Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice relative alla sicurezza di CloudFormation
CloudFormation fornisce una serie di caratteristiche di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
Argomenti
Utilizza IAM per controllare gli accessi
IAM è un servizio AWS che puoi usare per gestire gli utenti e le relative autorizzazioni in AWS. Puoi utilizzare IAM con CloudFormation per specificare quali operazioni CloudFormation possono eseguire gli utenti, ad esempio visualizzare modelli di stack, creare stack o eliminarli. Inoltre, per chiunque gestisca stack CloudFormation, saranno necessarie le autorizzazioni per le risorse all’interno di quegli stack. Ad esempio, se gli utenti vogliono utilizzare CloudFormation per avviare, aggiornare o terminare le istanze Amazon EC2, devono avere le autorizzazioni per chiamare le operazioni Amazon EC2 pertinenti.
Nella maggior parte dei casi, gli utenti richiedono l’accesso completo per gestire tutte le risorse in un modello. CloudFormation esegue chiamate per creare, modificare ed eliminare tali risorse per conto degli utenti. Per separare le autorizzazioni tra un utente e il servizio CloudFormation, utilizza un ruolo di servizio. Per effettuare chiamate, CloudFormation usa la policy del ruolo di servizio, invece della policy dell’utente. Per ulteriori informazioni, consulta CloudFormationRuolo del servizio .
Non incorporare le credenziali nei modelli
Anziché incorporare informazioni sensibili nei modelli CloudFormation, è consigliabile utilizzare riferimenti dinamici nel modello di stack.
I riferimenti dinamici forniscono un modo compatto ed efficace per fare riferimento a valori esterni che sono archiviati e gestiti in altri servizi, come AWS Systems Manager Parameter Store o AWS Secrets Manager. Quando utilizzi un riferimento dinamico, CloudFormation recupera il valore del riferimento specificato quando necessario durante le operazioni di stack e modifica del set e passa il valore alla risorsa appropriata. Tuttavia, CloudFormation non memorizza mai il valore del riferimento effettivo. Per ulteriori informazioni, consulta Ottenimento di valori archiviati in altri servizi utilizzando riferimenti dinamici.
AWS Secrets Manager consente di crittografare, archiviare e utilizzare in modo sicuro le credenziali per database e altri servizi. AWSArchivio parametri di Systems Manager fornisce uno storage sicuro e gerarchico per la gestione dei dati di configurazione.
Per ulteriori informazioni sulla definizione dei parametri del modello, consulta Sintassi dei Parameters del modello CloudFormation.
Utilizza AWS CloudTrail per registrare le chiamate CloudFormation
AWS CloudTrail tiene traccia di chiunque effettui chiamate API CloudFormation nel tuo Account AWS. Le chiamate API sono registrate ogniqualvolta viene utilizzata l’API CloudFormation, la console CloudFormation, una console di backend o i comandi dell’interfaccia a riga di comando CloudFormation AWS CLI. Attivare la registrazione e specificare un bucket Amazon S3 in cui archiviare i log. In questo modo, in caso di necessità, puoi controllare chi ha effettuato quale chiamata CloudFormation nel tuo account. Per ulteriori informazioni, consulta Registrazione di chiamate API CloudFormation con AWS CloudTrail.
