Политика наименьших привилегий AWS IAM для cloudformation
Для небольших шаблонов CloudFormation и CodePipeline мы могли бы "попробовать-протестировать", чтобы получить наименьшую политику привилегий IAM для требуемых ролей.
Это обычно включает:
- начиная с минимальной политики
- Создание стека
- он терпит неудачу с - stack не имеет прав на someService: someAction
- Добавьте действие службы в политику
- обновите стек и повторите попытку
Этот подход слишком трудоемкий для больших облачных вычислений. Шаблоны.
Как вы разрабатываетеполитику IAM с наименьшими привилегиями ?
Идеи:
-
Разрешить "*", а затем очистить cloudtrail для событий и построить карту для перечисленных событий с их эквивалентными ролями - затем уменьшить роли только до тех, которые перечислены в журналах cloudtrail.
-
Если вы можете изолировать действия вплоть до имени пользователя это помогает
-
-
Советник Доступа
1 ответ:
Предоставление наименьших привилегий является хорошо документированной лучшей практикой IAM. Документация рекомендует постепенно добавлять определенные разрешения, используя вкладку Access Advisor , чтобы определить, какие службы фактически используются приложением (предположительно, используя более широкий набор разрешений на этапе тестирования):
Безопаснее начинать с минимального набора разрешений и предоставлять дополнительные разрешения по мере необходимости, а не начинать с разрешения, которые слишком снисходительны, а затем пытаются ужесточить их позже.
Определение правильного набора разрешений требует некоторого исследования, чтобы определить, что требуется для конкретной задачи, какие действия поддерживает конкретная служба и какие разрешения требуются для выполнения этих действий.Одна особенность, которая может помочь в этом, - это советник по доступу вкладка, которая доступна на консоли IAM сводная Страница всякий раз, когда вы проверяете пользователь, группа, роль или политика. Эта вкладка содержит сведения о том, какие службы фактически используются пользователем, группой, ролью или любым лицом, использующим политику. Вы можете использовать эту информацию для определения ненужных разрешений, чтобы можно было уточнить политику IAM, чтобы лучше придерживаться принципа наименьших привилегий. Дополнительные сведения см. В разделеданные последнего доступа к службе .
Этот подход аналогичен очистке CloudTrail для событий API, генерируемых конкретным IAM Роль / приложение, хотя последнее может быть сложнее фильтровать через весь поток событий, чтобы найти соответствующие события, в то время как список советников доступа уже фильтруется для вас.