本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 后续步骤 您可以使用本指南中的信息和示例,开始在您的组织中应用最低权限原则。我们建议您查看[资源](resources.md)一节中的其他资源,其中包含可帮助您优化策略的文档参考和工具。 本指南旨在帮助您开始实施 AWS CloudFormation 的最低权限访问。但是,还有其他类型的策略可以帮助您在组织中加强最低权限原则。根据您的环境和业务需求,您可能要实施本指南中未讨论的额外控件。下一步以及有关更多信息,我们建议您查看以下与最低权限和配置访问和权限相关的主题: + [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) + [服务控制策略(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) + [用于跨账户访问的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html#role_cross-account) + [联合身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html#id-federation) + [查看 IAM 的上次访问信息](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) 以下工具可以帮助您监控 CloudFormation 的最低权限访问和权限: + [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) + 您可以使用 AWS Identity and Access Management(IAM)控制台中的[访问权限推荐功能](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html)选项卡,来识别 IAM 身份的过度权限。有关示例,请参阅 [Tighten S3 permissions for your IAM users and roles using access history of S3 actions](https://aws.amazon.com/blogs/security/tighten-s3-permissions-iam-users-and-roles-using-access-history-s3-actions/)(AWS 博客文章)。 + 您可以使用检查工具 [例如 [cfn-policy-validator](https://github.com/awslabs/aws-cloudformation-iam-policy-validator)(GitHub)],来帮助识别过多的权限。 在您熟悉创建和管理 CloudFormation 权限后,建议您使用持续集成和持续交付(CI/CD)管线来部署您的 CloudFormation 模板。这降低了人为错误的风险,并加快了部署过程。