View a markdown version of this page

Limitação e exigência de políticas de pilha - AWS Orientação prescritiva
Concessão de permissões para anexar políticas de pilhaExigência de políticas de pilha

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Limitação e exigência de políticas de pilha

Como prática recomendada para permissões com privilégio mínimo, considere exigir que as entidades principais do IAM atribuam políticas de pilha e limitar quais políticas de pilha as entidades principais do IAM podem atribuir. Muitas entidades principais do IAM não devem ter permissões para criar e atribuir políticas de pilha personalizadas às suas próprias pilhas.

Depois de criar suas políticas de pilha, recomendamos que as carregue em um bucket do S3. Em seguida, você pode referenciar essas políticas de pilha usando a chave de condição cloudformation:StackPolicyUrl e fornecendo a URL da política de pilha no bucket do S3.

Concessão de permissões para anexar políticas de pilha

Como prática recomendada para permissões com privilégios mínimos, considere limitar quais políticas de pilha os diretores do IAM podem anexar às pilhas. CloudFormation Na política baseada em identidade para a entidade principal do IAM, você pode especificar quais políticas de pilha a entidade principal do IAM tem permissões para atribuir. Isso impede que a entidade principal do IAM anexe qualquer política de pilha, o que pode reduzir o risco de configuração incorreta.

Por exemplo, uma organização pode ter equipes diferentes com requisitos diferentes. Assim, cada equipe cria políticas de pilha para suas pilhas específicas. CloudFormation Em um ambiente compartilhado, se todas as equipes armazenarem suas políticas de pilha no mesmo bucket do S3, um membro da equipe poderá anexar uma política de pilha disponível, mas não destinada às pilhas da equipe. CloudFormation Para evitar esse cenário, você pode definir uma instrução de política que permita que as entidades principais do IAM anexem somente políticas de pilha específicas.

O exemplo de política a seguir permite que a entidade principal do IAM anexe políticas de pilha que são armazenadas em uma pasta específica da equipe em um bucket do S3. Você pode armazenar políticas de pilha aprovadas nesse bucket.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudformation:SetStackPolicy"
      ],
      "Resource": "*",
      "Condition": {
        "StringLike": {
          "cloudformation:StackPolicyUrl": "<Bucket URL>/<Team folder>/*"
        }
      }
    }
  ]
}

Essa instrução de política não exige que uma entidade principal do IAM atribua uma política de pilha a cada pilha. Mesmo que a entidade principal do IAM tenha permissões para criar pilhas com uma política de pilha específica, ele pode optar por criar uma pilha que não tenha uma política de pilha.

Exigência de políticas de pilha

Para garantir que todas as entidades principais do IAM atribuam políticas de pilha às suas pilhas, você pode definir uma política de controle de serviços (SCP) ou um limite de permissões como uma barreira de proteção preventiva.

O exemplo de política a seguir mostra como você pode configurar uma SCP que exija que as entidades principais do IAM atribuam uma política de pilha ao criar uma pilha. Se a entidade principal do IAM não anexar uma política de pilha, ela não poderá criar a pilha. Além disso, essa política impede que entidades principais do IAM com permissões de atualização de pilha removam a política de pilha durante uma atualização. A política restringe a ação cloudformation:UpdateStack usando a chave de condição cloudformation:StackPolicyUrl.


          {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudformation:CreateStack",
        "cloudformation:UpdateStack"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "cloudformation:StackPolicyUrl": "true"
        }
      }
    }
  ]
}

Ao incluir essa instrução de política em uma SCP em vez de um limite de permissões, você pode aplicar sua barreira de proteção a todas as contas da organização. Isso pode fazer o seguinte:

  1. Reduzir o esforço de anexar a política individualmente a várias entidades principais do IAM em uma Conta da AWS. Os limites de permissões só podem ser anexados diretamente a uma entidade principal do IAM.

  2. Reduzir o esforço de criar e gerenciar várias cópias do limite de permissões para diferentes Contas da AWS. Isso reduz o risco de erro de configuração em vários limites de permissões idênticos.

nota

SCPs e os limites de permissões são barreiras de permissões que definem o máximo de permissões disponíveis para diretores do IAM em uma conta ou organização. Essas políticas não concedem permissões às entidades principais do IAM. Se você quiser padronizar a exigência de que todas as entidades principais do IAM em sua conta ou organização atribuam políticas de pilha, você precisa usar tanto as barreiras de proteção de permissão quanto as políticas baseadas em identidade.