本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 最低权限权限的最佳实践 AWS CloudFormation 本指南回顾了不同的方法和某些类型的策略,您可以使用这些方法和策略来配置对资源的最低权限访问权限 AWS CloudFormation 和通过其配置的资源。 CloudFormation本指南重点介绍 CloudFormation 通过 IAM 委托人、服务角色和堆栈策略配置访问权限。随附的建议和最佳实践旨在帮助保护您的账户和堆栈资源免受授权用户的意外操作以及可能利用过度权限的恶意操作者的侵害。 以下是本指南中介绍的最佳实践的摘要。这些最佳实践可以帮助您在配置使用权限 CloudFormation 和通过 CloudFormation以下方式配置资源时遵守最低权限原则: + 确定用户和团队需要什么级别的访问权限才能使用该 CloudFormation 服务,并仅授予所需的最低访问权限。例如,向实习生和审计员授予查看权限,且不允许这些类型的用户创建、更新或删除堆栈。 + 对于需要通过 CloudFormation 堆栈配置多种类型 AWS 资源的 IAM 委托人,可以考虑使用服务角色 CloudFormation 来允许代表委托人配置资源,而不是配置对委托人基于身份的策略 AWS 服务 中的资源的访问权限。 + 在 IAM 委托人的基于身份的策略中,使用`cloudformation:RoleARN`条件键来控制可以传递哪些 CloudFormation 服务角色。 + 为帮助防止权限升级,请执行以下操作: + 严格监控所有有权访问该 CloudFormation 服务的 IAM 委托人及其访问级别。 + 严格监控哪些用户可以访问这些 IAM 主体。 + 监控可以向其传递特权服务角色的 IAM 委托人的活动。 CloudFormation虽然他们可能无权通过基于身份的策略创建 IAM 资源,但他们可以传递的服务角色可以创建 IAM 资源。 + 只要创建具有重要资源的堆栈,就要指定堆栈策略。这可以帮助保护关键堆栈资源免受可能导致这些资源中断或替换的意外更新。 + 有关通过配置的资源 CloudFormation,请参阅该服务的访问管理建议和安全最佳实践。 + 为了补充本指南中针对基于身份的策略和基于资源的策略的建议,可以考虑对最低权限权限实施额外的安全控制,例如服务控制策略 () SCPs 和权限边界。有关更多信息,请参阅 [后续步骤](next-steps.md)。 该 CloudFormation 文档包含其他[最佳实践](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html)和[安全最佳实践](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security-best-practices.html),可帮助您 CloudFormation 更有效、更安全地使用。此外,请参阅本指南中的[为最低权限访问配置基于身份的策略的最佳实践 CloudFormation](best-practices-identity-based-policies.md)。