Procedure consigliate per le autorizzazioni con privilegi minimi per AWS CloudFormation - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedure consigliate per le autorizzazioni con privilegi minimi per AWS CloudFormation

Questa guida esamina diversi approcci e alcuni tipi di politiche che è possibile utilizzare per configurare l'accesso con privilegi minimi e il relativo approvvigionamento delle risorse. AWS CloudFormation CloudFormation Questa guida si concentra sulla configurazione dell'accesso CloudFormation tramite i principi IAM, i ruoli di servizio e le policy di stack. I consigli e le best practice inclusi sono progettati per proteggere gli account e lo stack di risorse da azioni indesiderate da parte di utenti autorizzati e da malintenzionati che potrebbero sfruttare autorizzazioni eccessive.

Di seguito è riportato un riepilogo delle best practice illustrate in questa guida. Queste best practice possono aiutarti a rispettare il principio del privilegio minimo durante la configurazione delle autorizzazioni d'uso CloudFormation e del provisioning delle risorse tramite: CloudFormation

  • Determina il livello di accesso necessario agli utenti e ai team per utilizzare il CloudFormation servizio e concedi solo l'accesso minimo richiesto. Ad esempio, concedi l'accesso alla visualizzazione a stagisti e revisori e non consenti a questi tipi di utenti di creare, aggiornare o eliminare gli stack.

  • Per i responsabili IAM che devono fornire più tipi di AWS risorse tramite CloudFormation stack, è consigliabile utilizzare i ruoli di servizio per consentire l'erogazione delle risorse CloudFormation per conto del committente, anziché configurare l'accesso Servizi AWS a quelle previste dalle politiche basate sull'identità del committente.

  • Nelle politiche basate sull'identità per i presidi IAM, utilizza la chiave cloudformation:RoleARN condition per controllare quali ruoli di servizio possono essere passati. CloudFormation

  • Per evitare l'escalation dei privilegi, procedi come segue:

    • Monitora rigorosamente tutti i principali IAM che hanno accesso al CloudFormation servizio e i livelli di accesso di cui dispongono.

    • Monitora rigorosamente quali utenti possono accedere a questi principi IAM.

    • Monitora l'attività dei responsabili IAM a cui è possibile assegnare un ruolo di servizio privilegiato. CloudFormation Anche se potrebbero non disporre delle autorizzazioni necessarie per creare risorse IAM tramite la loro policy basata sull'identità, il ruolo di servizio che possono assegnare potrebbe creare risorse IAM.

  • Specifica una policy di stack ogni volta che crei uno stack con risorse critiche. Questo può aiutare a proteggere le risorse critiche dello stack da aggiornamenti involontari che potrebbero causare l'interruzione o la sostituzione di tali risorse.

  • Per le risorse fornite tramite CloudFormation, consulta i consigli sulla gestione degli accessi e le migliori pratiche di sicurezza per quel servizio.

  • Per completare i consigli di questa guida per le politiche basate sull'identità e le politiche basate sulle risorse, prendi in considerazione l'implementazione di controlli di sicurezza aggiuntivi per le autorizzazioni con privilegi minimi, come le politiche di controllo del servizio () e i limiti delle autorizzazioni. SCPs Per ulteriori informazioni, consulta Fasi successive.

La CloudFormation documentazione contiene ulteriori best practice e best practice di sicurezza che possono aiutarti a utilizzare in modo più efficace e sicuro. CloudFormation Inoltre, consulta Le migliori pratiche per la configurazione di policy basate sull'identità per l'accesso con privilegi minimi CloudFormation questa guida.