Наименьшая привилегия Политика AWS IAM для cloudformation

Question

Для небольших шаблонов CloudFormation и CodePipeline мы можем «попробовать - протестировать», чтобы получить минимальную привилегию IAM Policy для требуемых ролей.

Это, как правило, включает в себя:

• Начиная с минимальной политикой
• Создание стека
• Он терпит неудачу с - стек не имеет права на someService: SomeAction
• Добавьте действие службы в политика
• стопка обновлений и еще раз.

Этот подход слишком трудоемкий для больших шаблонов CloudFormation.
Как вы разрабатываете Политика минимального доступа IAM?

Идеи:

• Allow «*», а затем соскрести cloudtrail для событий и строить карты для перечисленных событий в эквивалентные роли - то уменьшить роль только те, которые перечислены в журналах cloudtrail.

  • Если вы можете выделить действия вплоть до имени пользователя, это поможет

  • https://github.com/byu-oit-appdev/aws-cloudwatch-parse

• Advisor доступа

Answer 1

Grant least privilege хорошо документированы IAM Best Practice. Документация рекомендует постепенно добавляя определенные разрешения, используя вкладку Access Advisor, чтобы определить, какие услуги фактически используется приложение (предположительно, используя более широкий набор разрешений на этапе тестирования):

Это более безопасно, чтобы начать с минимальный набор разрешений и предоставлять дополнительные разрешения по мере необходимости, а не начинать с разрешений, которые являются слишком снисходительными, а затем пытаться их затянуть позже.

Для определения нужного набора разрешений необходимо провести определенное исследование, чтобы определить, что требуется для конкретной задачи, какие действия поддерживает определенная служба и какие разрешения необходимы для выполнения этих действий.

Одна особенность, которая может помочь в этом вкладка Access Advisor, которая доступна на IAM консоли странице Сводка всякий раз, когда вы проверяете пользователя, группы, роли или политики. Эта вкладка содержит информацию о том, какие службы фактически используются пользователем, группой, ролью или кем-либо, использующим политику. Вы можете использовать эту информацию, чтобы идентифицировать ненужные разрешения, чтобы вы могли уточнить свои политики IAM, чтобы лучше придерживаться принципа наименьших привилегий. Для получения дополнительной информации см. Service Last Accessed Data.

Этот подход аналогичен выскабливание CloudTrail для API событий, порожденных конкретной IAM ролей/приложения, хотя последний может быть более трудно фильтровать через весь поток событий для того, чтобы найти соответствующие события, в то время как доступ Список консультантов уже отфильтрован для вас.