本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 的最低權限許可最佳實務 AWS CloudFormation 本指南會檢閱不同的方法和某些類型的政策,您可以使用這些政策來設定透過 CloudFormation 佈建之 AWS CloudFormation 和資源的最低權限存取。本指南著重於透過 IAM 主體、服務角色和堆疊政策設定對 CloudFormation 的存取。包含的建議和最佳實務旨在協助保護您的帳戶和堆疊資源不受授權使用者和可能利用過多許可的惡意人士的意外動作影響。 以下是本指南中說明的最佳實務摘要。這些最佳實務可協助您在設定使用 CloudFormation 的許可以及透過 CloudFormation 佈建的資源時遵循最低權限原則: + 判斷使用者和團隊需要使用 CloudFormation 服務的存取層級,並僅授予所需的最低存取。例如,將檢視存取權授予內部人員和稽核人員,不允許這些類型的使用者建立、更新或刪除堆疊。 + 對於需要 AWS 透過 CloudFormation 堆疊佈建多種資源類型的 IAM 主體,請考慮使用服務角色來允許 CloudFormation 代表主體佈建資源,而不是設定對主體身分型政策 AWS 服務 中資源的存取。 + 在 IAM 主體的身分型政策中,使用 `cloudformation:RoleARN` 條件金鑰來控制哪些 CloudFormation 服務角色可以傳遞。 + 為了協助防止權限提升,請執行下列動作: + 嚴格監控有權存取 CloudFormation 服務的所有 IAM 主體及其擁有的存取層級。 + 嚴格監控哪些使用者可以存取這些 IAM 主體。 + 監控可將特殊權限服務角色傳遞給 CloudFormation 的 IAM 主體活動。雖然他們可能沒有透過身分型政策建立 IAM 資源的許可,但他們可以傳遞的服務角色可以建立 IAM 資源。 + 每當您建立具有重要資源的堆疊時,請指定堆疊政策。這有助於保護關鍵堆疊資源免於發生可能導致這些資源中斷或遭到取代的意外更新。 + 如需透過 CloudFormation 佈建的資源,請參閱該服務的存取管理建議和安全性最佳實務。 + 若要補充本指南中有關以身分為基礎的政策和以資源為基礎的政策的建議,請考慮針對最低權限許可實作額外的安全控制,例如服務控制政策 SCPs) 和許可界限。如需詳細資訊,請參閱[後續步驟](next-steps.md)。 CloudFormation 文件包含其他[最佳實務](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/best-practices.html)和[安全最佳實務](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/security-best-practices.html),可協助您更有效地安全地使用 CloudFormation。此外,請參閱本指南[針對最低權限 CloudFormation 存取設定身分型政策的最佳實務](best-practices-identity-based-policies.md)中的 。