

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 最小特権での CloudFormation アクセス用に ID ベースのポリシーを設定するためのベストプラクティス
<a name="best-practices-identity-based-policies"></a>
+ CloudFormation にアクセスするためのアクセス許可を必要とする IAM プリンシパルの場合、CloudFormation を操作するためのアクセス許可の必要性と、最小特権の原則とのバランスを取る必要があります。最小特権の原則に準拠できるように、IAM プリンシパルが以下を実行できるようにする特定のアクションを使用して、プリンシパルの ID ベースを定義することをお勧めします。
  + CloudFormation スタックを作成、更新、削除する。
  + CloudFormation テンプレートで定義されたリソースのデプロイに必要なアクセス許可を持つ 1 つ以上のサービスロールを渡す。これにより、CloudFormation がサービスロールを引き受け、IAM プリンシパルに代わってスタック内のリソースをプロビジョニングできます。
+ *権限昇格*とは、アクセス権限を持つユーザーが自分のアクセス許可レベルを引き上げる能力を指し、これによりセキュリティが侵害されます。最小特権は権限昇格を防ぐのに役立つ重要なベストプラクティスです。CloudFormation はポリシーやロールなどの [IAM リソースタイプ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html)のプロビジョニングをサポートしているため、IAM プリンシパルは CloudFormation で以下を実行することで権限を昇格できます。
  + **CloudFormation スタックを使用して、権限の高いアクセス許可、ポリシー、または認証情報を持つ IAM プリンシパルをプロビジョニングする** – これを防ぐには、アクセス許可ガードレールを使用して IAM プリンシパルのアクセスレベルを制限することをお勧めします。*アクセス許可ガードレール*を使用すると、ID ベースのポリシーが IAM プリンシパルに付与できるアクセス許可の上限を設定できます。これにより、意図的または意図しない権限の昇格を防ぐことができます。アクセス許可ガードレールとして、以下のタイプのポリシーを使用できます。
    + アクセス許可の境界は、ID ベースのポリシーで IAM プリンシパルに付与できる許可の上限を設定します。詳細については、「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
    + では AWS Organizations、[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) を使用して、組織レベルで使用可能なアクセス許可の最大数を定義できます。SCP は、組織のアカウントが管理する IAM ロールとユーザーにのみ影響します。SCP は、アカウント、組織単位 (OU)、または組織内のルートにアタッチできます。詳細については、「[許可に対する SCP の影響](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)」を参照してください。
  + **広範なアクセス許可を提供する CloudFormation サービスロールを作成する** – これを防ぐには、CloudFormation を使用する IAM プリンシパルの ID ベースポリシーに、次のような詳細なアクセス許可を追加することをお勧めします。
    + `cloudformation:RoleARN` 条件キーを使用して、IAM プリンシパルが使用できる CloudFormation サービスロールを管理します。
    + `iam:PassRole` アクションは、IAM プリンシパルが渡す必要がある特定の CloudFormation サービスロールにのみ許可します。

  詳細については、このガイドの「[IAM プリンシパルに CloudFormation サービスロールを使用するための許可を付与する](service-roles-for-cloudformation.md#permissions-use-cloudformation-service-role)」を参照してください。
+ アクセス許可の境界や SCP などのアクセス許可ガードレールを使用してアクセス許可を制限し、ID ベースまたはリソースベースのポリシーを使用してアクセス許可を付与します。