Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Référence de vérification de politique d'analyseur d'accès

Vous pouvez valider vos politiques à l'aide de AWS Identity and Access Management Access Analyzer la validation des politiques. Vous pouvez créer ou modifier une politique à l'aide de l'éditeur de JSON stratégie AWS CLI AWS API, ou de la IAM console. IAMAccess Analyzer valide votre politique par rapport à la grammaire des IAM politiques et aux AWS meilleures pratiques. Vous pouvez afficher les résultats des vérifications de validation de politique qui incluent des avertissements de sécurité, des erreurs, des avertissements généraux et des suggestions pour votre politique. Ces résultats fournissent des recommandations exploitables qui vous aident à créer des politiques fonctionnelles et conformes aux bonnes pratiques en matière de sécurité. La liste des contrôles de politique de base fournis par IAM Access Analyzer est présentée ci-dessous. Pas de frais supplémentaires pour l’exécution des vérifications de validation de la politique. Pour en savoir plus sur la validation des politiques à l’aide de la validation des politiques, consultez Validez les politiques avec IAM Access Analyzer.

Erreur — ARN compte non autorisé

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."

Résolution de l'erreur

Supprimez l'ID de compte de la ressourceARN. La ressource ARNs de certains AWS services ne permet pas de spécifier un identifiant de compte.

Par exemple, Amazon S3 ne prend pas en charge l'ID de compte en tant qu'espace de noms dans un bucketARNs. Le nom d'un compartiment Amazon S3 est unique au monde et l'espace de noms est partagé par tous les AWS comptes. Pour afficher tous les types de ressources disponibles dans Amazon S3, veuillez consulter Types de ressources définis par Amazon S3 dans la Référence des autorisations de service.

Termes connexes

Erreur — ARN Région non autorisée

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."

Résolution de l'erreur

Supprimez la région de la ressourceARN. La ressource ARNs pour certains AWS services ne permet pas de spécifier une région.

Par exemple, il IAM s'agit d'un service mondial. La partie Région d'une IAM ressource ARN est toujours laissée en blanc. IAMles ressources sont mondiales, comme un AWS compte l'est aujourd'hui. Par exemple, une fois connecté en tant qu'IAMutilisateur, vous pouvez accéder aux AWS services dans n'importe quelle région géographique.

Erreur : non-correspondance du type de données

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Data type mismatch: The text does not match the expected JSON data type {{data_type}}.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The text does not match the expected JSON data type {{data_type}}."

Résolution de l'erreur

Mettez à jour le texte pour utiliser le type de données pris en charge.

Par exemple, la clé de condition globale Version a besoin d'un type de données String. Si vous fournissez une date ou un entier, le type de données ne correspondra pas.

Termes connexes

Erreur : clés dupliquées avec une casse différente

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."

Résolution de l'erreur

Examinez les clés de condition similaires dans le même bloc de condition et utilisez la même casse pour toutes les instances.

On appelle bloc de condition le texte inclus dans l'élément Conditiond'une instruction de politique. Les noms de clé de condition ne sont pas sensibles à la casse. La sensibilité à la casse des valeurs des clés de condition dépend de l'opérateur de condition que vous utilisez. Pour de plus amples informations sur la sensibilité à la casse des clés de condition, veuillez consulter IAMJSONéléments de politique : Condition.

Termes connexes

Erreur : action non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"

Résolution de l'erreur

L'action que vous avez spécifiée n'est pas valide. Cela peut se produire si vous saisissez de façon incorrecte le préfixe du service ou le nom de l'action. Pour certains problèmes courants, la vérification de politique renvoie une action suggérée.

Termes connexes

AWS politiques gérées avec cette erreur

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les politiques AWS gérées suivantes incluent des actions non valides dans leurs déclarations de politique. Les actions non valides n'affectent pas les autorisations octroyées par la politique. Lorsque vous utilisez une stratégie AWS gérée comme référence pour créer votre stratégie gérée, il est AWS recommandé de supprimer les actions non valides de votre stratégie.

Erreur — ARN Compte non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."

Résolution de l'erreur

Mettez à jour l'ID de compte dans la ressourceARN. IDsLes comptes sont des nombres entiers à 12 chiffres. Pour savoir comment consulter l'identifiant de votre compte, consultez la section Trouver votre identifiant de AWS compte.

Termes connexes

Erreur — ARN Préfixe non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add the required prefix (arn) to the resource ARN."

Résolution de l'erreur

AWS la ressource ARNs doit inclure le arn: préfixe requis.

Termes connexes

Erreur — ARN Région non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."

Résolution de l'erreur

Le type de ressource n'est pas pris en charge dans la région spécifiée. Pour un tableau des AWS services pris en charge dans chaque région, consultez le tableau des régions.

Termes connexes

Erreur — ARN Ressource non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."

Résolution de l'erreur

La ressource ARN doit correspondre aux spécifications des types de ressources connus. Pour afficher le ARN format attendu pour un service, consultez la section Actions, ressources et clés de condition pour les AWS services. Choisissez le nom du service pour afficher ses types et ARN formats de ressources.

Termes connexes

Erreur — Demande de ARN service non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."

Résolution de l'erreur

Le service de la ressource ARN doit correspondre aux spécifications (y compris la capitalisation) des préfixes de service. Pour afficher le préfixe d'un service, consultez la section Actions, ressources et clés de condition pour les AWS services. Choisissez le nom du service et localisez son préfixe dans la première phrase.

Termes connexes

Erreur : type de données de condition non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."

Résolution de l'erreur

La valeur de la paire clé-valeur de condition doit correspondre au type de données de la clé de condition et de l'opérateur de condition. Pour afficher le type de données de clé de condition d'un service, consultez la section Actions, ressources et clés de condition pour les AWS services. Choisissez le nom du service pour afficher les clés de condition de ce service.

Par exemple, la clé de condition globale CurrentTime prend en charge l'opérateur de condition Date. Si vous fournissez une chaîne ou un entier pour la valeur dans le bloc de condition, le type de données ne correspondra pas.

Termes connexes

Erreur : format de clé de condition non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid condition key format: The condition key format is not valid. Use the format service:keyname.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition key format is not valid. Use the format service:keyname."

Résolution de l'erreur

La clé de la paire clé-valeur de condition doit correspondre aux spécifications du service. Pour afficher les clés de condition d'un service, consultez la section Actions, ressources et clés de condition pour les AWS services. Choisissez le nom du service pour afficher les clés de condition de ce service.

Termes connexes

Erreur : valeurs booléennes multiples de condition non valides

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."

Résolution de l'erreur

La clé de la paire clé-valeur de condition attend une valeur booléenne unique. Lorsque vous fournissez plusieurs valeurs booléennes, la correspondance de condition peut ne pas renvoyer les résultats attendus.

Pour afficher les clés de condition d'un service, consultez la section Actions, ressources et clés de condition pour les AWS services. Choisissez le nom du service pour afficher les clés de condition de ce service.

Erreur : opérateur de condition non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."

Résolution de l'erreur

Mettez à jour la condition pour utiliser un opérateur de condition pris en charge.

Termes connexes

Erreur : effet non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."

Résolution de l'erreur

Mettez à jour l'élément Effect pour utiliser un effet valide. Les valeurs valides pour Effect sont Allow et Deny.

Termes connexes

Erreur : clé de condition globale non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."

Résolution de l'erreur

Mettez à jour la clé de condition dans la paire clé-valeur de condition pour utiliser une clé de condition globale prise en charge.

Les clés de condition globales sont des clés de condition avec un aws: préfixe. AWS les services peuvent prendre en charge les clés de condition globales ou fournir des clés spécifiques au service qui incluent leur préfixe de service. Par exemple, les clés de IAM condition incluent le iam: préfixe. Pour plus d'informations, consultez Actions, ressources et clés de condition pour les AWS services et choisissez le service dont vous souhaitez afficher les clés.

Termes connexes

Erreur : partition non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"

Résolution de l'erreur

Mettez à jour la ressource ARN pour inclure une partition prise en charge. Si vous avez inclus une partition prise en charge, le service ou la ressource peut ne pas prendre en charge la partition que vous avez incluse.

Une partition est un groupe de AWS régions. Chaque AWS compte est limité à une partition. Dans les régions classiques, utilisez la partition aws. Dans les régions de Chine, utilisez aws-cn.

Termes connexes

Erreur : élément de politique non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid policy element: The policy element {{element}} is not valid.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The policy element {{element}} is not valid."

Résolution de l'erreur

Mettez à jour la politique pour inclure uniquement les éléments de JSON stratégie pris en charge.

Termes connexes

Erreur : format de principal non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."

Résolution de l'erreur

Mettez à jour le format de principal de sorte à utiliser un format de paire clé-valeur pris en charge.

Vous pouvez spécifier un principal dans une politique basée sur la ressource, mais pas dans une politique basée sur l'identité.

Par exemple, pour définir l'accès pour tous les utilisateurs d'un AWS compte, utilisez le principe suivant dans votre politique :

"Principal": { "AWS": "123456789012" }

Termes connexes

Erreur : clé principale non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid principal key: The principal key {{principal-key}} is not valid.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The principal key {{principal-key}} is not valid."

Résolution de l'erreur

Mettez à jour la clé dans la paire clé-valeur principale pour utiliser une clé principale prise en charge. Les clés principales suivantes sont prises en charge :

Termes connexes

Erreur : région non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."

Résolution de l'erreur

Mettez à jour la valeur de la paire clé-valeur de condition pour inclure une région prise en charge. Pour un tableau des AWS services pris en charge dans chaque région, consultez le tableau des régions.

Termes connexes

Erreur : service non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid service: The service {{service}} does not exist. Use a valid service name.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The service {{service}} does not exist. Use a valid service name."

Résolution de l'erreur

Le préfixe de service dans la clé d'action ou de condition doit correspondre aux spécifications (notamment la casse) des préfixes de service. Pour afficher le préfixe d'un service, consultez la section Actions, ressources et clés de condition pour les AWS services. Choisissez le nom du service et localisez son préfixe dans la première phrase.

Termes connexes

Erreur : clé de condition de service non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."

Résolution de l'erreur

Mettez à jour la clé dans la paire clé-valeur de condition pour utiliser une clé de condition connue pour le service. Les noms de clé de condition globale commencent par le préfixe aws. Les services AWS peuvent fournir des clés spécifiques au service qui possèdent le préfixe du service. Pour afficher le préfixe d'un service, consultez la section Actions, ressources et clés de condition pour les AWS services.

Termes connexes

Erreur : service non valide en action

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"

Résolution de l'erreur

Le préfixe de service dans l'action doit correspondre aux spécifications (notamment la casse) des préfixes de service. Pour afficher le préfixe d'un service, consultez la section Actions, ressources et clés de condition pour les AWS services. Choisissez le nom du service et localisez son préfixe dans la première phrase.

Termes connexes

Erreur : variable non valide pour l'opérateur

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid variable for operator: Policy variables can only be used with String and ARN operators.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Policy variables can only be used with String and ARN operators."

Résolution de l'erreur

Vous pouvez utiliser des variables de politique dans l'élément Resource et les comparaisons de chaîne de l'élément Condition. Les conditions prennent en charge les variables lorsque vous utilisez des opérateurs de chaîne ou ARN des opérateurs. Les opérateurs de chaîne incluent StringEquals, StringLike et StringNotLike. ARNles opérateurs incluent ArnEquals etArnLike. Vous ne pouvez pas utiliser une variable de politique avec d'autres opérateurs, tels que les opérateurs Numeric, Date, Boolean, Binary, IP Address ou Null operators.

Termes connexes

Erreur : version non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"

Résolution de l'erreur

L'élément Version de stratégie spécifie les règles de syntaxe du langage AWS utilisées pour traiter une politique. Pour utiliser toutes les fonctions de politique disponibles, incluez l'élément Version suivant avant l'élément Statement dans l'ensemble de vos politiques.

"Version": "2012-10-17"

Termes connexes

Erreur : erreur de syntaxe Json

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."

Résolution de l'erreur

Votre politique inclut une erreur de syntaxe. Vérifiez votre JSON syntaxe.

Termes connexes

Erreur : erreur de syntaxe Json

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Json syntax error: Fix the JSON syntax error.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Fix the JSON syntax error."

Résolution de l'erreur

Votre politique inclut une erreur de syntaxe. Vérifiez votre JSON syntaxe.

Termes connexes

Erreur : action manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing action: Add an Action or NotAction element to the policy statement.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add an Action or NotAction element to the policy statement."

Résolution de l'erreur

AWS JSONles politiques doivent inclure un NotAction élément Action or.

Termes connexes

Erreur — ARN Champ manquant

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"

Résolution de l'erreur

Tous les champs de la ressource ARN doivent correspondre aux spécifications d'un type de ressource connu. Pour afficher le ARN format attendu pour un service, consultez la section Actions, ressources et clés de condition pour les AWS services. Choisissez le nom du service pour afficher ses types et ARN formats de ressources.

Termes connexes

Erreur — ARN Région manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing ARN Region: Add a Region to the {{service}} resource ARN.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add a Region to the {{service}} resource ARN."

Résolution de l'erreur

La ressource ARNs pour la plupart des AWS services nécessite que vous spécifiiez une région. Pour un tableau des AWS services pris en charge dans chaque région, consultez le tableau des régions.

Termes connexes

Erreur : effet manquant

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."

Résolution de l'erreur

AWS JSONles politiques doivent inclure un Effect élément dont la valeur est Allow etDeny.

Termes connexes

Erreur : principal manquant

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing principal: Add a Principal element to the policy statement.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add a Principal element to the policy statement."

Résolution de l'erreur

Les politiques basées sur les ressources doivent inclure un élément Principal.

Par exemple, pour définir l'accès pour tous les utilisateurs d'un AWS compte, utilisez le principe suivant dans votre politique :

"Principal": { "AWS": "123456789012" }

Termes connexes

Erreur : qualificateur manquant

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."

Résolution de l'erreur

Dans l'élément Condition, vous créez des expressions dans lesquelles vous utilisez des opérateurs de condition tels que égal ou inférieur à pour comparer une condition de la politique avec des clés et des valeurs dans le contexte de la demande. Pour les demandes qui incluent plusieurs valeurs pour une seule clé de condition, vous devez placer les conditions entre crochets comme un tableau ("Key2":["Value2A", "Value2B"]). Vous devez également utiliser les opérateurs définis ForAllValues ou ForAnyValue avec l'opérateur de condition StringLike. Ces qualificatifs ajoutent une fonctionnalité d'opération d'ensemble à l'opérateur de condition afin que vous puissiez tester plusieurs valeurs de demande par rapport à plusieurs valeurs de condition.

Termes connexes

AWS politiques gérées avec cette erreur

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les politiques AWS gérées suivantes incluent un qualificatif manquant pour les clés de condition dans leurs déclarations de politique. Lorsque vous utilisez la politique AWS gérée comme référence pour créer votre politique gérée par le client, il est AWS recommandé d'ajouter les qualificatifs de clé de ForAnyValue condition ForAllValues ou à votre Condition élément.

Erreur : ressource manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing resource: Add a Resource or NotResource element to the policy statement.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add a Resource or NotResource element to the policy statement."

Résolution de l'erreur

Toutes les politiques, à l'exception des politiques de confiance dans les rôles, doivent inclure un NotResource élément Resource or.

Termes connexes

Erreur : instruction manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing statement: Add a statement to the policy

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add a statement to the policy"

Résolution de l'erreur

Une JSON politique doit inclure une déclaration.

Termes connexes

Erreur : Null avec Si existe

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."

Résolution de l'erreur

Vous pouvez ajouter IfExists à la fin de tous les noms d'opérateurs de condition, à l'exception de l'opérateur de condition Null. Utilisez un opérateur de condition Null pour vérifier si une clé de condition est présente lors de l'autorisation. Utilisez ...ifExists pour spécifier que « If the policy key is present in the context of the request, process the key as specified in the policy. Si la clé n'est pas présente, évaluez l'élément de condition comme vrai. »

Termes connexes

Erreur : erreur de SCP syntaxe, action, caractère générique

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des services (SCPs) permettent de spécifier des valeurs dans les NotAction éléments Action or. Cependant, ces valeurs peuvent inclure des caractères génériques (*) uniquement à la fin de la chaîne. Cela signifie que vous pouvez spécifier iam:Get* mais pas iam:*role.

Pour spécifier plusieurs actions, il est AWS recommandé de les répertorier individuellement.

Termes connexes

Erreur : erreur de SCP syntaxe, condition d'autorisation

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des services (SCPs) prennent en charge la spécification de valeurs dans l'Conditionélément uniquement lorsque vous l'utilisez"Effect": "Deny".

Pour autoriser une seule action, vous pouvez refuser l'accès à tout, sauf à la condition que vous spécifiez à l'aide de la version ...NotEquals d'un opérateur de condition. Cela annule la comparaison faite par l'opérateur.

Termes connexes

Erreur : erreur de SCP syntaxe autorisée NotAction

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des services (SCPs) ne prennent pas en charge l'utilisation de l'NotActionélément avec"Effect": "Allow".

Vous devez réécrire la logique pour autoriser une liste d'actions ou refuser chaque action non répertoriée.

Termes connexes

Erreur : erreur de SCP syntaxe : autoriser la ressource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des services (SCPs) prennent en charge la spécification de valeurs dans l'Resourceélément uniquement lorsque vous l'utilisez"Effect": "Deny".

Vous devez réécrire la logique pour autoriser toutes les ressources ou refuser chaque ressource répertoriée.

Termes connexes

Erreur — erreur de SCP syntaxe NotResource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des services (SCPs) ne prennent pas en charge l'NotResourceélément.

Vous devez réécrire la logique pour autoriser toutes les ressources ou refuser chaque ressource répertoriée.

Termes connexes

Erreur — erreur de SCP syntaxe principale

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des services (SCPs) ne prennent pas en charge les NotPrincipal éléments Principal or.

Vous pouvez spécifier le nom de la ressource Amazon (ARN) à l'aide de la clé de condition aws:PrincipalArn globale de l'Conditionélément.

Termes connexes

Erreur : Sid uniques requis

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."

Résolution de l'erreur

Pour certains types de politiques, la déclaration IDs doit être unique. L'élément Sid (ID d'instruction) vous autorise à saisir un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez attribuer une valeur d'ID d'instruction à chaque instruction d'un tableau d'instructions à l'aide de l'élément SID. Dans les services qui vous permettent de spécifier un élément d'identification, tel que SQS etSNS, la Sid valeur est simplement un sous-ID de l'ID du document de politique. Par exemple, dansIAM, la Sid valeur doit être unique au sein d'une JSON politique.

Termes connexes

Erreur : action non prise en charge dans la politique

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Résolution de l'erreur

Certaines actions ne sont pas prises en charge dans l'élément Action dans la politique basée sur les ressources, attachée à un type de ressource différent. Par exemple, les AWS Key Management Service actions ne sont pas prises en charge dans les politiques relatives aux compartiments Amazon S3. Spécifiez une action prise en charge par le type de ressource attaché à votre politique basée sur les ressources.

Termes connexes

Erreur : combinaison d'éléments non prise en charge

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."

Résolution de l'erreur

Certaines combinaisons d'éléments de JSON stratégie ne peuvent pas être utilisées ensemble. Par exemple, vous ne pouvez pas utiliser Action et NotAction dans la même instruction de politique. Les autres paires qui s'excluent mutuellement sont notamment Principal/NotPrincipal et Resource/NotResource.

Termes connexes

Erreur : clé de condition globale non prise en charge

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."

Résolution de l'erreur

AWS ne prend pas en charge l'utilisation de la clé de condition globale spécifiée. En fonction de votre cas d'utilisation, vous pouvez utiliser les clés de condition globale aws:PrincipalArn ou aws:SourceArn. Par exemple, au lieu deaws:ARN, utilisez le aws:PrincipalArn pour comparer le nom de ressource Amazon (ARN) du principal qui a fait la demande avec ARN celui que vous spécifiez dans la politique. Vous pouvez également utiliser la clé de condition aws:SourceArn globale pour comparer le nom de ressource Amazon (ARN) de la ressource qui fait une service-to-service demande avec celui ARN que vous spécifiez dans la politique.

Termes connexes

Erreur : principal non pris en charge

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."

Résolution de l'erreur

L'élément Principal spécifie le principal qui est autorisé ou non à accéder à une ressource. Vous ne pouvez pas utiliser l'Principalélément dans une politique IAM basée sur l'identité. Vous pouvez l'utiliser dans les politiques de confiance pour les IAM rôles et dans les politiques basées sur les ressources. Les politiques basées sur les ressources sont des politiques que vous intégrez directement à une ressource. Par exemple, vous pouvez intégrer des politiques dans un compartiment Amazon S3 ou dans une AWS KMS clé.

Termes connexes

Erreur — Ressource non prise en charge ARN dans la politique

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Résolution de l'erreur

Certaines ressources ARNs ne sont pas prises en charge dans l'Resourceélément de la stratégie basée sur les ressources lorsque la stratégie est attachée à un autre type de ressource. Par exemple, AWS KMS ARNs ne sont pas pris en charge dans l'Resourceélément relatif aux politiques de compartiment Amazon S3. Spécifiez une ressource ARN prise en charge par un type de ressource associé à votre politique basée sur les ressources.

Termes connexes

Erreur : sid non pris en charge

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"

Résolution de l'erreur

L'élément Sid prend en charge les lettres majuscules, les lettres minuscules et les chiffres.

Termes connexes

Erreur : caractère générique non pris en charge dans le principal

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."

Résolution de l'erreur

La structure de l'élément Principal prend en charge l'utilisation d'une paire clé-valeur. La valeur du principal spécifiée dans la politique inclut un caractère générique (*). Vous ne pouvez pas inclure de caractère générique avec la clé de principal que vous avez spécifiée. Par exemple, lorsque vous spécifiez des utilisateurs dans un élément Principal, il n'est pas possible d'utiliser un caractère générique signifiant « tous les utilisateurs ». Vous devez nommer un ou plusieurs utilisateurs spécifiques. De même, lorsque vous spécifiez une session endossed-role, vous ne pouvez pas utiliser un caractère générique pour signifier « toutes les sessions ». Vous devez nommer une session spécifique. Vous ne pouvez pas non plus utiliser de caractère générique pour faire correspondre une partie d'un nom ou d'unARN.

Pour résoudre ce problème, supprimez le caractère générique et fournissez un principal plus spécifique.

Termes connexes

Erreur : accolade manquante dans la variable

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.

Dans les appels programmatiques au bloc AWS CLI opératoire AWS API, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."

Résolution de l'erreur

La structure de la variable politique prend en charge l'utilisation d'un préfixe $ suivi d'une paire d'accolades ({ }). À l'intérieur des caractères ${ }, incluez le nom de la valeur de la demande que vous souhaitez utiliser dans la politique.

Pour résoudre ce problème, ajoutez l'accolade manquante afin de garantir la présence de l'ensemble d'accolades d'ouverture et de fermeture.

Termes connexes

Erreur : guillemet manquant dans la variable

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."

Résolution de l'erreur

Lorsque vous ajoutez une variable à votre politique, vous pouvez spécifier une valeur par défaut pour la variable. Si aucune variable n'est présente, AWS utilise le texte par défaut que vous fournissez.

Pour ajouter une valeur par défaut à une variable, entourez la valeur par défaut de guillemets simples (' '), puis séparez le texte de la variable et la valeur par défaut par une virgule et une espace (, ).

Par exemple, si un principal est labelisé team=yellow, il peut accéder au compartiment Amazon S3 amzn-s3-demo-bucket avec le nom amzn-s3-demo-bucket-yellow. Une politique avec cette ressource peut autoriser les membres de l'équipe à accéder à leurs propres ressources, mais pas à celles d'autres équipes. Pour les utilisateurs sans identifications d'équipe, vous pouvez définir une valeur par défaut de company-wide. Ces utilisateurs peuvent accéder uniquement au compartiment amzn-s3-demo-bucket-company-wideoù ils peuvent afficher des informations générales, telles que des instructions pour rejoindre une équipe.

"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"

Termes connexes

Erreur : espace non prise en charge dans la variable

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "A space is not supported within the policy variable text. Remove the space."

Résolution de l'erreur

La structure de la variable politique prend en charge l'utilisation d'un préfixe $ suivi d'une paire d'accolades ({ }). À l'intérieur des caractères ${ }, incluez le nom de la valeur de la demande que vous souhaitez utiliser dans la politique. Bien qu'il soit possible d'inclure une espace lors de la spécification d'une variable par défaut, il n'est pas possible d'en inclure une dans le nom de la variable.

Termes connexes

Erreur : variable vide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."

Résolution de l'erreur

La structure de la variable politique prend en charge l'utilisation d'un préfixe $ suivi d'une paire d'accolades ({ }). À l'intérieur des caractères ${ }, incluez le nom de la valeur de la demande que vous souhaitez utiliser dans la politique.

Termes connexes

Erreur : variable non prise en charge dans l'élément

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."

Résolution de l'erreur

Vous pouvez utiliser des variables de politique dans l'élément Resource et les comparaisons de chaîne de l'élément Condition.

Termes connexes

Erreur : variable non prise en charge dans la version

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."

Résolution de l'erreur

Pour utiliser des variables de politique, vous devez inclure l'élément Version et le définir sur une version qui prend en charge les variables de politique. Les variables ont été introduites dans la version 2012-10-17. Les versions antérieures du langage de politique ne prennent pas en charge les variables de politique. Si vous ne définissez pas la Version sur 2012-10-17 ou ultérieure, des variables telles que ${aws:username} sont traitées comme des chaînes littérales dans la politique.

Un élément de politique Version est différent d'une version de politique. L'élément de politique Version est utilisé dans une politique pour définir la version de la langue de la politique. Une version de politique est créée lorsque vous modifiez une politique gérée par le client dansIAM. La politique modifiée ne remplace pas la politique existante. Il IAM crée plutôt une nouvelle version de la politique gérée.

Termes connexes

Erreur : adresse IP privée

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."

Résolution de l'erreur

La clé de condition globale aws:SourceIp fonctionne uniquement pour les plages d'adresses IP publiques. Cette erreur s'affiche lorsque votre politique autorise uniquement les adresses IP privées. Dans ce cas, la condition ne correspondrait jamais.

Erreur — Privé NotIpAddress

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."

Résolution de l'erreur

La clé de condition globale aws:SourceIp fonctionne uniquement pour les plages d'adresses IP publiques. Cette erreur s'affiche lorsque vous utilisez l'opérateur de condition NotIpAddress et que vous répertoriez uniquement les adresses IP privées. Dans ce cas, la condition correspondrait toujours et serait sans effet.

Erreur : la taille de la politique dépasse le SCP quota

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des services (SCPs) permettent de spécifier des valeurs dans les NotAction éléments Action or. Cependant, ces valeurs peuvent inclure des caractères génériques (*) uniquement à la fin de la chaîne. Cela signifie que vous pouvez spécifier iam:Get* mais pas iam:*role.

Pour spécifier plusieurs actions, il est AWS recommandé de les répertorier individuellement.

Termes connexes

Erreur : format de principal de service non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."

Résolution de l'erreur

La valeur de la paire clé-valeur de condition doit correspondre à un format de principal de service défini.

Un principal de service est un identifiant utilisé pour accorder des autorisations à un service. Vous pouvez spécifier un principal de service dans l'élément Principal ou comme valeur de certaines clés de condition globale et certaines clés spécifiques au service. Le principal de service est défini par chaque service.

L'identifiant d'un principal de service inclut le nom du service, et se présente généralement sous le format suivant, en lettres minuscules :

service-name.amazonaws.com

Certaines clés spécifiques au service peuvent utiliser un format différent pour les principaux de service. Par exemple, la clé de condition kms:ViaService requiert le format suivant pour les principaux services, en lettres minuscules :

service-name.AWS_region.amazonaws.com

Termes connexes

Erreur : clé de balise manquante dans la condition

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."

Résolution de l'erreur

Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dans l'élément de condition d'une politique.

Par exemple, pour contrôler l'accès aux AWS ressources, vous devez inclure la clé de aws:ResourceTag condition. Cette clé doit être au format aws:ResourceTag/tag-key. Pour spécifier la clé de balise owner et la valeur de balise JaneDoe dans une condition, utilisez le format suivant.

"Condition": {
    "StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}

Termes connexes

Erreur : format vpc non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."

Résolution de l'erreur

La clé de condition aws:SourceVpc doit utiliser le préfixe vpc- suivi de 8 ou 17 caractères alphanumériques, par exemple, vpc-11223344556677889 ou vpc-12345678.

Termes connexes

Erreur : format vpce non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid vpce format: The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."

Résolution de l'erreur

La clé de condition aws:SourceVpce doit utiliser le préfixe vpce- suivi de 8 ou 17 caractères alphanumériques, par exemple, vpce-11223344556677889 ou vpce-12345678.

Termes connexes

Erreur : principal fédéré non pris en charge

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."

Résolution de l'erreur

L'Principalélément utilise des principes fédérés pour les politiques de confiance associées aux IAM rôles afin de fournir un accès via la fédération d'identité. Les politiques d'identité et autres politiques basées sur les ressources ne prennent pas en charge un fournisseur d'identité fédéré dans l'élément Principal. Par exemple, vous ne pouvez pas utiliser un SAML principal dans une politique de compartiment Amazon S3. Modifiez l'élément Principal en un type principal pris en charge.

Termes connexes

Erreur  : action non prise en charge pour la clé de condition

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."

Résolution de l'erreur

Assurez-vous que la clé de condition dans l'élément Condition de l'instruction de politique s'applique à chaque action dans l'élément Action. Pour vous assurer que les actions que vous spécifiez sont effectivement autorisées ou rejetées par votre politique, vous devez déplacer les actions non prises en charge vers une autre instruction sans la clé de condition.

Termes connexes

Erreur : action non prise en charge dans la politique

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Résolution de l'erreur

Certaines actions ne sont pas prises en charge dans l'élément Action dans la politique basée sur les ressources, attachée à un type de ressource différent. Par exemple, les AWS Key Management Service actions ne sont pas prises en charge dans les politiques relatives aux compartiments Amazon S3. Spécifiez une action prise en charge par le type de ressource attaché à votre politique basée sur les ressources.

Termes connexes

Erreur — Ressource non prise en charge ARN dans la politique

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Résolution de l'erreur

Certaines ressources ARNs ne sont pas prises en charge dans l'Resourceélément de la stratégie basée sur les ressources lorsque la stratégie est attachée à un autre type de ressource. Par exemple, AWS KMS ARNs ne sont pas pris en charge dans l'Resourceélément relatif aux politiques de compartiment Amazon S3. Spécifiez une ressource ARN prise en charge par un type de ressource associé à votre politique basée sur les ressources.

Termes connexes

Erreur  : clé de condition non prise en charge pour le principal de service

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."

Résolution de l'erreur

Vous pouvez spécifier Services AWS dans l'Principalélément d'une politique basée sur les ressources à l'aide d'un principal de service, qui est un identifiant du service. Vous ne pouvez pas utiliser certaines clés de condition avec certains principaux de service. Par exemple, vous ne pouvez pas utiliser la clé de condition aws:PrincipalOrgID avec le principal de service cloudfront.amazonaws.com. Vous devez supprimer les clés de condition qui ne s'appliquent pas au principal de service dans l'élément Principal.

Termes connexes

Erreur : Erreur de syntaxe de la politique d'approbation notprincipal

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."

Résolution de l'erreur

Une politique de confiance dans les rôles est une stratégie basée sur les ressources attachée à un IAM rôle. Les politiques d’approbation définissent quelles entités de principal (comptes, utilisateurs, rôles et utilisateurs fédérés) peuvent endosser le rôle. Les politiques d'approbation de rôle ne prennent pas en charge NotPrincipal. Mettez à jour la politique pour utiliser un élément Principal à la place.

Termes connexes

Erreur : politique d'approbation de rôle générique non pris en charge dans le principal

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."

Résolution de l'erreur

Une politique de confiance dans les rôles est une stratégie basée sur les ressources attachée à un IAM rôle. Les politiques d’approbation définissent quelles entités de principal (comptes, utilisateurs, rôles et utilisateurs fédérés) peuvent endosser le rôle. "Principal:" "*" n’est pas pris en charge dans l’élément Principal d’une politique d’approbation de rôle. Remplacez le caractère générique par une valeur valide du principal.

Termes connexes

Erreur : Erreur de syntaxe de la politique d'approbation resource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."

Résolution de l'erreur

Une politique de confiance dans les rôles est une stratégie basée sur les ressources attachée à un IAM rôle. Les politiques d’approbation définissent quelles entités de principal (comptes, utilisateurs, rôles et utilisateurs fédérés) peuvent endosser le rôle. Les politiques d'approbation de rôles s'appliquent au rôle auquel elles sont associées. Vous ne pouvez pas spécifier un élément Resource ou NotResource dans une politique d'approbation de rôle. Supprimez l'élément Resource ou NotResource.

Erreur : non-correspondance de type, plage IP

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."

Résolution de l'erreur

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition de l'adresse IP, dans un CIDR format.

Termes connexes

Erreur : action manquante pour la clé de condition

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."

Résolution de l'erreur

La clé de condition dans l'élément Condition de la déclaration de politique n'est pas évalué à moins que l'action spécifiée ne figure dans l'élément Action. Pour vous assurer que les clés de condition que vous spécifiez sont effectivement autorisées ou rejetées par votre politique, ajoutez l'action à l'élément Action.

Termes connexes

Erreur : Syntaxe du principal fédéré non valide dans la politique d'approbation de rôle

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."

Résolution de l'erreur

La valeur du principal indique un principal fédéré qui ne correspond pas au format attendu. Mettez à jour le format du principal fédéré en utilisant un nom de domaine valide ou une SAML métadonnéeARN.

Termes connexes

Erreur : action non correspondante pour le principal

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."

Résolution de l'erreur

L'action spécifiée dans l'élément Action de la déclaration de politique n'est pas valide avec le principal spécifié dans l'élément Principal. Par exemple, vous ne pouvez pas utiliser un SAML fournisseur principal avec l'sts:AssumeRoleWithWebIdentityaction. Vous devez utiliser un SAML fournisseur principal avec l'sts:AssumeRoleWithSAMLaction ou utiliser un OIDC fournisseur principal avec l'sts:AssumeRoleWithWebIdentityaction.

Termes connexes

Erreur : action manquante pour la politique d'approbation roles anywhere

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."

Résolution de l'erreur

Pour que IAM Roles Anywhere puisse assumer un rôle et fournir des AWS informations d'identification temporaires, le rôle doit faire confiance au principal du service IAM Roles Anywhere. Le principal du service IAM Roles Anywhere a besoin des sts:TagSession autorisations sts:AssumeRolests:SetSourceIdentity,, et pour assumer un rôle. Si l'une des autorisations est manquante, vous devez l'ajouter à votre politique.

Termes connexes

Erreur : la taille de la politique dépasse le RCP quota

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des ressources (RCPs) permettent de spécifier des valeurs dans l'Actionélément. Cependant, ces valeurs peuvent inclure des caractères génériques (*) uniquement à la fin de la chaîne. Cela signifie que vous pouvez spécifier s3:Get* mais pas s3:*Object.

Pour spécifier plusieurs actions, il est AWS recommandé de les répertorier individuellement.

Termes connexes

Erreur — erreur de RCP syntaxe principale

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des ressources (RCPs) prennent uniquement en charge la spécification de tous les principaux (» * «) dans l'Principalélément. L'NotPrincipalélément n'est pas pris en charge pourRCPs.

Termes connexes

Erreur : erreur de RCP syntaxe autorisée

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des ressources (RCPs) permettent uniquement de spécifier tous les principaux (» * «) de l'Principalélément et toutes les ressources (» * «) de l'Resourceélément. L'Conditionélément ayant un effet de n'Allowest pas pris en charge pourRCPs.

Termes connexes

Erreur — erreur de RCP syntaxe NotAction

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des ressources (RCPs) ne prennent pas en charge l'NotActionélément. Utilise l'Actionélément.

Termes connexes

Erreur — action d'erreur de RCP syntaxe

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."

Résolution de l'erreur

AWS Organizations les politiques de contrôle des ressources (RCPs) prennent uniquement en charge la spécification de certains préfixes de service dans l'Actionélément.

Termes connexes

Avertissement général — Créez SLR avec NotResource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement général

L'action iam:CreateServiceLinkedRole autorise la création d'un IAM rôle qui permet à un AWS service d'effectuer des actions en votre nom. L'utilisation de l'NotResourceélément iam:CreateServiceLinkedRole dans une politique peut permettre de créer des rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément.

Avertissement général — Créez SLR avec une étoile en action et NotResource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement général

L'action iam:CreateServiceLinkedRole autorise la création d'un IAM rôle qui permet à un AWS service d'effectuer des actions en votre nom. Les politiques comportant un caractère générique (*) dans le Action et qui incluent l'NotResourceélément peuvent permettre la création de rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément.

Avertissement général — Créez SLR avec NotAction et NotResource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement général

L'action iam:CreateServiceLinkedRole autorise la création d'un IAM rôle qui permet à un AWS service d'effectuer des actions en votre nom. L'utilisation de l'NotActionélément avec l'NotResourceélément peut permettre de créer des rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de réécrire la politique afin d'autoriser plutôt iam:CreateServiceLinkedRole l'ajout d'une liste limitée de ARNs personnes dans l'Resourceélément. Vous pouvez également ajouter iam:CreateServiceLinkedRole à l'élément NotAction.

Avertissement général — Créez SLR avec une étoile dans la ressource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement général

L'action iam:CreateServiceLinkedRole autorise la création d'un IAM rôle qui permet à un AWS service d'effectuer des actions en votre nom. L'utilisation iam:CreateServiceLinkedRole d'un caractère générique (*) dans l'Resourceélément dans une politique peut permettre de créer des rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément.

AWS politiques gérées avec cet avertissement général

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Certains de ces cas d'utilisation sont destinés aux utilisateurs « avec pouvoir » dans votre compte. Les politiques AWS gérées suivantes fournissent un accès aux utilisateurs expérimentés et accordent des autorisations pour créer des rôles liés à un service pour n'importe quel AWS service. AWS recommande d'associer les politiques AWS gérées suivantes uniquement aux IAM identités que vous considérez comme des utilisateurs expérimentés.

Avertissement général — Créez SLR avec une étoile en action et une ressource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement général

L'action iam:CreateServiceLinkedRole autorise la création d'un IAM rôle qui permet à un AWS service d'effectuer des actions en votre nom. Les politiques comportant un caractère générique (*) dans les éléments Action et Resource peuvent autoriser la création de rôles liés au service inattendus pour plusieurs ressources. Cela permet de créer un rôle lié à un service lorsque vous spécifiez "Action": "*""Action": "iam:*", ou. "Action": "iam:Create*" AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément.

AWS politiques gérées avec cet avertissement général

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Certains de ces cas d'utilisation sont destinés aux administrateurs de votre compte. Les politiques AWS gérées suivantes fournissent un accès administrateur et accordent des autorisations pour créer des rôles liés à un service pour n'importe quel AWS service. AWS recommande d'associer les politiques AWS gérées suivantes uniquement aux IAM identités que vous considérez comme des administrateurs.

Avertissement général — Créez SLR avec une étoile dans la ressource et NotAction

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement général

L'action iam:CreateServiceLinkedRole autorise la création d'un IAM rôle qui permet à un AWS service d'effectuer des actions en votre nom. L'utilisation de l'NotActionélément dans une politique avec un caractère générique (*) dans l'Resourceélément peut permettre de créer des rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément. Vous pouvez également ajouter iam:CreateServiceLinkedRole à l'élément NotAction.

Avertissement général : clé de condition globale obsolète

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."

Résolution de l'avertissement général

La politique inclut une clé de condition globale obsolète. Mettez à jour la clé de condition dans la paire clé-valeur de condition pour utiliser une clé de condition globale prise en charge.

Avertissement général : valeur de date non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."

Résolution de l'avertissement général

L'heure d'une époque Unix décrit un point dans le temps qui s'est écoulé depuis le 1er janvier 1970, moins les secondes intercalaires. Il se peut que le temps d'Epoch ne se résorbe pas à l'heure précise à laquelle vous vous attendiez. AWS recommande d'utiliser le standard W3C pour les formats de date et d'heure. Par exemple, vous pouvez spécifier une date complète, telle que YYYY-MM-DD (1997-07-16), ou vous pouvez également ajouter l'heure à la seconde, par exemple:mm:ss (1997-07-16T 19:20:30 + 01:00 YYYY-MM-DDThh). TZD

Avertissement général : référence de rôle non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."

Résolution de l'avertissement général

AWS vous recommande de spécifier le nom de ressource Amazon (ARN) pour un IAM rôle au lieu de son identifiant principal. Lorsque IAM la politique est enregistrée, elle la ARN transforme en identifiant principal pour le rôle existant. AWS inclut une mesure de sécurité. Si quelqu'un supprime le rôle et le recrée, il aura un nouvel ID, et la politique ne correspondra pas à l'ID du nouveau rôle.

Avertissement général : référence utilisateur non valide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."

Résolution de l'avertissement général

AWS vous recommande de spécifier le nom de ressource Amazon (ARN) d'un IAM utilisateur au lieu de son identifiant principal. Lorsque IAM la politique est enregistrée, elle la ARN transforme en identifiant principal pour l'utilisateur existant. AWS inclut une mesure de sécurité. Si quelqu'un supprime l'utilisateur et le recrée, il aura un nouvel ID, et la politique ne correspondra pas à l'ID du nouvel utilisateur.

Avertissement général : version manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing version: We recommend that you specify the Version element to help you with debugging permission issues.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."

Résolution de l'avertissement général

AWS vous recommande d'inclure le Version paramètre facultatif dans votre politique. Si vous n'incluez pas d'élément Version, la valeur par défaut est 2012-10-17, mais de nouvelles fonctions, telles que des variables de politique, ne fonctionneront pas avec votre politique. Par exemple, les variables telles que ${aws:username} ne sont pas reconnues et sont traitées comme des chaînes littérales dans la politique.

Avertissement général : sid uniques recommandés

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."

Résolution de l'avertissement général

AWS vous recommande d'utiliser une instruction uniqueIDs. L'élément Sid (ID d'instruction) vous autorise à saisir un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez attribuer une valeur d'ID d'instruction à chaque instruction d'un tableau d'instructions à l'aide de l'élément SID.

Termes connexes

Avertissement général : caractère générique sans opérateur similaire

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."

Résolution de l'avertissement général

La structure de l'élément Condition a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur. Lorsque vous spécifiez une valeur de condition qui utilise un caractère générique (*, ?), vous devez utiliser la version Like de l'opérateur de condition. Par exemple, au lieu de l'opérateur de condition de chaîne StringEquals, utilisez StringLike.

"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}

AWS politiques gérées avec cet avertissement général

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les politiques AWS gérées suivantes incluent des caractères génériques dans leur valeur de condition sans opérateur de condition qui inclut la correspondance Like de modèles. Lorsque vous utilisez la politique AWS gérée comme référence pour créer votre politique gérée par le client, il est AWS recommandé d'utiliser un opérateur de condition qui prend en charge la correspondance de modèles avec des caractères génériques (*, ?) , tels queStringLike.

Avertissement général : la taille de la politique dépasse le quota de politique

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."

Résolution de l'avertissement général

Vous pouvez associer jusqu'à 10 politiques gérées à une IAM identité (utilisateur, groupe d'utilisateurs ou rôle). La taille de chaque politique gérée ne peut toutefois pas dépasser le quota par défaut de 6 144 caractères. IAMne prend pas en compte les espaces blancs lors du calcul de la taille d'une politique par rapport à ce quota. Les quotas, également appelés limites dans AWS, sont les valeurs maximales pour les ressources, les actions et les éléments de votre AWS compte.

En outre, vous pouvez ajouter autant de politiques intégrées que vous le souhaitez à une IAM identité. Cependant, la somme de toutes les politiques en ligne par identité ne peut pas dépasser le quota spécifié.

Si votre politique dépasse le quota, vous pouvez organiser votre politique en plusieurs instructions et les regrouper en plusieurs politiques.

Termes connexes

AWS politiques gérées avec cet avertissement général

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les politiques AWS gérées suivantes accordent des autorisations pour des actions sur de nombreux AWS services et dépassent la taille maximale des politiques. Lorsque vous utilisez la politique gérée par AWS comme référence pour créer votre politique gérée, vous devez diviser la politique en plusieurs politiques.

Avertissement général : la taille de la politique dépasse le quota de la politique de ressources

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."

Résolution de l'avertissement général

Les politiques basées sur les ressources sont des documents de JSON politique que vous attachez à une ressource, telle qu'un compartiment Amazon S3. Ces politiques accordent au principal spécifié l'autorisation d'effectuer des actions spécifiques sur cette ressource et définissent sous quelles conditions cela s'applique. La taille des politiques basées sur les ressources ne peut pas dépasser le quota défini pour cette ressource. Les quotas, également appelés limites dans AWS, sont les valeurs maximales pour les ressources, les actions et les éléments de votre AWS compte.

Si votre politique dépasse le quota, vous pouvez organiser votre politique en plusieurs instructions et les regrouper en plusieurs politiques.

Termes connexes

Avertissement général : non-correspondance de type

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."

Résolution de l'avertissement général

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition pris en charge.

Par exemple, la clé de condition globale aws:MultiFactorAuthPresent a besoin d'un opérateur de condition avec le type de données Boolean. Si vous fournissez une date ou un entier, le type de données ne correspondra pas.

Termes connexes

Avertissement général : non-correspondance de type, opérateur booléen

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."

Résolution de l'avertissement général

Mettez à jour le texte pour utiliser un type de données d'opérateur de condition booléen, tel que true ou false.

Par exemple, la clé de condition globale aws:MultiFactorAuthPresent a besoin d'un opérateur de condition avec le type de données Boolean. Si vous fournissez une date ou un entier, le type de données ne correspondra pas.

Termes connexes

Avertissement général : non-correspondance de type, date

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."

Résolution de l'avertissement général

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition de date, dans un format de date YYYY-MM-DD ou d'heure ISO 8601 ou dans un autre format.

Termes connexes

Avertissement général : numéro de non-correspondance de type

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."

Résolution de l'avertissement général

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition numérique.

Termes connexes

Avertissement général : non-correspondance de type, chaîne

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."

Résolution de l'avertissement général

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition Chaîne.

Termes connexes

Avertissement général : github repo et branch spécifiques recommandés

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."

Résolution de l'avertissement général

Si vous l'utilisez GitHub en tant qu'OIDCIdP, la meilleure pratique consiste à limiter les entités qui peuvent assumer le rôle associé à l'IAMIdP. Lorsque vous incluez une Condition déclaration dans une politique de confiance des rôles, vous pouvez limiter le rôle à une GitHub organisation, un référentiel ou une branche spécifique. Vous pouvez utiliser la clé de condition token.actions.githubusercontent.com:sub pour limiter l'accès. Nous vous recommandons de limiter la condition à un ensemble spécifique de référentiels ou de branches. Si vous utilisez un caractère générique (*) danstoken.actions.githubusercontent.com:sub, les GitHub actions provenant d'organisations ou de référentiels indépendants de votre volonté peuvent assumer les rôles associés à l' GitHub IAMIdP dans votre compte. AWS

Termes connexes

Avertissement général : la taille de la politique dépasse le quota de la politique de rôle

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."

Résolution de l'avertissement général

IAMet AWS STS ont des quotas qui limitent la taille des politiques de confiance dans les rôles. Les caractères de la politique d'approbation de rôle, à l'exception des espaces, dépassent le nombre maximum de caractères. Nous vous recommandons de demander une augmentation du quota de durée de la politique d'approbation de rôle en utilisant Service Quotas et AWS Support Center Console.

Termes connexes

Avertissement général — clé de condition principale associée RCP manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."

Résolution de l'avertissement général

AWS Organizations les politiques de contrôle des ressources (RCPs) peuvent avoir un impact sur les IAM rôles, les utilisateurs et Service AWS les principaux. Pour éviter tout impact imprévu sur les services agissant en votre nom à l'aide d'un principal de service, ajoutez la déclaration suivante à votre Condition élément :

"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}

Termes connexes

Avertissement général — clé de condition principale de service associée RCP manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."

Résolution de l'avertissement général

AWS Organizations les politiques de contrôle des ressources (RCPs) peuvent avoir un impact sur les IAM rôles, les utilisateurs et Service AWS les principaux. Pour éviter tout impact imprévu sur vos principes, ajoutez l'énoncé suivant à votre Condition élément :

"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}

Termes connexes

Avertissement de sécurité — Autoriser avec NotPrincipal

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."

Résolution de l'avertissement de sécurité

L'utilisation de "Effect": "Allow" avec NotPrincipal peut être trop permissive. Par exemple, cela peut accorder des autorisations à des mandants anonymes. AWS vous recommande de spécifier les principaux qui ont besoin d'un accès à l'aide de l'Principalélément. En variante, vous pouvez autoriser un accès étendu, puis ajouter une autre instruction qui utilise l'élément NotPrincipal avec “Effect”: “Deny”.

Avertissement de sécurité — ForAllValues avec clé à valeur unique

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."

Résolution de l'avertissement de sécurité

AWS recommande de n'utiliser ForAllValues que les conditions à valeurs multiples. L'opération d'ensemble ForAllValues teste si la valeur de chaque membre de la requête est un sous-ensemble de la clé de condition. La condition renvoie la valeur true si chaque valeur de clé de la demande correspond à au moins une valeur de la politique. Elle renvoie également la valeur Vrai si la demande ne comprend pas de clés ou si les valeurs de clé aboutissent à un ensemble de données nul, tel qu'une chaîne vide.

Pour savoir si une condition prend en charge une valeur unique ou plusieurs valeurs, passez en revue la page Actions, ressources et clés de condition pour le service. Les clés de condition avec le préfixe de type de données ArrayOf sont des clés de condition à valeurs multiples. Par exemple, Amazon SES prend en charge les clés à valeurs uniques (String) et le type de données ArrayOfString à valeurs multiples.

Avertissement de sécurité — Transmettez le rôle avec NotResource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement de sécurité

Pour configurer de nombreux AWS services, vous devez leur transmettre un IAM rôle. Pour permettre cela, vous devez accorder l'autorisation iam:PassRole à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'utilisation de NotResource cet élément iam:PassRole dans une politique peut permettre à vos mandants d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition iam:PassedToService.

Avertissement de sécurité — Passez le rôle avec l'étoile en action et NotResource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement de sécurité

Pour configurer de nombreux AWS services, vous devez leur transmettre un IAM rôle. Pour permettre cela, vous devez accorder l'autorisation iam:PassRole à une identité (utilisateur, groupe d'utilisateurs ou rôle). Les politiques comportant un caractère générique (*) dans le Action et qui incluent l'NotResourceélément peuvent permettre à vos mandants d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition iam:PassedToService.

Avertissement de sécurité — Transmettez le rôle avec NotAction et NotResource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."

Résolution de l'avertissement de sécurité

Pour configurer de nombreux AWS services, vous devez leur transmettre un IAM rôle. Pour permettre cela, vous devez accorder l'autorisation iam:PassRole à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'utilisation de l'NotActionélément et la liste de certaines ressources qu'il contient peuvent permettre à vos principaux utilisateurs d'accéder à plus de services ou de fonctionnalités que vous ne le souhaitiez. NotResource AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition iam:PassedToService.

Avertissement de sécurité : transférer le rôle avec étoile dans la ressource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Résolution de l'avertissement de sécurité

Pour configurer de nombreux AWS services, vous devez leur transmettre un IAM rôle. Pour permettre cela, vous devez accorder l'autorisation iam:PassRole à une identité (utilisateur, groupe d'utilisateurs ou rôle). Les politiques qui autorisent iam:PassRole et incluent un caractère générique (*) dans l'Resourceélément peuvent permettre à vos principaux utilisateurs d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition iam:PassedToService.

Certains AWS services incluent leur espace de noms de service dans le nom de leur rôle. Cette vérification de politique tient compte de ces conventions lors de l'analyse de la politique afin de générer des conclusions. Par exemple, la ressource suivante ARN peut ne pas générer de résultat :

arn:aws:iam::*:role/Service*

AWS politiques gérées avec cet avertissement de sécurité

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

L'un de ces cas d'utilisation concerne les administrateurs de votre compte. Les politiques AWS gérées suivantes fournissent un accès administrateur et accordent des autorisations pour transférer n'importe quel IAM rôle à n'importe quel service. AWS recommande d'associer les politiques AWS gérées suivantes uniquement aux IAM identités que vous considérez comme des administrateurs.

Les politiques AWS gérées suivantes incluent des autorisations permettant iam:PassRole d'utiliser un caractère générique (*) dans la ressource et sont vouées à l'obsolescence. Pour chacune de ces politiques, nous avons mis à jour les directives relatives aux autorisations, par exemple en recommandant une nouvelle politique AWS gérée qui prend en charge le cas d'utilisation. Pour afficher des alternatives à ces politiques, veuillez consulter les guides de chaque service.

Les politiques AWS gérées suivantes fournissent des autorisations uniquement pour les rôles liés aux services, ce qui permet aux AWS services d'effectuer des actions en votre nom. Vous ne pouvez pas associer ces politiques à votre IAM identité.

Avertissement de sécurité : transférer le rôle avec étoile dans l'action et la ressource

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Résolution de l'avertissement de sécurité

Pour configurer de nombreux AWS services, vous devez leur transmettre un IAM rôle. Pour permettre cela, vous devez accorder l'autorisation iam:PassRole à une identité (utilisateur, groupe d'utilisateurs ou rôle). Les politiques comportant un caractère générique (*) dans les Resource éléments Action et peuvent permettre à vos mandants d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition iam:PassedToService.

AWS politiques gérées avec cet avertissement de sécurité

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Certains de ces cas d'utilisation sont destinés aux administrateurs de votre compte. Les politiques AWS gérées suivantes fournissent un accès administrateur et accordent des autorisations pour transférer n'importe quel IAM rôle à n'importe quel AWS service. AWS recommande d'associer les politiques AWS gérées suivantes uniquement aux IAM identités que vous considérez comme des administrateurs.

Avertissement de sécurité — Passez le rôle avec une étoile dans la ressource et NotAction

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Résolution de l'avertissement de sécurité

Pour configurer de nombreux AWS services, vous devez leur transmettre un IAM rôle. Pour permettre cela, vous devez accorder l'autorisation iam:PassRole à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'utilisation de l'NotActionélément dans une politique avec un caractère générique (*) dans l'Resourceélément peut permettre à vos principaux utilisateurs d'accéder à plus de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'Resourceélément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition iam:PassedToService.

Avertissement de sécurité  : clés de condition appariées manquantes

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."

Résolution de l'avertissement de sécurité

Certaines clés de condition sont plus sécurisées lorsqu'elles sont associées à d'autres clés de condition associées. AWS vous recommande d'inclure les clés de condition associées dans le même bloc de conditions que la clé de condition existante. Cela rend les autorisations accordées via la politique plus sécurisées.

Par exemple, vous pouvez utiliser la clé de condition aws:VpcSourceIp pour comparer l'adresse IP à partir de laquelle une demande a été effectuée avec l'adresse IP que vous spécifiez dans la politique. AWS vous recommande d'ajouter la clé de condition aws:SourceVPC associée. Cela vérifie si la demande provient de celle VPC que vous spécifiez dans la politique et de l'adresse IP que vous spécifiez.

Termes connexes

Avertissement de sécurité : refuser avec clé de condition de balise non prise en charge pour le service

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."

Résolution de l'avertissement de sécurité

L'utilisation de clés de condition de balise non prises en charge dans l'Conditionélément d'une politique avec "Effect": "Deny" peut être trop permissive, car la condition est ignorée pour ce service. AWS recommande de supprimer les actions de service qui ne prennent pas en charge la clé de condition et de créer une autre instruction pour refuser l'accès à des ressources spécifiques pour ces actions.

Si vous utilisez la clé de condition aws:ResourceTag et qu'elle n'est pas prise en charge par une action de service, la clé n'est pas incluse dans le contexte de la demande. Dans ce cas, la condition dans l'instruction Deny renvoie toujours false et l'action n'est jamais refusée. Cela se produit même si la ressource est correctement balisée.

Lorsqu'un service prend en charge la clé de condition aws:ResourceTag, vous pouvez utiliser des balises pour contrôler l'accès aux ressources de ce service. C'est ce que l'on appelle le contrôle d'accès basé sur les attributs () ABAC. Les services qui ne prennent pas en charge ces clés nécessitent que vous contrôliez l'accès aux ressources à l'aide du contrôle d'accès basé sur les ressources () RBAC.

Par exemple, supposons que vous souhaitiez refuser l'accès pour supprimer les balises de ressources spécifiques qui sont balisées avec la paire clé-valeur status=Confidential. Supposons également que cela vous AWS Lambda permet de baliser et de débaliser des ressources, mais que cela ne prend pas en charge la clé de aws:ResourceTag condition. Pour refuser les actions de suppression pour AWS App Mesh et AWS Backup si cette balise est présente, utilisez la clé de aws:ResourceTag condition. Pour Lambda, utilisez une convention de dénomination des ressources incluant le préfixe "Confidential". Incluez ensuite une instruction séparée qui empêche la suppression des ressources avec cette convention de dénomination.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyDeleteSupported",
            "Effect": "Deny",
            "Action": [
                "appmesh:DeleteMesh", 
                "backup:DeleteBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/status": "Confidential"
                }
            }
        },
        {
            "Sid": "DenyDeleteUnsupported",
            "Effect": "Deny",
            "Action": "lambda:DeleteFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
        }
    ]
}

Termes connexes

Avertissement de sécurité — Refuser NotAction avec étiquette non prise en charge, clé de condition pour le service

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

Résolution de l'avertissement de sécurité

L'utilisation de clés de condition de balise dans l'élément Condition d'une politique avec les éléments NotAction et "Effect": "Deny" peut être trop permissive. La condition est ignorée pour les actions de service qui ne prennent pas en charge la clé de condition. AWS recommande de réécrire la logique pour refuser une liste d'actions.

Si vous utilisez la clé de condition aws:ResourceTag avec NotAction, toutes les actions de service nouvelles ou existantes ne prenant pas en charge la clé ne sont pas refusées. AWS vous recommande de répertorier explicitement les actions que vous voulez refuser. IAMAccess Analyzer renvoie un résultat distinct pour les actions répertoriées qui ne prennent pas en charge la clé de aws:ResourceTag condition. Pour de plus amples informations, veuillez consulter Avertissement de sécurité : refuser avec clé de condition de balise non prise en charge pour le service.

Lorsqu'un service prend en charge la clé de condition aws:ResourceTag, vous pouvez utiliser des balises pour contrôler l'accès aux ressources de ce service. C'est ce que l'on appelle le contrôle d'accès basé sur les attributs () ABAC. Les services qui ne prennent pas en charge ces clés nécessitent que vous contrôliez l'accès aux ressources à l'aide du contrôle d'accès basé sur les ressources () RBAC.

Termes connexes

Avertissement de sécurité  : restreindre l'accès au principal de service

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."

Résolution de l'avertissement de sécurité

Vous pouvez spécifier Services AWS dans l'Principalélément d'une politique basée sur les ressources à l'aide d'un principal de service, qui est un identifiant du service. Lorsque vous accordez l'accès à un principal de service pour agir en votre nom, limitez l'accès. Vous pouvez éviter les politiques trop permissives en utilisant les touchesaws:SourceArn, aws:SourceAccountaws:SourceOrgID, ou de aws:SourceOrgPaths condition pour restreindre l'accès à une source spécifique, telle qu'une ressource ARN Compte AWS, un identifiant d'organisation ou des chemins d'organisation spécifiques. La restriction de l'accès permet d'éviter un problème de sécurité appelé le Problème de l'adjoint confus.

Termes connexes

Avertissement de sécurité : clé de condition pour oidc principal manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."

Résolution de l'avertissement de sécurité

L'utilisation d'un principal Open ID Connect sans condition peut être trop permissive. Ajoutez des clés de condition avec un préfixe correspondant à vos OIDC principes fédérés pour garantir que seul le fournisseur d'identité prévu assume le rôle.

Termes connexes

Avertissement de sécurité : clé de condition github repo manquante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."

Résolution de l'avertissement de sécurité

Si vous l'utilisez GitHub en tant qu'OIDCIdP, la meilleure pratique consiste à limiter les entités qui peuvent assumer le rôle associé à l'IAMIdP. Lorsque vous incluez une Condition déclaration dans une politique de confiance des rôles, vous pouvez limiter le rôle à une GitHub organisation, un référentiel ou une branche spécifique. Vous pouvez utiliser la clé de condition token.actions.githubusercontent.com:sub pour limiter l'accès. Nous vous recommandons de limiter la condition à un ensemble spécifique de référentiels ou de branches. Si vous n'incluez pas cette condition, GitHub les actions provenant d'organisations ou de référentiels indépendants de votre volonté peuvent assumer les rôles associés à l' GitHub IAMIdP dans AWS votre compte.

Termes connexes

Suggestion : action de tableau vide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty array action: This statement includes no actions and does not affect the policy. Specify actions.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."

Résolution de la suggestion

Les instructions doivent inclure un élément Action ou NotAction comprenant un ensemble d'actions. Lorsque l'élément est vide, l'instruction de politique ne fournit aucune autorisation. Spécifiez les actions dans l'élément Action.

Suggestion : condition de tableau vide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."

Résolution de la suggestion

La structure de l'élément Condition facultatif a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur. Lorsque la valeur de la condition est vide, la condition renvoie true et l'instruction de politique ne fournit aucune autorisation. Spécifiez une valeur de condition.

Suggestion — Condition de tableau vide ForAllValues

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

Résolution de la suggestion

La structure de l'élément Condition a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur. L'opération d'ensemble ForAllValues teste si la valeur de chaque membre de la requête est un sous-ensemble de la clé de condition.

Lorsque vous utilisez ForAllValues avec une clé de condition vide, la condition ne correspond que s'il n'y a pas de clés dans la demande. AWS vous recommande plutôt d'utiliser l'opérateur de condition Null si vous voulez tester si un contexte de demande est vide.

Suggestion — Condition de tableau vide ForAnyValue

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."

Résolution de la suggestion

La structure de l'élément Condition a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur. L'opérateur d'ensemble ForAnyValues teste si au moins un membre de l'ensemble des valeurs de la demande correspond à au moins un membre de l'ensemble des valeurs de la clé de condition.

Lorsque vous utilisez ForAnyValues avec une clé de condition vide, la condition ne correspond jamais. Cela signifie que la déclaration n'a aucun effet sur la politique. AWS recommande de réécrire la condition.

Suggestion — Condition de tableau vide IfExists

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

Résolution de la suggestion

Le suffixe ...IfExists modifie un opérateur de condition. Ceci signifie que si la clé de politique est présente dans le contexte de la demande, la clé doit être traitée comme spécifié dans la politique. Si la clé n'est pas présente, la condition évalue l'élément de condition comme vrai. »

Lorsque vous utilisez ...IfExists avec une clé de condition vide, la condition ne correspond que s'il n'y a pas de clés dans la demande. AWS vous recommande plutôt d'utiliser l'opérateur de condition Null si vous voulez tester si un contexte de demande est vide.

Suggestion : principal de tableau vide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

Résolution de la suggestion

Vous devez utiliser l'NotPrincipalélément Principal or dans les politiques de confiance pour les IAM rôles et dans les politiques basées sur les ressources. Les politiques basées sur les ressources sont des politiques que vous intégrez directement à une ressource.

Lorsque vous fournissez un tableau vide dans l'Principalélément d'une instruction, l'instruction n'a aucun effet sur la politique. AWS vous recommande de spécifier les principaux qui doivent avoir accès à la ressource.

Suggestion : ressource de tableau vide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."

Résolution de la suggestion

Les instructions doivent inclure un élément Resource ou NotResource.

Lorsque vous fournissez un tableau vide dans l'élément ressource d'une instruction, l'instruction n'a aucun effet sur la politique. AWS vous recommande de spécifier Amazon Resource Names (ARNs) pour les ressources.

Suggestion : condition d'objet vide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."

Résolution de la suggestion

La structure de l'élément Condition a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur.

Lorsque vous fournissez un objet vide dans l'élément de condition d'une instruction, l'instruction n'a aucun effet sur la politique. Supprimez l'élément facultatif ou spécifiez des conditions.

Suggestion : principal d'objet vide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

Résolution de la suggestion

Vous devez utiliser l'NotPrincipalélément Principal or dans les politiques de confiance pour les IAM rôles et dans les politiques basées sur les ressources. Les politiques basées sur les ressources sont des politiques que vous intégrez directement à une ressource.

Lorsque vous fournissez un objet vide dans l'Principalélément d'une instruction, l'instruction n'a aucun effet sur la politique. AWS vous recommande de spécifier les principaux qui doivent avoir accès à la ressource.

Suggestion : valeur sid vide

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Empty Sid value: Add a value to the empty string in the Sid element.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Add a value to the empty string in the Sid element."

Résolution de la suggestion

L'élément Sid (ID de instruction) facultatif est un identifiant que vous pouvez fournir pour l'instruction de politique. Vous pouvez affecter une valeur Sid à chaque instruction d'un tableau d'instructions. Si vous sélectionnez d'utiliser l'élément Sid, vous devez indiquer une valeur de chaîne.

Termes connexes

Suggestion : améliorer une plage IP

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."

Résolution de la suggestion

Les conditions d'adresse IP doivent être au CIDR format standard, tel que 203.0.113.0/24 ou 2001 : : 1234:5678 : :/64. DB8 Lorsque vous incluez des bits non nuls après les bits masqués, ils ne sont pas pris en compte pour la condition. AWS vous recommande d'utiliser la nouvelle adresse figurant dans le message.

Suggestion : Null avec qualificateur

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."

Résolution de la suggestion

Dans l'élément Condition, vous créez des expressions dans lesquelles vous utilisez des opérateurs de condition tels que égal ou inférieur à pour comparer une condition de la politique avec des clés et des valeurs dans le contexte de la demande. Pour les demandes incluant plusieurs valeurs pour une seule clé de condition, vous devez utiliser les opérateurs définis ForAllValues ou ForAnyValue.

Lorsque vous utilisez l'opérateur de condition Null avec ForAllValues, l'instruction renvoie toujours true. Lorsque vous utilisez l'opérateur de Null condition withForAnyValue, l'instruction est toujours renvoyéefalse. AWS recommande d'utiliser l'opérateur de StringLike condition avec ces opérateurs définis.

Termes connexes

Suggestion : sous-ensemble d'adresses IP privées

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

Résolution de la suggestion

La clé de condition globale aws:SourceIp fonctionne uniquement pour les plages d'adresses IP publiques.

Lorsque votre élément Condition inclut un mélange d'adresses IP privées et publiques, l'instruction peut ne pas avoir l'effet désiré. Vous pouvez spécifier des adresses IP privées avec aws:VpcSourceIP.

Suggestion — NotIpAddress Sous-ensemble privé

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

Résolution de la suggestion

La clé de condition globale aws:SourceIp fonctionne uniquement pour les plages d'adresses IP publiques.

Lorsque votre élément Condition inclut l'opérateur de condition NotIpAddress et un mélange d'adresses IP privées et publiques, l'instruction peut ne pas avoir l'effet désiré. Toutes les adresses IP publiques non spécifiées dans la politique correspondront. Aucune adresse IP privée ne correspondra. Pour obtenir cet effet, vous pouvez utiliser NotIpAddress avec aws:VpcSourceIP et spécifier les adresses IP privées qui ne doivent pas correspondre.

Suggestion : action redondante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."

Résolution de la suggestion

Lorsque vous utilisez des caractères génériques (*) dans l'Actionélément, vous pouvez inclure des autorisations redondantes. AWS vous recommande de revoir votre politique et de n'inclure que les autorisations dont vous avez besoin. Cela peut vous aider à supprimer les actions redondantes.

Par exemple, les actions suivantes incluent l'action iam:GetCredentialReport deux fois.

"Action": [
        "iam:Get*",
        "iam:List*",
        "iam:GetCredentialReport"
    ],

Dans cet exemple, les autorisations sont définies pour chaque IAM action commençant par Get ouList. Lorsque vous IAM ajoutez des opérations d'obtention ou de liste supplémentaires, cette politique les autorisera. Vous pouvez vouloir autoriser toutes ces actions en lecture seule. L'action iam:GetCredentialReport est déjà incluse dans le cadre de iam:Get*. Pour supprimer les autorisations en double, vous pouvez supprimer iam:GetCredentialReport.

Vous recevez un résultat pour cette vérification de politique lorsque tout le contenu d'une action est redondant. Dans cet exemple, si l'élément incluait iam:*CredentialReport, il ne serait pas considéré comme redondant. En effet, il inclut iam:GetCredentialReport, qui est redondant, et iam:GenerateCredentialReport, qui ne l'est pas. La suppression de iam:Get* ou iam:*CredentialReport modifierait les autorisations de la politique.

AWS politiques gérées avec cette suggestion

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les actions redondantes n'affectent pas les autorisations accordées par la politique. Lorsque vous utilisez une politique AWS gérée comme référence pour créer votre politique gérée par le client, il est AWS recommandé de supprimer les actions redondantes de votre politique.

Suggestion : valeur de condition redondante num

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."

Résolution de la suggestion

Lorsque vous utilisez des opérateurs de condition numériques pour des valeurs similaires dans une clé de condition, vous pouvez créer un chevauchement qui entraîne des autorisations redondantes.

Par exemple, l'élément Condition suivant inclut plusieurs conditions aws:MultiFactorAuthAge dont les plages d'd'âge se chevauchent de 1 200 secondes.

"Condition": {
        "NumericLessThan": {
          "aws:MultiFactorAuthAge": [
            "2700",
            "3600"
          ]
        }
      }

Dans cet exemple, les autorisations sont définies si l'authentification multifactorielle (MFA) a été effectuée il y a moins de 3 600 secondes (1 heure). Vous pouvez supprimer la valeur 2700 redondante.

Suggestion : ressource redondante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"

Résolution de la suggestion

Lorsque vous utilisez des caractères génériques (*) dans Amazon Resource Names (ARNs), vous pouvez créer des autorisations de ressources redondantes.

Par exemple, l'Resourceélément suivant inclut plusieurs ARNs autorisations redondantes.

"Resource": [
            "arn:aws:iam::111122223333:role/jane-admin",
            "arn:aws:iam::111122223333:role/jane-s3only",
            "arn:aws:iam::111122223333:role/jane*"
        ],

Dans cet exemple, les autorisations sont définies pour tous les rôles dont le nom commence par jane. Vous pouvez supprimer le redondant jane-s3only ARNs sans modifier jane-admin les autorisations qui en résultent. Cela rend la politique dynamique. Elle définira les autorisations pour tous les futurs rôles commençant par jane. Si le but de la politique est d'autoriser l'accès à un nombre statique de rôles, supprimez le dernier ARN et listez uniquement ceux ARNs qui doivent être définis.

AWS politiques gérées avec cette suggestion

AWS les politiques gérées vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les ressources redondantes n'affectent pas les autorisations accordées par la politique. Lorsque vous utilisez une politique AWS gérée comme référence pour créer votre politique gérée par le client, il est AWS recommandé de supprimer les ressources redondantes de votre politique.

Suggestion : instruction redondante

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."

Résolution de la suggestion

L'élément Statement constitue l'élément principal d'une politique. Cet élément est obligatoire. L'élément Statement peut contenir une seule instruction ou un ensemble d'instructions individuelles.

Lorsque vous incluez la même instruction plusieurs fois dans une politique longue, les instructions sont redondantes. Vous pouvez supprimer l'une des instructions sans affecter les autorisations accordées par la politique. Lorsqu'une personne modifie une politique, elle peut modifier l'une des instructions sans mettre à jour son double. Cela peut entraîner un nombre d'autorisations plus élevé que prévu.

Suggestion  : caractère générique dans le nom du service

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."

Résolution de la suggestion

Lorsque vous incluez le nom d'un AWS service dans une politique, il est AWS recommandé de ne pas inclure de caractères génériques (*, ?). Cela peut ajouter des autorisations non voulues à de futurs services. Par exemple, il existe plus d'une douzaine de AWS services dont le nom *code* contient le mot.

"Resource": "arn:aws:*code*::111122223333:*"

Suggestion  : autoriser avec la clé de condition d'étiquette non prise en charge pour le service

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."

Résolution de la suggestion

L'utilisation de clés de condition de balise non prises en charge dans l'Conditionélément d'une politique avec n'"Effect": "Allow"affecte pas les autorisations accordées par la politique, car la condition est ignorée pour cette action de service. AWS recommande de supprimer les actions pour les services qui ne prennent pas en charge la clé de condition et de créer une autre instruction pour autoriser l'accès à des ressources spécifiques de ce service.

Si vous utilisez la clé de condition aws:ResourceTag et qu'elle n'est pas prise en charge par une action de service, la clé n'est pas incluse dans le contexte de la demande. Dans ce cas, la condition dans l'instruction Allow renvoie toujours false et l'action n'est jamais autorisée. Cela se produit même si la ressource est correctement balisée.

Lorsqu'un service prend en charge la clé de condition aws:ResourceTag, vous pouvez utiliser des balises pour contrôler l'accès aux ressources de ce service. C'est ce que l'on appelle le contrôle d'accès basé sur les attributs () ABAC. Les services qui ne prennent pas en charge ces clés nécessitent que vous contrôliez l'accès aux ressources à l'aide du contrôle d'accès basé sur les ressources () RBAC.

Par exemple, supposons que vous vouliez autoriser des membres de l'équipe à afficher les détails des ressources spécifiques qui sont balisées avec la paire clé-valeur team=BumbleBee. Supposons également que cela vous AWS Lambda permet de baliser les ressources, mais que cela ne prend pas en charge la clé de aws:ResourceTag condition. Pour autoriser les actions d'affichage pour AWS App Mesh et AWS Backup si cette balise est présente, utilisez la clé de aws:ResourceTag condition. Pour Lambda, utilisez une convention de dénomination des ressources incluant le nom de l'équipe comme préfixe. Incluez ensuite une instruction séparée qui permet l'affichage des ressources avec cette convention de dénomination.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewSupported",
            "Effect": "Allow",
            "Action": [
                "appmesh:DescribeMesh", 
                "backup:GetBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/team": "BumbleBee"
                }
            }
        },
        {
            "Sid": "AllowViewUnsupported",
            "Effect": "Allow",
            "Action": "lambda:GetFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
        }
    ]
}

Termes connexes

Suggestion — Autoriser NotAction avec étiquette non prise en charge, clé de condition pour le service

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

Résolution de la suggestion

L'utilisation de clés de condition de balise non prises en charge dans l'élément Condition d'une politique avec l'élément NotAction et "Effect": "Allow" n'affecte pas les autorisations accordées par la politique. La condition est ignorée pour les actions de service qui ne prennent pas en charge la clé de condition. AWS recommande de réécrire la logique pour autoriser une liste d'actions.

Si vous utilisez la clé de condition aws:ResourceTag avec NotAction, toutes les actions de service nouvelles ou existantes ne prenant pas en charge la clé ne sont pas autorisées. AWS vous recommande de répertorier explicitement les actions que vous voulez autoriser. IAMAccess Analyzer renvoie un résultat distinct pour les actions répertoriées qui ne prennent pas en charge la clé de aws:ResourceTag condition. Pour de plus amples informations, veuillez consulter Suggestion  : autoriser avec la clé de condition d'étiquette non prise en charge pour le service.

Lorsqu'un service prend en charge la clé de condition aws:ResourceTag, vous pouvez utiliser des balises pour contrôler l'accès aux ressources de ce service. C'est ce que l'on appelle le contrôle d'accès basé sur les attributs () ABAC. Les services qui ne prennent pas en charge ces clés nécessitent que vous contrôliez l'accès aux ressources à l'aide du contrôle d'accès basé sur les ressources () RBAC.

Termes connexes

Suggestion  : clé de condition recommandée pour le principal de service

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."

Résolution de la suggestion

Vous pouvez spécifier Services AWS dans l'Principalélément d'une politique basée sur les ressources à l'aide d'un principal de service, qui est un identifiant du service. Vous devez utiliser les clés de condition aws:SourceArn, aws:SourceAccount, aws:SourceOrgID ou aws:SourceOrgPaths lors de l'octroi d'un accès à des principaux de service plutôt qu'à d'autres clés de condition, telles que aws:Referer. Cela vous aide à prévenir un problème de sécurité appelé le problème de l'adjoint confus.

Termes connexes

Suggestion  : clé de condition non pertinente dans la politique

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource."

Résolution de la suggestion

Certaines clés de condition ne sont pas pertinentes pour les politiques basées sur les ressources. Par exemple, la clé de condition s3:ResourceAccount n'est pas pertinente pour la politique basée sur les ressources attachée à un compartiment Amazon S3 ou à un type de ressource de point d'accès Amazon S3.

Vous devez utiliser la clé de condition dans une politique basée sur l'identité pour contrôler l'accès à la ressource.

Termes connexes

Suggestion : principal redondant dans la politique d'approbation de rôle

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."

Résolution de la suggestion

Si vous spécifiez à la fois un principal avec rôle assumé et son rôle parent dans l'élément Principal d'une politique, celle-ci n'autorise ou ne refuse aucune autorisation différente. Par exemple, il est redondant si vous spécifiez l'élément Principal au format suivant :

"Principal": {
            "AWS": [
            "arn:aws:iam::AWS-account-ID:role/rolename",
            "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname"
        ]

Nous recommandons de supprimer le principal avec rôle assumé.

Termes connexes

Suggestion : confirmer le type de réclamation de l'audience

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.

Dans les appels programmatiques au bloc AWS CLI d' AWS APIopération, le résultat de cette vérification inclut le message suivant :

"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."

Résolution de la suggestion

La clé de réclamation aud (d'audience) est un identifiant unique de votre application qui vous est délivré lorsque vous enregistrez votre application auprès de l'IdP et qui identifie les destinataires auxquels le jeton JSON Web est destiné. Les reclamations d'audience peuvent être à valeurs multiples ou à valeur unique. Si la réclamation est à valeurs multiples, utilisez un opérateur d'ensemble de conditions ForAllValues ou ForAnyValue. Si la réclamation est à valeur unique, n'utilisez pas d'opérateur d'ensemble de conditions.

Termes connexes