の最小特権アクセス許可のベストプラクティス AWS CloudFormation - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の最小特権アクセス許可のベストプラクティス AWS CloudFormation

このガイドでは、CloudFormation を通じてプロビジョニングされた および リソースへの最小特権アクセスを設定するために使用できるさまざまなアプローチ AWS CloudFormation といくつかのタイプのポリシーについて説明します。ここでは IAM プリンシパル、サービスロール、スタックのポリシーを通じた CloudFormation へのアクセスの設定に焦点を当てます。記載した推奨事項とベストプラクティスは、承認されたユーザーによる意図しないアクションや、不正ユーザーによる過剰なアクセス許可の悪用からアカウントとスタックリソースを保護するように設計されています。

以下は、このガイドで説明するベストプラクティスの概要です。これらのベストプラクティスは、CloudFormation および CloudFormation によってプロビジョニングされたリソースを使用するためのアクセス許可を設定するときに、最小特権の原則に従うのに役立ちます。

  • ユーザーやチームが CloudFormation サービスを使用するのに必要なアクセスレベルを決定し、必要な最小限のアクセスのみ付与します。例えば、インターンや監査人などのユーザーには閲覧アクセスを付与し、スタックの作成、更新、削除は許可しません。

  • CloudFormation スタックを介して複数のタイプの AWS リソースをプロビジョニングする必要がある IAM プリンシパルの場合、プリンシパルのアイデンティティベースのポリシー AWS のサービス でリソースへのアクセスを設定する代わりに、サービスロールを使用して CloudFormation がプリンシパルに代わってリソースをプロビジョニングできるようにすることを検討してください。

  • IAM プリンシパルの ID ベースのポリシーでは、cloudformation:RoleARN 条件キーを使用して、どの CloudFormation サービスロールを渡すことができるかを制御します。

  • 権限のエスカレーションを防ぐには、次のことを実行します。

    • CloudFormation サービスへのアクセス権を持つすべての IAM プリンシパルとそのアクセスレベルを厳密に監視します。

    • これらの IAM プリンシパルにアクセスできるユーザーを厳密に監視します。

    • 特権サービスロールを CloudFormation に渡すことができる IAM プリンシパルのアクティビティを監視します。ID ベースのポリシーを通じて IAM リソースを作成する権限がない場合でも、サービスロールを渡すことで IAM リソースを作成できる可能性があります。

  • 重要なリソースがあるスタックを作成するときは常に、スタックポリシーを指定してください。それにより重要なスタックリソースを保護して、意図しない更新によってリソースが中断されたり置き換えられたりするのを防ぐことができます。

  • CloudFormation を通じてプロビジョニングされるリソースについては、そのサービスへのアクセス管理の推奨事項とセキュリティのベストプラクティスを参照してください。

  • このガイドの ID ベースのポリシーとリソースベースのポリシーに関する推奨事項を補完するために、サービスコントロールポリシー (SCP) やアクセス許可の境界など、最小特権のアクセス許可に追加のセキュリティコントロールを実装することを検討してください。詳細については、「次のステップ」を参照してください。

CloudFormation ドキュメントには、CloudFormation をより効果的かつ安全に使用するのに役立つ追加のベストプラクティスセキュリティベストプラクティスが含まれています。このガイドの「最小特権での CloudFormation アクセス用に ID ベースのポリシーを設定するためのベストプラクティス」も参照してください。