iam-policy-no-statements-with-full-access - AWS Config
AWS CloudFormation Vorlage

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

iam-policy-no-statements-with-full-access

Prüft ob AWS Von Ihnen erstellte Identity and Access Management Zugriffsverwaltungsrichtlinien (IAM) gewähren Berechtigungen für alle Aktionen einzelner AWS Ressourcen schätzen. Die Regel lautet NON _, COMPLIANT wenn eine vom Kunden verwaltete IAM Richtlinie vollen Zugriff auf mindestens eine Richtlinie gewährt AWS Dienst.

Kontext: Gemäß dem Prinzip der geringsten Rechte wird empfohlen, die zulässigen Aktionen in Ihren IAM Richtlinien einzuschränken, wenn Sie Berechtigungen erteilen für AWS Dienstleistungen. Mit diesem Ansatz können Sie sicherstellen, dass Sie nur die erforderlichen Berechtigungen erteilen, indem Sie genau die erforderlichen Aktionen angeben und so die Verwendung uneingeschränkter Platzhalter für einen Dienst vermeiden, z. B. ec2:*

In einigen Fällen möchten Sie möglicherweise mehrere Aktionen mit einem ähnlichen Präfix zulassen, z. B. DescribeFlowLogsund. DescribeAvailabilityZones In diesen Fällen können Sie dem gemeinsamen Präfix einen Platzhalter mit Suffix hinzufügen (z. B.). ec2:Describe* Durch das Gruppieren verwandter Aktionen kann verhindert werden, dass die Größenbeschränkungen der Richtlinien überschritten werden. IAM

Diese Regel wird zurückgegeben, COMPLIANT wenn Sie Aktionen mit einem Platzhalter als Präfix verwenden (z. B.). ec2:Describe* Diese Regel gibt nur NON _ zurück, COMPLIANT wenn Sie uneingeschränkte Platzhalter verwenden (z. B.). ec2:*

Anmerkung

Diese Regel bewertet nur vom Kunden verwaltete Richtlinien. Diese Regel NOT bewertet Inline-Richtlinien oder AWS verwaltete Richtlinien. Weitere Informationen zu den Unterschieden finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im IAMBenutzerhandbuch.

Kennung: IAM _ POLICY _NO_ _ _ STATEMENTS _ WITH FULL ACCESS

Ressourcentypen: AWS::IAM::Policy

Auslösertyp: Konfigurationsänderungen

AWS-Region: Alle unterstützt AWS Regionen

Parameter:

excludePermissionBoundaryRichtlinie (optional)
Typ: Boolesch

Boolesches Kennzeichen, um die Auswertung von IAM Richtlinien auszuschließen, die als Rechtegrenzen verwendet werden. Wenn dieser Wert auf „True“ festgelegt ist, bezieht die Regel keine Berechtigungsgrenzen in die Auswertung mit ein. Andernfalls werden alle IAM Richtlinien im Gültigkeitsbereich bewertet, wenn der Wert auf „falsch“ gesetzt ist. Der Standardwert ist „False“.

AWS CloudFormation Vorlage

Um zu erstellen AWS Config verwaltete Regeln mit AWS CloudFormation Vorlagen, sieheErstellen von verwalteten AWS Config-Regeln mit AWS CloudFormation-Vorlagen.