本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 後續步驟 您可以使用本指南中的資訊和範例,開始在組織中套用最低權限原則。建議您檢閱 [Resources](resources.md)區段中的其他資源,其中包含可協助您精簡政策的文件參考和工具。 本指南旨在協助您開始實作 的最低權限存取權 AWS CloudFormation。不過,還有其他類型的政策可協助您強化組織中最低權限的原則。根據您的環境和業務需求,您可能想要實作本指南中未討論的其他控制項。下一步和如需詳細資訊,建議您檢閱下列與最低權限和設定存取和許可相關的主題: + [IAM 實體的許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) + [服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) + [跨帳戶存取的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html#role_cross-account) + [聯合身分](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html#id-federation) + [檢視 IAM 的上次存取資訊](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) 下列工具可協助您監控 CloudFormation 的最低權限存取和許可: + [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) + 您可以使用 AWS Identity and Access Management (IAM) 主控台中的 [Access Advisor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) 索引標籤來識別 IAM 身分的過多許可。如需範例,請參閱[使用 S3 動作的存取歷史記錄 (部落格文章) 來強化 IAM 使用者和角色的 S3 許可](https://aws.amazon.com/blogs/security/tighten-s3-permissions-iam-users-and-roles-using-access-history-s3-actions/)。AWS + 您可以使用 linting 工具,例如 [cfn-policy-validator](https://github.com/awslabs/aws-cloudformation-iam-policy-validator) (GitHub),以協助識別過多的許可。 當您習慣建立和管理 CloudFormation 許可時,建議您使用持續整合和持續交付 (CI/CD) 管道來部署 CloudFormation 範本。這可降低人為錯誤的風險,並加快您的部署程序。