에 대한 최소 권한 모범 사례 AWS CloudFormation - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 최소 권한 모범 사례 AWS CloudFormation

이 가이드에서는 CloudFormation을 통해 프로비저닝된 및 리소스에 대한 최소 권한 액세스를 구성하는 데 사용할 수 있는 다양한 접근 방식 AWS CloudFormation 과 몇 가지 유형의 정책을 검토합니다. 이 가이드는 IAM 위탁자, 서비스 역할 및 스택 정책을 통해 CloudFormation에 대한 액세스를 구성하는 데 중점을 둡니다. 포함된 권장 사항 및 모범 사례는 권한 있는 사용자의 의도하지 않은 행동과 과도한 권한을 악용할 수 있는 악의적인 행위자로부터 계정 및 스택 리소스를 보호하는 데 도움이 되도록 설계되었습니다.

다음은 이 가이드에서 설명하는 모범 사례에 대한 요약 정보입니다. 이러한 모범 사례는 CloudFormation 및 CloudFormation을 통해 프로비저닝된 리소스의 사용 권한을 구성할 때 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다.

  • 사용자와 팀이 CloudFormation 서비스를 사용하는 데 필요한 액세스 수준을 결정하고 필요한 최소 액세스 권한만 부여합니다. 예를 들어 인턴 및 감사자에게 보기 액세스 권한을 부여하고 이러한 유형의 사용자에게는 스택의 생성, 업데이트 또는 삭제를 허용하지 않습니다.

  • CloudFormation 스택을 통해 여러 유형의 AWS 리소스를 프로비저닝해야 하는 IAM 보안 주체의 경우, 보안 주체의 자격 증명 기반 정책에 AWS 서비스 있는 리소스에 대한 액세스를 구성하는 대신 서비스 역할을 사용하여 CloudFormation이 보안 주체를 대신하여 리소스를 프로비저닝하도록 허용하는 것이 좋습니다.

  • IAM 위탁자에 대한 ID 기반 정책에서 cloudformation:RoleARN 조건 키를 사용하여 전달할 수 있는 CloudFormation 서비스 역할을 제어합니다.

  • 권한 에스컬레이션을 방지하려면 다음을 수행합니다.

    • CloudFormation 서비스에 액세스할 수 있는 모든 IAM 위탁자와 이들의 액세스 수준을 엄격하게 모니터링합니다.

    • 이러한 IAM 위탁자에 액세스할 수 있는 사용자를 엄격하게 모니터링합니다.

    • 권한 있는 서비스 역할을 CloudFormation에 전달할 수 있는 IAM 위탁자의 활동을 모니터링합니다. ID 기반 정책을 통해 IAM 리소스를 생성할 권한이 없을 수 있지만 전달할 수 있는 서비스 역할은 IAM 리소스를 생성할 수 있습니다.

  • 중요 리소스가 있는 스택을 생성할 때마다 스택 정책을 지정합니다. 이를 통해 리소스가 중단되거나 대체될 수 있는 의도치 않은 업데이트로부터 중요 스택 리소스를 보호할 수 있습니다.

  • CloudFormation을 통해 프로비저닝된 리소스는 해당 서비스에 대한 액세스 관리 권장 사항 및 보안 모범 사례를 참조하세요.

  • ID 기반 정책 및 리소스 기반 정책에 대한 이 가이드의 권장 사항을 보완하려면 서비스 제어 정책(SCP) 및 권한 경계와 같은 최소 권한에 대한 추가적인 보안 제어를 구현하는 방법을 고려합니다. 자세한 내용은 다음 단계 단원을 참조하십시오.

CloudFormation 설명서에는 CloudFormation을 보다 효과적이고 안전하게 사용하는 데 도움이 되는 추가 모범 사례보안 모범 사례가 포함되어 있습니다. 또한 이 가이드의 최소 권한 CloudFormation 액세스를 위한 ID 기반 정책 구성 모범 사례 섹션을 참조하세요.