Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Referenz zur Richtlinienprüfung von Access Analyzer

Sie können Ihre Richtlinien mithilfe der AWS Identity and Access Management Access Analyzer Richtlinienvalidierung validieren. Sie können eine Richtlinie mithilfe des AWS CLI AWS API- oder JSON-Richtlinieneditors in der IAM-Konsole erstellen oder bearbeiten. IAM Access Analyzer validiert Ihre Richtlinie anhand der IAM-Richtliniengrammatik und anhand von bewährten Methoden für AWS. Sie können die Ergebnisse der Richtlinienvalidierung anzeigen, die Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge für Ihre Richtlinie enthalten. Diese Ergebnisse enthalten verwertbare Empfehlungen, mit denen Sie Richtlinien erstellen können, die funktionsfähig sind und den bewährten Sicherheitsmethoden entsprechen. Die grundlegenden Richtlinienüberprüfungen, die von IAM Access Analyzer bereitgestellt werden, sind unten aufgeführt. Für die Durchführung von Richtlinienvalidierungsprüfungen fallen keine zusätzlichen Gebühren an. Weitere Informationen zum Validieren von Richtlinien mit der Richtlinienvalidierung finden Sie unter Validieren von Richtlinien mit IAM Access Analyzer.

Fehler – ARN Konto nicht zulässig

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."

Beheben des Fehlers

Entfernen Sie die Konto-ID aus dem Ressourcen-ARN. Die Ressource ARNs für einige AWS Dienste unterstützt die Angabe einer Konto-ID nicht.

Amazon S3 unterstützt beispielsweise keine Konto-ID als Namespace im Bucket ARNs. Ein Amazon S3 S3-Bucket-Name ist weltweit eindeutig, und der Namespace wird von allen AWS Konten gemeinsam genutzt. Um alle in Amazon S3 verfügbaren Ressourcentypen zu sehen, siehe Ressourcentypen, die von Amazon S3 definiert werden, in der Service Authorization Reference.

Verwandte Begriffe

Fehler – ARN Region nicht zulässig

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."

Beheben des Fehlers

Entfernen Sie die Region aus der Ressourcen-ARN. Die Ressource ARNs für einige AWS Dienste unterstützt die Angabe einer Region nicht.

IAM ist beispielsweise ein globaler Service. Der Regionsteil eines IAM-Ressourcen-ARN wird immer leer gehalten. IAM-Ressourcen sind global, genau wie ein AWS Konto heute. Nachdem Sie sich beispielsweise als IAM-Benutzer angemeldet haben, können Sie auf AWS Dienste in jeder geografischen Region zugreifen.

Fehler – Datentyp stimmt nicht überein

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Data type mismatch: The text does not match the expected JSON data type {{data_type}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The text does not match the expected JSON data type {{data_type}}."

Beheben des Fehlers

Aktualisieren Sie den Text, um den unterstützten Datentyp zu verwenden.

Zum Beispiel, das Version-Globale Bedingungsschlüssel erfordert einen String-Datentyp. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.

Verwandte Begriffe

Fehler – Doppelte Schlüssel mit unterschiedlicher Groß- und Kleinschreibung

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."

Beheben des Fehlers

Überprüfen Sie die ähnlichen Bedingungsschlüssel innerhalb desselben Bedingungsblocks und verwenden Sie dieselbe Großschreibung für alle Instances.

A Bedingungsblock ist der Text innerhalb des Condition-Element einer Policy-Anweisung. Bei Namen von Bedingungsschlüsseln wird die Groß- und Kleinschreibung nicht beachtet. Die Groß-/Kleinschreibung der Werte von Bedingungsschlüsseln hängt vom verwendeten Bedingungsoperator ab. Weitere Hinweise zur Berücksichtigung von Groß- und Kleinschreibung in Bedingungsschlüssel finden Sie unter IAM-JSON-Richtlinienelemente: Condition.

Verwandte Begriffe

Fehler – Ungültige Aktion

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"

Beheben des Fehlers

Die angegebene Aktion ist ungültig. Dies kann passieren, wenn Sie das Servicepräfix oder den Aktionsnamen falsch eingeben. Bei einigen häufig auftretenden Problemen gibt die Richtlinienprüfung eine vorgeschlagene Aktion zurück.

Verwandte Begriffe

AWS verwaltete Richtlinien mit diesem Fehler

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Die folgenden AWS verwalteten Richtlinien enthalten ungültige Aktionen in ihren Richtlinienerklärungen. Ungültige Aktionen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Wenn Sie eine AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer verwalteten Richtlinie verwenden, AWS empfiehlt Ihnen, ungültige Aktionen aus Ihrer Richtlinie zu entfernen.

Fehler – Ungültiges ARN Konto

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."

Beheben des Fehlers

Aktualisieren Sie die Konto-ID im Ressourcen-ARN. Konten IDs bestehen aus 12-stelligen Ganzzahlen. Wie du deine Konto-ID einsehen kannst, erfährst du unter Deine AWS Konto-ID finden.

Verwandte Begriffe

Fehler – Ungültiges ARN Präfix

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add the required prefix (arn) to the resource ARN."

Beheben des Fehlers

AWS Die Ressource ARNs muss das erforderliche arn: Präfix enthalten.

Verwandte Begriffe

Fehler – Ungültige ARN Region

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."

Beheben des Fehlers

Der Ressourcentyp wird in der angegebenen Region nicht unterstützt. Eine Tabelle der in den einzelnen Regionen unterstützten AWS Dienste finden Sie in der Regionentabelle.

Verwandte Begriffe

Fehler – Ungültige ARN Ressource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."

Beheben des Fehlers

Der Ressourcen-ARN muss mit den Spezifikationen für bekannte Ressourcentypen übereinstimmen. Informationen zum erwarteten ARN-Format für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service aus, um seine Ressourcentypen und ARN Formate anzuzeigen.

Verwandte Begriffe

Fehler – Ungültiger ARN -Servicefall

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."

Beheben des Fehlers

Das Service im Ressourcen-ARN muss mit den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Servicepräfixe übereinstimmen. Informationen zum Anzeigen des Präfixes für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.

Verwandte Begriffe

Fehler – Ungültiger Bedingungsdatentyp

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."

Beheben des Fehlers

Der Wert im Bedingungsschlüssel-Wert-Paar muss mit dem Datentyp des Bedingungsschlüssels und des Bedingungsoperators übereinstimmen. Informationen zum Datentyp des Bedingungsschlüssels für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.

Der globale Bedingungsschlüssel CurrentTime unterstützt zum Beispiel den Date-Bedingungsoperator. Wenn Sie eine Zeichenfolge oder eine Ganzzahl für den Wert im Bedingungsblock angeben, stimmt der Datentyp nicht überein.

Verwandte Begriffe

Fehler – Ungültiges Bedingungsschlüsselformat

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid condition key format: The condition key format is not valid. Use the format service:keyname.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition key format is not valid. Use the format service:keyname."

Beheben des Fehlers

Der Schlüssel im Zustands-Schlüssel-Wert-Paar muss mit den Spezifikationen für das Service übereinstimmen. Informationen zum Anzeigen der Bedingungsschlüssel für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.

Verwandte Begriffe

Fehler – Ungültige Bedingung mehrere boolesche Werte

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."

Beheben des Fehlers

Der Schlüssel im Bedingungsschlüssel-Wert-Paar erwartet einen einzelnen booleschen Wert. Wenn Sie mehrere boolesche Werte angeben, gibt die Bedingungsübereinstimmung möglicherweise nicht die erwarteten Ergebnisse zurück.

Informationen zum Anzeigen der Bedingungsschlüssel für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.

Fehler – Ungültiger Bedingungsoperator

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."

Beheben des Fehlers

Aktualisieren Sie die Bedingung, um einen unterstützten Bedingungsoperator zu verwenden.

Verwandte Begriffe

Fehler – Ungültiger Effekt

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."

Beheben des Fehlers

Aktualisieren des Effect-Element, um einen gültigen Effekt zu verwenden. Gültige Werte für Effect sind Allow und Deny.

Verwandte Begriffe

Fehler – Ungültiger -Bedingungsschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."

Beheben des Fehlers

Aktualisieren Sie den Bedingungsschlüssel im Bedingungsschlüssel-Wert-Paar, um einen unterstützten globalen Bedingungsschlüssel zu verwenden.

Globale Bedingungsschlüssel sind Bedingungsschlüssel mit einem aws: Präfix. AWS Dienste können globale Bedingungsschlüssel unterstützen oder dienstspezifische Schlüssel bereitstellen, die ihr Dienstpräfix enthalten. Beispielsweise enthalten IAM-Bedingungsschlüssel das iam:-Präfix. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie dort den Dienst aus, dessen Schlüssel Sie anzeigen möchten.

Verwandte Begriffe

Fehler – Ungültige Partition

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"

Beheben des Fehlers

Aktualisieren Sie den Ressourcen-ARN, um eine unterstützte Partition einzuschließen. Wenn Sie eine unterstützte Partition enthalten, unterstützt das Service oder die Ressource die Partition, die Sie enthalten haben, möglicherweise nicht.

Eine Partition ist eine Gruppe von AWS Regionen. Jedes AWS Konto ist auf eine Partition beschränkt. Verwenden Sie in klassischen Regionen die aws-Partition. Verwenden Sie in China-Regionen aws-cn.

Verwandte Begriffe

Fehler – Ungültiges Richtlinienelement

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid policy element: The policy element {{element}} is not valid.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The policy element {{element}} is not valid."

Beheben des Fehlers

Aktualisieren Sie die Richtlinie, um nur unterstützte JSON-Richtlinienelemente einzuschließen.

Verwandte Begriffe

Fehler – Ungültiges Prinzipalformat

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."

Beheben des Fehlers

Aktualisieren Sie den Prinzipal, um ein unterstütztes Schlüssel-Wert-Paarformat zu verwenden.

Sie können in einer ressourcenbasierten Richtlinie einen Prinzipal angeben, aber keine identitätsbasierte Richtlinie.

Um beispielsweise den Zugriff für alle Benutzer eines AWS Kontos zu definieren, verwenden Sie in Ihrer Richtlinie den folgenden Grundsatz:

"Principal": { "AWS": "123456789012" }

Verwandte Begriffe

Fehler – Ungültiger Prinzipalschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid principal key: The principal key {{principal-key}} is not valid.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The principal key {{principal-key}} is not valid."

Beheben des Fehlers

Aktualisieren Sie den Schlüssel im Hauptschlüssel-Wert-Paar, um einen unterstützten Prinzipalschlüssel zu verwenden. Die folgenden Hauptschlüssel werden unterstützt:

Verwandte Begriffe

Fehler – Ungültiger Bereich

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."

Beheben des Fehlers

Aktualisieren Sie den Wert des Bedingungsschlüssel-Wert-Paars, um eine unterstützte Region einzuschließen. Eine Tabelle der in den einzelnen Regionen unterstützten AWS Dienste finden Sie in der Regionentabelle.

Verwandte Begriffe

Fehler – Ungültiges Service

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid service: The service {{service}} does not exist. Use a valid service name.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The service {{service}} does not exist. Use a valid service name."

Beheben des Fehlers

Das Servicepräfix im Aktions- oder Bedingungsschlüssel muss mit den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Servicepräfixe übereinstimmen. Informationen zum Anzeigen des Präfixes für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.

Verwandte Begriffe

Fehler – Ungültiger Service-Bedingungsschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."

Beheben des Fehlers

Aktualisieren Sie den Schlüssel im Bedingungsschlüssel-Wert-Paar, um einen bekannten Bedingungsschlüssel für das Service zu verwenden. Globale Bedingungsschlüssel sind Bedingungsschlüssel mit einem aws-Präfix. AWS -Services können servicespezifische Schlüssel bereitstellen, die das Service-Präfix enthalten. Informationen zum Anzeigen des Präfixes für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste.

Verwandte Begriffe

Fehler – Ungültiges Service in Aktion

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"

Beheben des Fehlers

Das Servicepräfix in der Aktion muss mit den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Servicepräfixe übereinstimmen. Informationen zum Anzeigen des Präfixes für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.

Verwandte Begriffe

Fehler – Ungültige Variable für den Operator

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid variable for operator: Policy variables can only be used with String and ARN operators.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Policy variables can only be used with String and ARN operators."

Beheben des Fehlers

Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden. Bedingungen unterstützen Variablen, wenn Sie String-Operatoren oder ARN Operatoren verwenden. String-Operatoren beinhalten StringEquals, StringLike und StringNotLike. ARN-Operatoren beinhalten ArnEquals und ArnLike. Sie können eine Richtlinienvariable nicht mit anderen Operatoren verwenden, z. B. mit numerischen, Datums-, booleschen, binären, IP-Adress- oder Null-Operatoren.

Verwandte Begriffe

Ungültige Version

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"

Beheben des Fehlers

Das Version Policy-Element gibt die Sprachsyntaxregeln an, die zur Verarbeitung einer Richtlinie AWS verwendet werden. Um alle verfügbaren Richtlinienfunktionen zu nutzen, fügen Sie das folgende Element Version vor dem Element Statement in alle Ihre Richtlinien ein.

"Version": "2012-10-17"

Verwandte Begriffe

Fehler – Json-Syntaxfehler

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."

Beheben des Fehlers

Ihre Richtlinie enthält einen Syntaxfehler. Überprüfen Sie Ihre JSON-Syntax.

Verwandte Begriffe

Fehler – Json-Syntaxfehler

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Json syntax error: Fix the JSON syntax error.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Fix the JSON syntax error."

Beheben des Fehlers

Ihre Richtlinie enthält einen Syntaxfehler. Überprüfen Sie Ihre JSON-Syntax.

Verwandte Begriffe

Fehler – Fehlende Aktion

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing action: Add an Action or NotAction element to the policy statement.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add an Action or NotAction element to the policy statement."

Beheben des Fehlers

AWS JSON-Richtlinien müssen ein Action NotAction OR-Element enthalten.

Verwandte Begriffe

Fehler – Fehlendes ARN Feld

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"

Beheben des Fehlers

Alle Felder im Ressourcen-ARN müssen mit den Spezifikationen für einen bekannten Ressourcentyp übereinstimmen. Informationen zum erwarteten ARN-Format für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service aus, um seine Ressourcentypen und ARN Formate anzuzeigen.

Verwandte Begriffe

Fehler – Fehlende ARN Region

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing ARN Region: Add a Region to the {{service}} resource ARN.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add a Region to the {{service}} resource ARN."

Beheben des Fehlers

Die Ressource ARNs für die meisten AWS Dienste erfordert, dass Sie eine Region angeben. Eine Tabelle der in den einzelnen Regionen unterstützten AWS Dienste finden Sie in der Regionentabelle.

Verwandte Begriffe

Fehler – Fehlender Effekt

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."

Beheben des Fehlers

AWS JSON-Richtlinien müssen ein Effect Element mit dem Wert Allow und Deny enthalten.

Verwandte Begriffe

Fehler – Fehlender Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing principal: Add a Principal element to the policy statement.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add a Principal element to the policy statement."

Beheben des Fehlers

Ressourcenbasierte Richtlinien müssen einen Principal-Element.

Um beispielsweise den Zugriff für alle Benutzer eines AWS Kontos zu definieren, verwenden Sie in Ihrer Richtlinie den folgenden Grundsatz:

"Principal": { "AWS": "123456789012" }

Verwandte Begriffe

Fehler – Fehlender Qualifizierer

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."

Beheben des Fehlers

Im Condition-Element formulieren Sie Ausdrücke, in denen Sie Bedingungsoperatoren verwenden (gleich, kleiner als usw.), um die Bedingungsschlüssel und -werte der Richtlinie mit den Schlüsseln und Werten in der Anforderungen abzugleichen. Bei Anforderungen, die mehrere Werte für einen einzelnen Schlüssel enthalten, müssen Sie die Bedingungen in Klammern, wie in einem Array ("Key2": ["Value2A", "Value2B"]), einschließen. Sie müssen zudem die Satzoperatoren ForAllValues oder ForAnyValue mit dem StringLike Bedingungsoperator verwenden. Diese Qualifizierer fügen die Set-Operationen zum Bedingungsoperator hinzu, sodass Sie mehrere Anforderungswerte mit mehreren Bedingungswerten testen können.

Verwandte Begriffe

AWS verwaltete Richtlinien mit diesem Fehler

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Bei den folgenden AWS verwalteten Richtlinien fehlt in ihren Richtlinienerklärungen ein Kennzeichner für Bedingungsschlüssel. Wenn Sie die AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer vom Kunden verwalteten Richtlinie verwenden, AWS empfiehlt Ihnen, Ihrem Condition Element die Schlüsselqualifikatoren ForAllValues oder die ForAnyValue Bedingung hinzuzufügen.

Fehler – Fehlende Ressource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing resource: Add a Resource or NotResource element to the policy statement.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add a Resource or NotResource element to the policy statement."

Beheben des Fehlers

Alle Richtlinien außer Rollenvertrauensrichtlinien müssen ein Resource- oder NotResource-Element enthalten.

Verwandte Begriffe

Fehler – Fehlende Anweisung

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing statement: Add a statement to the policy

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add a statement to the policy"

Beheben des Fehlers

Eine JSON-Richtlinie muss eine Anweisung enthalten.

Verwandte Begriffe

Fehler – Null mit, wenn vorhanden

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."

Beheben des Fehlers

Sie können IfExists an das Ende des Namens eines beliebigen Bedingungsoperators mit Ausnahme des Bedingungsoperators Null anfügen. Verwenden Sie den Bedingungsoperator Null, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung vorhanden ist. Verwenden Sie ...ifExists, um zu sagen: "Wenn der Richtlinienschlüssel im Kontext der Anforderung vorhanden ist, verarbeiten Sie den Schlüssel wie in der Richtlinie angegeben. Wenn der Schlüssel nicht vorhanden ist, wird das Bedingungselement als "true" ausgewertet.

Verwandte Begriffe

Fehler – SCP-Syntaxfehleraktion Platzhalter

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."

Beheben des Fehlers

AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen die Angabe von Werten in den NotAction Elementen Action oder. Diese Werte können jedoch Platzhalter (*) nur am Ende der Zeichenfolge enthalten. Dies bedeutet, dass Sie iam:Get* aber nicht iam:*role auswählen können.

Um mehrere Aktionen anzugeben, AWS empfiehlt es sich, diese einzeln aufzulisten.

Verwandte Begriffe

Fehler – SCP-Syntaxfehler erlaubt Bedingung

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."

Beheben des Fehlers

AWS Organizations Service Control-Richtlinien (SCPs) unterstützen die Angabe von Werten im Condition Element nur, wenn Sie Folgendes verwenden"Effect": "Deny".

Um nur eine einzige Aktion zuzulassen, können Sie den Zugriff auf alles außer der Bedingung verweigern, die Sie mit der ...NotEquals-Version eines Bedingungsoperators angeben. Dies negiert den Vergleich des Operators.

Verwandte Begriffe

Fehler — SCP-Syntaxfehler zulassen NotAction

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."

Beheben des Fehlers

AWS Organizations Richtlinien zur Dienststeuerung (SCPs) unterstützen die Verwendung des NotAction Elements with "Effect": "Allow" nicht.

Sie müssen die Logik neu schreiben, um eine Liste von Aktionen zuzulassen oder jede Aktion abzulehnen, die nicht aufgeführt ist.

Verwandte Begriffe

Fehler – SCP-Syntaxfehler erlaubt Ressource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."

Beheben des Fehlers

AWS Organizations Service Control-Richtlinien (SCPs) unterstützen die Angabe von Werten im Resource Element nur, wenn Sie Folgendes verwenden"Effect": "Deny".

Sie müssen die Logik neu schreiben, um alle Ressourcen zuzulassen oder jede aufgelistete Ressource zu verweigern.

Verwandte Begriffe

Fehler — SCP-Syntaxfehler NotResource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."

Beheben des Fehlers

AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen das NotResource Element nicht.

Sie müssen die Logik neu schreiben, um alle Ressourcen zuzulassen oder jede aufgelistete Ressource zu verweigern.

Verwandte Begriffe

Fehler – SCP-Syntaxfehler-Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."

Beheben des Fehlers

AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen die NotPrincipal Elemente Principal oder nicht.

Sie können den Amazon Resource Name (ARN) über den aws:PrincipalArn-globalen Bedingungsschlüssel im Condition-Element angeben.

Verwandte Begriffe

Fehler – Eindeutige Sids erforderlich

Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:

Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."

Beheben des Fehlers

Bei einigen Richtlinientypen IDs muss die Aussage eindeutig sein. Die Sid (Statement-ID) ist eine optionale ID, die Sie in die Richtlinie aufnehmen können. Sie können jeder Anweisung in einem Anweisungsarray einen Anweisungs-ID-Wert zuweisen, indem Sie das SID-Element verwenden. Bei Services, die die Angabe eines ID-Elements zulassen, wie z. B. SQS und SNS, ist der Wert Sid lediglich eine Sub-ID der ID des Richtliniendokuments. In IAM muss der Sid-Wert innerhalb einer JSON-Richtlinie eindeutig sein.

Verwandte Begriffe

Fehler - Nicht unterstützte Aktion in der Richtlinie

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Beheben des Fehlers

Einige Aktionen werden im Action-Element in der ressourcenbasierten Richtlinie nicht unterstützt, die an einen anderen Ressourcentyp gebunden sind. Beispielsweise werden AWS Key Management Service Aktionen in Amazon S3 S3-Bucket-Richtlinien nicht unterstützt. Geben Sie eine Aktion an, die vom Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.

Verwandte Begriffe

Fehler – Nicht unterstützte Elementkombination

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."

Beheben des Fehlers

Einige Kombinationen von JSON-Richtlinienelementen können nicht zusammen verwendet werden. Sie können beispielsweise Action und NotAction nicht in der gleichen Richtlinienanweisung verwenden. Weitere Paare, die sich gegenseitig ausschließen, sind Principal/NotPrincipal und Resource/NotResource.

Verwandte Begriffe

Fehler – Nicht unterstützter globaler -Bedingungsschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."

Beheben des Fehlers

AWS unterstützt die Verwendung des angegebenen globalen Bedingungsschlüssels nicht. Je nach Anwendungsfall können Sie den aws:PrincipalArn oder aws:SourceArn globale Bedingungsschlüssel. Verwenden Sie z. B. aws:ARN anstelle von aws:PrincipalArn, um den Amazon Resource Name (ARN) des Principals, der die Anforderung gestellt hat, mit dem ARN zu vergleichen, den Sie in der Richtlinie angeben. Verwenden Sie alternativ den aws:SourceArn globalen Bedingungsschlüssel, um den Amazon-Ressourcennamen (ARN) der Ressource, die eine service-to-service Anfrage stellt, mit dem ARN zu vergleichen, den Sie in der Richtlinie angeben.

Verwandte Begriffe

Fehler – Nicht unterstützter Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."

Beheben des Fehlers

Verwenden Sie das Principal-Element in einer Richtlinie, um den Prinzipal anzugeben, dem der Zugriff auf eine Ressource erlaubt oder verweigert wird. Sie können das Element Principal nicht in einer identitätsbasierten IAM-Richtlinie verwenden. Sie können es in den Vertrauensrichtlinien für IAM-Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden. Sie können beispielsweise Richtlinien in einen Amazon S3 S3-Bucket oder einen AWS KMS-Schlüssel einbetten.

Verwandte Begriffe

Fehler - Nicht unterstützter Ressourcen-ARN in der Richtlinie

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Beheben des Fehlers

Einige Ressourcen werden im Resource Element der ressourcenbasierten Richtlinie ARNs nicht unterstützt, wenn die Richtlinie an einen anderen Ressourcentyp angehängt ist. Werden beispielsweise im Resource Element für Amazon S3 S3-Bucket-Richtlinien AWS KMS ARNs nicht unterstützt. Geben Sie einen Ressourcen-ARN an, der von einem Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.

Verwandte Begriffe

Fehler – Nicht unterstützte Sid

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"

Beheben des Fehlers

Das Sid-Element unterstützt Großbuchstaben, Kleinbuchstaben und Zahlen.

Verwandte Begriffe

Fehler – Nicht unterstützter Platzhalter im Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."

Beheben des Fehlers

DiePrincipal-Elementstruktur unterstützt die Verwendung eines Schlüssel-Wert-Paares. Der in der Richtlinie angegebene Hauptwert enthält einen Platzhalter (*). Sie können keinen Platzhalter mit dem angegebenen Hauptschlüssel einschließen. Wenn Sie z. B. Benutzer in einem Principal-Element angeben, können Sie nicht mit einem Platzhalter "alle Benutzer" meinen. Benennen Sie stattdessen einen oder mehrere bestimmte Benutzer. Wenn Sie eine Sitzung mit übernommener Rolle in einem -Element angeben, können Sie keinen Platzhalter (*) verwenden, der "alle Sitzungen" bedeutet. Sie müssen eine bestimmte Sitzung benennen. Sie können keinen Platzhalter verwenden, um einen Teil eines Namens oder einen ARN zu ersetzen.

Um dieses Ergebnis zu beheben, entfernen Sie den Platzhalter und geben Sie einen spezifischeren Prinzipal an.

Verwandte Begriffe

Fehler – Fehlende Klammer in Variable

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."

Beheben des Fehlers

Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten.

Um dieses Ergebnis zu beheben, fügen Sie die fehlende Klammer hinzu, um sicherzustellen, dass der vollständige Öffnungs- und Schließungssatz von geschweiften Klammern vorhanden ist.

Verwandte Begriffe

Fehler – Fehlendes Zitat in Variable

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."

Beheben des Fehlers

Wenn Sie Ihrer Richtlinie eine Variable hinzufügen, können Sie einen Standardwert für die Variable angeben. Wenn eine Variable nicht vorhanden ist, wird der von Ihnen angegebene Standardtext AWS verwendet.

Um einer Variablen einen Standardwert hinzuzufügen, umgeben Sie den Standardwert mit einfachen Anführungszeichen (' '), und trennen Sie den Variablentext und den Standardwert durch Komma und Leerzeichen (, ) enthalten.

Zum Beispiel, wenn ein Prinzipal mit team=yellow gekennzeichnet ist, können sie auf amzn-s3-demo-bucket der Amazon-S3-Bucket mit dem Namen amzn-s3-demo-bucket-yellow zugreifen. Eine Richtlinie mit dieser Ressource ermöglicht es Teammitgliedern möglicherweise auf ihre eigenen Ressourcen zuzugreifen, aber nicht auf die anderer Teams. Für Benutzer ohne Team-Tags können Sie den Standardwert von company-wide einstellen. Diese Benutzer können nur auf amzn-s3-demo-bucket-company-wide-Bucket zugreifen, indem sie umfassende Informationen anzeigen können, z. B. Anweisungen für den Beitritt zu einem Team.

"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"

Verwandte Begriffe

Fehler – Nicht unterstützter Speicherplatz in der Variablen

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "A space is not supported within the policy variable text. Remove the space."

Beheben des Fehlers

Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten. Obwohl Sie ein Leerzeichen hinzufügen können, wenn Sie eine Standardvariable angeben, können Sie kein Leerzeichen in den Variablennamen einschließen.

Verwandte Begriffe

Fehler – Leere Variable

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."

Beheben des Fehlers

Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten.

Verwandte Begriffe

Fehler – Variable im Element nicht unterstützt

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."

Beheben des Fehlers

Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden.

Verwandte Begriffe

Fehler – Variable wird in Version nicht unterstützt

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."

Beheben des Fehlers

Zur Verwendung der Richtlinienvariablen müssen Sie das Version-Element in eine Anweisung einfügen und die Version muss auf eine Version gesetzt werden, die Richtlinienvariablen unterstützt. Variablen wurden in Version 2012-10-17 eingeführt. Frühere Versionen der Richtliniensprache unterstützen Richtlinienvariablen nicht. Wenn Sie Version nicht auf 2012-10-17 oder später setzen, werden Variablen wie ${aws:username} in der Richtlinie als literale Zeichenketten behandelt.

Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Eine Richtlinienversion hingegen wird erstellt, wenn Sie in IAM eine kundenverwaltete Richtlinie bearbeiten. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie.

Verwandte Begriffe

Private IP-Adresse

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."

Beheben des Fehlers

Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche. Sie erhalten diesen Fehler, wenn Ihre Richtlinie nur private IP-Adressen zulässt. In diesem Fall würde die Bedingung niemals übereinstimmen.

Fehler — Privat NotIpAddress

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."

Beheben des Fehlers

Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche. Sie erhalten diesen Fehler, wenn Sie die NotIpAddress-Bedingungsoperator und listet nur private IP-Adressen auf. In diesem Fall würde die Bedingung immer übereinstimmen und wäre unwirksam.

Fehler – Richtliniengröße überschreitet das SCP-Kontingent

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."

Beheben des Fehlers

AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen die Angabe von Werten in den NotAction Elementen Action oder. Diese Werte können jedoch Platzhalter (*) nur am Ende der Zeichenfolge enthalten. Dies bedeutet, dass Sie iam:Get* aber nicht iam:*role auswählen können.

Um mehrere Aktionen anzugeben, AWS empfiehlt es sich, diese einzeln aufzulisten.

Verwandte Begriffe

Fehler – Ungültiges Service-Prinzipalformat

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."

Beheben des Fehlers

Der Wert im Bedingungsschlüssel-Wert-Paar muss mit einem definierten Service-Prinzipalformat übereinstimmen.

Ein Service-Prinzipal ist eine Kennung, die verwendet wird, um einem Service Berechtigungen zu erteilen. Sie können einen Service-Prinzipal im Principal-Element oder einen Wert für einige globale Bedingungsschlüssel und servicespezifische Schlüssel angeben. Der Service-Prinzipal wird durch den Service definiert.

Der Bezeichner für einen Service-Prinzipal enthält den Servicenamen und hat normalerweise das folgende Format in Kleinbuchstaben:

service-name.amazonaws.com

Einige servicespezifische Schlüssel verwenden möglicherweise ein anderes Format für Service-Prinzipal. Zum Beispiel, der kms:ViaService-Bedingungsschlüssel erfordert das folgende Format für Service-Prinzipal in Kleinbuchstaben:

service-name.AWS_region.amazonaws.com

Verwandte Begriffe

Fehler – Fehlender Tag-Schlüssel in Bedingung

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."

Beheben des Fehlers

Um den Zugriff auf Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an.

Um beispielsweise den Zugriff auf AWS Ressourcen zu steuern, fügen Sie den aws:ResourceTag Bedingungsschlüssel hinzu. Dieser Schlüssel benötigt das Format aws:ResourceTag/tag-key. Um den Tag-Schlüssel owner und den Tag-Wert JaneDoe in einer Bedingung anzugeben, verwenden Sie das folgende Format.

"Condition": {
    "StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}

Verwandte Begriffe

Fehler - Ungültiges vpc-Format

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."

Beheben des Fehlers

Der aws:SourceVpc-Bedingungsschlüssel muss das Präfix vpc- verwenden, gefolgt von entweder 8 oder 17 alphanumerischen Zeichen, z. B. vpc-11223344556677889 oder vpc-12345678.

Verwandte Begriffe

Fehler - Ungültiges vpce-Format

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid vpce format: The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."

Beheben des Fehlers

Der aws:SourceVpce-Bedingungsschlüssel muss das Präfix vpce- verwenden, gefolgt von entweder 8 oder 17 alphanumerischen Zeichen, z. B. vpce-11223344556677889 oder vpce-12345678.

Verwandte Begriffe

Fehler - Verbundprinzipal wird nicht unterstützt

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."

Beheben des Fehlers

Das Principal-Element verwendet Verbundprinzipale für Vertrauensrichtlinien, die an IAM-Rollen angehängt sind, um Zugriff über den Identitätsverbund zu ermöglichen. Identitätsrichtlinien und andere ressourcenbasierte Richtlinien unterstützen keinen Verbundidentitätsanbieter im Principal-Element. Sie können beispielsweise keinen SAML-Prinzipal in einer Amazon-S3-Bucket-Richtlinie verwenden. Ändern Sie das Principal-Element zu einem unterstützten Prinzipaltyp.

Verwandte Begriffe

Fehler - Nicht unterstützte Aktion für Bedingungsschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."

Beheben des Fehlers

Stellen Sie sicher, dass der Bedingungsschlüssel im Condition-Element der Richtlinienanweisung für jede Aktion im Action-Element gilt. Um sicherzustellen, dass die von Ihnen angegebenen Aktionen von Ihrer Richtlinie effektiv zulässig oder verweigert werden, sollten Sie die nicht unterstützten Aktionen ohne den Bedingungsschlüssel in eine andere Anweisung verschieben.

Verwandte Begriffe

Fehler - Nicht unterstützte Aktion in der Richtlinie

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Beheben des Fehlers

Einige Aktionen werden im Action-Element in der ressourcenbasierten Richtlinie nicht unterstützt, die an einen anderen Ressourcentyp gebunden sind. Beispielsweise werden AWS Key Management Service Aktionen in Amazon S3 S3-Bucket-Richtlinien nicht unterstützt. Geben Sie eine Aktion an, die vom Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.

Verwandte Begriffe

Fehler - Nicht unterstützter Ressourcen-ARN in der Richtlinie

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Beheben des Fehlers

Einige Ressourcen werden im Resource Element der ressourcenbasierten Richtlinie ARNs nicht unterstützt, wenn die Richtlinie an einen anderen Ressourcentyp angehängt ist. Werden beispielsweise im Resource Element für Amazon S3 S3-Bucket-Richtlinien AWS KMS ARNs nicht unterstützt. Geben Sie einen Ressourcen-ARN an, der von einem Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.

Verwandte Begriffe

Fehler - Nicht unterstützter Bedingungsschlüssel für Service-Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."

Beheben des Fehlers

Sie können AWS-Services im Principal Element einer ressourcenbasierten Richtlinie einen Dienstprinzipal angeben, bei dem es sich um einen Bezeichner für den Dienst handelt. Sie können einige Bedingungsschlüssel mit bestimmten Service-Prinzipalen nicht verwenden. Sie können beispielsweise den aws:PrincipalOrgID-Bedingungsschlüssel mit dem Service-Prinzipal cloudfront.amazonaws.com nicht verwenden. Sie sollten Bedingungsschlüssel entfernen, die nicht für den Service-Prinzipal im Principal-Element zutreffen.

Verwandte Begriffe

Fehler – Syntaxfehler der Rollenvertrauensrichtlinie: notprincipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."

Beheben des Fehlers

Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie die einer IAM-Rolle angefügt ist. Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Rollenvertrauensrichtlinien unterstützen NotPrincipal nicht. Aktualisieren Sie die Richtlinie, um stattdessen einPrincipal-Element zu verwenden.

Verwandte Begriffe

Fehler – Rollenvertrauensrichtlinie – nicht unterstützter Platzhalter in Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."

Beheben des Fehlers

Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie die einer IAM-Rolle angefügt ist. Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. "Principal:" "*" wird nicht im Principal-Element einer Rollenvertrauensrichtlinie unterstützt. Ersetzen Sie den Platzhalter durch einen gültigen Prinzipalwert.

Verwandte Begriffe

Fehler – Syntaxfehler der Rollenvertrauensrichtlinie: error resource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."

Beheben des Fehlers

Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie die einer IAM-Rolle angefügt ist. Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Rollenvertrauensrichtlinien gelten für die Rolle, mit der sie verknüpft sind. Sie können kein Resource- oder NotResource-Element in einer Rollenvertrauensrichtlinie angeben. Entfernen Sie das Resource- oder NotResource-Element.

Fehler – Typ stimmt nicht mit IP-Bereich überein

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."

Beheben des Fehlers

Aktualisieren Sie den Text, um den Datentyp für den IP-Adressenbedingung im CIDR-Format zu verwenden.

Verwandte Begriffe

Fehler – Fehlende Aktion für Bedingungsschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."

Beheben des Fehlers

Der Bedingungsschlüssel im Condition-Element der Richtlinienanweisung wird nicht ausgewertet, es sei denn, die angegebene Aktion befindet sich im Action-Element. Um sicherzustellen, dass die von Ihnen angegebenen Bedingungsschlüssel von Ihrer Richtlinie effektiv zugelassen oder verweigert werden, fügen Sie die Aktion zum Action-Element hinzu.

Verwandte Begriffe

Fehler – Ungültige Verbundprinzipal-Syntax in Rollenvertrauensrichtlinie

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."

Beheben des Fehlers

Der Prinzipalwert gibt einen Verbundprinzipal an, der nicht dem erwarteten Format entspricht. Aktualisieren Sie das Format des Verbundprinzipals in einen gültigen Domainnamen oder einen SAML-Metadaten-ARN.

Verwandte Begriffe

Fehler – Nicht übereinstimmende Aktion für Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."

Beheben des Fehlers

Die im Action-Element der Richtlinienanweisung angegebene Aktion ist ungültig, wobei der Prinzipal im Principal-Element angegeben ist. Sie können beispielsweise keinen SAML-Anbieterprinzipal mit der sts:AssumeRoleWithWebIdentity-Aktion verwenden. Sie sollten einen SAML-Anbieterprinzipal mit der sts:AssumeRoleWithSAML-Aktion oder einen OIDC-Anbieterprinzipal mit dersts:AssumeRoleWithWebIdentity-Aktion verwenden.

Verwandte Begriffe

Fehler – Fehlende Aktion für die Vertrauensrichtlinie von Roles Anywhere

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."

Beheben des Fehlers

Damit IAM Roles Anywhere eine Rolle übernehmen und temporär AWS -Anmeldeinformationen bereitstellen kann, muss die Rolle dem Serviceprinzipal von IAM Roles Anywhere vertrauen. Der IAM Roles Anywhere-Serviceprinzipal benötigt sts:AssumeRole-,sts:SetSourceIdentity- und sts:TagSession-Berechtigungen zur Übernahme einer Rolle. Wenn eine der Berechtigungen fehlt, müssen Sie sie Ihrer Richtlinie hinzufügen.

Verwandte Begriffe

Fehler – Richtliniengröße überschreitet RCP-Kontingent

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."

Beheben des Fehlers

AWS Organizations Resource Control Policies (RCPs) unterstützen die Angabe von Werten im Action Element. Diese Werte können jedoch Platzhalter (*) nur am Ende der Zeichenfolge enthalten. Dies bedeutet, dass Sie s3:Get* aber nicht s3:*Object auswählen können.

Um mehrere Aktionen anzugeben, AWS empfiehlt es sich, sie einzeln aufzulisten.

Verwandte Begriffe

Fehler – RCP-Syntaxfehler-Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."

Beheben des Fehlers

AWS Organizations Ressourcensteuerungsrichtlinien (RCPs) unterstützen nur die Angabe aller Prinzipale (“ * „) im Principal Element. Das NotPrincipal Element wird nicht unterstützt für RCPs.

Verwandte Begriffe

Fehler – RCP-Syntaxfehler zulassen

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."

Beheben des Fehlers

AWS Organizations Ressourcensteuerungsrichtlinien (RCPs) unterstützen nur die Angabe aller Prinzipale (“ * „) im Principal Element und aller Ressourcen (“ * „) im Resource Element. Das Condition Element mit der Wirkung von Allow wird nicht unterstützt. RCPs

Verwandte Begriffe

Fehler — RCP-Syntaxfehler NotAction

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."

Beheben des Fehlers

AWS Organizations Richtlinien zur Ressourcensteuerung (RCPs) unterstützen das NotAction Element nicht. Verwenden Sie das Action-Element.

Verwandte Begriffe

Fehler – RCP-Syntaxfehler-Aktion

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."

Beheben des Fehlers

AWS Organizations Ressourcensteuerungsrichtlinien (RCPs) unterstützen nur die Angabe ausgewählter Dienstpräfixe im Action Element.

Verwandte Begriffe

Allgemeine Warnung — Erstellen Sie eine Spiegelreflexkamera mit NotResource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."

Behebung der allgemeinen Warnung

Die Aktion iam:CreateServiceLinkedRole erteilt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Die Verwendung des NotResource Elements iam:CreateServiceLinkedRole in einer Richtlinie kann dazu führen, dass unbeabsichtigt serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden. AWS empfiehlt, stattdessen ARNs im Resource Element die Angabe erlaubt anzugeben.

Allgemeine Warnung — Erstellen Sie eine Spiegelreflexkamera mit Star in Aktion und NotResource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Behebung der allgemeinen Warnung

Die Aktion iam:CreateServiceLinkedRole erteilt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Richtlinien mit einem Platzhalter (*) im Action und, die das NotResource Element enthalten, können die unbeabsichtigte Erstellung von dienstbezogenen Rollen für mehrere Ressourcen ermöglichen. AWS empfiehlt, stattdessen ARNs im Element die Angabe erlaubt anzugeben. Resource

Allgemeine Warnung — Erstellen Sie eine Spiegelreflexkamera mit und NotAction NotResource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Behebung der allgemeinen Warnung

Die Aktion iam:CreateServiceLinkedRole erteilt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Wenn Sie das NotAction Element zusammen mit dem NotResource Element verwenden, können unbeabsichtigt serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden. AWS empfiehlt, die Richtlinie so umzuschreiben, dass sie stattdessen nur für eine begrenzte Liste von Elementen ARNs im Element zulässig istResource. iam:CreateServiceLinkedRole Sie können auch iam:CreateServiceLinkedRole zu dem Element NotAction hinzufügen.

Allgemeine Warnung – Erstellen Sie SLR mit Stern in der Ressource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."

Behebung der allgemeinen Warnung

Die Aktion iam:CreateServiceLinkedRole erteilt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Die Verwendung iam:CreateServiceLinkedRole in einer Richtlinie mit einem Platzhalter (*) im Resource Element kann dazu führen, dass unbeabsichtigt serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden. AWS empfiehlt, stattdessen ARNs im Element die Angabe erlaubt anzugeben. Resource

AWS verwaltete Richtlinien mit dieser allgemeinen Warnung

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Einige dieser Anwendungsfälle sind für Hauptbenutzer in Ihrem Konto bestimmt. Die folgenden AWS verwalteten Richtlinien bieten Hauptbenutzerzugriff und gewähren Berechtigungen zum Erstellen von dienstbezogenen Rollen für jeden AWS Dienst. AWS empfiehlt, dass Sie die folgenden AWS verwalteten Richtlinien nur IAM-Identitäten zuordnen, die Sie als Hauptbenutzer betrachten.

Allgemeine Warnung – Erstellen Sie SLR mit Stern in Aktion und Ressource

Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:

Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

Behebung der allgemeinen Warnung

Die Aktion iam:CreateServiceLinkedRole erteilt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Richtlinien mit einem Platzhalter (*) in den Elementen Action und Resource können die Erstellung unbeabsichtigter serviceverknüpfter Rollen für mehrere Ressourcen ermöglichen. Auf diese Weise können Sie eine dienstbezogene Rolle erstellen, wenn Sie "Action": "*""Action": "iam:*", oder angeben. "Action": "iam:Create*" AWS empfiehlt, stattdessen ARNs im Resource Element die Angabe erlaubt anzugeben.

AWS verwaltete Richtlinien mit dieser allgemeinen Warnung

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Einige dieser Anwendungsfälle richten sich an Administratoren in Ihrem Konto. Die folgenden AWS verwalteten Richtlinien bieten Administratorzugriff und gewähren Berechtigungen zum Erstellen von dienstbezogenen Rollen für jeden AWS Dienst. AWS empfiehlt, dass Sie die folgenden AWS verwalteten Richtlinien nur den IAM-Identitäten zuordnen, die Sie als Administratoren betrachten.

Allgemeine Warnung — Erstellen Sie eine Spiegelreflexkamera mit einem Stern in der Ressource und NotAction

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

Behebung der allgemeinen Warnung

Die Aktion iam:CreateServiceLinkedRole erteilt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Die Verwendung des NotAction Elements in einer Richtlinie mit einem Platzhalter (*) im Resource Element kann dazu führen, dass unbeabsichtigt serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden. AWS empfiehlt, stattdessen ARNs im Element die Angabe erlaubt anzugeben. Resource Sie können auch iam:CreateServiceLinkedRole zu dem Element NotAction hinzufügen.

Allgemeine Warnung – Veralteter globaler Bedingungsschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."

Behebung der allgemeinen Warnung

Die Richtlinie enthält einen veralteten globalen Bedingungsschlüssel. Aktualisieren Sie den Bedingungsschlüssel im Bedingungsschlüssel-Wert-Paar, um einen unterstützten globalen Bedingungsschlüssel zu verwenden.

Allgemeine Warnung – Ungültiger Datumswert

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."

Behebung der allgemeinen Warnung

Die Unix-Epoch-Zeit beschreibt einen Zeitpunkt, der seit dem 1. Januar 1970 verstrichen ist, minus Schaltsekunden. Die Epochenzeit entspricht möglicherweise nicht genau der Zeit, die Sie erwarten. AWS empfiehlt, den W3C-Standard für Datums- und Uhrzeitformate zu verwenden. Sie könnten beispielsweise ein vollständiges Datum angeben, z. B. YYYY-MM-DD (1997-07-16), oder Sie könnten auch die Uhrzeit an die Sekunde anhängen, z. B.: mm:sstzd (1997-07-16T 19:20:30 + 01:00 YYYY-MM-DDThh).

Allgemeine Warnung – Ungültige Rollenreferenz

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."

Behebung der allgemeinen Warnung

AWS empfiehlt, den Amazon-Ressourcennamen (ARN) für eine IAM-Rolle anstelle ihrer Prinzipal-ID anzugeben. Wenn IAM die Richtlinie speichert, wandelt es den ARN in die Prinzipal-ID für die vorhandene Rolle um. AWS beinhaltet eine Sicherheitsmaßnahme. Wenn jemand die Rolle löscht und neu erstellt, hat sie eine neue ID, und die Richtlinie stimmt nicht mit der ID der neuen Rolle überein.

Allgemeine Warnung – Ungültige Benutzerreferenz

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."

Behebung der allgemeinen Warnung

AWS empfiehlt, den Amazon-Ressourcennamen (ARN) für einen IAM-Benutzer anstelle seiner Prinzipal-ID anzugeben. Wenn IAM die Richtlinie speichert, wandelt es den ARN in die Prinzipal-ID für den vorhandenen Benutzer um. AWS beinhaltet eine Sicherheitsmaßnahme. Wenn jemand den Benutzer löscht und neu erstellt, hat er eine neue ID, und die Richtlinie stimmt nicht mit der ID des neuen Benutzers überein.

Allgemeine Warnung – Fehlende Version

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing version: We recommend that you specify the Version element to help you with debugging permission issues.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."

Behebung der allgemeinen Warnung

AWS empfiehlt, dass Sie den optionalen Version Parameter in Ihre Richtlinie aufnehmen. Wenn Sie kein Element "Version" einfügen, wird der Wert standardmäßig auf 2012-10-17 gesetzt, aber neuere Features, wie z. B. Richtlinienvariablen, funktionieren nicht mit Ihrer Richtlinie. Beispielsweise werden Variablen wie ${aws:username} nicht als Variablen erkannt und stattdessen als literale Zeichenketten in der Richtlinie behandelt.

Allgemeine Warnung – Einzigartige Sids empfohlen

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."

Behebung der allgemeinen Warnung

AWS empfiehlt die Verwendung einer eindeutigen Anweisung IDs. Die Sid (Statement-ID) ist eine optionale ID, die Sie in die Richtlinie aufnehmen können. Sie können jeder Anweisung in einem Anweisungsarray einen Anweisungs-ID-Wert zuweisen, indem Sie das SID-Element verwenden.

Verwandte Begriffe

Allgemeine Warnung – Platzhalter ohne gleicher Operator

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."

Behebung der allgemeinen Warnung

Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Wenn Sie einen Bedingungswert angeben, der einen Platzhalter (*, ?) verwendet, müssen Sie die Like-Version des Bedingungsoperators verwenden. Verwenden Sie z. B. anstelle des StringEquals Operators für Zeichenkettenbedingungen verwenden Sie StringLike.

"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}

AWS verwaltete Richtlinien mit dieser allgemeinen Warnung

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Die folgenden AWS verwalteten Richtlinien enthalten Platzhalter in ihrem Bedingungswert ohne einen Bedingungsoperator, der Like für den Musterabgleich verwendet wird. Wenn Sie die AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer vom Kunden verwalteten Richtlinie verwenden, AWS empfiehlt es sich, einen Bedingungsoperator zu verwenden, der den Musterabgleich mit Platzhaltern (*,?) unterstützt , wie zum Beispiel. StringLike

Allgemeine Warnung – Richtliniengröße überschreitet das Kontingent für Identitätsrichtlinien

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."

Behebung der allgemeinen Warnung

Sie können einer IAM-Identität (Benutzer, Benutzergruppe oder Rolle) bis zu 10 verwaltete Richtlinien anfügen. Die Größe jeder verwalteten Richtlinie darf jedoch das Standardkontingent von 6.144 Zeichen nicht überschreiten. Leerzeichen werden in IAM beim Berechnen der Richtliniengröße für dieses Kontingent nicht mitgezählt. Kontingente, auch Limits genannt AWS, sind die Höchstwerte für die Ressourcen, Aktionen und Elemente in Ihrem AWS Konto.

Darüber hinaus können Sie einer IAM-Identität beliebig viele Inline-Richtlinien hinzufügen. Die Summe aller Inline-Richtlinien pro Identität darf jedoch das angegebene Kontingent nicht überschreiten.

Wenn Ihre Richtlinie größer als das Kontingent ist, können Sie Ihre Richtlinie in mehreren Anweisungen organisieren und die Anweisungen in mehreren Richtlinien gruppieren.

Verwandte Begriffe

AWS verwaltete Richtlinien mit dieser allgemeinen Warnung

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Die folgenden AWS verwalteten Richtlinien gewähren Berechtigungen für Aktionen für viele AWS Dienste und überschreiten dabei die maximale Richtliniengröße. Wenn Sie die verwaltete AWS -Richtlinie als Referenz zum Erstellen Ihrer verwalteten Richtlinie verwenden, müssen Sie die Richtlinie in mehrere Richtlinien aufteilen.

Allgemeine Warnung - Richtliniengröße überschreitet das Kontingent für Ressourcenrichtlinien

Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:

Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."

Behebung der allgemeinen Warnung

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource wie einen Amazon-S3-Bucket anfügen. Diese Richtlinien erteilen dem angegebenen Prinzipal die Berechtigung zum Ausführen bestimmter Aktionen für diese Ressource und definiert, unter welchen Bedingungen dies gilt. Die Größe ressourcenbasierter Richtlinien darf das für diese Ressource festgelegte Kontingent nicht überschreiten. Kontingente, auch Limits genannt AWS, sind die Höchstwerte für die Ressourcen, Aktionen und Elemente in Ihrem AWS Konto.

Wenn Ihre Richtlinie größer als das Kontingent ist, können Sie Ihre Richtlinie in mehreren Anweisungen organisieren und die Anweisungen in mehreren Richtlinien gruppieren.

Verwandte Begriffe

Allgemeine Warnung – Typenabweichung

Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:

Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."

Behebung der allgemeinen Warnung

Aktualisieren Sie den Text, um den unterstützten Bedingungsoperator Datentyp zu verwenden.

Zum Beispiel erfordert der globale Konditionsschlüssel aws:MultiFactorAuthPresent einen Konditionsoperator mit dem Datentyp Boolean. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.

Verwandte Begriffe

Allgemeine Warnung – Typkonflikt Boolescher Wert

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."

Behebung der allgemeinen Warnung

Aktualisieren Sie den Text, um einen booleschen Bedingungsoperator als Datentyp zu verwenden, z. B. true oder false.

Zum Beispiel erfordert der globale Konditionsschlüssel aws:MultiFactorAuthPresent einen Konditionsoperator mit dem Datentyp Boolean. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.

Verwandte Begriffe

Allgemeine Warnung – Datum des Typs, das nicht übereinstimmt

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."

Behebung der allgemeinen Warnung

Aktualisieren Sie den Text so, dass er den Datentyp "Datumsbedingungsoperator" im Format YYYY-MM-DD oder einem anderen ISO-8601-Datumszeitformat verwendet.

Verwandte Begriffe

Allgemeine Warnung – Typ-Unübereinstimmungsnummer

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."

Behebung der allgemeinen Warnung

Aktualisieren Sie den Text, um den numerischen Bedingungsoperator Datentyp zu verwenden.

Verwandte Begriffe

Allgemeine Warnung – Zeichenfolge, die nicht übereinstimmt

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."

Behebung der allgemeinen Warnung

Aktualisieren Sie den Text, um den Datentyp „Zeichenfolgenbedingung“ zu verwenden.

Verwandte Begriffe

Allgemeine Warnung – Spezifische(s) Github-Repository und -Branch empfohlen

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."

Behebung der allgemeinen Warnung

Wenn Sie GitHub als OIDC-IdP verwenden, empfiehlt es sich, die Entitäten einzuschränken, die die dem IAM-IdP zugeordnete Rolle übernehmen können. Wenn Sie eine Condition Erklärung in eine Vertrauensrichtlinie für Rollen aufnehmen, können Sie die Rolle auf eine bestimmte GitHub Organisation, ein Repository oder eine Branche beschränken. Sie können den Bedingungsschlüssel token.actions.githubusercontent.com:sub verwenden, um den Zugriff einzuschränken. Wir empfehlen, dass Sie die Bedingung auf eine bestimmte Gruppe von Repositorys oder Branchen beschränken. Wenn Sie einen Platzhalter (*) in verwendentoken.actions.githubusercontent.com:sub, können GitHub Aktionen von Organisationen oder Repositorys, auf die Sie keinen Einfluss haben, Rollen übernehmen, die dem GitHub IAM-IdP in Ihrem Konto zugeordnet sind. AWS

Verwandte Begriffe

Allgemeine Warnung – Richtliniengröße überschreitet das Kontingent für Rollenvertrauensrichtlinie

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."

Behebung der allgemeinen Warnung

IAM und AWS STS verfügen über Kontingente, die den Umfang der Richtlinien für die Vertrauensstellung von Rollen einschränken. Die Zeichen in der Rollenvertrauensrichtlinie, ausgenommen Leerzeichen, überschreiten das Zeichenmaximum. Wir empfehlen, dass Sie eine Kontingenterhöhung für die Länge der Rollenvertrauensrichtlinie anfordern, indem Sie Service Quotas und die AWS Support Center Console verwenden.

Verwandte Begriffe

Allgemeine Warnung – RCP fehlt der zugehörige Prinzipal-Bedingungsschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."

Behebung der allgemeinen Warnung

AWS Organizations Richtlinien zur Ressourcensteuerung (RCPs) können sich auf IAM-Rollen, -Benutzer und AWS-Service -Prinzipale auswirken. Um unbeabsichtigte Auswirkungen auf Services zu verhindern, die in Ihrem Namen mithilfe eines Service-Prinzipals agieren, fügen Sie Ihrem Condition-Element die folgende Anweisung hinzu:

"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}

Verwandte Begriffe

Allgemeine Warnung – RCP fehlt der zugehörige Service-Prinzipal-Bedingungsschlüssel

Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:

RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."

Behebung der allgemeinen Warnung

AWS Organizations Richtlinien zur Ressourcensteuerung (RCPs) können sich auf IAM-Rollen, -Benutzer und AWS-Service -Prinzipale auswirken. Um unbeabsichtigte Auswirkungen auf Ihre Prinzipale zu verhindern, fügen Sie Ihrem Condition-Element die folgende Anweisung hinzu:

"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}

Verwandte Begriffe

Allgemeine Warnung – RCP fehlt die Nullprüfung des Schlüssels für die Servicebedingung

Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:

RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."

Behebung der allgemeinen Warnung

AWS Organizations Richtlinien zur Ressourcensteuerung (RCPs) können sich auf IAM-Rollen, -Benutzer und AWS-Service -Prinzipale auswirken. Um unbeabsichtigte Auswirkungen auf Services zu verhindern, die in Ihrem Namen mithilfe eines Service-Prinzipals agieren, fügen Sie Ihrem Condition-Element bei jeder Verwendung des angegebenen Schlüssels eine der folgenden Anweisungen hinzu:

"Null": { "aws:SourceAccount": "false"}

or

"Null": { "aws:SourceArn": "false"}

Verwandte Begriffe

Sicherheitswarnung — Zulassen mit NotPrincipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."

Auflösen der Sicherheitswarnung

Die Verwendung von "Effect": "Allow" mit der NotPrincipal kann zu permissiv sein. Dies kann beispielsweise anonymen Prinzipalen Berechtigungen gewähren. AWS empfiehlt, dass Sie mithilfe des Elements Prinzipale angeben, die Principal Zugriff benötigen. Alternativ können Sie den breiten Zugang erlauben und dann eine weitere Anweisung hinzufügen, die das Element NotPrincipal mit “Effect”: “Deny” verwendet.

Sicherheitswarnung — ForAllValues mit einwertigem Schlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."

Auflösen der Sicherheitswarnung

AWS empfiehlt, die Option ForAllValues nur mit mehrwertigen Bedingungen zu verwenden. Der ForAllValues-Set-Operator prüft, ob der Wert eines jeden Mitglieds der Anforderungsmenge eine Teilmenge der Bedingungsschlüsselmenge ist. Die Bedingung gibt "true" zurück, wenn jeder Schlüsselwert in der Anforderung mindestens einem Wert in der Richtlinie entspricht. „true“ wird zudem zurückgegeben, wenn keine Schlüssel in der Anforderung vorhanden sind oder wenn die Schlüsselwerte zu einem Null-Dataset aufgelöst werden, z. B. einer leeren Zeichenfolge.

Um zu erfahren, ob eine Bedingung einen einzelnen Wert oder mehrere Werte unterstützt, lesen Sie die Seite Aktionen, Ressourcen und Bedingungsschlüssel für den Service. Bedingungsschlüssel mitArrayOfDatentyppräfix sind Mehrfachwertbedingungsschlüssel. Amazon SES unterstützt beispielsweise Schlüssel mit Einzelwerten (String) und den ArrayOfString-Mehrwertigen Datentyp.

Sicherheitswarnung — Rolle übergeben mit NotResource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Auflösen der Sicherheitswarnung

Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Wenn Sie das NotResource Element iam:PassRole in einer Richtlinie verwenden, können Ihre Prinzipale möglicherweise auf mehr Dienste oder Funktionen zugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, ARNs im Resource Element die Angabe erlaubt anzugeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.

Sicherheitswarnung — Übergeben Sie die Rolle mit Star in Aktion und NotResource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Auflösen der Sicherheitswarnung

Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien, die einen Platzhalter (*) enthalten Action und das NotResource Element enthalten, können es Ihren Prinzipalen ermöglichen, auf mehr Dienste oder Funktionen zuzugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element die Angabe erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.

Sicherheitswarnung — Rolle mit NotAction und übergeben NotResource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."

Auflösen der Sicherheitswarnung

Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Wenn Sie das NotAction Element verwenden und einige Ressourcen im NotResource Element auflisten, können Ihre Prinzipale auf mehr Dienste oder Funktionen zugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element die Angabe erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.

Sicherheitswarnung – Übergeben der Rolle mit Stern in der Ressource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Auflösen der Sicherheitswarnung

Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien, die das Resource Element zulassen iam:PassRole und einen Platzhalter (*) enthalten, können es Ihren Prinzipalen ermöglichen, auf mehr Dienste oder Funktionen zuzugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.

Einige AWS Dienste schließen ihren Dienst-Namespace im Namen ihrer Rolle ein. Bei dieser Richtlinienprüfung werden diese Konventionen bei der Analyse der Richtlinie zum Generieren von Ergebnissen berücksichtigt. Beispiel: Die folgende Ressourcen-ARN generiert möglicherweise keine Ergebnisse:

arn:aws:iam::*:role/Service*

AWS verwaltete Richtlinien mit dieser Sicherheitswarnung

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Einer dieser Anwendungsfälle gilt für Administratoren in Ihrem Konto. Die folgenden AWS verwalteten Richtlinien bieten Administratorzugriff und gewähren Berechtigungen zur Weitergabe beliebiger IAM-Rollen an einen beliebigen Dienst. AWS empfiehlt, die folgenden AWS verwalteten Richtlinien nur IAM-Identitäten zuzuordnen, die Sie als Administratoren betrachten.

Die folgenden AWS verwalteten Richtlinien enthalten Berechtigungen für die iam:PassRole Verwendung eines Platzhalters (*) in der Ressource und sind veraltet. Für jede dieser Richtlinien haben wir die Richtlinien zu Berechtigungen aktualisiert und beispielsweise eine neue AWS verwaltete Richtlinie empfohlen, die diesen Anwendungsfall unterstützt. Alternativen zu diesen Richtlinien finden Sie in den Leitfäden der einzelnen Services.

Die folgenden AWS verwalteten Richtlinien gewähren nur Berechtigungen für dienstbezogene Rollen, sodass AWS Dienste Aktionen in Ihrem Namen ausführen können. Sie können diese Richtlinie an Ihre IAM-Identitäten anfügen.

Sicherheitswarnung – Übergeben Sie die Rolle mit Stern in Aktion und Ressource

Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:

Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Auflösen der Sicherheitswarnung

Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien mit einem Platzhalter (*) in den Resource Elementen Action und können es Ihren Prinzipalen ermöglichen, auf mehr Dienste oder Funktionen zuzugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.

AWS verwaltete Richtlinien mit dieser Sicherheitswarnung

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Einige dieser Anwendungsfälle richten sich an Administratoren in Ihrem Konto. Die folgenden AWS verwalteten Richtlinien bieten Administratorzugriff und gewähren Berechtigungen zur Weitergabe beliebiger IAM-Rollen an einen beliebigen AWS Dienst. AWS empfiehlt, dass Sie die folgenden AWS verwalteten Richtlinien nur den IAM-Identitäten zuordnen, die Sie als Administratoren betrachten.

Sicherheitswarnung — Übergeben Sie die Rolle mit einem Stern in der Kategorie Ressource und NotAction

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Auflösen der Sicherheitswarnung

Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Wenn Sie das NotAction Element in einer Richtlinie mit einem Platzhalter (*) im Resource Element verwenden, können Ihre Prinzipale auf mehr Dienste oder Funktionen zugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element die Angabe erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.

Sicherheitswarnung – Fehlende gekoppelte Zustandsschlüssel

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."

Auflösen der Sicherheitswarnung

Einige Bedingungsschlüssel sind sicherer, wenn sie mit anderen zugehörigen Zustandstasten gekoppelt werden. AWS empfiehlt, dass Sie die zugehörigen Bedingungsschlüssel in denselben Bedingungsblock wie der vorhandene Bedingungsschlüssel aufnehmen. Dadurch werden die durch die Richtlinie gewährten Berechtigungen sicherer.

Sie können zum Beispiel den aws:VpcSourceIp Bedingungsschlüssel verwenden, um die IP-Adresse, von der eine Anforderung gestellt wurde, mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. AWS empfiehlt, dass Sie den entsprechenden aws:SourceVPC Bedingungsschlüssel hinzufügen. Dabei wird geprüft, ob die Anforderung von der in der Richtlinie angegebenen VPC und der angegebenen IP-Adresse stammt.

Verwandte Begriffe

Sicherheitswarnung – Verweigern mit nicht unterstütztem Tag-Bedingungsschlüssel für das Service

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."

Auflösen der Sicherheitswarnung

Die Verwendung von nicht unterstützten Tag-Bedingungsschlüsseln im Condition Element einer Richtlinie mit "Effect": "Deny" kann zu freizügig sein, da die Bedingung für diesen Dienst ignoriert wird. AWS empfiehlt, die Dienstaktionen zu entfernen, die den Bedingungsschlüssel nicht unterstützen, und eine weitere Anweisung zu erstellen, um den Zugriff auf bestimmte Ressourcen für diese Aktionen zu verweigern.

Wenn Sie den aws:ResourceTag-Bedingungsschlüssel verwenden und dieser nicht von einer Service-Aktion unterstützt wird, wird der Schlüssel nicht in den Anforderungskontext aufgenommen. In diesem Fall gibt die Bedingung in der Anweisung Deny immer false zurück und die Aktion wird nie verweigert. Dies geschieht auch dann, wenn die Ressource korrekt markiert ist.

Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. Bei Services, die diese Schlüssel nicht unterstützen, müssen Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle (RBAC) steuern.

Nehmen Sie beispielsweise an, dass Sie den Zugriff auf bestimmte Ressourcen, die mit dem Schlüssel-Wert-Paar status=Confidential gekennzeichnet sind, verweigern möchten. Gehen Sie außerdem davon aus, dass Sie damit Ressourcen kennzeichnen und die Markierung aufheben AWS Lambda können, der aws:ResourceTag Bedingungsschlüssel jedoch nicht unterstützt wird. Verwenden Sie den aws:ResourceTag Bedingungsschlüssel, um die Löschaktionen für AWS App Mesh und AWS Backup falls dieses Tag vorhanden ist, zu verweigern. Verwenden Sie für Lambda eine Ressourcennamenskonvention, die das Präfix "Confidential" enthält. Fügen Sie dann eine separate Anweisung hinzu, die das Löschen von Ressourcen mit dieser Namenskonvention verhindert.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyDeleteSupported",
            "Effect": "Deny",
            "Action": [
                "appmesh:DeleteMesh", 
                "backup:DeleteBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/status": "Confidential"
                }
            }
        },
        {
            "Sid": "DenyDeleteUnsupported",
            "Effect": "Deny",
            "Action": "lambda:DeleteFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
        }
    ]
}

Verwandte Begriffe

Sicherheitswarnung — NotAction Mit nicht unterstütztem Tag-Bedingungsschlüssel für Service ablehnen

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

Auflösen der Sicherheitswarnung

Die Verwendung von Tag-Bedingungsschlüsseln im Element Condition einer Richtlinie mit den Elementen NotAction und "Effect": "Deny" kann übermäßig permissiv sein. Die Bedingung wird für Serviceaktionen ignoriert, die den Bedingungsschlüssel nicht unterstützen. AWS empfiehlt, die Logik so umzuschreiben, dass eine Liste von Aktionen verweigert wird.

Wenn Sie den Bedingungsschlüssel aws:ResourceTag mit NotAction verwenden, werden alle neuen oder bestehenden Service-Aktionen, die den Schlüssel nicht unterstützen, nicht verweigert. AWS empfiehlt, die Aktionen, die verweigert werden sollen, explizit aufzulisten. IAM Access Analyzer gibt eine separate Suche für aufgelistete Aktionen zurück, die die aws:ResourceTag-Bedingungsschlüssel. Weitere Informationen finden Sie unter Sicherheitswarnung – Verweigern mit nicht unterstütztem Tag-Bedingungsschlüssel für das Service.

Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. Bei Services, die diese Schlüssel nicht unterstützen, müssen Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle (RBAC) steuern.

Verwandte Begriffe

Sicherheitswarnung - Zugriff auf Service-Prinzipal einschränken

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."

Auflösen der Sicherheitswarnung

Sie können AWS-Services im Principal Element einer ressourcenbasierten Richtlinie einen Dienstprinzipal angeben, bei dem es sich um einen Bezeichner für den Dienst handelt. Wenn Sie Zugang zu einem Service-Prinzipal gewähren, um in Ihrem Namen zu handeln, beschränken Sie den Zugriff. Sie können übermäßig freizügige Richtlinien verhindern, indem Sie die aws:SourceOrgPaths Bedingungsschlüssel aws:SourceArnaws:SourceAccount,aws:SourceOrgID, oder verwenden, um den Zugriff auf eine bestimmte Quelle zu beschränken, z. B. einen bestimmten Ressourcen-ARN AWS-Konto, eine Organisations-ID oder Organisationspfade. Durch die Einschränkung des Zugriffs können Sie ein Sicherheitsproblem verhindern, das Problem der verwirrten Stellvertreters genannt wird.

Verwandte Begriffe

Sicherheitswarnung – Fehlender Bedingungsschlüssel für OIDC-Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."

Auflösen der Sicherheitswarnung

Die Verwendung eines Open ID Connect-Prinzipals ohne Bedingung kann zu großzügig sein. Fügen Sie Bedingungsschlüssel mit einem Präfix hinzu, das Ihren OIDC-Verbundprinzipalen entspricht, um sicherzustellen, dass nur der beabsichtigte Identitätsanbieter die Rolle übernimmt.

Verwandte Begriffe

Sicherheitswarnung – Fehlender Bedingungsschlüssel für Github-Repository

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."

Auflösen der Sicherheitswarnung

Wenn Sie GitHub als OIDC-IdP verwenden, empfiehlt es sich, die Entitäten einzuschränken, die die dem IAM-IdP zugeordnete Rolle übernehmen können. Wenn Sie eine Condition Erklärung in eine Vertrauensrichtlinie für Rollen aufnehmen, können Sie die Rolle auf eine bestimmte GitHub Organisation, ein Repository oder eine Branche beschränken. Sie können den Bedingungsschlüssel token.actions.githubusercontent.com:sub verwenden, um den Zugriff einzuschränken. Wir empfehlen, dass Sie die Bedingung auf eine bestimmte Gruppe von Repositorys oder Branchen beschränken. Wenn Sie diese Bedingung nicht angeben, können GitHub Aktionen von Organisationen oder Repositorys, auf die Sie keinen Einfluss haben, Rollen übernehmen, die dem GitHub IAM-IdP in Ihrem Konto zugeordnet sind. AWS

Verwandte Begriffe

Sicherheitswarnung – Zeichenfolgenartiger Operator mit ARN-Bedingungsschlüsseln

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."

Auflösen der Sicherheitswarnung

AWS empfiehlt, beim Vergleich ARN-Operatoren anstelle von Zeichenkettenoperatoren zu verwenden ARNs , um eine korrekte Zugriffsbeschränkung auf der Grundlage der ARN-Bedingungswerte sicherzustellen. Aktualisieren Sie den StringLike-Operator auf den ArnLike-Operator in Ihrem Condition-Element, wenn der angegebene Schlüssel verwendet wird.

Diese AWS verwalteten Richtlinien sind Ausnahmen von dieser Sicherheitswarnung:

Verwandte Begriffe

Vorschlag – Leere Array-Aktion

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty array action: This statement includes no actions and does not affect the policy. Specify actions.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."

Abruf eines Vorschlags

Aussagen müssen entweder ein Action oder NotAction Element enthalten, das eine Reihe von Aktionen umfasst. Wenn das Element leer ist, stellt die Richtlinienanweisung keine Berechtigungen bereit. Geben Sie Aktionen im Element Action an.

Vorschlag – Leere Array-Bedingung

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."

Abruf eines Vorschlags

Die optionale Condition-Element-Struktur erfordert die Verwendung eines Bedingungsoperators und eines Schlüssel-Wert-Paares. Wenn der Wert der Bedingung leer ist, gibt die Bedingung true zurück und die Richtlinienanweisung sieht keine Berechtigungen vor. Geben Sie einen Bedingungswert an.

Vorschlag — Zustand „Leeres Array“ ForAllValues

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

Abruf eines Vorschlags

Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Der ForAllValues-Set-Operator prüft, ob der Wert eines jeden Mitglieds der Anforderungsmenge eine Teilmenge der Bedingungsschlüsselmenge ist.

Wenn Sie ForAllValues mit einem leeren Bedingungsschlüssel verwenden, trifft die Bedingung nur dann zu, wenn es keine Schlüssel in der Anforderung gibt. AWS empfiehlt, dass Sie stattdessen den Bedingungsoperator verwenden, wenn Sie Null testen wollen, ob ein Anforderungskontext leer ist.

Vorschlag — Zustand „Leeres Array“ ForAnyValue

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."

Abruf eines Vorschlags

Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Der ForAnyValues-Set-Operator prüft, ob mindestens ein Mitglied der Menge der Anforderungswerte mit mindestens einem Mitglied der Menge der Bedingungsschlüsselwerte übereinstimmt.

Wenn Sie ForAnyValues mit einem leeren Bedingungsschlüssel verwenden, wird die Bedingung nie erfüllt. Das bedeutet, dass die Aussage keine Auswirkung auf die Richtlinie hat. AWS empfiehlt, die Bedingung neu zu schreiben.

Vorschlag — Bedingung für leeres Array IfExists

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

Abruf eines Vorschlags

Mit dem Suffix ...IfExists wird ein Bedingungsoperator bearbeitet. Das bedeutet, dass, wenn der Richtlinienschlüssel im Kontext der Anforderung vorhanden ist, der Schlüssel wie in der Richtlinie angegeben verarbeitet wird. Wenn der Schlüssel nicht vorhanden ist, wird das Bedingungselement als "true" ausgewertet.

Wenn Sie ...IfExists mit einem leeren Bedingungsschlüssel verwenden, trifft die Bedingung nur dann zu, wenn es keine Schlüssel in der Anforderung gibt. AWS empfiehlt, dass Sie stattdessen den Bedingungsoperator verwenden, wenn Sie Null testen wollen, ob ein Anforderungskontext leer ist.

Vorschlag – Leerer Array-Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

Abruf eines Vorschlags

Sie müssen das Element Principal oder NotPrincipal in den Vertrauensrichtlinien für IAM-Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden.

Wenn Sie im Principal Element einer Anweisung ein leeres Array angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie die Prinzipale angeben, die Zugriff auf die Ressource haben sollen.

Vorschlag – Leere Array-Ressource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."

Abruf eines Vorschlags

Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten.

Wenn Sie im Ressourcenelement einer Anweisung ein leeres Array angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie Amazon Resource Names (ARNs) für Ressourcen angeben.

Vorschlag – Leere Objektbedingung

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."

Abruf eines Vorschlags

Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden.

Wenn Sie ein leeres Objekt im Bedingungselement einer Anweisung angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. Entfernen Sie das optionale Element, oder geben Sie Bedingungen an.

Vorschlag – Leerer Objekt-Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

Abruf eines Vorschlags

Sie müssen das Element Principal oder NotPrincipal in den Vertrauensrichtlinien für IAM-Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden.

Wenn Sie im Principal Element einer Anweisung ein leeres Objekt angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie die Prinzipale angeben, die Zugriff auf die Ressource haben sollen.

Vorschlag – Leerer Sid Wert

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Empty Sid value: Add a value to the empty string in the Sid element.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Add a value to the empty string in the Sid element."

Abruf eines Vorschlags

Mit dem optionalen Element Sid (Ausweis-ID) können Sie einen Identifikator eingeben, den Sie für den Ausweis bereitstellen. Sie können jeder Anweisung in einem Statement-Array einen Sid-Wert zuweisen. Wenn Sie das Element Sid verwenden, müssen Sie einen String-Wert angeben.

Verwandte Begriffe

Vorschlag – Verbessern des IP-Bereichs

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."

Abruf eines Vorschlags

IP-Adressbedingungen müssen im CIDR-Standardformat vorliegen, z. B. 203.0.113.0/24 oder 2001:: 1234:5678: :/64. DB8 Wenn Sie nach den maskierten Bits Bits ungleich Null angeben, werden sie für die Bedingung nicht berücksichtigt. AWS empfiehlt, dass Sie die neue Adresse verwenden, die in der Nachricht enthalten ist.

Vorschlag – Null mit Qualifier

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."

Abruf eines Vorschlags

Im Condition-Element formulieren Sie Ausdrücke, in denen Sie Bedingungsoperatoren verwenden (gleich, kleiner als usw.), um die Bedingungsschlüssel und -werte der Richtlinie mit den Schlüsseln und Werten in der Anforderungen abzugleichen. Für Anforderungen, die mehrere Werte für einen einzigen Konditionsschlüssel enthalten, müssen Sie die ForAllValues oder ForAnyValue Set-Operatoren verwenden.

Wenn Sie den Bedingungsoperator Null mit ForAllValues verwenden, gibt die Anweisung immer true zurück. Wenn Sie den Null Bedingungsoperator with verwendenForAnyValue, kehrt die Anweisung immer zurückfalse. AWS empfiehlt, den StringLike Bedingungsoperator mit diesen Mengenoperatoren zu verwenden.

Verwandte Begriffe

Private Empfehlung – Private IP-Adresse

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

Abruf eines Vorschlags

Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche.

Wenn Ihre Condition-Element eine Mischung aus privaten und öffentlichen IP-Adressen enthält, hat die Anweisung möglicherweise nicht die gewünschte Wirkung. Sie können private IP-Adressen mit aws:VpcSourceIP angeben.

Vorschlag — Private NotIpAddress Teilmenge

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

Abruf eines Vorschlags

Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche.

Wenn Ihre Condition-Element enthält die NotIpAddress-Bedingungsoperator und eine Mischung aus privaten und öffentlichen IP-Adressen, hat die Anweisung möglicherweise nicht den gewünschten Effekt. Alle öffentlichen IP-Adressen, die nicht in der Richtlinie angegeben sind, stimmen überein. Es werden keine privaten IP-Adressen übereinstimmen. Um diesen Effekt zu erzielen, können Sie NotIpAddress mit aws:VpcSourceIP verwenden und die privaten IP-Adressen angeben, die nicht übereinstimmen sollen.

Vorschlag – Redundante Aktion

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."

Abruf eines Vorschlags

Wenn Sie Platzhalter (*) im Action Element verwenden, können Sie redundante Berechtigungen hinzufügen. AWS empfiehlt, dass Sie Ihre Richtlinie überprüfen und nur die Berechtigungen angeben, die Sie benötigen. Auf diese Weise können Sie redundante Aktionen entfernen.

Die folgenden Aktionen umfassen beispielsweise die iam:GetCredentialReport zweimal Action (Aktion).

"Action": [
        "iam:Get*",
        "iam:List*",
        "iam:GetCredentialReport"
    ],

In diesem Beispiel werden die Berechtigungen für jede IAM-Aktion definiert, die mit Get oder List beginnt. Wenn IAM zusätzliche Abruf- oder Listenvorgänge hinzufügt, erlaubt diese Richtlinie diese. Sie können alle diese schreibgeschützten Aktionen zulassen. Die Aktion iam:GetCredentialReport ist bereits als Teil von iam:Get* enthalten. Um die doppelten Berechtigungen zu entfernen, könnten Sie iam:GetCredentialReport entfernen.

Sie erhalten ein Ergebnis für diese Richtlinienprüfung, wenn der gesamte Inhalt einer Aktion redundant ist. Wenn das Element in diesem Beispiel iam:*CredentialReport enthält, wird es nicht als redundant betrachtet. Das schließt mit einiam:GetCredentialReport, die redundant ist, und iam:GenerateCredentialReport, was nicht ist. Das Entfernen von iam:Get* oder iam:*CredentialReport würde die Berechtigungen der Richtlinie ändern.

AWS verwaltete Richtlinien mit diesem Vorschlag

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Redundante Aktionen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Wenn Sie eine AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer vom Kunden verwalteten Richtlinie verwenden, AWS empfiehlt Ihnen, überflüssige Aktionen aus Ihrer Richtlinie zu entfernen.

Vorschlag – Redundanter Bedingungswert num

Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:

Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."

Abruf eines Vorschlags

Wenn Sie numerische Bedingungsoperatoren für ähnliche Werte in einem Bedingungsschlüssel verwenden, können Sie eine Überlappung erstellen, die zu redundanten Berechtigungen führt.

Das folgende Condition-Element enthält beispielsweise mehrere aws:MultiFactorAuthAge-Bedingungen mit einer Altersüberschneidung von 1200 Sekunden.

"Condition": {
        "NumericLessThan": {
          "aws:MultiFactorAuthAge": [
            "2700",
            "3600"
          ]
        }
      }

In diesem Beispiel werden die Berechtigungen definiert, wenn die Multi-Faktor-Authentifizierung (MFA) vor weniger als 3600 Sekunden (1 Stunde) abgeschlossen wurde. Sie könnten die redundante 2700-Wert.

Vorschlag – Redundante Ressource

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"

Abruf eines Vorschlags

Wenn Sie Platzhalter (*) in Amazon Resource Names (ARNs) verwenden, können Sie redundante Ressourcenberechtigungen erstellen.

Das folgende Resource Element enthält beispielsweise mehrere ARNs mit redundanten Berechtigungen.

"Resource": [
            "arn:aws:iam::111122223333:role/jane-admin",
            "arn:aws:iam::111122223333:role/jane-s3only",
            "arn:aws:iam::111122223333:role/jane*"
        ],

In diesem Beispiel sind die Berechtigungen für jede Rolle definiert, deren Name mit jane. Sie könnten die redundanten Elemente jane-admin entfernen, jane-s3only ARNs ohne die resultierenden Berechtigungen zu ändern. Dadurch wird die Politik dynamisch. Es definiert Berechtigungen für alle zukünftigen Rollen, die mit jane. Wenn die Richtlinie den Zugriff auf eine statische Anzahl von Rollen ermöglichen soll, entfernen Sie den letzten ARN und listen Sie nur die auf ARNs , die definiert werden sollen.

AWS verwaltete Richtlinien mit diesem Vorschlag

AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.

Redundante Ressourcen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Wenn Sie eine AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer vom Kunden verwalteten Richtlinie verwenden, AWS empfiehlt Ihnen, überflüssige Ressourcen aus Ihrer Richtlinie zu entfernen.

Vorschlag – Redundante Aussage

Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:

Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."

Abruf eines Vorschlags

Das Element Statement ist das Hauptelement einer Richtlinie. Dieses Element ist erforderlich. Das Statement-Element kann eine einzelne Anweisung oder ein Array von einzelnen Anweisungen enthalten.

Wenn Sie dieselbe Anweisung mehrmals in eine lange Richtlinie einfügen, sind die Anweisungen redundant. Sie können eine der Anweisungen entfernen, ohne sich auf die von der Richtlinie erteilten Berechtigungen auswirken zu müssen. Wenn jemand eine Richtlinie bearbeitet, kann er eine der Anweisungen ändern, ohne das Duplikat zu aktualisieren. Dies kann zu mehr Berechtigungen führen als beabsichtigt.

Vorschlag – Platzhalter im Servicenamen

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."

Abruf eines Vorschlags

Wenn Sie den Namen eines AWS Dienstes in eine Richtlinie aufnehmen, AWS empfiehlt es sich, keine Platzhalter (*,?) zu verwenden. Dadurch können Berechtigungen für zukünftige Services hinzugefügt werden, die Sie nicht beabsichtigen. Beispielsweise gibt es mehr als ein Dutzend AWS Dienste, deren Namen das Wort *code* enthalten.

"Resource": "arn:aws:*code*::111122223333:*"

Vorschlag – Zulassen mit nicht unterstütztem Tag-Bedingungsschlüssel für Service

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."

Abruf eines Vorschlags

Die Verwendung von nicht unterstützten Tag-Bedingungsschlüsseln im Condition Element einer Richtlinie mit "Effect": "Allow" hat keinen Einfluss auf die durch die Richtlinie gewährten Berechtigungen, da die Bedingung für diese Dienstaktion ignoriert wird. AWS empfiehlt, die Aktionen für Dienste zu entfernen, die den Bedingungsschlüssel nicht unterstützen, und eine weitere Anweisung zu erstellen, um den Zugriff auf bestimmte Ressourcen in diesem Dienst zu ermöglichen.

Wenn Sie den aws:ResourceTag-Bedingungsschlüssel verwenden und dieser nicht von einer Service-Aktion unterstützt wird, wird der Schlüssel nicht in den Anforderungskontext aufgenommen. In diesem Fall gibt die Bedingung in der Allow-Anweisung immer false zurück und die Aktion ist nie erlaubt. Dies geschieht auch dann, wenn die Ressource korrekt markiert ist.

Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. Bei Services, die diese Schlüssel nicht unterstützen, müssen Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle (RBAC) steuern.

Nehmen Sie beispielsweise an, dass Sie den Zugriff auf bestimmte Ressourcen, die mit dem Schlüssel-Wert-Paar team=BumbleBee gekennzeichnet sind, verweigern möchten. Gehen Sie außerdem davon aus, dass Sie damit Ressourcen taggen AWS Lambda können, der aws:ResourceTag Bedingungsschlüssel jedoch nicht unterstützt wird. Verwenden Sie den aws:ResourceTag Bedingungsschlüssel, um Anzeigeaktionen für AWS App Mesh und AWS Backup falls dieses Tag vorhanden ist, zuzulassen. Verwenden Sie für Lambda eine Ressourcennamenskonvention, die den Teamnamen als Präfix enthält. Fügen Sie dann eine separate Anweisung hinzu, die das Anzeigen von Ressourcen mit dieser Namenskonvention ermöglicht.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewSupported",
            "Effect": "Allow",
            "Action": [
                "appmesh:DescribeMesh", 
                "backup:GetBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/team": "BumbleBee"
                }
            }
        },
        {
            "Sid": "AllowViewUnsupported",
            "Effect": "Allow",
            "Action": "lambda:GetFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
        }
    ]
}

Verwandte Begriffe

Vorschlag — Zulassen, wenn NotAction der Tag-Bedingungsschlüssel für den Service nicht unterstützt wird

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

Abruf eines Vorschlags

Die Verwendung nicht unterstützter Tag-Bedingungsschlüssel im Condition-Element einer Richtlinie mit dem Element NotAction und "Effect": "Allow" hat keine Auswirkungen auf die von der Richtlinie gewährten Berechtigungen. Die Bedingung wird für Serviceaktionen ignoriert, die den Bedingungsschlüssel nicht unterstützen. AWS empfiehlt, die Logik neu zu schreiben, um eine Liste von Aktionen zuzulassen.

Wenn Sie den Bedingungsschlüssel aws:ResourceTag mit NotAction verwenden, werden alle neuen oder bestehenden Service-Aktionen, die den Schlüssel nicht unterstützen, nicht zugelassen. AWS empfiehlt, dass Sie die Aktionen, die Sie zulassen möchten, ausdrücklich auflisten. IAM Access Analyzer gibt eine separate Suche für aufgelistete Aktionen zurück, die die aws:ResourceTag-Bedingungsschlüssel. Weitere Informationen finden Sie unter Vorschlag – Zulassen mit nicht unterstütztem Tag-Bedingungsschlüssel für Service.

Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. Bei Services, die diese Schlüssel nicht unterstützen, müssen Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle (RBAC) steuern.

Verwandte Begriffe

Vorschlag - Empfohlener Bedingungsschlüssel für Service-Prinzipal

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."

Abruf eines Vorschlags

Sie können AWS-Services im Principal Element einer ressourcenbasierten Richtlinie einen Dienstprinzipal angeben, bei dem es sich um einen Bezeichner für den Dienst handelt. Sie sollten die Bedingungsschlüssel aws:SourceArn, aws:SourceAccount, aws:SourceOrgID oder aws:SourceOrgPaths verwenden, wenn Sie Zugriff auf Service-Prinzipale gewähren, anstelle anderer Bedingungsschlüssel wie aws:Referer. Dies hilft Ihnen, ein Sicherheitsproblem zu verhindern, das Problem des verwirrten Stellvertreters genannt wird.

Verwandte Begriffe

Vorschlag - Irrelevanter Bedingungsschlüssel in der Richtlinie

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource."

Abruf eines Vorschlags

Einige Bedingungsschlüssel sind für ressourcenbasierte Richtlinien nicht relevant. Zum Beispiel, der s3:ResourceAccount-Bedingungsschlüssel ist nicht relevant für die ressourcenbasierte Richtlinie, die an einen Amazon-S3-Bucket oder Amazon-S3-Zugriffspunkt-Ressourcentyp angehängt ist.

Sie sollten Ihren Bedingungsschlüssel in einer identitätsbasierten Richtlinie verwenden, um den Zugriff auf die Ressource zu kontrollieren.

Verwandte Begriffe

Vorschlag – Redundanter Prinzipal in Rollenvertrauensrichtlinie

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."

Abruf eines Vorschlags

Wenn Sie sowohl einen Prinzipal mit angenommener Rolle als auch seine übergeordnete Rolle im Principal–Element einer Richtlinie angeben, erlaubt oder verweigert sie keine anderen Berechtigungen. Zum Beispiel ist es überflüssig, das Principal-Element im folgenden Format anzugeben:

"Principal": {
            "AWS": [
            "arn:aws:iam::AWS-account-ID:role/rolename",
            "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname"
        ]

Wir empfehlen, den Prinzip mit angenommener Rolle zu entfernen.

Verwandte Begriffe

Vorschlag – Bestätigung des Zielgruppenanspruch-Typs

In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:

Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.

Bei programmatischen Aufrufen der AWS CLI AWS OR-API enthält das Ergebnis dieser Prüfung die folgende Meldung:

"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."

Abruf eines Vorschlags

Der aud-Anspruchsschlüssel (Zielgruppe) ist ein eindeutiger Bezeichner für Ihre App, der ausgestellt wird, wenn Sie Ihre App beim IdP registrieren. Er identifiziert die Empfänger, für die das JSON-Web-Token bestimmt ist. Zielgruppenansprüche können mehrwertig oder einwertig sein. Wenn der Anspruch mehrwertig ist, verwenden Sie einen ForAllValues- oder ForAnyValue-Bedingungssatz-Operator. Wenn der Anspruch einwertig ist, verwenden Sie keinen Bedingungssatz-Operator.

Verwandte Begriffe