de CFN ingest ou de stack update dans AMS CTs - Guide du développeur d'applications AMS Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déploiements IAM automatisés à l'aide de CFN ingest ou de stack update dans AMS CTs

Vous pouvez utiliser ces types de modification AMS pour déployer des rôles IAM (la AWS::IAM::Role ressource) à la fois dans une zone d'atterrissage multi-comptes (MALZ) et une zone d'atterrissage à compte unique (SALZ) :

  • Déploiement | Ingestion | Stack à partir d' CloudFormation un modèle | Créer (ct-36cn2avfrrj9v)

  • Gestion | Stack personnalisé | Stack à partir d'un CloudFormation modèle | Mise à jour (ct-361tlo1k7339x)

  • Gestion | Stack personnalisé | Stack à partir d'un CloudFormation modèle | Approuver et mettre à jour (ct-1404e21baa2ox)

Validations effectuées sur les rôles IAM dans votre modèle CFN :

  • ManagedPolicyArns: L'attribut ne ManagedPolicyArnsdoit pas exister dansAWS::IAM::Role. La validation interdit d'associer des politiques gérées au rôle en cours de provisionnement. Au lieu de cela, les autorisations associées au rôle peuvent être gérées à l'aide de la politique intégrée via la propriété Policies.

  • PermissionsBoundary: La politique utilisée pour définir la limite des autorisations pour le rôle ne peut être que la politique gérée par AMS vended :AWSManagedServices_IAM_PermissionsBoundary. Cette politique agit comme un garde-fou qui protège les ressources de l'infrastructure AMS contre toute modification à l'aide du rôle fourni. Avec cette limite d'autorisation par défaut, les avantages de sécurité fournis par AMS sont préservés.

    Le AWSManagedServices_IAM_PermissionsBoundary (par défaut) est obligatoire, sans lui, la demande est rejetée.

  • MaxSessionDuration: La durée maximale de session pouvant être définie pour le rôle IAM est de 1 à 4 heures. La norme technique AMS exige une acceptation des risques par le client pour une durée de session supérieure à 4 heures.

  • RoleName: Les espaces de noms suivants sont préservés par AMS et ne peuvent pas être utilisés comme préfixes de nom de rôle IAM :

    AmazonSSMRole,
AMS,
Ams,
ams,
AWSManagedServices,
customer_developer_role,
customer-mc-,
Managed_Services,
MC,
Mc,
mc,
SENTINEL,
Sentinel,
sentinel,
StackSet-AMS,
StackSet-Ams,
StackSet-ams,
StackSet-AWS,
StackSet-MC,
StackSet-Mc,
StackSet-mc

  • Politiques : La politique intégrée au rôle IAM ne peut inclure qu'un ensemble d'actions IAM préapprouvées par AMS. Il s'agit de la limite supérieure de toutes les actions IAM autorisées pour créer un rôle IAM (politique de contrôle). La politique de contrôle consiste à :

    • Toutes les actions de la politique AWS gérée ReadOnlyAccess qui fournit un accès en lecture seule à toutes les ressources Services AWS

    • Les actions suivantes, avec la restriction des actions S3 entre comptes, c'est-à-dire les actions S3 autorisées, ne peuvent être effectuées que sur les ressources présentes dans le même compte que le rôle créé :

      amscm:*,
amsskms:*,
lambda:InvokeFunction,
logs:CreateLogStream,
logs:PutLogEvents,
s3:AbortMultipartUpload,
s3:DeleteObject,
s3:DeleteObjectVersion,
s3:ObjectOwnerOverrideToBucketOwner,
s3:PutObject,
s3:ReplicateTags,
secretsmanager:GetRandomPassword,
sns:Publish

      Tout rôle IAM créé ou mis à jour via CFN ingest peut autoriser les actions répertoriées dans cette politique de contrôle, ou les actions dont la portée est limitée (moins permissive que) aux actions répertoriées dans la politique de contrôle. Actuellement, nous autorisons ces actions IAM sécurisées qui peuvent être classées dans la catégorie des actions en lecture seule, ainsi que les actions non en lecture seule mentionnées ci-dessus qui ne peuvent pas être effectuées CTs et qui sont préapprouvées conformément à la norme technique AMS.

  • AssumeRolePolicyDocument: Les entités suivantes sont préapprouvées et peuvent être incluses dans la politique de confiance pour assumer le rôle créé :

    • Toute entité IAM (rôle, utilisateur, utilisateur root, session à rôle assumé par STS) du même compte peut assumer le rôle.

    • Les personnes suivantes Services AWS peuvent assumer le rôle :

      apigateway.amazonaws.com,
autoscaling.amazonaws.com,
cloudformation.amazonaws.com,
codebuild.amazonaws.com,
codedeploy.amazonaws.com,
codepipeline.amazonaws.com,
datapipeline.amazonaws.com,
datasync.amazonaws.com,
dax.amazonaws.com,
dms.amazonaws.com,
ec2.amazonaws.com,
ecs-tasks.amazonaws.com,
ecs.application-autoscaling.amazonaws.com,
elasticmapreduce.amazonaws.com,
es.amazonaws.com,
events.amazonaws.com,
firehose.amazonaws.com,
glue.amazonaws.com,
lambda.amazonaws.com,
monitoring.rds.amazonaws.com,
pinpoint.amazonaws.com,
rds.amazonaws.com,
redshift.amazonaws.com,
s3.amazonaws.com,
sagemaker.amazonaws.com,
servicecatalog.amazonaws.com,
sns.amazonaws.com,
ssm.amazonaws.com,
states.amazonaws.com,
storagegateway.amazonaws.com,
transfer.amazonaws.com,
vmie.amazonaws.com

    • Le fournisseur SAML du même compte peut assumer le rôle. Actuellement, le seul nom de fournisseur SAML pris en charge estcustomer-saml.

Si une ou plusieurs validations échouent, le RFC est rejeté. Voici un exemple de raison de rejet d'une RFC :

{"errorMessage":"[ 'LambdaRole: The maximum session duration (in seconds) should be a numeric value in the range 3600 to 14400 (i.e. 1 to 4 hours).', 'lambda-policy: Policy document is too permissive.']","errorType":"ClientError"}

Si vous avez besoin d'aide en cas d'échec de la validation ou de l'exécution d'une RFC, utilisez la correspondance RFC pour contacter AMS. Pour obtenir des instructions, voir Correspondance RFC et pièce jointe (console). Pour toute autre question, envoyez une demande de service. Pour savoir comment faire, consultez la section Création d'une demande de service.

Note

Nous n'appliquons actuellement aucune bonne pratique IAM dans le cadre de nos validations IAM. Pour connaître les meilleures pratiques en matière d'IAM, consultez la section Meilleures pratiques de sécurité dans IAM.

Création de rôles IAM avec des actions plus permissives ou application des meilleures pratiques IAM

Créez vos entités IAM avec les types de modifications manuelles suivants :

  • Déploiement | Composants de pile avancés | Identity and Access Management (IAM) | Création d'une entité ou d'une politique (ct-3dpd8mdd9jn1r)

  • Gestion | Composants de pile avancés | Identity and Access Management (IAM) | Mettre à jour l'entité ou la politique (ct-27tuth19k52b4)

Nous vous recommandons de lire et de comprendre nos normes techniques avant de déposer ce manuel RFCs. Pour y accéder, voir Comment accéder aux normes techniques.

Note

Chaque rôle IAM créé directement avec ces types de modifications manuelles appartient à sa propre pile individuelle et ne réside pas dans la même pile où les autres ressources d'infrastructure sont créées via CFN Ingest CT.

Mise à jour des rôles IAM créés avec CFN ingest via des types de modification manuels lorsque les mises à jour ne peuvent pas être effectuées via des types de modification automatisés

Utilisez le type de modification Management | Advanced stack components | Identity and Access Management (IAM) | Update entity or policy (ct-27tuth19k52b4).

Important

Les mises à jour des rôles IAM par le biais du CT manuel ne sont pas reflétées dans les modèles de pile CFN et provoquent une dérive de la pile. Une fois que le rôle a été mis à jour par le biais d'une demande manuelle dans un état qui ne répond pas à nos validations, le rôle ne peut plus être mis à jour à l'aide du Stack Update CT (ct-361tlo1k7339x) tant qu'il n'est toujours pas conforme à nos validations. La mise à jour CT ne peut être utilisée que si le modèle de pile CFN est conforme à nos validations. Cependant, la pile peut toujours être mise à jour via le Stack Update CT (ct-361tlo1k7339x), tant que la ressource IAM non conforme à nos validations n'est pas mise à jour et que le modèle CFN passe nos validations.

Suppression de vos rôles IAM créés par ingestion AWS CloudFormation

Si vous souhaitez supprimer l'intégralité de la pile, utilisez le type de modification automatique Delete Stack suivant. Pour obtenir des instructions, voir Delete Stack :

  • Changer l'identifiant du type : ct-0q0bic0ywqk6c

  • Classification : Gestion | Piles standard | Empiler | Supprimer et gérer | Composants de pile avancés | Empiler | Supprimer

Si vous souhaitez supprimer un rôle IAM sans supprimer l'intégralité de la pile, vous pouvez supprimer le rôle IAM du CloudFormation modèle et utiliser le modèle mis à jour comme entrée pour le type de modification automatique de Stack Update :

  • Changer l'ID du type : ct-361tlo1k7339x

  • Classification : Gestion | Pile personnalisée | Pile à partir d' CloudFormation un modèle | Mise à jour

Pour obtenir des instructions, voir Mettre à jour AWS CloudFormation la pile d'ingestion.