Praktik terbaik keamanan untuk CloudFormation - AWS CloudFormation
Gunakan IAM untuk mengontrol aksesJangan menanamkan kredensial dalam templat AndaGunakan AWS CloudTrail untuk mencatat CloudFormation panggilan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik keamanan untuk CloudFormation

AWS CloudFormation menyediakan sejumlah fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau tidak memadai untuk lingkungan Anda, perlakukan itu sebagai pertimbangan yang bermanfaat, bukan sebagai resep.

Gunakan IAM untuk mengontrol akses

IAMadalah AWS layanan yang dapat Anda gunakan untuk mengelola pengguna dan izin mereka di AWS. Anda dapat menggunakannya IAM CloudFormation untuk menentukan CloudFormation tindakan apa yang dapat dilakukan pengguna, seperti melihat templat tumpukan, membuat tumpukan, atau menghapus tumpukan. Selain itu, siapa pun yang mengelola CloudFormation tumpukan akan memerlukan izin untuk sumber daya di dalam tumpukan tersebut. Misalnya, jika pengguna ingin menggunakan CloudFormation untuk meluncurkan, memperbarui, atau menghentikan EC2 instans Amazon, mereka harus memiliki izin untuk memanggil tindakan Amazon EC2 yang relevan.

Dalam kebanyakan kasus, pengguna memerlukan akses penuh untuk mengelola semua sumber daya dalam templat. CloudFormation membuat panggilan untuk membuat, memodifikasi, dan menghapus sumber daya atas nama mereka. Untuk memisahkan izin antara pengguna dan CloudFormation layanan, gunakan peran layanan. CloudFormation menggunakan kebijakan peran layanan untuk melakukan panggilan, bukan kebijakan pengguna. Untuk informasi selengkapnya, lihat AWS CloudFormation peran layanan.

Jangan menanamkan kredensial dalam templat Anda

Daripada menyematkan informasi sensitif di CloudFormation template Anda, kami sarankan Anda menggunakan referensi dinamis di template tumpukan Anda.

Referensi dinamis menyediakan cara yang ringkas dan ampuh bagi Anda untuk mereferensikan nilai eksternal yang disimpan dan dikelola di layanan lain, seperti AWS Systems Manager Parameter Store atau AWS Secrets Manager. Ketika Anda menggunakan referensi dinamis, CloudFormation mengambil nilai referensi yang ditentukan saat diperlukan selama operasi tumpukan dan set perubahan, dan meneruskan nilai ke sumber daya yang sesuai. Namun, CloudFormation tidak pernah menyimpan nilai referensi yang sebenarnya. Untuk informasi selengkapnya, lihat Dapatkan nilai yang disimpan di layanan lain menggunakan referensi dinamis.

AWS Secrets Manager membantu Anda mengenkripsi, menyimpan, dan mengambil kredensial untuk basis data dan layanan lainnya dengan aman. AWS Systems Manager Parameter Store menyediakan penyimpanan hierarkis yang aman untuk pengelolaan data konfigurasi.

Untuk informasi lebih lanjut tentang menentukan parameter templat , lihat CloudFormation template Parameters sintaksis.

Gunakan AWS CloudTrail untuk mencatat CloudFormation panggilan

AWS CloudTrail melacak siapa pun yang membuat CloudFormation API panggilan di Anda Akun AWS. APIpanggilan dicatat setiap kali ada yang menggunakan CloudFormation API, CloudFormation konsol, konsol back-end, atau CloudFormation AWS CLI perintah. Aktifkan logging dan tentukan bucket Amazon S3 untuk menyimpan log. Dengan begitu, jika Anda perlu melakukannya, Anda dapat meng-audit siapa yang membuat panggilan CloudFormation di akun Anda. Untuk informasi selengkapnya, lihat Pencatatan AWS CloudFormation API panggilan dengan AWS CloudTrail.