iam-policy-no-statements-with-full-access - AWS Config
AWS CloudFormation plantilla

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

iam-policy-no-statements-with-full-access

Comprueba si AWS Las políticas de Identity and Access Management (IAM) que usted cree otorgan permisos para todas las acciones individuales AWS recursos. La regla es NON _ COMPLIANT si alguna IAM política gestionada por el cliente permite el acceso total a al menos 1 AWS servicio.

Contexto: Siguiendo el principio del privilegio mínimo, se recomienda limitar las acciones permitidas en sus IAM políticas al conceder permisos a AWS servicios. Este enfoque ayuda a garantizar que solo se concedan los permisos necesarios especificando las acciones exactas necesarias, lo que evita el uso de caracteres comodín sin restricciones para un servicio, como. ec2:*

En algunos casos, es posible que desee permitir varias acciones con un prefijo similar, como y. DescribeFlowLogsDescribeAvailabilityZones En estos casos, puede añadir un comodín con sufijo al prefijo común (por ejemplo,). ec2:Describe* Agrupar las acciones relacionadas puede ayudar a evitar alcanzar IAM los límites de tamaño de las políticas.

Esta regla volverá a aplicarse COMPLIANT si utilizas acciones prefijadas con un comodín como sufijo (por ejemplo,). ec2:Describe* Esta regla solo devolverá NON _ COMPLIANT si utilizas caracteres comodín sin restricciones (por ejemplo,). ec2:*

nota

Esta regla solo evalúa las políticas administradas por el cliente. Esta regla NOT evalúa las políticas integradas o AWS políticas gestionadas. Para obtener más información sobre la diferencia, consulte las políticas administradas y las políticas integradas en la Guía del IAM usuario.

Identificador: IAM _ POLICY _NO_ _ _ _ STATEMENTS WITH FULL ACCESS

Tipos de recursos: AWS::IAM::Policy

Tipo de disparador: cambios de configuración

Región de AWS: Todos compatibles AWS regions

Parámetros:

excludePermissionBoundaryPolítica (opcional)
Tipo: booleano

Indicador booleano para excluir la evaluación de IAM las políticas utilizadas como límites de permisos. Si se establece en true, la regla no incluirá los límites de permisos en la evaluación. De lo contrario, todas IAM las políticas incluidas en el ámbito de aplicación se evalúan cuando el valor se establece en «false». El valor predeterminado es false.

AWS CloudFormation plantilla

Para crear AWS Config reglas gestionadas con AWS CloudFormation plantillas, consulteCreación de reglas administradas de AWS Config con plantillas de AWS CloudFormation.