Prácticas recomendadas de seguridad para CloudFormation - AWS CloudFormation

Prácticas recomendadas de seguridad para CloudFormation

AWS CloudFormation proporciona un número de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

Utilice IAM para controlar el acceso

IAM es un servicio de AWS que puede utilizar para administrar los usuarios y sus permisos en AWS. Puede utilizar IAM con CloudFormation para especificar qué acciones de CloudFormation pueden realizar los usuarios, como ver plantillas de pila, crear pilas o eliminar pilas. Además, cualquiera que administre pilas de CloudFormation necesitará permisos para acceder a los recursos de dichas pilas. Por ejemplo, si los usuarios desean usar CloudFormation para lanzar, actualizar o terminar instancias Amazon EC2, deben tener permiso para llamar a las acciones de Amazon EC2 pertinentes.

En la mayoría de los casos, los usuarios requieren acceso completo para administrar todos los recursos de una plantilla. CloudFormation realiza llamadas para crear, modificar y eliminar esos recursos en su nombre. Para separar los permisos entre el usuario y el servicio de CloudFormation, utilice un rol de servicio. CloudFormation utiliza la política del rol de servicio para realizar llamadas en lugar de la política del usuario. Para obtener más información, consulte Rol de servicio AWS CloudFormation.

No integre credenciales en sus plantillas

En lugar de incrustar información confidencial en sus plantillas de CloudFormation, le recomendamos que utilice referencias dinámicas en su plantilla de pila.

Las referencias dinámicas son una forma eficaz y coherente de hacer referencia a valores externos almacenados y administrados en otros servicios, como AWS Systems Manager Parameter Store o AWS Secrets Manager. Cuando se utiliza una referencia dinámica, CloudFormation recupera el valor de la referencia especificada cuando es necesario durante las operaciones de pila y de conjunto de cambios, y pasa el valor al recurso correspondiente. Sin embargo, CloudFormation no almacena nunca el valor de referencia real. Para obtener más información, consulte Obtención de valores almacenados en otros servicios con referencias dinámicas.

AWS Secrets Manager ayuda a cifrar, almacenar y recuperar de forma segura las credenciales de sus bases de datos y otros servicios. AWS Systems Manager Parameter Store proporciona un almacenamiento seguro y jerárquico para administrar los datos de configuración.

Para obtener más información sobre cómo definir parámetros de plantillas, consulte Referencia sintáctica de la sección Parameters para las plantillas de CloudFormation.

Uso de AWS CloudTrail para registrar llamadas a CloudFormation

AWS CloudTrail realiza un seguimiento a cualquier persona que realice llamadas a la API de CloudFormation en su Cuenta de AWS. Las llamadas a la API se registran cuando se utiliza la API de CloudFormation, la consola de CloudFormation, una consola de backend o comandos de la AWS CLI de CloudFormation. Active el registro y especifique un bucket de Amazon S3 para almacenar los registros. De ese modo, si lo necesita, puede auditar quién ha hecho cada llamada a CloudFormation en su cuenta. Para obtener más información, consulte Registro de llamadas a la API de AWS CloudFormation con AWS CloudTrail.