Implementazioni IAM automatizzate che utilizzano CFN ingest o stack update in AMS CTs - Guida per gli sviluppatori di applicazioni AMS Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Implementazioni IAM automatizzate che utilizzano CFN ingest o stack update in AMS CTs

Puoi utilizzare questi tipi di modifica AMS per implementare i ruoli IAM (la AWS::IAM::Role risorsa) sia nella landing zone multi-account (MALZ) che nella landing zone a account singolo (SALZ):

  • Distribuzione | Ingestione | Stack from Template | Crea (ct-36cn2avfrrj9v) CloudFormation

  • Gestione | Stack personalizzato | Stack From Template | Aggiornamento (ct-361tlo1k7339x) CloudFormation

  • Gestione | Custom Stack | Stack From Template | Approva e aggiorna (ct-1404e21baa2ox) CloudFormation

Convalide eseguite sui ruoli IAM nel tuo modello CFN:

  • ManagedPolicyArns: L'attributo non ManagedPolicyArnsdeve esistere in. AWS::IAM::Role La convalida non consente di allegare politiche gestite al ruolo assegnato. Invece, le autorizzazioni per il ruolo possono essere gestite utilizzando la politica in linea tramite la proprietà Policies.

  • PermissionsBoundary: La politica utilizzata per impostare il limite delle autorizzazioni per il ruolo può essere solo la politica gestita fornita da AMS:. AWSManagedServices_IAM_PermissionsBoundary Questa politica funge da guard rail che protegge le risorse dell'infrastruttura AMS dalla modifica in base al ruolo assegnato. Con questo limite di autorizzazioni predefinito, i vantaggi in termini di sicurezza offerti da AMS vengono preservati.

    AWSManagedServices_IAM_PermissionsBoundary(impostazione predefinita) è obbligatoria, in caso contrario la richiesta viene rifiutata.

  • MaxSessionDuration: La durata massima della sessione che può essere impostata per il ruolo IAM è compresa tra 1 e 4 ore. Lo standard tecnico AMS richiede l'accettazione del rischio da parte del cliente per una durata della sessione superiore a 4 ore.

  • RoleName: I seguenti namespace sono conservati da AMS e non possono essere utilizzati come prefissi dei nomi dei ruoli IAM:

    AmazonSSMRole,
AMS,
Ams,
ams,
AWSManagedServices,
customer_developer_role,
customer-mc-,
Managed_Services,
MC,
Mc,
mc,
SENTINEL,
Sentinel,
sentinel,
StackSet-AMS,
StackSet-Ams,
StackSet-ams,
StackSet-AWS,
StackSet-MC,
StackSet-Mc,
StackSet-mc

  • Politiche: la policy in linea incorporata nel ruolo IAM può includere solo una serie di azioni IAM preapprovate da AMS. Questo è il limite superiore di tutte le azioni IAM a cui è consentito creare un ruolo IAM con (policy di controllo). La politica di controllo è composta da:

    • Tutte le azioni incluse nella policy AWS gestita ReadOnlyAccess che fornisce accesso in sola lettura a tutte le risorse Servizi AWS

    • Le seguenti azioni, con la limitazione delle azioni S3 tra account, ad esempio le azioni S3 consentite, possono essere eseguite solo sulle risorse presenti nello stesso account del ruolo creato:

      amscm:*,
amsskms:*,
lambda:InvokeFunction,
logs:CreateLogStream,
logs:PutLogEvents,
s3:AbortMultipartUpload,
s3:DeleteObject,
s3:DeleteObjectVersion,
s3:ObjectOwnerOverrideToBucketOwner,
s3:PutObject,
s3:ReplicateTags,
secretsmanager:GetRandomPassword,
sns:Publish

      Qualsiasi ruolo IAM creato o aggiornato tramite CFN ingest può consentire azioni elencate in questa politica di controllo o azioni che rientrano nell'ambito (meno permissivo) delle azioni elencate nella politica di controllo. Attualmente consentiamo queste azioni IAM sicure che possono essere classificate come azioni di sola lettura, oltre alle azioni non di sola lettura sopra menzionate che non possono essere eseguite e sono preapprovate in base allo standard tecnico AMS. CTs

  • AssumeRolePolicyDocument: Le seguenti entità sono preapprovate e possono essere incluse nella politica di fiducia per assumere il ruolo che viene creato:

    • Qualsiasi entità IAM (ruolo, utente, utente root, sessione con ruolo assunto da STS) nello stesso account può assumere il ruolo.

    • Il ruolo Servizi AWS può essere assunto da:

      apigateway.amazonaws.com,
autoscaling.amazonaws.com,
cloudformation.amazonaws.com,
codebuild.amazonaws.com,
codedeploy.amazonaws.com,
codepipeline.amazonaws.com,
datapipeline.amazonaws.com,
datasync.amazonaws.com,
dax.amazonaws.com,
dms.amazonaws.com,
ec2.amazonaws.com,
ecs-tasks.amazonaws.com,
ecs.application-autoscaling.amazonaws.com,
elasticmapreduce.amazonaws.com,
es.amazonaws.com,
events.amazonaws.com,
firehose.amazonaws.com,
glue.amazonaws.com,
lambda.amazonaws.com,
monitoring.rds.amazonaws.com,
pinpoint.amazonaws.com,
rds.amazonaws.com,
redshift.amazonaws.com,
s3.amazonaws.com,
sagemaker.amazonaws.com,
servicecatalog.amazonaws.com,
sns.amazonaws.com,
ssm.amazonaws.com,
states.amazonaws.com,
storagegateway.amazonaws.com,
transfer.amazonaws.com,
vmie.amazonaws.com

    • Il provider SAML dello stesso account può assumere il ruolo. Attualmente, l'unico nome di provider SAML supportato è. customer-saml

Se una o più convalide falliscono, la RFC viene rifiutata. Un esempio di motivo di rifiuto RFC è il seguente:

{"errorMessage":"[ 'LambdaRole: The maximum session duration (in seconds) should be a numeric value in the range 3600 to 14400 (i.e. 1 to 4 hours).', 'lambda-policy: Policy document is too permissive.']","errorType":"ClientError"}

Se hai bisogno di assistenza per una convalida o un'esecuzione RFC non riuscita, utilizza la corrispondenza RFC per contattare AMS. Per istruzioni, consulta Corrispondenza e allegato RFC (console). Per qualsiasi altra domanda, invia una richiesta di assistenza. Per istruzioni, consulta Creazione di una richiesta di assistenza.

Nota

Al momento non applichiamo alcuna best practice IAM nell'ambito delle nostre convalide IAM. Per le migliori pratiche IAM, consulta Best practice di sicurezza in IAM.

Creazione di ruoli IAM con azioni più permissive o applicazione delle best practice IAM

Crea le tue entità IAM con i seguenti tipi di modifiche manuali:

  • Distribuzione | Componenti stack avanzati | Identity and Access Management (IAM) | Creare entità o policy (ct-3dpd8mdd9jn1r)

  • Gestione | Componenti dello stack avanzati | Identity and Access Management (IAM) | Aggiornamento di entità o policy (ct-27tuth19k52b4)

Ti consigliamo di leggere e comprendere i nostri standard tecnici prima di archiviare questi manuali. RFCs Per l'accesso, vedi Come accedere agli standard tecnici.

Nota

Ogni ruolo IAM creato direttamente con questi tipi di modifiche manuali appartiene al proprio stack individuale e non risiede nello stesso stack in cui vengono create le altre risorse dell'infrastruttura tramite CFN Ingest CT.

Aggiornamento dei ruoli IAM creati con CFN ingest tramite tipi di modifica manuali quando gli aggiornamenti non possono essere eseguiti tramite tipi di modifica automatici

Utilizza Management | Advanced stack components | Identity and Access Management (IAM) | Aggiorna il tipo di modifica dell'entità o della policy (ct-27tuth19k52b4).

Importante

Gli aggiornamenti sui ruoli IAM tramite il CT manuale non si riflettono nei modelli dello stack CFN e causano una deriva dello stack. Una volta che il ruolo è stato aggiornato tramite una richiesta manuale a uno stato che non supera le nostre convalide, il ruolo non può essere ulteriormente aggiornato utilizzando nuovamente lo Stack Update CT (ct-361tlo1k7339x) purché continui a non essere conforme alle nostre convalide. L'aggiornamento CT può essere utilizzato solo se il modello dello stack CFN è conforme alle nostre convalide. Tuttavia, lo stack può ancora essere aggiornato tramite Stack Update CT (ct-361tlo1k7339x), a condizione che la risorsa IAM non conforme alle nostre convalide non venga aggiornata e il modello CFN superi le nostre convalide.

Eliminazione dei ruoli IAM creati tramite ingest AWS CloudFormation

Se desideri eliminare l'intero stack, utilizza il seguente tipo di modifica automatica di Delete Stack. Per istruzioni, consulta Delete Stack:

  • ID del tipo di modifica: ct-0q0bic0ywqk6c

  • Classificazione: Gestione | Stack standard | Stack | Eliminazione e gestione | Componenti avanzati dello stack | Stack | Elimina

Se desideri eliminare un ruolo IAM senza eliminare l'intero stack, puoi rimuovere il ruolo IAM dal CloudFormation modello e utilizzare il modello aggiornato come input per il tipo di modifica automatizzato Stack Update:

  • ID del tipo di modifica: ct-361tlo1k7339x

  • Classificazione: Gestione | Stack personalizzato | Stack da modello | Aggiornamento CloudFormation

Per istruzioni, consulta Update AWS CloudFormation ingest stack.