최소 권한 AWS 클라우드 정보 용 IAM 정책

Question

CloudFormation 및 CodePipeline 템플릿의 경우 필요한 역할에 대한 최소 권한 IAM 정책을 얻기 위해 "테스트 - 테스트"할 수 있습니다.

이 일반적으로 포함 :

• 최소한의 정책 그것은 실패 스택
• 만들기
• 시작 - 스택 someService에 대한 권한이 없습니다 :에 서비스 조치를 추가 someAction
• 을 정책
• 스택을 업데이트하고 다시 시도하십시오.

이 방법은 큰 CloudFormation 템플릿의 경우 너무 많은 시간이 소요됩니다.
어떻게 개발하십니까 최소 권한 IAM 정책?

아이디어 :

• 이벤트 cloudtrail을 긁어과 동등한 역할에 나열된 이벤트에 대한지도를 구축 한 후 "*"허용하고 - 다음 cloudtrail 로그에 나열된 만에 역할을 줄일 수 있습니다.

  • 사용자 이름에 이르기까지 작업을 분리 할 수있는 경우이 잘 문서화 IAM Best Practice입니다 https://github.com/byu-oit-appdev/aws-cloudwatch-parse

• 액세스 고문

Answer 1

Grant least privilege

을하는 데 도움이됩니다. 문서는 점진적으로 실제로 (아마도 테스트 단계에서 권한의 광범위한 세트를 사용하여) 응용 프로그램에서 사용되는 서비스를 확인하기 위해 Access Advisor 탭을 사용하여, 특정 권한을 추가 할 것을 권장합니다 :

그것은 시작하는 더 안전이다 최소의 권한 집합을 사용하고 필요에 따라 추가 사용 권한을 부여하는 것은 너무 관대 한 사용 권한으로 시작한 다음 나중에 강화하려고 시도하는 것이 아닙니다.

올바른 권한 집합을 정의하려면 특정 작업에 필요한 항목, 특정 서비스가 지원하는 작업 및 이러한 작업을 수행하는 데 필요한 권한을 결정하기위한 조사가 필요합니다.

사용자, 그룹, 역할 또는 정책을 검사 할 때마다 요약 페이지 페이지에서 사용할 수있는 Access Advisor 탭이 하나의 기능입니다. 이 탭에는 사용자, 그룹, 역할 또는 정책을 사용하는 모든 사람이 실제로 사용하는 서비스에 대한 정보가 포함됩니다. 이 정보를 사용하여 불필요한 권한을 식별함으로써 IAM 정책을 수정하여 최소 권한 원칙을보다 잘 준수 할 수 있습니다. 자세한 내용은 Service Last Accessed Data을 참조하십시오.

이 방법은 액세스 반면 후자는, 관련 이벤트를 찾기 위해 전체 이벤트 스트림을 통해 필터링하는 것이 더 어려울 수도 있지만, 특정 IAM 역할/응용 프로그램에 의해 생성 된 API 이벤트 CloudTrail을 긁어 유사하다 어드바이저 목록은 이미 필터링되어 있습니다.