適用於Cloudformation的最低特權AWS IAM策略
[英]Least privilege AWS IAM policy for cloudformation
問題描述
對於小型CloudFormation和CodePipeline模板,我們可以“嘗試-測試”以獲得所需角色的最低特權IAM策略。
這通常涉及:
- 從最小的政策開始
- 創建堆棧
- 它失敗-堆棧沒有對someService:someAction的權限
- 將服務操作添加到策略中
- 更新堆棧,然后重試
對於較大的CloudFormation模板,此方法太耗時。
您如何制定最低特權IAM策略 ?
想法:
允許使用“ *”,然后為事件抓取cloudtrail並為列出的事件構建映射到它們的等效角色-然后將角色減少為僅在cloudtrail日志中列出的角色。
如果您可以將操作隔離為一個用戶名,則將有所幫助
訪問顧問
1 個解決方案
解決方案1
3 已采納 2017-01-24 16:52:58
授予最低特權是一個有據可查的IAM最佳實踐 。 該文檔建議使用Access Advisor選項卡確定應用程序實際上正在使用哪些服務(大概在測試階段使用更廣泛的權限集)來逐步添加特定權限:
從最低限度的權限集開始並根據需要授予其他權限是比較安全的,而不是從過分寬松的權限開始,然后再嘗試收緊它們。
定義正確的權限集需要進行一些研究,以確定特定任務所需的內容,特定服務支持的操作以及執行這些操作所需的權限。
一個可以幫助解決此問題的功能是“ 訪問顧問”選項卡,每當您檢查用戶,組,角色或策略時,該選項都可以在IAM控制台的“ 摘要”頁面上找到 。 該選項卡包含有關用戶,組,角色或任何使用策略的人實際使用哪些服務的信息。 您可以使用此信息來標識不必要的權限,以便可以優化IAM策略以更好地遵循最小特權原則。 有關更多信息,請參見服務最后訪問的數據 。
這種方法類似於為特定IAM角色/應用程序生成的API事件抓取CloudTrail,盡管后者可能更難篩選整個事件流以查找相關事件,而Access Advisor列表已針對您。
設置Lambda以創建不帶IAM策略的AWS CloudFormation
[英]Setting up Lambda to Create AWS CloudFormation without IAM Policy
AWS IAM 策略基於父 Cloudformation 限制對資源的訪問
[英]AWS IAM Policy restrict access to resources based on parent Cloudformation
如何在 IAM 政策文檔中使用 AWS CloudFormation 偽參數
[英]How to use AWS CloudFormation pseudoparameter inside IAM Policy Document
AWS CloudFormation IAM策略和SQS策略似乎具有相似的設置,但不確定為什么?
[英]AWS CloudFormation IAM policy and SQS policy seems to have similar settings, but not sure why?
AWS:如何將策略附加到 IAM 用戶,授予他創建已驗證身份而不訪問根身份的權限?
[英]AWS: How to attach a policy to an IAM user that grants him the privilege to create a verified identity and not access root identities?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
AWS Cloudformation IAM策略與資源
使用cloudformation創建AWS IAM策略
Cloudformation IAM政策
設置Lambda以創建不帶IAM策略的AWS CloudFormation
AWS IAM 策略基於父 Cloudformation 限制對資源的訪問
如何在 IAM 政策文檔中使用 AWS CloudFormation 偽參數
AWS CloudFormation IAM策略和SQS策略似乎具有相似的設置,但不確定為什么?
AWS:如何將策略附加到 IAM 用戶,授予他創建已驗證身份而不訪問根身份的權限?
AWS:CodePipeline的IAM政策?
SQS的AWS IAM策略
相關標簽