iam-policy-no-statements-with-full-access - AWS Config
Plantilla de AWS CloudFormation

iam-policy-no-statements-with-full-access

Comprueba si las políticas de AWS Identity and Access Management (IAM) que crea usted otorgan permisos a todas las acciones de los recursos de AWS individuales. La regla es NON_COMPLIANT si alguna política de IAM administrada otorga acceso total a al menos un servicio de AWS.

Contexto: con base en el principio del privilegio mínimo, es recomendable limitar las acciones permitidas en las políticas de IAM al conceder permisos a los servicios de AWS. Este método ayuda a garantizar que solo se concedan los permisos necesarios especificando las acciones necesarias exactas, lo que evita el uso sin restricciones de comodines para un servicio, como ec2:*.

En algunos casos, es posible que desee permitir acciones múltiples con un prefijo similar, como DescribeFlowLogs y DescribeAvailabilityZones. En estos casos, puede añadir un comodín con sufijo al prefijo común (por ejemplo, ec2:Describe*). Agrupar las acciones relacionadas puede contribuir a no alcanzar los límites de tamaño de las políticas de IAM.

Esta regla devolverá COMPLIANT si utiliza acciones con prefijos y con un comodín como sufijo (como ec2:Describe*). Esta regla solo devolverá NON_COMPLIANT si utiliza comodines sin restricciones (como, ec2:*).

nota

Esta regla solo evalúa las políticas administradas por el cliente. Esta regla NO evalúa las políticas insertadas ni las políticas administradas por AWS. Para obtener más información sobre la diferencia, consulte Políticas administradas y políticas insertadas en la Guía del usuario de IAM.

Identificador: IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS

Tipos de recurso: AWS::IAM::Policy

Tipo de disparador: cambios de configuración

Región de AWS: todas las regiones de AWS compatibles

Parámetros:

excludePermissionBoundaryPolicy (opcional)
Tipo: booleano

Indicador booleano para excluir la evaluación de las políticas de IAM utilizadas como límites de permisos. Si se establece en true, la regla no incluirá los límites de permisos en la evaluación. De lo contrario, todas las políticas de IAM incluidas en el ámbito de aplicación se evaluarán cuando el valor se establezca en false. El valor predeterminado es false.

Plantilla de AWS CloudFormation

Para crear reglas administradas de AWS Config con plantillas de AWS CloudFormation, consulte Creación de reglas administradas de AWS Config con plantillas de AWS CloudFormation.