

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Melhores práticas para configurar políticas baseadas em identidade para acesso com privilégios mínimos CloudFormation
<a name="best-practices-identity-based-policies"></a>
+ Para diretores do IAM que precisam de permissões de acesso CloudFormation, você deve equilibrar a necessidade de permissões para operar CloudFormation com o princípio do menor privilégio. Para ajudar você a aderir ao princípio do privilégio mínimo, recomendamos que defina a entidade principal baseada em identidade do IAM com ações específicas que permitam que a entidade principal faça o seguinte:
  + Crie, atualize e exclua uma CloudFormation pilha.
  + Passe uma ou mais funções de serviço que tenham as permissões necessárias para implantar os recursos definidos nos CloudFormation modelos. Isso permite assumir CloudFormation a função de serviço e provisionar os recursos na pilha em nome do diretor do IAM.
+ O *escalonamento de privilégios* refere-se à capacidade de um usuário com acesso elevar seus níveis de permissão e comprometer a segurança. O privilégio mínimo é uma prática recomendada importante que pode ajudar a evitar o escalonamento de privilégios. Como CloudFormation oferece suporte ao provisionamento de [tipos de recursos do IAM](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html), como políticas e funções, um diretor do IAM pode escalar seus privilégios da seguinte forma: CloudFormation 
  + **Usar uma CloudFormation pilha para provisionar um diretor do IAM com permissões, políticas ou credenciais altamente privilegiadas** — Para ajudar a evitar isso, recomendamos o uso de proteções de permissão para restringir o nível de acesso dos diretores do IAM. As *barreiras de proteção de permissões* definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade principal do IAM. Isso ajuda a evitar o aumento intencional e não intencional de privilégios. Você pode usar os seguintes tipos de políticas como barreiras de proteção de permissões:
    + Os limites de permissões definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade principal do IAM. Para obter mais informações, consulte [Limites de permissões para entidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).
    + Em AWS Organizations, você pode usar [políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) para definir o máximo de permissões disponíveis em um nível organizacional. SCPs afetam somente funções e usuários do IAM que são gerenciados por contas na organização. Você pode SCPs anexar a contas, unidades organizacionais ou à raiz organizacional. Para obter mais informações, consulte [Efeitos do SCP sobre as permissões](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).
  + **Criação CloudFormation de uma função de serviço que ofereça permissões abrangentes** — Para ajudar a evitar isso, recomendamos que você adicione as seguintes permissões refinadas às políticas baseadas em identidade para diretores do IAM que usarão: CloudFormation
    + Use a chave de `cloudformation:RoleARN` condição para controlar quais funções CloudFormation de serviço o diretor do IAM pode usar.
    + Permita a `iam:PassRole` ação somente para as funções CloudFormation de serviço específicas que o diretor do IAM precisa passar.

  Para obter mais informações, consulte [Conceder permissões principais ao IAM para usar uma função de CloudFormation serviço](service-roles-for-cloudformation.md#permissions-use-cloudformation-service-role) neste guia.
+ Restrinja as permissões usando proteções de permissões, como limites de permissões e SCPs, e conceda permissões usando uma política baseada em identidade ou em recursos.