[英]Least privilege AWS IAM policy for cloudformation
對於小型CloudFormation和CodePipeline模板,我們可以“嘗試-測試”以獲得所需角色的最低特權IAM策略。
這通常涉及:
對於較大的CloudFormation模板,此方法太耗時。
您如何制定最低特權IAM策略 ?
想法:
允許使用“ *”,然后為事件抓取cloudtrail並為列出的事件構建映射到它們的等效角色-然后將角色減少為僅在cloudtrail日志中列出的角色。
如果您可以將操作隔離為一個用戶名,則將有所幫助
訪問顧問
授予最低特權是一個有據可查的IAM最佳實踐 。 該文檔建議使用Access Advisor選項卡確定應用程序實際上正在使用哪些服務(大概在測試階段使用更廣泛的權限集)來逐步添加特定權限:
從最低限度的權限集開始並根據需要授予其他權限是比較安全的,而不是從過分寬松的權限開始,然后再嘗試收緊它們。
定義正確的權限集需要進行一些研究,以確定特定任務所需的內容,特定服務支持的操作以及執行這些操作所需的權限。
一個可以幫助解決此問題的功能是“ 訪問顧問”選項卡,每當您檢查用戶,組,角色或策略時,該選項都可以在IAM控制台的“ 摘要”頁面上找到 。 該選項卡包含有關用戶,組,角色或任何使用策略的人實際使用哪些服務的信息。 您可以使用此信息來標識不必要的權限,以便可以優化IAM策略以更好地遵循最小特權原則。 有關更多信息,請參見服務最后訪問的數據 。
這種方法類似於為特定IAM角色/應用程序生成的API事件抓取CloudTrail,盡管后者可能更難篩選整個事件流以查找相關事件,而Access Advisor列表已針對您。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.