の最小特権アクセス許可のポリシーの実装 AWS CloudFormation - AWS 規範ガイダンス
最小特権とはターゲットを絞ったビジネス成果対象者

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

の最小特権アクセス許可のポリシーの実装 AWS CloudFormation

Nima Fotouhi および Moumita Saha、Amazon Web Services (AWS)

2023 年 5 月 (ドキュメント履歴)

AWS CloudFormation は、 AWS リソースをプロビジョニングすることでクラウドインフラストラクチャ開発をスケールするのに役立つ Infrastructure as Code (IaC) サービスです。また、ライフサイクル全体、 AWS アカウント および 全体でこれらのリソースを管理するのにも役立ちます AWS リージョン。CloudFormation では一連のリソースのブループリントとして機能するテンプレートを定義します。次に、それらのリソースをプロビジョニングするためにスタックを作成してデプロイします。スタックは関連リソースのグループで、単一のユニットとして管理できます。CloudFormation を使用してスタックセットをデプロイすることもできます。スタックセットは複数のアカウントおよび AWS リージョン にわたって 1 回の操作で作成、更新、削除できるスタックのグループです。このガイドでは、CloudFormation を通じてプロビジョニングされた AWS CloudFormation および リソースに最小特権のアクセス許可を実装する方法の概要を説明します。

CloudFormation スタックまたはスタックセットは次のいずれかを実行してデプロイできます。

  • AWS Identity and Access Management (IAM) プリンシパルを介して AWS 環境に直接アクセスし、CloudFormation スタックをデプロイします。

  • デプロイパイプラインで CloudFormation スタックをプッシュし、パイプラインを通じてスタックのデプロイを開始する。パイプラインは IAM プリンシパルを介して AWS 環境にアクセスし、スタックをデプロイします。このアプローチは推奨されるベストプラクティスです。

いずれのアプローチでも、CloudFormation スタックをデプロイするにはアクセス許可が必要です。例えば、ユーザーが CloudFormation を使用して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを作成しようとしているとします。そのインスタンスは、他の にアクセスするために IAM インスタンスプロファイルを必要とします AWS のサービス。CloudFormation スタックのデプロイに使用する IAM プリンシパルには、次のアクセス許可が必要です。

  • CloudFormation へのアクセス許可

  • CloudFormation でスタックを作成するためのアクセス許可

  • Amazon EC2 でインスタンスを作成するためのアクセス許可

  • 必要な IAM インスタンスプロファイルを作成するためのアクセス許可

最小特権とは

最小特権は、タスクの実行に必要な最小限のアクセス許可を付与するというセキュリティのベストプラクティスです。最小特権の原則は、 AWS Well-Architected フレームワークのセキュリティの柱の一部です。このベストプラクティスを実装すると、特権エスカレーションリスクから AWS 環境を保護し、攻撃対象領域を減らし、データセキュリティを向上させ、ユーザーエラー (リソースの誤った設定や削除など) を防ぐのに役立ちます。

AWS リソースの最小権限を実装するには、 AWS Identity and Access Management (IAM) でアイデンティティベースのポリシーなどのポリシーを設定します。そうしたポリシーによってアクセス許可を定義したりアクセス条件を指定したりします。組織は AWS 管理ポリシーから始めることができますが、通常、アクセス許可の範囲をワークロードまたはユースケースに必要なアクションのみに制限するカスタムポリシーを作成します。

CloudFormation サービスの最小特権のアクセス許可は、セキュリティ上の重要な考慮事項です。CloudFormation を操作するユーザーや開発者は、大規模なリソースを迅速に作成、変更、削除できるため、最小特権を付与することは特に重要です。ただし、CloudFormation には、 のリソースを作成、更新、および変更するために必要なアクセス許可が必要です AWS アカウント。CloudFormation を運用するためのアクセス許可の必要性と最小特権の原則とのバランスを取る必要があります。

CloudFormation に最小特権の原則を適用する際は、次の点を考慮する必要があります。

  • CloudFormation サービスのアクセス許可 – CloudFormation へのアクセスを必要とするユーザー、必要なアクセスレベル、スタックを作成、更新、削除するために実行できるアクション

  • リソースのプロビジョニングのアクセス許可 – ユーザーが CloudFormation でプロビジョニングできるリソース

  • プロビジョニングされたリソースへのアクセス許可 – CloudFormation でプロビジョニングされたリソースへの最小特権アクセス許可の設定方法

ターゲットを絞ったビジネス成果

このガイドのベストプラクティスと推奨事項に従うと、次のことが可能になります。

  • 組織内で CloudFormation にアクセスする必要があるユーザーは誰かを判断し、それらのユーザーに最小特権のアクセス許可を設定する。

  • スタックポリシーを使用して、CloudFormation スタックが意図せず更新されないように保護する。

  • CloudFormation ユーザーとリソースに最小特権のアクセス許可を設定して、特権のエスカレーションや「混乱した代理」問題を防止する。

  • を使用して AWS CloudFormation 、最小特権のアクセス許可を持つ AWS リソースをプロビジョニングします。これにより、組織はより堅牢なセキュリティ体制を維持できます。

  • セキュリティインシデントの調査と軽減にかかる時間、エネルギー、費用を予防する。

対象者

このガイドは、CloudFormation を使用してリソースを管理およびプロビジョニングするクラウドインフラストラクチャアーキテクト、DevOps エンジニア、サイト信頼性エンジニア (SRE) を対象としています。