Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Référence de vérification de validation de politique IAM
<a name="access-analyzer-reference-policy-checks"></a>

Vous pouvez valider vos politiques à l'aide de AWS Identity and Access Management Access Analyzer la validation des politiques. Vous pouvez créer ou modifier une politique à l'aide de l' AWS CLI AWS API ou de l'éditeur de stratégie JSON dans la console IAM. L’analyseur d’accès IAM valide votre politique par rapport à la [grammaire de politique](reference_policies_grammar.md) IAM et aux [bonnes pratiques AWS](best-practices.md). Vous pouvez afficher les résultats des vérifications de validation de politique qui incluent des avertissements de sécurité, des erreurs, des avertissements généraux et des suggestions pour votre politique. Ces résultats fournissent des recommandations exploitables qui vous aident à créer des politiques fonctionnelles et conformes aux bonnes pratiques en matière de sécurité. La liste des vérifications de politiques de base fournies par l’analyseur d’accès IAM est présentée ci-dessous. Pas de frais supplémentaires pour l’exécution des vérifications de validation de la politique. Pour en savoir plus sur la validation des politiques à l’aide de la validation des politiques, consultez [Validation des politiques à l’aide de l’analyseur d’accès IAM](access-analyzer-policy-validation.md).

## Erreur : compte d'ARN non autorisé
<a name="access-analyzer-reference-policy-checks-error-arn-account-not-allowed"></a>

**Code d’erreur :** ARN\$1ACCOUNT\$1NOT\$1ALLOWED

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."
```

**Résolution de l'erreur**

Supprimez l'ID de compte de l'ARN de ressource. La ressource ARNs de certains AWS services ne permet pas de spécifier un identifiant de compte.

Par exemple, Amazon S3 ne prend pas en charge l'ID de compte en tant qu'espace de noms dans un bucket ARNs. Le nom d'un compartiment Amazon S3 est unique au monde et l'espace de noms est partagé par tous les AWS comptes. Pour afficher tous les types de ressources disponibles dans Amazon S3, veuillez consulter [Types de ressources définis par Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) dans la *Référence des autorisations de service*.

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Identificateurs de compte](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS ressources de service avec des formats ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : région d'ARN non autorisée
<a name="access-analyzer-reference-policy-checks-error-arn-region-not-allowed"></a>

**Code d’erreur :** ARN\$1REGION\$1NOT\$1ALLOWED

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."
```

**Résolution de l'erreur**

Supprimez la région de l'ARN de ressource. La ressource ARNs pour certains AWS services ne permet pas de spécifier une région.

Par exemple, IAM est un service global. La partie Région d'un ARN de ressource IAM est toujours vide. Les ressources IAM sont mondiales, comme un AWS compte l'est aujourd'hui. Par exemple, une fois connecté en tant qu'utilisateur IAM, vous pouvez accéder aux AWS services dans n'importe quelle région géographique.
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS ressources de service avec des formats ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : non-correspondance du type de données
<a name="access-analyzer-reference-policy-checks-error-data-type-mismatch"></a>

**Code d’erreur :** DATA\$1TYPE\$1MISMATCH

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."
```

**Résolution de l'erreur**

Mettez à jour le texte pour utiliser le type de données pris en charge.

Par exemple, la clé de condition globale `Version` a besoin d'un type de données `String`. Si vous fournissez une date ou un entier, le type de données ne correspondra pas.

**Termes connexes**
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)

## Erreur : clés dupliquées avec une casse différente
<a name="access-analyzer-reference-policy-checks-error-duplicate-keys-with-different-case"></a>

**Code d’erreur :** DUPLICATE\$1KEYS\$1WITH\$1DIFFERENT\$1CASE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."
```

**Résolution de l'erreur**

Examinez les clés de condition similaires dans le même bloc de condition et utilisez la même casse pour toutes les instances.

On appelle *bloc de condition* le texte inclus dans l'élément `Condition`d'une instruction de politique. Les *noms* de clé de condition ne sont pas sensibles à la casse. La sensibilité à la casse des *valeurs* des clés de condition dépend de l'opérateur de condition que vous utilisez. Pour de plus amples informations sur la sensibilité à la casse des clés de condition, veuillez consulter [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md).

**Termes connexes**
+ [Conditions](reference_policies_elements_condition.md)
+ [Bloc de condition](reference_policies_elements_condition.md#AccessPolicyLanguage_ConditionBlock)
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [AWS clés d'état de service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : action non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-action"></a>

**Code d’erreur :** INVALID\$1ACTION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"
```

**Résolution de l'erreur**

L'action que vous avez spécifiée n'est pas valide. Cela peut se produire si vous saisissez de façon incorrecte le préfixe du service ou le nom de l'action. Pour certains problèmes courants, la vérification de politique renvoie une action suggérée.

**Termes connexes**
+ [Actions de politique](reference_policies_elements_action.md)
+ [AWS actions de service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

### AWS politiques gérées avec cette erreur
<a name="accan-ref-policy-check-message-fix-error-invalid-action-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les politiques AWS gérées suivantes incluent des actions non valides dans leurs déclarations de politique. Les actions non valides n'affectent pas les autorisations octroyées par la politique. Lorsque vous utilisez une stratégie AWS gérée comme référence pour créer votre stratégie gérée, il est AWS recommandé de supprimer les actions non valides de votre stratégie.
+ [Amazon EMRFull AccessPolicy v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2)
+ [CloudWatchSyntheticsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchSyntheticsFullAccess)

## Erreur : compte d'ARN non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-account"></a>

**Code d’erreur :** INVALID\$1ARN\$1ACCOUNT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."
```

**Résolution de l'erreur**

Mettez à jour l'ID de compte dans l'ARN de ressource. IDs Les comptes sont des nombres entiers à 12 chiffres. Pour savoir comment consulter l'identifiant de votre compte, consultez la section [Trouver votre identifiant de AWS compte](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers).

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Identificateurs de compte](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS ressources de service avec des formats ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : préfixe d'ARN non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-prefix"></a>

**Code d’erreur :** INVALID\$1ARN\$1PREFIX

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add the required prefix (arn) to the resource ARN."
```

**Résolution de l'erreur**

AWS la ressource ARNs doit inclure le `arn:` préfixe requis.

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS ressources de service avec des formats ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : région d'ARN non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-region"></a>

**Code d’erreur :** INVALID\$1ARN\$1REGION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."
```

**Résolution de l'erreur**

Le type de ressource n'est pas pris en charge dans la région spécifiée. Pour un tableau des AWS services pris en charge dans chaque région, consultez le [tableau des régions](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [Noms et codes des régions](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)

## Erreur : ARN de ressource non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-resource"></a>

**Code d’erreur :** INVALID\$1ARN\$1RESOURCE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."
```

**Résolution de l'erreur**

L'ARN de ressource doit correspondre aux spécifications des types de ressources connus. Pour afficher le format ARN attendu pour un service, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Choisissez le nom du service pour afficher ses types de ressources et formats d'ARN.

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS ressources de service avec des formats ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : cas de service ARN non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-arn-service-case"></a>

**Code d’erreur :** INVALID\$1ARN\$1SERVICE\$1CASE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid ARN service case: Update the service name {{service}} in the resource ARN to use all lowercase letters.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Update the service name {{service}} in the resource ARN to use all lowercase letters."
```

**Résolution de l'erreur**

Le service dans l'ARN de ressource doit correspondre aux spécifications (notamment la casse) des préfixes de service. Pour afficher le préfixe d'un service, voir [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Choisissez le nom du service et localisez son préfixe dans la première phrase.

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS ressources de service avec des formats ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : type de données de condition non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-condition-data-type"></a>

**Code d’erreur :** INVALID\$1CONDITION\$1DATA\$1TYPE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."
```

**Résolution de l'erreur**

La valeur de la paire clé-valeur de condition doit correspondre au type de données de la clé de condition et de l'opérateur de condition. Pour afficher le type de données de clé de condition d'un service, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Choisissez le nom du service pour afficher les clés de condition de ce service.

Par exemple, la clé de condition globale [`CurrentTime`](reference_policies_condition-keys.md#condition-keys-currenttime) prend en charge l'opérateur de condition `Date`. Si vous fournissez une chaîne ou un entier pour la valeur dans le bloc de condition, le type de données ne correspondra pas.

**Termes connexes**
+ [Conditions](reference_policies_elements_condition.md)
+ [Bloc de condition](reference_policies_elements_condition.md#AccessPolicyLanguage_ConditionBlock)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [AWS clés d'état de service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : format de clé de condition non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-condition-key-format"></a>

**Code d’erreur :** INVALID\$1CONDITION\$1KEY\$1FORMAT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key format is not valid. Use the format service:keyname."
```

**Résolution de l'erreur**

La clé de la paire clé-valeur de condition doit correspondre aux spécifications du service. Pour afficher les clés de condition d'un service, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Choisissez le nom du service pour afficher les clés de condition de ce service.

**Termes connexes**
+ [Conditions](reference_policies_elements_condition.md)
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [AWS clés d'état de service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : valeurs booléennes multiples de condition non valides
<a name="access-analyzer-reference-policy-checks-error-invalid-condition-multiple-boolean"></a>

**Code d’erreur :** INVALID\$1CONDITION\$1MULTIPLE\$1BOOLEAN

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."
```

**Résolution de l'erreur**

La clé de la paire clé-valeur de condition attend une valeur booléenne unique. Lorsque vous fournissez plusieurs valeurs booléennes, la correspondance de condition peut ne pas renvoyer les résultats attendus.

Pour afficher les clés de condition d'un service, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Choisissez le nom du service pour afficher les clés de condition de ce service.
+ [Conditions](reference_policies_elements_condition.md)
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [AWS clés d'état de service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : opérateur de condition non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-condition-operator"></a>

**Code d’erreur :** INVALID\$1CONDITION\$1OPERATOR

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."
```

**Résolution de l'erreur**

Mettez à jour la condition pour utiliser un opérateur de condition pris en charge.

**Termes connexes**
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)
+ [Élément de condition](reference_policies_elements_condition.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Erreur : effet non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-effect"></a>

**Code d’erreur :** INVALID\$1EFFECT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."
```

**Résolution de l'erreur**

Mettez à jour l'élément `Effect` pour utiliser un effet valide. Les valeurs valides pour `Effect` sont **Allow** et **Deny**.

**Termes connexes**
+ [Élément Effet](reference_policies_elements_effect.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Erreur : clé de condition globale non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-global-condition-key"></a>

**Code d’erreur :** INVALID\$1GLOBAL\$1CONDITION\$1KEY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."
```

**Résolution de l'erreur**

Mettez à jour la clé de condition dans la paire clé-valeur de condition pour utiliser une clé de condition globale prise en charge.

Les clés de condition globales sont des clés de condition avec un `aws:` préfixe. AWS les services peuvent prendre en charge les clés de condition globales ou fournir des clés spécifiques au service qui incluent leur préfixe de service. Par exemple, les clés de condition IAM incluent le préfixe `iam:`. Pour plus d'informations, consultez [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) et choisissez le service dont vous souhaitez afficher les clés.

**Termes connexes**
+ [Clés de condition globale](reference_policies_condition-keys.md)

## Erreur : partition non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-partition"></a>

**Code d’erreur :** INVALID\$1PARTITION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"
```

**Résolution de l'erreur**

Mettez à jour l'ARN de ressource de sorte à inclure une partition prise en charge. Si vous avez inclus une partition prise en charge, le service ou la ressource peut ne pas prendre en charge la partition que vous avez incluse.

Une *partition* est un groupe de AWS régions. Chaque AWS compte est limité à une partition. Dans les régions classiques, utilisez la partition `aws`. Dans les régions de Chine, utilisez `aws-cn`.

**Termes connexes**
+ [Amazon Resource Names (ARNs) - Partitions](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)

## Erreur : élément de politique non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-policy-element"></a>

**Code d’erreur :** INVALID\$1POLICY\$1ELEMENT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid policy element: The policy element {{element}} is not valid.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The policy element {{element}} is not valid."
```

**Résolution de l'erreur**

Mettez à jour la politique de sorte à inclure uniquement les éléments de politique JSON pris en charge.

**Termes connexes**
+ [Éléments de politique JSON](reference_policies_elements.md)

## Erreur : format de principal non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-principal-format"></a>

**Code d’erreur :** INVALID\$1PRINCIPAL\$1FORMAT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."
```

**Résolution de l'erreur**

Mettez à jour le format de principal de sorte à utiliser un format de paire clé-valeur pris en charge. 

Vous pouvez spécifier un principal dans une politique basée sur la ressource, mais pas dans une politique basée sur l'identité. 

Par exemple, pour définir l'accès pour tous les utilisateurs d'un AWS compte, utilisez le principe suivant dans votre politique :

```
"Principal": { "AWS": "123456789012" }
```

**Termes connexes**
+ [Éléments de politique JSON : principal](reference_policies_elements_principal.md)
+ [Politiques basées sur l'identité et politiques basées sur les ressources](access_policies_identity-vs-resource.md)

## Erreur : clé principale non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-principal-key"></a>

**Code d’erreur :** INVALID\$1PRINCIPAL\$1KEY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid principal key: The principal key {{principal-key}} is not valid.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The principal key {{principal-key}} is not valid."
```

**Résolution de l'erreur**

Mettez à jour la clé dans la paire clé-valeur principale pour utiliser une clé principale prise en charge. Les clés principales suivantes sont prises en charge :
+ AWS
+ CanonicalUser
+ Fédérée
+ Service

**Termes connexes**
+ [Elément principal](reference_policies_elements_principal.md)

## Erreur : région non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-region"></a>

**Code d’erreur :** INVALID\$1REGION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid Region: The Region {{region}} is not valid. Update the condition value to a supported Region.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a supported Region."
```

**Résolution de l'erreur**

Mettez à jour la valeur de la paire clé-valeur de condition pour inclure une région prise en charge. Pour un tableau des AWS services pris en charge dans chaque région, consultez le [tableau des régions](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [Noms et codes des régions](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)

## Erreur : service non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-service"></a>

**Code d’erreur :** INVALID\$1SERVICE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid service: The service {{service}} does not exist. Use a valid service name.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The service {{service}} does not exist. Use a valid service name."
```

**Résolution de l'erreur**

Le préfixe de service dans la clé d'action ou de condition doit correspondre aux spécifications (notamment la casse) des préfixes de service. Pour afficher le préfixe d'un service, voir [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Choisissez le nom du service et localisez son préfixe dans la première phrase.

**Termes connexes**
+ [ Services connus et leurs actions, ressources et clés de condition](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : clé de condition de service non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-service-condition-key"></a>

**Code d’erreur :** INVALID\$1SERVICE\$1CONDITION\$1KEY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."
```

**Résolution de l'erreur**

Mettez à jour la clé dans la paire clé-valeur de condition pour utiliser une clé de condition connue pour le service. Les noms de clé de condition globale commencent par le préfixe `aws`. Les services AWS peuvent fournir des clés spécifiques au service qui possèdent le préfixe du service. Pour afficher le préfixe d'un service, voir [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html).

**Termes connexes**
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [ Services connus et leurs actions, ressources et clés de condition](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : service non valide en action
<a name="access-analyzer-reference-policy-checks-error-invalid-service-in-action"></a>

**Code d’erreur :** INVALID\$1SERVICE\$1IN\$1ACTION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"
```

**Résolution de l'erreur**

Le préfixe de service dans l'action doit correspondre aux spécifications (notamment la casse) des préfixes de service. Pour afficher le préfixe d'un service, voir [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Choisissez le nom du service et localisez son préfixe dans la première phrase.

**Termes connexes**
+ [Élément Action](reference_policies_elements_action.md)
+ [ Services connus et leurs actions](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : variable non valide pour l'opérateur
<a name="access-analyzer-reference-policy-checks-error-invalid-variable-for-operator"></a>

**Code d’erreur :** INVALID\$1VARIABLE\$1FOR\$1OPERATOR

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Policy variables can only be used with String and ARN operators."
```

**Résolution de l'erreur**

Vous pouvez utiliser des variables de politique dans l'élément `Resource` et les comparaisons de chaîne de l'élément `Condition`. Les conditions prennent en charge des variables lorsque vous utilisez des opérateurs chaîne ou des opérateurs ARN. Les opérateurs de chaîne incluent `StringEquals`, `StringLike` et `StringNotLike`. Les opérateurs ARN incluent `ArnEquals` et `ArnLike`. Vous ne pouvez pas utiliser une variable de politique avec d'autres opérateurs, tels que les opérateurs Numeric, Date, Boolean, Binary, IP Address ou Null operators.

**Termes connexes**
+ [Utilisation de variables de politique dans l'élément Condition](reference_policies_variables.md#policy-vars-conditionelement)
+ [Élément de condition](reference_policies_elements_condition.md)

## Erreur : version non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-version"></a>

**Code d’erreur :** INVALID\$1VERSION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid version: The version {{version}} is not valid. Use one of the following versions: {{versions}}
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The version {{version}} is not valid. Use one of the following versions: {{versions}}"
```

**Résolution de l'erreur**

L'élément `Version` de stratégie spécifie les règles de syntaxe du langage AWS utilisées pour traiter une politique. Pour utiliser toutes les fonctions de politique disponibles, incluez l'élément `Version` suivant avant l'élément `Statement` dans l'ensemble de vos politiques.

```
"Version": "2012-10-17"
```

**Termes connexes**
+ [Élément Version](reference_policies_elements_version.md)

## Erreur : erreur de syntaxe Json
<a name="access-analyzer-reference-policy-checks-error-json-syntax-error"></a>

**Code d’erreur :** JSON\$1SYNTAX\$1ERROR

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."
```

**Résolution de l'erreur**

Votre politique inclut une erreur de syntaxe. Vérifiez votre syntaxe JSON.

**Termes connexes**
+ [Validateur JSON](https://json-validate.com/)
+ [Référence des éléments de politique JSON IAM](reference_policies_elements.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Erreur : erreur de syntaxe Json
<a name="access-analyzer-reference-policy-checks-error-json-syntax-error"></a>

**Code d’erreur :** JSON\$1SYNTAX\$1ERROR

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Json syntax error: Fix the JSON syntax error.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Fix the JSON syntax error."
```

**Résolution de l'erreur**

Votre politique inclut une erreur de syntaxe. Vérifiez votre syntaxe JSON.

**Termes connexes**
+ [Validateur JSON](https://json-validate.com/)
+ [Référence des éléments de politique JSON IAM](reference_policies_elements.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Erreur : action manquante
<a name="access-analyzer-reference-policy-checks-error-missing-action"></a>

**Code d’erreur :** MISSING\$1ACTION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing action: Add an Action or NotAction element to the policy statement.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add an Action or NotAction element to the policy statement."
```

**Résolution de l'erreur**

AWS Les politiques JSON doivent inclure un `NotAction` élément `Action` or.

**Termes connexes**
+ [Élément Action](reference_policies_elements_action.md)
+ [NotAction élément](reference_policies_elements_notaction.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Erreur : champ ARN manquant
<a name="access-analyzer-reference-policy-checks-error-missing-arn-field"></a>

**Code d’erreur :** MISSING\$1ARN\$1FIELD

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"
```

**Résolution de l'erreur**

Tous les champs de l'ARN de ressource doivent correspondre aux spécifications d'un type de ressource connu. Pour afficher le format ARN attendu pour un service, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Choisissez le nom du service pour afficher ses types de ressources et formats d'ARN.

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS ressources de service avec des formats ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : région ARN manquante
<a name="access-analyzer-reference-policy-checks-error-missing-arn-region"></a>

**Code d’erreur :** MISSING\$1ARN\$1REGION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing ARN Region: Add a Region to the {{service}} resource ARN.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add a Region to the {{service}} resource ARN."
```

**Résolution de l'erreur**

La ressource ARNs pour la plupart des AWS services nécessite que vous spécifiiez une région. Pour un tableau des AWS services pris en charge dans chaque région, consultez le [tableau des régions](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [Noms et codes des régions](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)

## Erreur : effet manquant
<a name="access-analyzer-reference-policy-checks-error-missing-effect"></a>

**Code d’erreur :** MISSING\$1EFFECT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."
```

**Résolution de l'erreur**

AWS Les politiques JSON doivent inclure un `Effect` élément dont la valeur est **Allow** et**Deny**.

**Termes connexes**
+ [Élément Effet](reference_policies_elements_effect.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Erreur : principal manquant
<a name="access-analyzer-reference-policy-checks-error-missing-principal"></a>

**Code d’erreur :** MISSING\$1PRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing principal: Add a Principal element to the policy statement.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add a Principal element to the policy statement."
```

**Résolution de l'erreur**

Les politiques basées sur les ressources doivent inclure un élément `Principal`.

Par exemple, pour définir l'accès pour tous les utilisateurs d'un AWS compte, utilisez le principe suivant dans votre politique :

```
"Principal": { "AWS": "123456789012" }
```

**Termes connexes**
+ [Elément principal](reference_policies_elements_principal.md)
+ [Politiques basées sur l'identité et politiques basées sur les ressources](access_policies_identity-vs-resource.md)

## Erreur : qualificateur manquant
<a name="access-analyzer-reference-policy-checks-error-missing-qualifier"></a>

**Code d’erreur :** MISSING\$1QUALIFIER

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing qualifier: The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."
```

**Résolution de l'erreur**

Dans l'élément `Condition`, vous créez des expressions dans lesquelles vous utilisez des opérateurs de condition tels que égal ou inférieur à pour comparer une condition de la politique avec des clés et des valeurs dans le contexte de la demande. Pour les demandes qui incluent plusieurs valeurs pour une seule clé de condition, vous devez placer les conditions entre crochets comme un tableau ("Key2":["Value2A", "Value2B"]). Vous devez également utiliser les opérateurs définis `ForAllValues` ou `ForAnyValue` avec l'opérateur de condition `StringLike`. Ces qualificatifs ajoutent une fonctionnalité d'opération d'ensemble à l'opérateur de condition afin que vous puissiez tester plusieurs valeurs de demande par rapport à plusieurs valeurs de condition.

**Termes connexes**
+ [Clés de contexte à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Élément de condition](reference_policies_elements_condition.md)

### AWS politiques gérées avec cette erreur
<a name="accan-ref-policy-check-message-fix-error-missing-qualifier-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les politiques AWS gérées suivantes incluent un qualificatif manquant pour les clés de condition dans leurs déclarations de politique. Lorsque vous utilisez la politique AWS gérée comme référence pour créer votre politique gérée par le client, il est AWS recommandé d'ajouter les qualificatifs de clé de `ForAnyValue` condition `ForAllValues` ou à votre `Condition` élément.
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)

## Erreur : ressource manquante
<a name="access-analyzer-reference-policy-checks-error-missing-resource"></a>

**Code d’erreur :** MISSING\$1RESOURCE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing resource: Add a Resource or NotResource element to the policy statement.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add a Resource or NotResource element to the policy statement."
```

**Résolution de l'erreur**

Toutes les politiques, à l’exception des politiques de confiance dans les rôles, doivent inclure un élément `Resource` ou `NotResource`.

**Termes connexes**
+ [Élément de ressource](reference_policies_elements_resource.md)
+ [NotResource élément](reference_policies_elements_notresource.md)
+ [Politiques basées sur l'identité et politiques basées sur les ressources](access_policies_identity-vs-resource.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Erreur : instruction manquante
<a name="access-analyzer-reference-policy-checks-error-missing-statement"></a>

**Code d’erreur :** MISSING\$1STATEMENT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing statement: Add a statement to the policy
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add a statement to the policy"
```

**Résolution de l'erreur**

Une politique JSON doit inclure une instruction.

**Termes connexes**
+ [Éléments de politique JSON](reference_policies_elements.md)

## Erreur : Null avec Si existe
<a name="access-analyzer-reference-policy-checks-error-null-with-if-exists"></a>

**Code d’erreur :** NULL\$1WITH\$1IF\$1EXISTS

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."
```

**Résolution de l'erreur**

Vous pouvez ajouter `IfExists` à la fin de tous les noms d'opérateurs de condition, à l'exception de l'opérateur de condition `Null`. Utilisez un opérateur de condition `Null` pour vérifier si une clé de condition est présente lors de l'autorisation. Utilisez `...ifExists` pour spécifier que « If the policy key is present in the context of the request, process the key as specified in the policy. Si la clé n'est pas présente, évaluez l'élément de condition comme vrai. »

**Termes connexes**
+ [... IfExists opérateurs de conditions](reference_policies_elements_condition_operators.md#Conditions_IfExists)
+ [Opérateur de condition null](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Élément de condition](reference_policies_elements_condition.md)

## Erreur : erreur de syntaxe SCP, caractère générique Action
<a name="access-analyzer-reference-policy-checks-error-scp-syntax-error-action-wildcard"></a>

**Code d’erreur :** SCP\$1SYNTAX\$1ERROR\$1ACTION\$1WILDCARD

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."
```

**Résolution de l'erreur**

AWS Organizations les politiques de contrôle des services (SCPs) permettent de spécifier des valeurs dans les `NotAction` éléments `Action` or. Cependant, ces valeurs peuvent inclure des caractères génériques (\$1) uniquement à la fin de la chaîne. Cela signifie que vous pouvez spécifier `iam:Get*` mais pas `iam:*role`.

Pour spécifier plusieurs actions, il est AWS recommandé de les répertorier individuellement.

**Termes connexes**
+ [Action et NotAction éléments du SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html#scp-syntax-action)
+ [Évaluation du SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)
+ [AWS Organizations politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)

## Erreur : erreur de syntaxe SCP, principal
<a name="access-analyzer-reference-policy-checks-error-scp-syntax-error-principal"></a>

**Code d’erreur :** SCP\$1SYNTAX\$1ERROR\$1PRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."
```

**Résolution de l'erreur**

AWS Organizations les politiques de contrôle des services (SCPs) ne prennent pas en charge les `NotPrincipal` éléments `Principal` or.

Vous pouvez spécifier l'Amazon Resource Name (ARN) à l'aide de la clé de condition globale `aws:PrincipalArn` dans l'élément `Condition`.

**Termes connexes**
+ [Syntaxe d'une stratégie de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [Clés de condition globale pour principaux](reference_policies_condition-keys.md#condition-keys-principalarn)

## Erreur : Sid uniques requis
<a name="access-analyzer-reference-policy-checks-error-unique-sids-required"></a>

**Code d’erreur :** UNIQUE\$1SIDS\$1REQUIRED

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."
```

**Résolution de l'erreur**

Pour certains types de politiques, la déclaration IDs doit être unique. L'élément `Sid` (ID d'instruction) vous autorise à saisir un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez attribuer une valeur d'ID d'instruction à chaque instruction d'un tableau d'instructions à l'aide de l'élément `SID`. Dans un service qui vous permet de spécifier un ID d'élément tel que SQS et SNS, la valeur `Sid` est un simple sous-identifiant de l'ID du document de politique. Par exemple, dans IAM, la valeur `Sid` doit être unique dans une politique JSON.

**Termes connexes**
+ [Éléments de politique JSON IAM : Sid](reference_policies_elements_sid.md)

## Erreur : action non prise en charge dans la politique
<a name="access-analyzer-reference-policy-checks-error-unsupported-action-in-policy"></a>

**Code d’erreur :** UNSUPPORTED\$1ACTION\$1IN\$1POLICY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```

**Résolution de l'erreur**

Certaines actions ne sont pas prises en charge dans l'élément `Action` dans la politique basée sur les ressources, attachée à un type de ressource différent. Par exemple, les AWS Key Management Service actions ne sont pas prises en charge dans les politiques relatives aux compartiments Amazon S3. Spécifiez une action prise en charge par le type de ressource attaché à votre politique basée sur les ressources.

**Termes connexes**
+ [Éléments de politique JSON : Action](reference_policies_elements_action.md)

## Erreur : combinaison d'éléments non prise en charge
<a name="access-analyzer-reference-policy-checks-error-unsupported-element-combination"></a>

**Code d’erreur :** UNSUPPORTED\$1ELEMENT\$1COMBINATION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported element combination: The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements."
```

**Résolution de l'erreur**

Certaines combinaisons d'éléments de politique JSON ne peuvent pas être utilisées ensemble. Par exemple, vous ne pouvez pas utiliser `Action` et `NotAction` dans la même instruction de politique. Les autres paires qui s'excluent mutuellement sont notamment `Principal/NotPrincipal` et `Resource/NotResource`.

**Termes connexes**
+ [Référence des éléments de politique JSON IAM](reference_policies_elements.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Erreur : clé de condition globale non prise en charge
<a name="access-analyzer-reference-policy-checks-error-unsupported-global-condition-key"></a>

**Code d’erreur :** UNSUPPORTED\$1GLOBAL\$1CONDITION\$1KEY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."
```

**Résolution de l'erreur**

AWS ne prend pas en charge l'utilisation de la clé de condition globale spécifiée. En fonction de votre cas d'utilisation, vous pouvez utiliser les clés de condition globale `aws:PrincipalArn` ou `aws:SourceArn`. Par exemple, à la place de `aws:ARN`, utilisez `aws:PrincipalArn` pour comparer l'Amazon Resource Name (ARN) du principal ayant fait la demande avec l'ARN spécifié dans la politique. Vous pouvez également utiliser la clé de condition `aws:SourceArn` globale pour comparer le nom de ressource Amazon (ARN) de la ressource qui fait une service-to-service demande avec l'ARN que vous spécifiez dans la politique.

**Termes connexes**
+ [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md)

## Erreur : principal non pris en charge
<a name="access-analyzer-reference-policy-checks-error-unsupported-principal"></a>

**Code d’erreur :** UNSUPPORTED\$1PRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported principal: The policy type {{policy_type}} does not support the Principal element. Remove the Principal element.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The policy type {{policy_type}} does not support the Principal element. Remove the Principal element."
```

**Résolution de l'erreur**

L'élément `Principal` spécifie le principal qui est autorisé ou non à accéder à une ressource. Vous ne pouvez pas utiliser l'élément `Principal` dans une politique IAM basée sur l'identité. Vous pouvez l'utiliser dans les politiques de confiance pour les rôles IAM et dans les politiques basées sur des ressources. Les politiques basées sur les ressources sont des politiques que vous intégrez directement à une ressource. Par exemple, vous pouvez intégrer des politiques dans un compartiment Amazon S3 ou dans une clé AWS KMS.

**Termes connexes**
+ [AWS Éléments de politique JSON : principal](reference_policies_elements_principal.md)
+ [Accès inter-comptes aux ressources dans IAM](access_policies-cross-account-resource-access.md)

## Erreur : ARN de ressource non pris en charge dans la politique
<a name="access-analyzer-reference-policy-checks-error-unsupported-resource-arn-in-policy"></a>

**Code d’erreur :** UNSUPPORTED\$1RESOURCE\$1ARN\$1IN\$1POLICY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```

**Résolution de l'erreur**

Certaines ressources ARNs ne sont pas prises en charge dans l'`Resource`élément de la stratégie basée sur les ressources lorsque la stratégie est attachée à un autre type de ressource. Par exemple, AWS KMS ARNs ne sont pas pris en charge dans l'`Resource`élément relatif aux politiques de compartiment Amazon S3. Spécifiez un ARN de ressource pris en charge par un type de ressource attaché à votre politique basée sur les ressources.

**Termes connexes**
+ [Éléments de politique JSON : Action](reference_policies_elements_action.md)

## Erreur : sid non pris en charge
<a name="access-analyzer-reference-policy-checks-error-unsupported-sid"></a>

**Code d’erreur :** UNSUPPORTED\$1SID

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"
```

**Résolution de l'erreur**

L'élément `Sid` prend en charge les lettres majuscules, les lettres minuscules et les chiffres.

**Termes connexes**
+ [Éléments de politique JSON IAM : Sid](reference_policies_elements_sid.md)

## Erreur : caractère générique non pris en charge dans le principal
<a name="access-analyzer-reference-policy-checks-error-unsupported-wildcard-in-principal"></a>

**Code d’erreur :** UNSUPPORTED\$1WILDCARD\$1IN\$1PRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."
```

**Résolution de l'erreur**

La structure de l'élément `Principal` prend en charge l'utilisation d'une paire clé-valeur. La valeur du principal spécifiée dans la politique inclut un caractère générique (\$1). Vous ne pouvez pas inclure de caractère générique avec la clé de principal que vous avez spécifiée. Par exemple, lorsque vous spécifiez des utilisateurs dans un élément `Principal`, il n'est pas possible d'utiliser un caractère générique signifiant « tous les utilisateurs ». Vous devez nommer un ou plusieurs utilisateurs spécifiques. De même, lorsque vous spécifiez une session endossed-role, vous ne pouvez pas utiliser un caractère générique pour signifier « toutes les sessions ». Vous devez nommer une session spécifique. Vous ne pouvez pas non plus utiliser de caractère générique pour une correspondance à une partie d'un nom ou d'un ARN.

Pour résoudre ce problème, supprimez le caractère générique et fournissez un principal plus spécifique.

**Termes connexes**
+ [AWS Éléments de politique JSON : principal](reference_policies_elements_principal.md)

## Erreur : accolade manquante dans la variable
<a name="access-analyzer-reference-policy-checks-error-missing-brace-in-variable"></a>

**Code d’erreur :** MISSING\$1BRACE\$1IN\$1VARIABLE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."
```

**Résolution de l'erreur**

La structure de la variable politique prend en charge l'utilisation d'un préfixe `$` suivi d'une paire d'accolades (`{ }`). À l'intérieur des caractères `${ }`, incluez le nom de la valeur de la demande que vous souhaitez utiliser dans la politique.

Pour résoudre ce problème, ajoutez l'accolade manquante afin de garantir la présence de l'ensemble d'accolades d'ouverture et de fermeture.

**Termes connexes**
+ [Éléments des politiques IAM : Variables](reference_policies_variables.md)

## Erreur : guillemet manquant dans la variable
<a name="access-analyzer-reference-policy-checks-error-missing-quote-in-variable"></a>

**Code d’erreur :** MISSING\$1QUOTE\$1IN\$1VARIABLE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."
```

**Résolution de l'erreur**

Lorsque vous ajoutez une variable à votre politique, vous pouvez spécifier une valeur par défaut pour la variable. Si aucune variable n'est présente, AWS utilise le texte par défaut que vous fournissez.

Pour ajouter une valeur par défaut à une variable, entourez la valeur par défaut de guillemets simples (`' '`), puis séparez le texte de la variable et la valeur par défaut par une virgule et une espace (`, `).

Par exemple, si un principal est labelisé `team=yellow`, il peut accéder au compartiment Amazon S3 `amzn-s3-demo-bucket` avec le nom `amzn-s3-demo-bucket-yellow`. Une politique avec cette ressource peut autoriser les membres de l'équipe à accéder à leurs propres ressources, mais pas à celles d'autres équipes. Pour les utilisateurs sans identifications d'équipe, vous pouvez définir une valeur par défaut de `company-wide`. Ces utilisateurs peuvent accéder uniquement au compartiment `amzn-s3-demo-bucket-company-wide`où ils peuvent afficher des informations générales, telles que des instructions pour rejoindre une équipe.

```
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"
```

**Termes connexes**
+ [Éléments des politiques IAM : Variables](reference_policies_variables.md)

## Erreur : espace non prise en charge dans la variable
<a name="access-analyzer-reference-policy-checks-error-unsupported-space-in-variable"></a>

**Code d’erreur :** UNSUPPORTED\$1SPACE\$1IN\$1VARIABLE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "A space is not supported within the policy variable text. Remove the space."
```

**Résolution de l'erreur**

La structure de la variable politique prend en charge l'utilisation d'un préfixe `$` suivi d'une paire d'accolades (`{ }`). À l'intérieur des caractères `${ }`, incluez le nom de la valeur de la demande que vous souhaitez utiliser dans la politique. Bien qu'il soit possible d'inclure une espace lors de la spécification d'une variable par défaut, il n'est pas possible d'en inclure une dans le nom de la variable.

**Termes connexes**
+ [Éléments des politiques IAM : Variables](reference_policies_variables.md)

## Erreur : variable vide
<a name="access-analyzer-reference-policy-checks-error-empty-variable"></a>

**Code d’erreur :** EMPTY\$1VARIABLE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."
```

**Résolution de l'erreur**

La structure de la variable politique prend en charge l'utilisation d'un préfixe `$` suivi d'une paire d'accolades (`{ }`). À l'intérieur des caractères `${ }`, incluez le nom de la valeur de la demande que vous souhaitez utiliser dans la politique.

**Termes connexes**
+ [Éléments des politiques IAM : Variables](reference_policies_variables.md)

## Erreur : variable non prise en charge dans l'élément
<a name="access-analyzer-reference-policy-checks-error-variable-unsupported-in-element"></a>

**Code d’erreur :** VARIABLE\$1UNSUPPORTED\$1IN\$1ELEMENT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."
```

**Résolution de l'erreur**

Vous pouvez utiliser des variables de politique dans l'élément `Resource` et les comparaisons de chaîne de l'élément `Condition`.

**Termes connexes**
+ [Éléments des politiques IAM : Variables](reference_policies_variables.md)

## Erreur : variable non prise en charge dans la version
<a name="access-analyzer-reference-policy-checks-error-variable-unsupported-in-version"></a>

**Code d’erreur :** VARIABLE\$1UNSUPPORTED\$1IN\$1VERSION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."
```

**Résolution de l'erreur**

Pour utiliser des variables de politique, vous devez inclure l'élément `Version` et le définir sur une version qui prend en charge les variables de politique. Les variables ont été introduites dans la version `2012-10-17`. Les versions antérieures du langage de politique ne prennent pas en charge les variables de politique. Si vous ne définissez pas la `Version` sur `2012-10-17` ou ultérieure, des variables telles que `${aws:username}` sont traitées comme des chaînes littérales dans la politique.

Un élément de politique `Version` est différent d'une version de politique. L'élément de politique `Version` est utilisé dans une politique pour définir la version de la langue de la politique. Une version de politique est créée lorsque vous apportez des modifications à une politique gérée par le client dans IAM. La politique modifiée ne remplace pas la politique existante. À la place, IAM crée une nouvelle version de la politique gérée. 

**Termes connexes**
+ [Éléments des politiques IAM : Variables](reference_policies_variables.md)
+ [Éléments de politique JSON IAM : Version](reference_policies_elements_version.md)

## Erreur : adresse IP privée
<a name="access-analyzer-reference-policy-checks-error-private-ip-address"></a>

**Code d’erreur :** PRIVATE\$1IP\$1ADDRESS

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."
```

**Résolution de l'erreur**

La clé de condition globale `aws:SourceIp` fonctionne uniquement pour les plages d'adresses IP publiques. Cette erreur s'affiche lorsque votre politique autorise uniquement les adresses IP privées. Dans ce cas, la condition ne correspondrait jamais.
+ [aws : clé de condition SourceIp globale](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Erreur — Privé NotIpAddress
<a name="access-analyzer-reference-policy-checks-error-private-not-ip-address"></a>

**Code d’erreur :** PRIVATE\$1NOT\$1IP\$1ADDRESS

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."
```

**Résolution de l'erreur**

La clé de condition globale `aws:SourceIp` fonctionne uniquement pour les plages d'adresses IP publiques. Cette erreur s'affiche lorsque vous utilisez l'opérateur de condition `NotIpAddress` et que vous répertoriez uniquement les adresses IP privées. Dans ce cas, la condition correspondrait toujours et serait sans effet.
+ [aws : clé de condition SourceIp globale](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Erreur : la taille de la politique dépasse le quota SCP
<a name="access-analyzer-reference-policy-checks-error-policy-size-exceeds-scp-quota"></a>

**Code d’erreur :** POLICY\$1SIZE\$1EXCEEDS\$1SCP\$1QUOTA

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."
```

**Résolution de l'erreur**

AWS Organizations les politiques de contrôle des services (SCPs) permettent de spécifier des valeurs dans les `NotAction` éléments `Action` or. Cependant, ces valeurs peuvent inclure des caractères génériques (\$1) uniquement à la fin de la chaîne. Cela signifie que vous pouvez spécifier `iam:Get*` mais pas `iam:*role`.

Pour spécifier plusieurs actions, il est AWS recommandé de les répertorier individuellement.

**Termes connexes**
+ [Quotas pour les AWS Organisations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)
+ [AWS Organizations politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

## Erreur : format de principal de service non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-service-principal-format"></a>

**Code d’erreur :** INVALID\$1SERVICE\$1PRINCIPAL\$1FORMAT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."
```

**Résolution de l'erreur**

La valeur de la paire clé-valeur de condition doit correspondre à un format de principal de service défini.

Un *principal de service* est un identifiant utilisé pour accorder des autorisations à un service. Vous pouvez spécifier un principal de service dans l'élément `Principal` ou comme valeur de certaines clés de condition globale et certaines clés spécifiques au service. Le principal de service est défini par chaque service.

L'identifiant d'un principal de service inclut le nom du service, et se présente généralement sous le format suivant, en lettres minuscules :

`service-name.amazonaws.com`

Certaines clés spécifiques au service peuvent utiliser un format différent pour les principaux de service. Par exemple, la clé de condition `kms:ViaService` requiert le format suivant pour les principaux services, en lettres minuscules :

`service-name.AWS_region.amazonaws.com`

**Termes connexes**
+ [Principaux du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS clés de condition globales](reference_policies_condition-keys.md)
+ [`kms:ViaService` clé de condition](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)

## Erreur : clé de balise manquante dans la condition
<a name="access-analyzer-reference-policy-checks-error-missing-tag-key-in-condition"></a>

**Code d’erreur :** MISSING\$1TAG\$1KEY\$1IN\$1CONDITION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."
```

**Résolution de l'erreur**

Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dans l'[élément de condition](reference_policies_elements_condition.md) d'une politique.

Par exemple, pour [contrôler l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources), vous devez inclure la clé de `aws:ResourceTag` condition. Cette clé doit être au format `aws:ResourceTag/tag-key`. Pour spécifier la clé de balise `owner` et la valeur de balise `JaneDoe` dans une condition, utilisez le format suivant.

```
"Condition": {
    "StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}
```

**Termes connexes**
+ [Contrôle de l'accès à l'aide de balises](access_iam-tags.md)
+ [Conditions](reference_policies_elements_condition.md)
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [AWS clés d'état de service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : format vpc non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-vpc-format"></a>

**Code d’erreur :** INVALID\$1VPC\$1FORMAT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."
```

**Résolution de l'erreur**

La clé de condition `aws:SourceVpc` doit utiliser le préfixe `vpc-` suivi de 8 ou 17 caractères alphanumériques, par exemple, `vpc-11223344556677889` ou `vpc-12345678`.

**Termes connexes**
+ [AWS clés de condition globales : aws : SourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)

## Erreur : format vpce non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-vpce-format"></a>

**Code d’erreur :** INVALID\$1VPCE\$1FORMAT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid vpce format: The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."
```

**Résolution de l'erreur**

La clé de condition `aws:SourceVpce` doit utiliser le préfixe `vpce-` suivi de 8 ou 17 caractères alphanumériques, par exemple, `vpce-11223344556677889` ou `vpce-12345678`.

**Termes connexes**
+ [AWS clés de condition globales : aws : SourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)

## Erreur : principal fédéré non pris en charge
<a name="access-analyzer-reference-policy-checks-error-federated-principal-not-supported"></a>

**Code d’erreur :** FEDERATED\$1PRINCIPAL\$1NOT\$1SUPPORTED

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."
```

**Résolution de l'erreur**

L'élément `Principal` utilise des principaux fédérés pour les politiques d'approbation attachées aux rôles IAM afin de fournir un accès via la fédération d'identité. Les politiques d'identité et autres politiques basées sur les ressources ne prennent pas en charge un fournisseur d'identité fédéré dans l'élément `Principal`. Par exemple, vous ne pouvez pas utiliser de principal SAML dans une politique de compartiment Amazon S3. Modifiez l'élément `Principal` en un type principal pris en charge.

**Termes connexes**
+ [Création d'un rôle pour la fédération d'identité](id_roles_create_for-idp.md)
+ [Éléments de politique JSON : principal](reference_policies_elements_principal.md)

## Erreur  : action non prise en charge pour la clé de condition
<a name="access-analyzer-reference-policy-checks-error-unsupported-action-for-condition-key"></a>

**Code d’erreur :** UNSUPPORTED\$1ACTION\$1FOR\$1CONDITION\$1KEY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."
```

**Résolution de l'erreur**

Assurez-vous que la clé de condition dans l'élément `Condition` de l'instruction de politique s'applique à chaque action dans l'élément `Action`. Pour vous assurer que les actions que vous spécifiez sont effectivement autorisées ou rejetées par votre politique, vous devez déplacer les actions non prises en charge vers une autre instruction sans la clé de condition.

**Note**  
Si l'élément `Action` contient des actions avec des caractères génériques, IAM Access Analyzer n'évalue pas ces actions pour cette erreur.

**Termes connexes**
+ [Éléments de politique JSON : Action](reference_policies_elements_action.md)

## Erreur : action non prise en charge dans la politique
<a name="access-analyzer-reference-policy-checks-error-unsupported-action-in-policy"></a>

**Code d’erreur :** UNSUPPORTED\$1ACTION\$1IN\$1POLICY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```

**Résolution de l'erreur**

Certaines actions ne sont pas prises en charge dans l'élément `Action` dans la politique basée sur les ressources, attachée à un type de ressource différent. Par exemple, les AWS Key Management Service actions ne sont pas prises en charge dans les politiques relatives aux compartiments Amazon S3. Spécifiez une action prise en charge par le type de ressource attaché à votre politique basée sur les ressources.

**Termes connexes**
+ [Éléments de politique JSON : Action](reference_policies_elements_action.md)

## Erreur : ARN de ressource non pris en charge dans la politique
<a name="access-analyzer-reference-policy-checks-error-unsupported-resource-arn-in-policy"></a>

**Code d’erreur :** UNSUPPORTED\$1RESOURCE\$1ARN\$1IN\$1POLICY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```

**Résolution de l'erreur**

Certaines ressources ARNs ne sont pas prises en charge dans l'`Resource`élément de la stratégie basée sur les ressources lorsque la stratégie est attachée à un autre type de ressource. Par exemple, AWS KMS ARNs ne sont pas pris en charge dans l'`Resource`élément relatif aux politiques de compartiment Amazon S3. Spécifiez un ARN de ressource pris en charge par un type de ressource attaché à votre politique basée sur les ressources.

**Termes connexes**
+ [Éléments de politique JSON : Action](reference_policies_elements_action.md)

## Erreur  : clé de condition non prise en charge pour le principal de service
<a name="access-analyzer-reference-policy-checks-error-unsupported-condition-key-for-service-principal"></a>

**Code d’erreur :** UNSUPPORTED\$1CONDITION\$1KEY\$1FOR\$1SERVICE\$1PRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."
```

**Résolution de l'erreur**

Vous pouvez spécifier Services AWS dans l'`Principal`élément d'une politique basée sur les ressources à l'aide d'un *principal de service*, qui est un identifiant du service. Vous ne pouvez pas utiliser certaines clés de condition avec certains principaux de service. Par exemple, vous ne pouvez pas utiliser la clé de condition `aws:PrincipalOrgID` avec le principal de service `cloudfront.amazonaws.com`. Vous devez supprimer les clés de condition qui ne s'appliquent pas au principal de service dans l'élément `Principal`.

**Termes connexes**
+ [Principaux du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [Éléments de politique JSON : principal](reference_policies_elements_principal.md)

## Erreur : Erreur de syntaxe de la politique d'approbation notprincipal
<a name="access-analyzer-reference-policy-checks-error-role-trust-policy-syntax-error-notprincipal"></a>

**Code d’erreur :** ROLE\$1TRUST\$1POLICY\$1SYNTAX\$1ERROR\$1NOTPRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."
```

**Résolution de l'erreur**

Une politique d'approbation de rôle est une politique basée sur les ressources qui est attachée à un rôle IAM. Les politiques d’approbation définissent quelles entités de principal (comptes, utilisateurs, rôles et utilisateurs fédérés) peuvent endosser le rôle. Les politiques d'approbation de rôle ne prennent pas en charge `NotPrincipal`. Mettez à jour la politique pour utiliser un élément `Principal` à la place.

**Termes connexes**
+ [Éléments de politique JSON : principal](reference_policies_elements_principal.md)
+ [Éléments de politique JSON : NotPrincipal](reference_policies_elements_notprincipal.md)

## Erreur : politique d'approbation de rôle générique non pris en charge dans le principal
<a name="access-analyzer-reference-policy-checks-error-role-trust-policy-unsupported-wildcard-in-principal"></a>

**Code d’erreur :** ROLE\$1TRUST\$1POLICY\$1UNSUPPORTED\$1WILDCARD\$1IN\$1PRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."
```

**Résolution de l'erreur**

Une politique d'approbation de rôle est une politique basée sur les ressources qui est attachée à un rôle IAM. Les politiques d’approbation définissent quelles entités de principal (comptes, utilisateurs, rôles et utilisateurs fédérés) peuvent endosser le rôle. `"Principal:" "*"` n’est pas pris en charge dans l’élément `Principal` d’une politique d’approbation de rôle. Remplacez le caractère générique par une valeur valide du principal.

**Termes connexes**
+ [Éléments de politique JSON : principal](reference_policies_elements_principal.md)

## Erreur : Erreur de syntaxe de la politique d'approbation resource
<a name="access-analyzer-reference-policy-checks-error-role-trust-policy-syntax-error-resource"></a>

**Code d’erreur :** ROLE\$1TRUST\$1POLICY\$1SYNTAX\$1ERROR\$1RESOURCE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."
```

**Résolution de l'erreur**

Une politique d'approbation de rôle est une politique basée sur les ressources qui est attachée à un rôle IAM. Les politiques d’approbation définissent quelles entités de principal (comptes, utilisateurs, rôles et utilisateurs fédérés) peuvent endosser le rôle. Les politiques d'approbation de rôles s'appliquent au rôle auquel elles sont associées. Vous ne pouvez pas spécifier un élément `Resource` ou `NotResource` dans une politique d'approbation de rôle. Supprimez l'élément `Resource` ou `NotResource`.
+ [Éléments de politique JSON : Resource](reference_policies_elements_resource.md)
+ [Éléments de politique JSON : NotResource](reference_policies_elements_notresource.md)

## Erreur : non-correspondance de type, plage IP
<a name="access-analyzer-reference-policy-checks-error-type-mismatch-ip-range"></a>

**Code d’erreur :** TYPE\$1MISMATCH\$1IP\$1RANGE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."
```

**Résolution de l'erreur**

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition Adresse IP, au format CIDR.

**Termes connexes**
+ [Opérateurs de condition d'adresse IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)

## Erreur : action manquante pour la clé de condition
<a name="access-analyzer-reference-policy-checks-error-missing-action-for-condition-key"></a>

**Code d’erreur :** MISSING\$1ACTION\$1FOR\$1CONDITION\$1KEY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."
```

**Résolution de l'erreur**

La clé de condition dans l'élément `Condition` de la déclaration de politique n'est pas évalué à moins que l'action spécifiée ne figure dans l'élément `Action`. Pour vous assurer que les clés de condition que vous spécifiez sont effectivement autorisées ou rejetées par votre politique, ajoutez l'action à l'élément `Action`.

**Termes connexes**
+ [Éléments de politique JSON : Action](reference_policies_elements_action.md)

## Erreur : Syntaxe du principal fédéré non valide dans la politique d'approbation de rôle
<a name="access-analyzer-reference-policy-checks-error-invalid-federated-principal-syntax-in-role-trust-policy"></a>

**Code d’erreur :** INVALID\$1FEDERATED\$1PRINCIPAL\$1SYNTAX\$1IN\$1ROLE\$1TRUST\$1POLICY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."
```

**Résolution de l'erreur**

La valeur du principal indique un principal fédéré qui ne correspond pas au format attendu. Mettez à jour le format du principal fédéré en utilisant un nom de domaine valide ou un ARN de métadonnées SAML.

**Termes connexes**
+ [Utilisateurs fédérés et rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)

## Erreur : action non correspondante pour le principal
<a name="access-analyzer-reference-policy-checks-error-mismatched-action-for-principal"></a>

**Code d’erreur :** MISMATCHED\$1ACTION\$1FOR\$1PRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."
```

**Résolution de l'erreur**

L'action spécifiée dans l'élément `Action` de la déclaration de politique n'est pas valide avec le principal spécifié dans l'élément `Principal`. Par exemple, vous ne pouvez pas utiliser de principal de fournisseur SAML avec l'action `sts:AssumeRoleWithWebIdentity`. Vous devez utiliser un principal de fournisseur SAML avec l'action `sts:AssumeRoleWithSAML` ou un principal de fournisseur OIDC avec l'action `sts:AssumeRoleWithWebIdentity`.

**Termes connexes**
+ [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)

## Erreur : action manquante pour la politique d'approbation roles anywhere
<a name="access-analyzer-reference-policy-checks-error-missing-action-for-roles-anywhere-trust-policy"></a>

**Code d’erreur :** MISSING\$1ACTION\$1FOR\$1ROLES\$1ANYWHERE\$1TRUST\$1POLICY

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."
```

**Résolution de l'erreur**

Pour que Rôles Anywhere IAM soit en mesure d'assumer un rôle et de fournir des informations d'identification AWS temporaires, le rôle doit approuver le principal de service Rôles Anywhere IAM. Le principal de service Rôles Anywhere IAM nécessite les autorisations `sts:AssumeRole`, `sts:SetSourceIdentity`, et `sts:TagSession` pour assumer un rôle. Si l'une des autorisations est manquante, vous devez l'ajouter à votre politique.

**Termes connexes**
+ [Modèle de confiance dans Gestion des identités et des accès AWS Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html)

## Erreur : la taille de la politique dépasse le quota RCP
<a name="access-analyzer-reference-policy-checks-error-policy-size-exceeds-rcp-quota"></a>

**Code d’erreur :** POLICY\$1SIZE\$1EXCEEDS\$1RCP\$1QUOTA

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."
```

**Résolution de l'erreur**

AWS Organizations les politiques de contrôle des ressources (RCPs) permettent de spécifier des valeurs dans l'`Action`élément. Cependant, ces valeurs peuvent inclure des caractères génériques (\$1) uniquement à la fin de la chaîne. Cela signifie que vous pouvez spécifier `s3:Get*` mais pas `s3:*Object`.

Pour spécifier plusieurs actions, il est AWS recommandé de les répertorier individuellement.

**Termes connexes**
+ [Quotas pour AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)
+ [AWS Organizations politiques de contrôle des ressources](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)

## Erreur : erreur de syntaxe RCP, principal
<a name="access-analyzer-reference-policy-checks-error-rcp-syntax-error-principal"></a>

**Code d’erreur :** RCP\$1SYNTAX\$1ERROR\$1PRINCIPAL

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."
```

**Résolution de l'erreur**

AWS Organizations les politiques de contrôle des ressources (RCPs) prennent uniquement en charge la spécification de tous les principaux (» `*` «) dans l'`Principal`élément. L'`NotPrincipal`élément n'est pas pris en charge pour RCPs.

**Termes connexes**
+ [Syntaxe d’une RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propriétés du principal](reference_policies_condition-keys.md#condition-keys-principal-properties)

## Erreur : erreur de syntaxe RCP, autoriser
<a name="access-analyzer-reference-policy-checks-error-rcp-syntax-error-allow"></a>

**Code d’erreur :** RCP\$1SYNTAX\$1ERROR\$1ALLOW

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."
```

**Résolution de l'erreur**

AWS Organizations les politiques de contrôle des ressources (RCPs) permettent uniquement de spécifier tous les principaux (» `*` «) de l'`Principal`élément et toutes les ressources (» `*` «) de l'`Resource`élément. L'`Condition`élément ayant un effet de n'`Allow`est pas pris en charge pour RCPs.

**Termes connexes**
+ [Syntaxe d’une RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propriétés du principal](reference_policies_condition-keys.md#condition-keys-principal-properties)
+ [Propriétés de la ressource](reference_policies_condition-keys.md#condition-keys-resource-properties)

## Erreur — Erreur de syntaxe RCP NotAction
<a name="access-analyzer-reference-policy-checks-error-rcp-syntax-error-notaction"></a>

**Code d’erreur :** RCP\$1SYNTAX\$1ERROR\$1NOTACTION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."
```

**Résolution de l'erreur**

AWS Organizations les politiques de contrôle des ressources (RCPs) ne prennent pas en charge l'`NotAction`élément. Utilisez l’élément `Action`.

**Termes connexes**
+ [Syntaxe d’une RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)
+ [Éléments de politique JSON IAM : NotAction](reference_policies_elements_notaction.md)

## Erreur : erreur de syntaxe RCP, Action
<a name="access-analyzer-reference-policy-checks-error-rcp-syntax-error-action"></a>

**Code d’erreur :** RCP\$1SYNTAX\$1ERROR\$1ACTION

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."
```

**Résolution de l'erreur**

AWS Organizations les politiques de contrôle des ressources (RCPs) prennent uniquement en charge la spécification de certains préfixes de service dans l'`Action`élément.

**Termes connexes**
+ [Syntaxe d’une RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Liste de Services AWS ce support RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-supported-services)

## Erreur : compte ARN manquant
<a name="access-analyzer-reference-policy-checks-error-missing-arn-account"></a>

**Code d’erreur :** MISSING\$1ARN\$1ACCOUNT

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing ARN account: The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id."
```

**Résolution de l'erreur**

Incluez un ID de compte dans l’ARN de ressource. IDs Les comptes sont des nombres entiers à 12 chiffres. Pour savoir comment consulter l'identifiant de votre compte, consultez la section [Trouver votre identifiant de AWS compte](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers).

**Termes connexes**
+ [Ressources de politique](reference_policies_elements_resource.md)
+ [Identificateurs de compte](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Ressource ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS ressources de service avec des formats ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Erreur : valeur de clé KMS non valide
<a name="access-analyzer-reference-policy-checks-error-invalid-kms-key-value"></a>

**Code d’erreur :** INVALID\$1KMS\$1KEY\$1VALUE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid kms key value: The {{key}} condition key value must be valid a KMS key ARN.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{key}} condition key value must be valid a KMS key ARN."
```

**Résolution de l'erreur**

Un AWS KMS key ARN (Amazon Resource Name) est un identifiant unique et complet pour une clé KMS. Un ARN de clé inclut Compte AWS la région et l'ID de clé. Un ARN de clé suit le format suivant :

`arn:aws:kms:region:account-id:key/key-id`

**Termes connexes**
+ [Rechercher l’ID de clé et l’ARN de clé](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)
+ [ARN clé](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id-key-ARN)
+ [AWS clés contextuelles de condition globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)

## Erreur : utilisation trop permissive de variable
<a name="access-analyzer-reference-policy-checks-error-variable-usage-too-permissive"></a>

**Code d’erreur :** VARIABLE\$1USAGE\$1TOO\$1PERMISSIVE

**Type de résultat :** ERROR

**Trouver des détails** 

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Variable usage too permissive: Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters.
```

```
The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.
```

```
Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters."
```

```
"findingDetails": "The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys."
```

```
"findingDetails": "Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon."
```

**Résolution de l'erreur**

Il existe trois messages de résultat possibles pour cette erreur.
+ Pour le premier message d’erreur, modifiez l’utilisation de votre variable de politique afin qu’elle soit plus spécifique. Ajoutez au moins six caractères consécutifs avant la variable de politiques afin de réduire la portée des autorisations. Par exemple, au lieu de `${aws:username}`, utilisez `prefix-${aws:username}` ou `myapp-${aws:username}`. Cela garantit que la variable de politique n’accorde pas un accès trop large.
+ Pour le deuxième message d’erreur, supprimez la variable de politique de la clé de condition spécifiée. Les variables de politique peuvent agir comme des caractères génériques efficaces et ne sont pas autorisées avec les clés de condition sensibles pour des raisons de sécurité. Utilisez plutôt des valeurs statiques spécifiques ou envisagez de restructurer votre politique afin d’utiliser des clés de condition non sensibles qui prennent en charge les variables de politique.
+ Pour le troisième message d’erreur, modifiez l’utilisation de votre variable de politique `aws:userID` afin qu’elle soit plus restrictive. Placez la variable de la politique à droite des deux points (après l’ID du compte) ou utilisez-la comme seul caractère à gauche des deux points. Par exemple, utilisez `AIDACKCEVSQ6C2EXAMPLE:${aws:userid}` ou `${aws:userid}:*` plutôt que `${aws:userid}`.

**Termes connexes**
+ [Éléments de la politique IAM : variables et balises](reference_policies_variables.md)
+ [Éléments de politique IAM : condition](reference_policies_elements_condition.md)
+ [Conditions comportant plusieurs clés ou valeurs contextuelles](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md)

## Erreur : utilisation trop permissive des caractères génériques
<a name="access-analyzer-reference-policy-checks-error-wildcard-usage-too-permissive"></a>

**Code d’erreur :** WILDCARD\$1USAGE\$1TOO\$1PERMISSIVE

**Type de résultat :** ERROR

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Wildcard usage too permissive: Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters.
```

```
The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.
```

```
Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters."
```

```
"findingDetails": "The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys."
```

```
"findingDetails": "Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon."
```

**Résolution de l'erreur**

Il existe trois messages de résultat possibles pour cette erreur.
+ Pour le premier message d’erreur, rendez votre utilisation du caractère générique plus spécifique en ajoutant au moins six caractères consécutifs avant le caractère générique. Par exemple, au lieu de `*`, utilisez `prefix-*` ou `prefix-*-suffix`. Cela réduit la portée de la condition et respecte le principe du moindre privilège.
+ Pour le deuxième message d’erreur, supprimez le caractère générique de la clé de condition spécifiée. Les caractères génériques sont efficaces et ne sont pas autorisés avec les clés de condition sensibles pour des raisons de sécurité. Remplacez le caractère générique par des valeurs spécifiques correspondant au modèle d’accès souhaité, ou envisagez d’utiliser une clé de condition différente, non sensible, qui prend en charge les caractères génériques.
+ Pour le troisième message d’erreur, modifiez l’utilisation de votre caractère générique `aws:userID` afin qu’il soit plus restrictif. Placez le caractère générique à droite des deux points (après l’ID du compte) ou utilisez-le comme seul caractère à gauche des deux points. Par exemple, utilisez `AIDACKCEVSQ6C2EXAMPLE:*` ou `*:*` plutôt que `*`. 

**Termes connexes**
+ [Éléments de politique IAM : condition](reference_policies_elements_condition.md)
+ [Conditions comportant plusieurs clés ou valeurs contextuelles](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md)
+ [Identifiants IAM](reference_identifiers.md)

## Avertissement général — Créez un reflex avec NotResource
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-not-resource"></a>

**Code d’erreur :** CREATE\$1SLR\$1WITH\$1NOT\$1RESOURCE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement général**

L'action `iam:CreateServiceLinkedRole` autorise la création d'un rôle IAM qui permet à un AWS service d'effectuer des actions en votre nom. L'utilisation de l'`NotResource`élément `iam:CreateServiceLinkedRole` dans une politique peut permettre de créer des rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément.
+ [CreateServiceLinkedRole fonctionnement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Éléments de politique JSON IAM : NotResource](reference_policies_elements_notresource.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Avertissement général — Créez un reflex avec une étoile en action et NotResource
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-star-in-action-and-not-resource"></a>

**Code d’erreur :** CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1NOT\$1RESOURCE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement général**

L'action `iam:CreateServiceLinkedRole` autorise la création d'un rôle IAM qui permet à un AWS service d'effectuer des actions en votre nom. Les politiques comportant un caractère générique (\$1) dans le `Action` et qui incluent l'`NotResource`élément peuvent permettre la création de rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément.
+ [CreateServiceLinkedRole fonctionnement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Éléments de politique JSON IAM : NotResource](reference_policies_elements_notresource.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Avertissement général — Créez un reflex avec et NotAction NotResource
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-not-action-and-not-resource"></a>

**Code d’erreur :** CREATE\$1SLR\$1WITH\$1NOT\$1ACTION\$1AND\$1NOT\$1RESOURCE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement général**

L'action `iam:CreateServiceLinkedRole` autorise la création d'un rôle IAM qui permet à un AWS service d'effectuer des actions en votre nom. L'utilisation de l'`NotAction`élément avec l'`NotResource`élément peut permettre de créer des rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de réécrire la politique afin d'autoriser plutôt `iam:CreateServiceLinkedRole` l'ajout d'une liste limitée de ARNs personnes dans l'`Resource`élément. Vous pouvez également ajouter `iam:CreateServiceLinkedRole` à l'élément `NotAction`.
+ [CreateServiceLinkedRole fonctionnement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Éléments de politique JSON IAM : NotAction](reference_policies_elements_notaction.md)
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)
+ [Éléments de politique JSON IAM : NotResource](reference_policies_elements_notresource.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Avertissement général : créer un SLR avec star in resource
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-star-in-resource"></a>

**Code d’erreur :** CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1RESOURCE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement général**

L'action `iam:CreateServiceLinkedRole` autorise la création d'un rôle IAM qui permet à un AWS service d'effectuer des actions en votre nom. L'utilisation `iam:CreateServiceLinkedRole` d'un caractère générique (\$1) dans l'`Resource`élément dans une politique peut permettre de créer des rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément.
+ [CreateServiceLinkedRole fonctionnement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

### AWS politiques gérées avec cet avertissement général
<a name="accan-ref-policy-check-message-fix-general-warning-create-slr-with-star-in-resource-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Certains de ces cas d'utilisation sont destinés aux utilisateurs « avec pouvoir » dans votre compte. Les politiques AWS gérées suivantes fournissent un accès aux utilisateurs expérimentés et accordent des autorisations pour créer des [rôles liés à un service](id_roles_create-service-linked-role.md) pour n'importe quel AWS service. AWS recommande d'associer les politiques AWS gérées suivantes uniquement aux identités IAM que vous considérez comme des utilisateurs expérimentés.
+ [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [AlexaForBusinessFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AlexaForBusinessFullAccess)
+ [AWSOrganizationsServiceTrustPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSOrganizationsServiceTrustPolicy)— Cette politique AWS gérée fournit des autorisations d'utilisation par le rôle AWS Organizations lié au service. Ce rôle permet aux Organisations de créer des rôles supplémentaires liés aux services pour d'autres services de votre AWS organisation.

## Avertissement général : créer un SLR avec star in action and resource
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-star-in-action-and-resource"></a>

**Code d’erreur :** CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1RESOURCE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement général**

L'action `iam:CreateServiceLinkedRole` autorise la création d'un rôle IAM qui permet à un AWS service d'effectuer des actions en votre nom. Les politiques comportant un caractère générique (\$1) dans les éléments `Action` et `Resource` peuvent autoriser la création de rôles liés au service inattendus pour plusieurs ressources. Cela permet de créer un rôle lié à un service lorsque vous spécifiez `"Action": "*"``"Action": "iam:*"`, ou. `"Action": "iam:Create*"` AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément.
+ [CreateServiceLinkedRole fonctionnement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

### AWS politiques gérées avec cet avertissement général
<a name="accan-ref-policy-check-message-fix-general-warning-create-slr-with-star-in-action-and-resource-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Certains de ces cas d'utilisation sont destinés aux administrateurs de votre compte. Les politiques AWS gérées suivantes fournissent un accès administrateur et accordent des autorisations pour créer des [rôles liés à un service](id_roles_create-service-linked-role.md) pour n'importe quel AWS service. AWS recommande d'associer les politiques AWS gérées suivantes uniquement aux identités IAM que vous considérez comme des administrateurs.
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
+ [IAMFullAccès](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)

## Avertissement général — Créez un reflex avec une étoile dans la ressource et NotAction
<a name="access-analyzer-reference-policy-checks-general-warning-create-slr-with-star-in-resource-and-not-action"></a>

**Code d’erreur :** CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1RESOURCE\$1AND\$1NOT\$1ACTION

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement général**

L'action `iam:CreateServiceLinkedRole` autorise la création d'un rôle IAM qui permet à un AWS service d'effectuer des actions en votre nom. L'utilisation de l'`NotAction`élément dans une politique avec un caractère générique (\$1) dans l'`Resource`élément peut permettre de créer des rôles involontaires liés à un service pour plusieurs ressources. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément. Vous pouvez également ajouter `iam:CreateServiceLinkedRole` à l'élément `NotAction`.
+ [CreateServiceLinkedRole fonctionnement](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Éléments de politique JSON IAM : NotAction](reference_policies_elements_notaction.md)
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Avertissement général : clé de condition globale obsolète
<a name="access-analyzer-reference-policy-checks-general-warning-deprecated-global-condition-key"></a>

**Code d’erreur :** DEPRECATED\$1GLOBAL\$1CONDITION\$1KEY

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."
```

**Résolution de l'avertissement général**

La politique inclut une clé de condition globale obsolète. Mettez à jour la clé de condition dans la paire clé-valeur de condition pour utiliser une clé de condition globale prise en charge.
+ [Clés de condition globale](reference_policies_condition-keys.md)

## Avertissement général : valeur de date non valide
<a name="access-analyzer-reference-policy-checks-general-warning-invalid-date-value"></a>

**Code d’erreur :** INVALID\$1DATE\$1VALUE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."
```

**Résolution de l'avertissement général**

L'heure d'une époque Unix décrit un point dans le temps qui s'est écoulé depuis le 1er janvier 1970, moins les secondes intercalaires. Il se peut que le temps d'Epoch ne se résorbe pas à l'heure précise à laquelle vous vous attendiez. AWS recommande d'utiliser le standard W3C pour les formats de date et d'heure. Par exemple, vous pouvez spécifier une date complète, telle que YYYY-MM-DD (1997-07-16), ou vous pouvez également ajouter l'heure à la seconde, par exemple:MM:SSTZD (1997-07-16T 19:20:30 \$1 01:00 YYYY-MM-DDThh).
+ [Formats de date et d'heure selon la norme W3C](https://www.w3.org/TR/NOTE-datetime)
+ [Éléments de politique JSON IAM : Version](reference_policies_elements_version.md)
+ [aws : clé de condition CurrentTime globale](reference_policies_condition-keys.md#condition-keys-currenttime)

## Avertissement général : référence de rôle non valide
<a name="access-analyzer-reference-policy-checks-general-warning-invalid-role-reference"></a>

**Code d’erreur :** INVALID\$1ROLE\$1REFERENCE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."
```

**Résolution de l'avertissement général**

AWS vous recommande de spécifier l'Amazon Resource Name (ARN) pour un rôle IAM au lieu de son ID principal. Lorsque IAM enregistre la politique, il transforme l'ARN en identifiant principal du rôle existant. AWS inclut une mesure de sécurité. Si quelqu'un supprime le rôle et le recrée, il aura un nouvel ID, et la politique ne correspondra pas à l'ID du nouveau rôle. 
+ [Spécification d'un principal : rôles IAM](reference_policies_elements_principal.md#principal-roles)
+ [IAM ARNs](reference_identifiers.md#identifiers-arns)
+ [Je suis unique IDs](reference_identifiers.md#identifiers-unique-ids)

## Avertissement général : référence utilisateur non valide
<a name="access-analyzer-reference-policy-checks-general-warning-invalid-user-reference"></a>

**Code d’erreur :** INVALID\$1USER\$1REFERENCE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."
```

**Résolution de l'avertissement général**

AWS recommande de spécifier l'Amazon Resource Name (ARN) pour un utilisateur IAM au lieu de son ID principal. Lorsque IAM enregistre la politique, il transforme l'ARN en identifiant principal de l'utilisateur existant. AWS inclut une mesure de sécurité. Si quelqu'un supprime l'utilisateur et le recrée, il aura un nouvel ID, et la politique ne correspondra pas à l'ID du nouvel utilisateur. 
+ [Spécification d'un principal : utilisateurs IAM](reference_policies_elements_principal.md#principal-users)
+ [IAM ARNs](reference_identifiers.md#identifiers-arns)
+ [Je suis unique IDs](reference_identifiers.md#identifiers-unique-ids)

## Avertissement général : version manquante
<a name="access-analyzer-reference-policy-checks-general-warning-missing-version"></a>

**Code d’erreur :** MISSING\$1VERSION

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."
```

**Résolution de l'avertissement général**

AWS vous recommande d'inclure le `Version` paramètre facultatif dans votre politique. Si vous n'incluez pas d'élément Version, la valeur par défaut est `2012-10-17`, mais de nouvelles fonctions, telles que des variables de politique, ne fonctionneront pas avec votre politique. Par exemple, les variables telles que `${aws:username}` ne sont pas reconnues et sont traitées comme des chaînes littérales dans la politique.
+ [Éléments de politique JSON IAM : Version](reference_policies_elements_version.md)

## Avertissement général : sid uniques recommandés
<a name="access-analyzer-reference-policy-checks-general-warning-unique-sids-recommended"></a>

**Code d’erreur :** UNIQUE\$1SIDS\$1RECOMMENDED

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."
```

**Résolution de l'avertissement général**

AWS vous recommande d'utiliser une instruction unique IDs. L'élément `Sid` (ID d'instruction) vous autorise à saisir un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez attribuer une valeur d'ID d'instruction à chaque instruction d'un tableau d'instructions à l'aide de l'élément `SID`.

**Termes connexes**
+ [Éléments de politique JSON IAM : Sid](reference_policies_elements_sid.md)

## Avertissement général : caractère générique sans opérateur similaire
<a name="access-analyzer-reference-policy-checks-general-warning-wildcard-without-like-operator"></a>

**Code d’erreur :** WILDCARD\$1WITHOUT\$1LIKE\$1OPERATOR

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."
```

**Résolution de l'avertissement général**

La structure de l'élément `Condition` a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur. Lorsque vous spécifiez une valeur de condition qui utilise un caractère générique (\$1, ?), vous devez utiliser la version `Like` de l'opérateur de condition. Par exemple, au lieu de l'opérateur de condition de chaîne `StringEquals`, utilisez `StringLike`.

```
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}
```
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

### AWS politiques gérées avec cet avertissement général
<a name="accan-ref-policy-check-message-fix-general-warning-wildcard-without-like-operator-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les politiques AWS gérées suivantes incluent des caractères génériques dans leur valeur de condition sans opérateur de condition qui inclut la correspondance `Like` de modèles. Lorsque vous utilisez la politique AWS gérée comme référence pour créer votre politique gérée par le client, il est AWS recommandé d'utiliser un opérateur de condition qui prend en charge la correspondance de modèles avec des caractères génériques (\$1, ?) , tels que`StringLike`.
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)

## Avertissement général : la taille de la politique dépasse le quota de politique
<a name="access-analyzer-reference-policy-checks-general-warning-policy-size-exceeds-identity-policy-quota"></a>

**Code d’erreur :** POLICY\$1SIZE\$1EXCEEDS\$1IDENTITY\$1POLICY\$1QUOTA

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."
```

**Résolution de l'avertissement général**

Vous pouvez attacher jusqu'à 10 politiques gérées à une identité IAM (utilisateur, groupe d'utilisateurs ou rôle). La taille de chaque politique gérée ne peut toutefois pas dépasser le quota par défaut de 6 144 caractères. IAM ne compte pas les espaces lors du calcul de la taille d'une politique par rapport à ce quota. Les quotas, également appelés limites dans AWS, sont les valeurs maximales pour les ressources, les actions et les éléments de votre AWS compte.

Vous pouvez également ajouter autant de politiques en ligne que vous le voulez à une identité IAM. Cependant, la somme de toutes les politiques en ligne par identité ne peut pas dépasser le quota spécifié.

Si votre politique dépasse le quota, vous pouvez organiser votre politique en plusieurs instructions et les regrouper en plusieurs politiques.

**Termes connexes**
+ [IAM et quotas de AWS STS caractères](reference_iam-quotas.md)
+ [Plusieurs instructions et politiques](access_policies.md#policies-syntax-multiples)
+ [Politiques gérées par le client IAM](access_policies_managed-vs-inline.md#customer-managed-policies)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)
+ [Syntaxe de politique IAM JSON](reference_policies_grammar.md)

### AWS politiques gérées avec cet avertissement général
<a name="accan-ref-policy-check-message-fix-general-warning-policy-size-exceeds-identity-policy-quota-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les politiques AWS gérées suivantes accordent des autorisations pour des actions sur de nombreux AWS services et dépassent la taille maximale des politiques. Lorsque vous utilisez la politique gérée par AWS comme référence pour créer votre politique gérée, vous devez diviser la politique en plusieurs politiques.
+ [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [AWSSupportServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportServiceRolePolicy)

## Avertissement général : la taille de la politique dépasse le quota de la politique de ressources
<a name="access-analyzer-reference-policy-checks-general-warning-policy-size-exceeds-resource-policy-quota"></a>

**Code d’erreur :** POLICY\$1SIZE\$1EXCEEDS\$1RESOURCE\$1POLICY\$1QUOTA

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."
```

**Résolution de l'avertissement général**

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource, telle qu'un compartiment Amazon S3. Ces politiques accordent au principal spécifié l'autorisation d'effectuer des actions spécifiques sur cette ressource et définissent sous quelles conditions cela s'applique. La taille des politiques basées sur les ressources ne peut pas dépasser le quota défini pour cette ressource. Les quotas, également appelés limites dans AWS, sont les valeurs maximales pour les ressources, les actions et les éléments de votre AWS compte.

Si votre politique dépasse le quota, vous pouvez organiser votre politique en plusieurs instructions et les regrouper en plusieurs politiques.

**Termes connexes**
+ [Politiques basées sur les ressources](access_policies.md#policies_resource-based)
+ [Politiques de compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)
+ [Plusieurs instructions et politiques](access_policies.md#policies-syntax-multiples)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)
+ [Syntaxe de politique IAM JSON](reference_policies_grammar.md)

## Avertissement général : non-correspondance de type
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch"></a>

**Code d’erreur :** TYPE\$1MISMATCH

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
```

**Résolution de l'avertissement général**

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition pris en charge.

Par exemple, la clé de condition globale `aws:MultiFactorAuthPresent` a besoin d'un opérateur de condition avec le type de données `Boolean`. Si vous fournissez une date ou un entier, le type de données ne correspondra pas.

**Termes connexes**
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)

## Avertissement général : non-correspondance de type, opérateur booléen
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch-boolean"></a>

**Code d’erreur :** TYPE\$1MISMATCH\$1BOOLEAN

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."
```

**Résolution de l'avertissement général**

Mettez à jour le texte pour utiliser un type de données d'opérateur de condition booléen, tel que `true` ou `false`.

Par exemple, la clé de condition globale `aws:MultiFactorAuthPresent` a besoin d'un opérateur de condition avec le type de données `Boolean`. Si vous fournissez une date ou un entier, le type de données ne correspondra pas.

**Termes connexes**
+ [Opérateurs de condition booléens](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)

## Avertissement général : non-correspondance de type, date
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch-date"></a>

**Code d’erreur :** TYPE\$1MISMATCH\$1DATE

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."
```

**Résolution de l'avertissement général**

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition Date, dans un format d'heure/date `YYYY-MM-DD` ou un autre format d'heure/date ISO 8601.

**Termes connexes**
+ [Opérateurs de condition de date](reference_policies_elements_condition_operators.md#Conditions_Date)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)

## Avertissement général : numéro de non-correspondance de type
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch-number"></a>

**Code d’erreur :** TYPE\$1MISMATCH\$1NUMBER

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."
```

**Résolution de l'avertissement général**

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition numérique.

**Termes connexes**
+ [Opérateurs de condition numériques](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)

## Avertissement général : non-correspondance de type, chaîne
<a name="access-analyzer-reference-policy-checks-general-warning-type-mismatch-string"></a>

**Code d’erreur :** TYPE\$1MISMATCH\$1STRING

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."
```

**Résolution de l'avertissement général**

Mettez à jour le texte pour utiliser le type de données de l'opérateur de condition Chaîne.

**Termes connexes**
+ [Opérateurs de condition de chaîne](reference_policies_elements_condition_operators.md#Conditions_String)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)

## Avertissement général : github repo et branch spécifiques recommandés
<a name="access-analyzer-reference-policy-checks-general-warning-specific-github-repo-and-branch-recommended"></a>

**Code d’erreur :** SPECIFIC\$1GITHUB\$1REPO\$1AND\$1BRANCH\$1RECOMMENDED

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."
```

**Résolution de l'avertissement général**

Si vous l'utilisez GitHub en tant qu'IdP OIDC, la meilleure pratique consiste à limiter les entités qui peuvent assumer le rôle associé à l'IdP IAM. Lorsque vous incluez une `Condition` déclaration dans une politique de confiance des rôles, vous pouvez limiter le rôle à une GitHub organisation, un référentiel ou une branche spécifique. Vous pouvez utiliser la clé de condition `token.actions.githubusercontent.com:sub` pour limiter l'accès. Nous vous recommandons de limiter la condition à un ensemble spécifique de référentiels ou de branches. Si vous utilisez un caractère générique (`*`) dans`token.actions.githubusercontent.com:sub`, les GitHub actions provenant d'organisations ou de référentiels indépendants de votre volonté peuvent assumer les rôles associés à l'IdP GitHub IAM dans votre compte. AWS 

**Termes connexes**
+ [Configuration d'un rôle pour le fournisseur d'identité GitHub OIDC](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html#idp_oidc_Create_GitHub)

## Avertissement général : la taille de la politique dépasse le quota de la politique de rôle
<a name="access-analyzer-reference-policy-checks-general-warning-policy-size-exceeds-role-trust-policy-quota"></a>

**Code d’erreur :** POLICY\$1SIZE\$1EXCEEDS\$1ROLE\$1TRUST\$1POLICY\$1QUOTA

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."
```

**Résolution de l'avertissement général**

IAM et AWS STS disposez de quotas qui limitent la taille des politiques de confiance dans les rôles. Les caractères de la politique d'approbation de rôle, à l'exception des espaces, dépassent le nombre maximum de caractères. Nous vous recommandons de demander une augmentation du quota de durée de la politique d'approbation de rôle en utilisant Service Quotas et AWS Support Center Console.

**Termes connexes**
+ [IAM et AWS STS quotas, exigences relatives aux noms et limites de caractères](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)

## Avertissement général : la clé de condition principale associée au RCP est manquante
<a name="access-analyzer-reference-policy-checks-general-warning-rcp-missing-related-principal-condition-key"></a>

**Code d’erreur :** RCP\$1MISSING\$1RELATED\$1PRINCIPAL\$1CONDITION\$1KEY

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."
```

**Résolution de l'avertissement général**

AWS Organizations les politiques de contrôle des ressources (RCPs) peuvent avoir un impact sur les rôles, les utilisateurs et les Service AWS principaux IAM. Pour éviter tout impact imprévu sur les services agissant en votre nom à l’aide d’un principal de service, ajoutez la déclaration suivante à votre élément `Condition` :

```
"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}
```

**Termes connexes**
+ [Syntaxe d’une RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propriétés du principal](reference_policies_condition-keys.md#condition-keys-principal-properties)

## Avertissement général : la clé de condition du principal de service associée au RCP est manquante
<a name="access-analyzer-reference-policy-checks-general-warning-rcp-missing-related-service-principal-condition-key"></a>

**Code d’erreur :** RCP\$1MISSING\$1RELATED\$1SERVICE\$1PRINCIPAL\$1CONDITION\$1KEY

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."
```

**Résolution de l'avertissement général**

AWS Organizations les politiques de contrôle des ressources (RCPs) peuvent avoir un impact sur les rôles, les utilisateurs et les Service AWS principaux IAM. Pour éviter tout impact imprévu sur vos principaux, ajoutez l’instruction suivante à votre élément `Condition` :

```
"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}
```

**Termes connexes**
+ [Syntaxe d’une RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propriétés du principal](reference_policies_condition-keys.md#condition-keys-principal-properties)

## Avertissement général : vérification nulle de la clé de condition de service manquante pour le RCP
<a name="access-analyzer-reference-policy-checks-general-warning-rcp-missing-service-condition-key-null-check"></a>

**Code d’erreur :** RCP\$1MISSING\$1SERVICE\$1CONDITION\$1KEY\$1NULL\$1CHECK

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The specified service may have a service integration that does not require the use of the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."
```

**Résolution de l'avertissement général**

AWS Organizations les politiques de contrôle des ressources (RCPs) peuvent avoir un impact sur les rôles, les utilisateurs et les Service AWS principaux IAM. Pour éviter tout impact imprévu sur les services agissant en votre nom à l’aide d’un principal de service, ajoutez l’une des instructions suivantes à votre élément `Condition` chaque fois que la clé spécifiée est utilisée :

```
"Null": { "aws:SourceAccount": "false"}
```

or

```
"Null": { "aws:SourceArn": "false"}
```

**Termes connexes**
+ [Syntaxe d’une RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Propriétés du principal](reference_policies_condition-keys.md#condition-keys-principal-properties)

## Avertissement général : utilisez la clé de condition uniquement avec les services pris en charge.
<a name="access-analyzer-reference-policy-checks-general-warning-use-condition-key-only-with-supported-services"></a>

**Code d’erreur :** USE\$1CONDITION\$1KEY\$1ONLY\$1WITH\$1SUPPORTED\$1SERVICES

**Type de résultat :** GENERAL\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Use condition key only with supported services: The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.
```

**Résolution de l'avertissement général**

Consultez la AWS documentation pour identifier ceux qui Services AWS supportent cette clé de condition. Si l'un des services de votre politique ne prend pas en charge la clé de condition, modifiez votre politique pour étendre la clé de condition uniquement aux services Services AWS qui la prennent en charge.

**Termes connexes**
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceaccount)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgid)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgpaths)
+ [Actions, ressources et clés de condition pour Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)

## Avertissement de sécurité : clé de condition non fiable
<a name="access-analyzer-reference-policy-checks-security-warning-untrustworthy-condition-key"></a>

**Code d’erreur :** UNTRUSTWORTHY\$1CONDITION\$1KEY

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Untrustworthy condition key: The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller."
```

**Résolution de l'avertissement de sécurité**

N’utilisez pas cette clé de condition pour le contrôle d’accès. L’appelant peut potentiellement manipuler ou usurper la valeur de la clé, ce qui crée un risque pour la sécurité.

**Termes connexes**
+ [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md)

## Avertissement de sécurité — Autoriser avec NotPrincipal
<a name="access-analyzer-reference-policy-checks-security-warning-allow-with-not-principal"></a>

**Code d’erreur :** ALLOW\$1WITH\$1NOT\$1PRINCIPAL

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."
```

**Résolution de l'avertissement de sécurité**

L'utilisation de `"Effect": "Allow"` avec `NotPrincipal` peut être trop permissive. Par exemple, cela peut accorder des autorisations à des mandants anonymes. AWS recommande de spécifier les principaux qui ont besoin d'un accès à l'aide de l'`Principal`élément. En variante, vous pouvez autoriser un accès étendu, puis ajouter une autre instruction qui utilise l'élément `NotPrincipal` avec `“Effect”: “Deny”`.
+ [AWS Éléments de politique JSON : principal](reference_policies_elements_principal.md)
+ [AWS Éléments de politique JSON : NotPrincipal](reference_policies_elements_notprincipal.md)

## Avertissement de sécurité — ForAllValues avec clé à valeur unique
<a name="access-analyzer-reference-policy-checks-security-warning-forallvalues-with-single-valued-key"></a>

**Code d’erreur :** FORALLVALUES\$1WITH\$1SINGLE\$1VALUED\$1KEY

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."
```

**Résolution de l'avertissement de sécurité**

AWS recommande de n'utiliser `ForAllValues` que les conditions à valeurs multiples. L'opération d'ensemble `ForAllValues` teste si la valeur de chaque membre de la requête est un sous-ensemble de la clé de condition. La condition renvoie la valeur true si chaque valeur de clé de la demande correspond à au moins une valeur de la politique. Elle renvoie également la valeur Vrai si la demande ne comprend pas de clés ou si les valeurs de clé aboutissent à un ensemble de données nul, tel qu'une chaîne vide.

Pour savoir si une condition prend en charge une valeur unique ou plusieurs valeurs, passez en revue la page [Actions, ressources et clés de condition](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) pour le service. Les clés de condition avec le préfixe de type de données `ArrayOf` sont des clés de condition à valeurs multiples. Par exemple, Amazon SES prend en charge les clés avec des valeurs uniques (`String`) et le type de données à valeurs multiples `ArrayOfString`.
+ [Clés de contexte à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)

## Avertissement de sécurité — Transmettez le rôle avec NotResource
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-not-resource"></a>

**Code d’erreur :** PASS\$1ROLE\$1WITH\$1NOT\$1RESOURCE

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement de sécurité**

Pour configurer de nombreux AWS services, vous devez leur transmettre un rôle IAM. Pour permettre cela, vous devez accorder l'autorisation `iam:PassRole` à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'utilisation de `NotResource` cet élément `iam:PassRole` dans une politique peut permettre à vos mandants d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition `iam:PassedToService`.
+ [Transférer un rôle à un service](id_roles_use_passrole.md)
+ [iam : PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Éléments de politique JSON IAM : NotResource](reference_policies_elements_notresource.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Avertissement de sécurité — Passez le rôle avec l'étoile en action et NotResource
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-star-in-action-and-not-resource"></a>

**Code d’erreur :** PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1NOT\$1RESOURCE

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement de sécurité**

Pour configurer de nombreux AWS services, vous devez leur transmettre un rôle IAM. Pour permettre cela, vous devez accorder l'autorisation `iam:PassRole` à une identité (utilisateur, groupe d'utilisateurs ou rôle). Les politiques comportant un caractère générique (\$1) dans le `Action` et qui incluent l'`NotResource`élément peuvent permettre à vos mandants d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition `iam:PassedToService`.
+ [Transférer un rôle à un service](id_roles_use_passrole.md)
+ [iam : PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Éléments de politique JSON IAM : NotResource](reference_policies_elements_notresource.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Avertissement de sécurité — Transmettez le rôle avec NotAction et NotResource
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-not-action-and-not-resource"></a>

**Code d’erreur :** PASS\$1ROLE\$1WITH\$1NOT\$1ACTION\$1AND\$1NOT\$1RESOURCE

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."
```

**Résolution de l'avertissement de sécurité**

Pour configurer de nombreux AWS services, vous devez leur transmettre un rôle IAM. Pour permettre cela, vous devez accorder l'autorisation `iam:PassRole` à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'utilisation de l'`NotAction`élément et la liste de certaines ressources qu'il contient peuvent permettre à vos principaux utilisateurs d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. `NotResource` AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition `iam:PassedToService`.
+ [Transférer un rôle à un service](id_roles_use_passrole.md)
+ [iam : PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Éléments de politique JSON IAM : NotAction](reference_policies_elements_notaction.md)
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)
+ [Éléments de politique JSON IAM : NotResource](reference_policies_elements_notresource.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Avertissement de sécurité : transférer le rôle avec étoile dans la ressource
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-star-in-resource"></a>

**Code d’erreur :** PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1RESOURCE

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```

**Résolution de l'avertissement de sécurité**

Pour configurer de nombreux AWS services, vous devez leur transmettre un rôle IAM. Pour permettre cela, vous devez accorder l'autorisation `iam:PassRole` à une identité (utilisateur, groupe d'utilisateurs ou rôle). Les politiques qui autorisent `iam:PassRole` et incluent un caractère générique (\$1) dans l'`Resource`élément peuvent permettre à vos principaux utilisateurs d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition `iam:PassedToService`.

Certains AWS services incluent leur espace de noms de service dans le nom de leur rôle. Cette vérification de politique tient compte de ces conventions lors de l'analyse de la politique afin de générer des conclusions. Par exemple, l'ARN de ressource suivant peut ne pas générer de résultat :

```
arn:aws:iam::*:role/Service*
```
+ [Transférer un rôle à un service](id_roles_use_passrole.md)
+ [iam : PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

### AWS politiques gérées avec cet avertissement de sécurité
<a name="accan-ref-policy-check-message-fix-security-warning-pass-role-with-star-in-resource-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

L'un de ces cas d'utilisation concerne les administrateurs de votre compte. Les politiques AWS gérées suivantes fournissent un accès administrateur et accordent des autorisations pour transmettre un rôle IAM à n'importe quel service. AWS recommande d'associer les politiques AWS gérées suivantes uniquement aux identités IAM que vous considérez comme des administrateurs.
+ [AdministratorAccess-Amplifier](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess-Amplify)

Les politiques AWS gérées suivantes incluent des autorisations permettant `iam:PassRole` d'utiliser un caractère générique (\$1) dans la ressource et sont vouées à l'[obsolescence](access_policies_managed-deprecated.md). Pour chacune de ces politiques, nous avons mis à jour les directives relatives aux autorisations, par exemple en recommandant une nouvelle politique AWS gérée qui prend en charge le cas d'utilisation. Pour afficher des alternatives à ces politiques, veuillez consulter les guides de [chaque service](reference_aws-services-that-work-with-iam.md).
+ AWSElasticBeanstalkFullAccess
+ AWSElasticBeanstalkService
+ AWSLambdaFullAccess
+ AWSLambdaReadOnlyAccess
+ AWSOpsWorksFullAccess
+ AWSOpsWorksRole
+ AWSDataPipelineRole
+ AmazonDynamoDBFullAccesswithDataPipeline
+ AmazonElasticMapReduceFullAccess
+ AmazonDynamoDBFullAccesswithDataPipeline
+ Amazon EC2 ContainerServiceFullAccess

Les politiques AWS gérées suivantes fournissent des autorisations uniquement pour les [rôles liés aux services](id_roles_create-service-linked-role.md), ce qui permet aux AWS services d'effectuer des actions en votre nom. Vous ne pouvez pas attacher ces politiques à vos identités IAM.
+ [AWSServiceRoleForAmazonEKSNodegroup](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForAmazonEKSNodegroup)

## Avertissement de sécurité : transférer le rôle avec étoile dans l'action et la ressource
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-star-in-action-and-resource"></a>

**Code d’erreur :** PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1RESOURCE

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```

**Résolution de l'avertissement de sécurité**

Pour configurer de nombreux AWS services, vous devez leur transmettre un rôle IAM. Pour permettre cela, vous devez accorder l'autorisation `iam:PassRole` à une identité (utilisateur, groupe d'utilisateurs ou rôle). Les politiques comportant un caractère générique (\$1) dans les `Resource` éléments `Action` et peuvent permettre à vos mandants d'accéder à un plus grand nombre de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition `iam:PassedToService`.
+ [Transférer un rôle à un service](id_roles_use_passrole.md)
+ [iam : PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

### AWS politiques gérées avec cet avertissement de sécurité
<a name="accan-ref-policy-check-message-fix-security-warning-pass-role-with-star-in-action-and-resource-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Certains de ces cas d'utilisation sont destinés aux administrateurs de votre compte. Les politiques AWS gérées suivantes fournissent un accès administrateur et accordent des autorisations pour transmettre un rôle IAM à n'importe quel AWS service. AWS recommande d'associer les politiques AWS gérées suivantes uniquement aux identités IAM que vous considérez comme des administrateurs.
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
+ [IAMFullAccès](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)

## Avertissement de sécurité — Passez le rôle avec une étoile dans la ressource et NotAction
<a name="access-analyzer-reference-policy-checks-security-warning-pass-role-with-star-in-resource-and-not-action"></a>

**Code d’erreur :** PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1RESOURCE\$1AND\$1NOT\$1ACTION

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```

**Résolution de l'avertissement de sécurité**

Pour configurer de nombreux AWS services, vous devez leur transmettre un rôle IAM. Pour permettre cela, vous devez accorder l'autorisation `iam:PassRole` à une identité (utilisateur, groupe d'utilisateurs ou rôle). L'utilisation de l'`NotAction`élément dans une politique avec un caractère générique (\$1) dans l'`Resource`élément peut permettre à vos principaux utilisateurs d'accéder à plus de services ou de fonctionnalités que vous ne le souhaitiez. AWS recommande de spécifier plutôt « autorisé » ARNs dans l'`Resource`élément. En outre, vous pouvez réduire les autorisations à un seul service en utilisant la clé de condition `iam:PassedToService`.
+ [Transférer un rôle à un service](id_roles_use_passrole.md)
+ [iam : PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Éléments de politique JSON IAM : NotAction](reference_policies_elements_notaction.md)
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Avertissement de sécurité  : clés de condition appariées manquantes
<a name="access-analyzer-reference-policy-checks-security-warning-missing-paired-condition-keys"></a>

**Code d’erreur :** MISSING\$1PAIRED\$1CONDITION\$1KEYS

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."
```

**Résolution de l'avertissement de sécurité**

Certaines clés de condition sont plus sécurisées lorsqu'elles sont associées à d'autres clés de condition associées. AWS vous recommande d'inclure les clés de condition associées dans le même bloc de conditions que la clé de condition existante. Cela rend les autorisations accordées via la politique plus sécurisées.

Par exemple, vous pouvez utiliser la clé de condition `aws:VpcSourceIp` pour comparer l'adresse IP à partir de laquelle une demande a été effectuée avec l'adresse IP que vous spécifiez dans la politique. AWS vous recommande d'ajouter la clé de condition `aws:SourceVPC` associée. Cela vérifie si la demande provient du VPC que vous spécifiez dans la politique *et* de l'adresse IP que vous spécifiez.

**Termes connexes**
+ [clé de condition globale `aws:VpcSourceIp`](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [clé de condition globale `aws:SourceVPC`](reference_policies_condition-keys.md#condition-keys-sourcevpc)
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [Élément de condition](reference_policies_elements_condition.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Avertissement de sécurité : refuser avec clé de condition de balise non prise en charge pour le service
<a name="access-analyzer-reference-policy-checks-security-warning-deny-with-unsupported-tag-condition-key-for-service"></a>

**Code d’erreur :** DENY\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."
```

**Résolution de l'avertissement de sécurité**

L'utilisation de clés de condition de balise non prises en charge dans l'`Condition`élément d'une politique avec `"Effect": "Deny"` peut être trop permissive, car la condition est ignorée pour ce service. AWS recommande de supprimer les actions de service qui ne prennent pas en charge la clé de condition et de créer une autre instruction pour refuser l'accès à des ressources spécifiques pour ces actions.

Si vous utilisez la clé de condition `aws:ResourceTag` et qu'elle n'est pas prise en charge par une action de service, la clé n'est pas incluse dans le contexte de la demande. Dans ce cas, la condition dans l'instruction `Deny` renvoie toujours `false` et l'action n'est jamais refusée. Cela se produit même si la ressource est correctement balisée.

Lorsqu'un service prend en charge la clé de condition `aws:ResourceTag`, vous pouvez utiliser des balises pour contrôler l'accès aux ressources de ce service. Ceci est connu sous le nom de [contrôle d'accès basé sur les attributs (ABAC)](introduction_attribute-based-access-control.md). Les services qui ne prennent pas en charge ces clés ont besoin que vous contrôliez l'accès aux ressources à l'aide du [Contrôle d'accès basé sur les ressources (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).

**Note**  
Certains services autorisent la prise en charge de la clé de condition `aws:ResourceTag` pour un sous-ensemble de leurs ressources et actions. IAM Access Analyzer renvoie les résultats des actions de service qui ne sont pas prises en charge. Par exemple, Amazon S3 prend en charge `aws:ResourceTag` pour un sous-ensemble de ses ressources. Pour afficher tous les types de ressources disponibles dans Amazon S3 qui prennent en charge la clé de condition `aws:ResourceTag`, veuillez consulter [Types de ressources définis par Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) dans la Référence des autorisations de service.

Par exemple, supposons que vous souhaitiez refuser l'accès pour supprimer les balises de ressources spécifiques qui sont balisées avec la paire clé-valeur `status=Confidential`. Supposons également que cela vous AWS Lambda permet de baliser et de débaliser des ressources, mais que cela ne prend pas en charge la clé de `aws:ResourceTag` condition. Pour refuser les actions de suppression pour AWS App Mesh et AWS Backup si cette balise est présente, utilisez la clé de `aws:ResourceTag` condition. Pour Lambda, utilisez une convention de dénomination des ressources incluant le préfixe `"Confidential"`. Incluez ensuite une instruction séparée qui empêche la suppression des ressources avec cette convention de dénomination.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyDeleteSupported",
            "Effect": "Deny",
            "Action": [
                "appmesh:DeleteMesh", 
                "backup:DeleteBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/status": "Confidential"
                }
            }
        },
        {
            "Sid": "DenyDeleteUnsupported",
            "Effect": "Deny",
            "Action": "lambda:DeleteFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
        }
    ]
}
```

**Avertissement**  
N'utilisez pas la [IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)version... de l'opérateur de condition pour contourner ce résultat. Cela signifie « Supprimer l'action si la clé est présente dans le contexte de la demande et que les valeurs correspondent. Sinon, refuser l'action. » Dans l'exemple précédent, le fait d'inclure l'action `lambda:DeleteFunction` dans l'instruction `DenyDeleteSupported` avec l'opérateur `StringEqualsIfExists` refuse toujours l'action. Pour cette action, la clé n'est pas présente dans le contexte et chaque tentative de suppression de ce type de ressource est refusée, que celle-ci soit ou non balisée.

**Termes connexes**
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [Comparaison entre ABAC et RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)
+ [Élément de condition](reference_policies_elements_condition.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Avertissement de sécurité — Refuser NotAction avec étiquette non prise en charge, clé de condition pour le service
<a name="access-analyzer-reference-policy-checks-security-warning-deny-notaction-with-unsupported-tag-condition-key-for-service"></a>

**Code d’erreur :** DENY\$1NOTACTION\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
```

**Résolution de l'avertissement de sécurité**

L'utilisation de clés de condition de balise dans l'élément `Condition` d'une politique avec les éléments `NotAction` et `"Effect": "Deny"` peut être trop permissive. La condition est ignorée pour les actions de service qui ne prennent pas en charge la clé de condition. AWS recommande de réécrire la logique pour refuser une liste d'actions.

Si vous utilisez la clé de condition `aws:ResourceTag` avec `NotAction`, toutes les actions de service nouvelles ou existantes ne prenant pas en charge la clé ne sont pas refusées. AWS vous recommande de répertorier explicitement les actions que vous voulez refuser. IAM Access Analyzer renvoie un résultat distinct pour les actions répertoriées ne prenant pas en charge la clé de condition `aws:ResourceTag`. Pour plus d'informations, veuillez consulter [Avertissement de sécurité : refuser avec clé de condition de balise non prise en charge pour le service](#access-analyzer-reference-policy-checks-security-warning-deny-with-unsupported-tag-condition-key-for-service). 

Lorsqu'un service prend en charge la clé de condition `aws:ResourceTag`, vous pouvez utiliser des balises pour contrôler l'accès aux ressources de ce service. Ceci est connu sous le nom de [contrôle d'accès basé sur les attributs (ABAC)](introduction_attribute-based-access-control.md). Les services qui ne prennent pas en charge ces clés ont besoin que vous contrôliez l'accès aux ressources à l'aide du [Contrôle d'accès basé sur les ressources (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).

**Termes connexes**
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [Comparaison entre ABAC et RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)
+ [Élément de condition](reference_policies_elements_condition.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Avertissement de sécurité  : restreindre l'accès au principal de service
<a name="access-analyzer-reference-policy-checks-security-warning-restrict-access-to-service-principal"></a>

**Code d’erreur :** RESTRICT\$1ACCESS\$1TO\$1SERVICE\$1PRINCIPAL

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."
```

**Résolution de l'avertissement de sécurité**

Vous pouvez spécifier Services AWS dans l'`Principal`élément d'une politique basée sur les ressources à l'aide d'un principal de service, qui est un identifiant du service. Lorsque vous accordez l'accès à un principal de service pour agir en votre nom, limitez l'accès. Vous pouvez éviter les politiques trop permissives en utilisant les touches`aws:SourceArn`, `aws:SourceAccount``aws:SourceOrgID`, ou de `aws:SourceOrgPaths` condition pour restreindre l'accès à une source spécifique, telle qu'un ARN Compte AWS, un identifiant d'organisation ou des chemins d'organisation spécifiques. La restriction de l'accès permet d'éviter un problème de sécurité appelé le *Problème de l'adjoint confus*.

**Termes connexes**
+ [Service AWS principes](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS clés de condition globales : aws : SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)
+ [AWS clés de condition globales : aws : SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)
+ [AWS clés de condition globales : aws : SourceOrgId](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid)
+ [AWS clés de condition globales : aws : SourceOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)
+ [Le problème de l'adjoint confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)

## Avertissement de sécurité : clé de condition pour oidc principal manquante
<a name="access-analyzer-reference-policy-checks-security-warning-missing-condition-key-for-oidc-principal"></a>

**Code d’erreur :** MISSING\$1CONDITION\$1KEY\$1FOR\$1OIDC\$1PRINCIPAL

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."
```

**Résolution de l'avertissement de sécurité**

L'utilisation d'un principal Open ID Connect sans condition peut être trop permissive. Ajoutez des clés de condition avec un préfixe qui correspond à vos principaux OIDC fédérés pour garantir que seul le fournisseur d'identité prévu assume le rôle.

**Termes connexes**
+ [Création d'un rôle pour l'identité Web ou pour OpenID Connect Federation (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)

## Avertissement de sécurité : clé de condition github repo manquante
<a name="access-analyzer-reference-policy-checks-security-warning-missing-github-repo-condition-key"></a>

**Code d’erreur :** MISSING\$1GITHUB\$1REPO\$1CONDITION\$1KEY

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."
```

**Résolution de l'avertissement de sécurité**

Si vous l'utilisez GitHub en tant qu'IdP OIDC, la meilleure pratique consiste à limiter les entités qui peuvent assumer le rôle associé à l'IdP IAM. Lorsque vous incluez une `Condition` déclaration dans une politique de confiance des rôles, vous pouvez limiter le rôle à une GitHub organisation, un référentiel ou une branche spécifique. Vous pouvez utiliser la clé de condition `token.actions.githubusercontent.com:sub` pour limiter l'accès. Nous vous recommandons de limiter la condition à un ensemble spécifique de référentiels ou de branches. Si vous n'incluez pas cette condition, GitHub les actions provenant d'organisations ou de référentiels indépendants de votre volonté peuvent assumer les rôles associés à l' GitHub IdP IAM dans votre compte. AWS 

**Termes connexes**
+ [Configuration d'un rôle pour le fournisseur d'identité GitHub OIDC](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html#idp_oidc_Create_GitHub)

## Avertissement de sécurité : opérateur semblable à une chaîne avec des clés de condition ARN
<a name="access-analyzer-reference-policy-checks-security-warning-string-like-operator-with-arn-condition-keys"></a>

**Code d’erreur :** STRING\$1LIKE\$1OPERATOR\$1WITH\$1ARN\$1CONDITION\$1KEYS

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
```

**Résolution de l'avertissement de sécurité**

AWS recommande d'utiliser des opérateurs ARN plutôt que des opérateurs de chaîne lors de la comparaison ARNs afin de garantir une restriction d'accès appropriée en fonction des valeurs des conditions ARN. Mettez à jour l’opérateur `StringLike` en fonction de l’opérateur `ArnLike` de votre élément `Condition` chaque fois que la clé spécifiée est utilisée.

Ces politiques AWS gérées constituent des exceptions à cet avertissement de sécurité :
+ [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)
+ [AWSCodePipeline\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_FullAccess.html)
+ [AWSCodePipeline\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_ReadOnlyAccess.html)
+ [S3UnlockBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/S3UnlockBucketPolicy.html)
+ [SQSUnlockQueuePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SQSUnlockQueuePolicy.html)

**Termes connexes**
+ [Opérateurs de condition Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)
+ [Opérateurs de condition de chaîne](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ [AWS politiques gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)

## Avertissement de sécurité — ForAnyValue avec type de réclamation d'audience
<a name="access-analyzer-reference-policy-checks-security-warning-foranyvalue-with-audience-claim-type"></a>

**Code d’erreur :** FORANYVALUE\$1WITH\$1AUDIENCE\$1CLAIM\$1TYPE

**Type de résultat :** SECURITY\$1WARNING

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
ForAnyValue with audience claim type: Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:."
```

**Résolution de l'avertissement de sécurité**

AWS recommande de ne pas utiliser l'opérateur `ForAnyValue` set avec des clés de condition à valeur unique. Utilisez des opérateurs d'ensemble uniquement avec des clés de condition à valeurs multiples. Supprimez l’opérateur d’ensemble `ForAnyValue`.

**Termes connexes**
+ [Clés de contexte à valeur unique ou à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md)
+ [Exemples de politiques clés liés au contexte à valeur unique](reference_policies_condition_examples-single-valued-context-keys.md)

## Suggestion : action de tableau vide
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-action"></a>

**Code d’erreur :** EMPTY\$1ARRAY\$1ACTION

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."
```

**Résolution de la suggestion**

Les instructions doivent inclure un élément `Action` ou `NotAction` comprenant un ensemble d'actions. Lorsque l'élément est vide, l'instruction de politique ne fournit aucune autorisation. Spécifiez les actions dans l'élément `Action`.
+ [Éléments de politique IAM JSON : Action](reference_policies_elements_action.md)

## Suggestion : condition de tableau vide
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-condition"></a>

**Code d’erreur :** EMPTY\$1ARRAY\$1CONDITION

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."
```

**Résolution de la suggestion**

La structure de l'élément `Condition` facultatif a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur. Lorsque la valeur de la condition est vide, la condition renvoie `true` et l'instruction de politique ne fournit aucune autorisation. Spécifiez une valeur de condition.
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion — Condition de tableau vide ForAllValues
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-condition-forallvalues"></a>

**Code d’erreur :** EMPTY\$1ARRAY\$1CONDITION\$1FORALLVALUES

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
```

**Résolution de la suggestion**

La structure de l'élément `Condition` a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur. L'opération d'ensemble `ForAllValues` teste si la valeur de chaque membre de la requête est un sous-ensemble de la clé de condition. 

Lorsque vous utilisez `ForAllValues` avec une clé de condition vide, la condition ne correspond que s'il n'y a pas de clés dans la demande. AWS vous recommande plutôt d'utiliser l'opérateur de condition `Null` si vous voulez tester si un contexte de demande est vide.
+ [Clés de contexte à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Opérateur de condition null](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion — Condition de tableau vide ForAnyValue
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-condition-foranyvalue"></a>

**Code d’erreur :** EMPTY\$1ARRAY\$1CONDITION\$1FORANYVALUE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."
```

**Résolution de la suggestion**

La structure de l'élément `Condition` a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur. L'opérateur d'ensemble `ForAnyValues` teste si au moins un membre de l'ensemble des valeurs de la demande correspond à au moins un membre de l'ensemble des valeurs de la clé de condition.

Lorsque vous utilisez `ForAnyValues` avec une clé de condition vide, la condition ne correspond jamais. Cela signifie que la déclaration n'a aucun effet sur la politique. AWS recommande de réécrire la condition.
+ [Clés de contexte à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion — Condition de tableau vide IfExists
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-condition-ifexists"></a>

**Code d’erreur :** EMPTY\$1ARRAY\$1CONDITION\$1IFEXISTS

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
```

**Résolution de la suggestion**

Le suffixe `...IfExists` modifie un opérateur de condition. Ceci signifie que si la clé de politique est présente dans le contexte de la demande, la clé doit être traitée comme spécifié dans la politique. Si la clé n'est pas présente, la condition évalue l'élément de condition comme vrai. »

Lorsque vous utilisez `...IfExists` avec une clé de condition vide, la condition ne correspond que s'il n'y a pas de clés dans la demande. AWS vous recommande plutôt d'utiliser l'opérateur de condition `Null` si vous voulez tester si un contexte de demande est vide.
+ [... IfExists opérateurs de conditions](reference_policies_elements_condition_operators.md#Conditions_IfExists)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion : principal de tableau vide
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-principal"></a>

**Code d’erreur :** EMPTY\$1ARRAY\$1PRINCIPAL

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
```

**Résolution de la suggestion**

Vous devez utiliser l'élément `Principal` ou `NotPrincipal` dans les politiques de confiance pour les rôles IAM et dans les politiques basées sur les ressources. Les politiques basées sur les ressources sont des politiques que vous intégrez directement à une ressource.

Lorsque vous fournissez un tableau vide dans l'`Principal`élément d'une instruction, l'instruction n'a aucun effet sur la politique. AWS vous recommande de spécifier les principaux qui doivent avoir accès à la ressource.
+ [Éléments de politique JSON IAM : principal](reference_policies_elements_principal.md)
+ [Éléments de politique JSON IAM : NotPrincipal](reference_policies_elements_notprincipal.md)

## Suggestion : ressource de tableau vide
<a name="access-analyzer-reference-policy-checks-suggestion-empty-array-resource"></a>

**Code d’erreur :** EMPTY\$1ARRAY\$1RESOURCE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."
```

**Résolution de la suggestion**

Les instructions doivent inclure un élément `Resource` ou `NotResource`.

Lorsque vous fournissez un tableau vide dans l'élément ressource d'une instruction, l'instruction n'a aucun effet sur la politique. AWS vous recommande de spécifier Amazon Resource Names (ARNs) pour les ressources.
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)
+ [Éléments de politique JSON IAM : NotResource](reference_policies_elements_notresource.md)

## Suggestion : condition d'objet vide
<a name="access-analyzer-reference-policy-checks-suggestion-empty-object-condition"></a>

**Code d’erreur :** EMPTY\$1OBJECT\$1CONDITION

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."
```

**Résolution de la suggestion**

La structure de l'élément `Condition` a besoin que vous utilisiez un opérateur de condition et une paire clé-valeur.

Lorsque vous fournissez un objet vide dans l'élément de condition d'une instruction, l'instruction n'a aucun effet sur la politique. Supprimez l'élément facultatif ou spécifiez des conditions.
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion : principal d'objet vide
<a name="access-analyzer-reference-policy-checks-suggestion-empty-object-principal"></a>

**Code d’erreur :** EMPTY\$1OBJECT\$1PRINCIPAL

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
```

**Résolution de la suggestion**

Vous devez utiliser l'élément `Principal` ou `NotPrincipal` dans les politiques de confiance pour les rôles IAM et dans les politiques basées sur les ressources. Les politiques basées sur les ressources sont des politiques que vous intégrez directement à une ressource.

Lorsque vous fournissez un objet vide dans l'`Principal`élément d'une instruction, l'instruction n'a aucun effet sur la politique. AWS vous recommande de spécifier les principaux qui doivent avoir accès à la ressource.
+ [Éléments de politique JSON IAM : principal](reference_policies_elements_principal.md)
+ [Éléments de politique JSON IAM : NotPrincipal](reference_policies_elements_notprincipal.md)

## Suggestion : valeur sid vide
<a name="access-analyzer-reference-policy-checks-suggestion-empty-sid-value"></a>

**Code d’erreur :** EMPTY\$1SID\$1VALUE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Empty Sid value: Add a value to the empty string in the Sid element.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Add a value to the empty string in the Sid element."
```

**Résolution de la suggestion**

L'élément `Sid` (ID de instruction) facultatif est un identifiant que vous pouvez fournir pour l'instruction de politique. Vous pouvez affecter une valeur `Sid` à chaque instruction d'un tableau d'instructions. Si vous sélectionnez d'utiliser l'élément `Sid`, vous devez indiquer une valeur de chaîne.

**Termes connexes**
+ [Éléments de politique JSON IAM : Sid](reference_policies_elements_sid.md)

## Suggestion : équivaut à null false
<a name="access-analyzer-reference-policy-checks-suggestion-equivalent-to-null-false"></a>

**Code d’erreur :** EQUIVALENT\$1TO\$1NULL\$1FALSE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Equivalent to null false: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition."
```

**Résolution de la suggestion**

Remplacez la clé de condition actuelle par la clé recommandée définie sur `false`. Ce changement améliore la clarté de la politique et garantit une évaluation plus fiable des conditions. Mettez à jour votre bloc conditionnel afin d’utiliser `{recommendedKey}: false` à la place de la combinaison clé-opérateur actuelle.

**Termes connexes**
+ [Éléments de politique IAM : condition](reference_policies_elements_condition.md)
+ [Conditions comportant plusieurs clés ou valeurs contextuelles](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md)

## Suggestion : équivaut à null true
<a name="access-analyzer-reference-policy-checks-suggestion-equivalent-to-null-true"></a>

**Code d’erreur :** EQUIVALENT\$1TO\$1NULL\$1TRUE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Equivalent to null true: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition."
```

**Résolution de la suggestion**

Remplacez la clé de condition actuelle par la clé recommandée définie sur `true`. Ce changement améliore la clarté de la politique et garantit une évaluation plus fiable des conditions. Mettez à jour votre bloc conditionnel afin d’utiliser `{recommendedKey}: true` à la place de la combinaison clé-opérateur actuelle.

**Termes connexes**
+ [Éléments de politique IAM : condition](reference_policies_elements_condition.md)
+ [Conditions comportant plusieurs clés ou valeurs contextuelles](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md)

## Suggestion : améliorer une plage IP
<a name="access-analyzer-reference-policy-checks-suggestion-improve-ip-range"></a>

**Code d’erreur :** IMPROVE\$1IP\$1RANGE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."
```

**Résolution de la suggestion**

Les conditions d'adresse IP doivent être au format CIDR standard, tel que 203.0.113.0/24 ou 2001 : : 1234:5678 : :/64. DB8 Lorsque vous incluez des bits non nuls après les bits masqués, ils ne sont pas pris en compte pour la condition. AWS vous recommande d'utiliser la nouvelle adresse figurant dans le message.
+ [Opérateurs de condition d'adresse IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion : Null avec qualificateur
<a name="access-analyzer-reference-policy-checks-suggestion-null-with-qualifier"></a>

**Code d’erreur :** NULL\$1WITH\$1QUALIFIER

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."
```

**Résolution de la suggestion**

Dans l'élément `Condition`, vous créez des expressions dans lesquelles vous utilisez des opérateurs de condition tels que égal ou inférieur à pour comparer une condition de la politique avec des clés et des valeurs dans le contexte de la demande. Pour les demandes incluant plusieurs valeurs pour une seule clé de condition, vous devez utiliser les opérateurs définis `ForAllValues` ou `ForAnyValue`.

Lorsque vous utilisez l'opérateur de condition `Null` avec `ForAllValues`, l'instruction renvoie toujours `true`. Lorsque vous utilisez l'opérateur de `Null` condition with`ForAnyValue`, l'instruction est toujours renvoyée`false`. AWS recommande d'utiliser l'opérateur de `StringLike` condition avec ces opérateurs définis.

**Termes connexes**
+ [Clés de contexte à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Opérateur de condition null](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Élément de condition](reference_policies_elements_condition.md)

## Suggestion : sous-ensemble d'adresses IP privées
<a name="access-analyzer-reference-policy-checks-suggestion-private-ip-address-subset"></a>

**Code d’erreur :** PRIVATE\$1IP\$1ADDRESS\$1SUBSET

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
```

**Résolution de la suggestion**

La clé de condition globale `aws:SourceIp` fonctionne uniquement pour les plages d'adresses IP publiques.

Lorsque votre élément `Condition` inclut un mélange d'adresses IP privées et publiques, l'instruction peut ne pas avoir l'effet désiré. Vous pouvez spécifier des adresses IP privées avec `aws:VpcSourceIP`.

**Note**  
La clé de condition globale `aws:VpcSourceIP` ne correspond que si la demande provient de l'adresse IP spécifiée et qu'elle passe par un point de terminaison de VPC.
+ [aws : clé de condition SourceIp globale](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [aws : clé de condition VpcSourceIp globale](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Opérateurs de condition d'adresse IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion — NotIpAddress Sous-ensemble privé
<a name="access-analyzer-reference-policy-checks-suggestion-private-not-ip-address-subset"></a>

**Code d’erreur :** PRIVATE\$1NOT\$1IP\$1ADDRESS\$1SUBSET

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
```

**Résolution de la suggestion**

La clé de condition globale `aws:SourceIp` fonctionne uniquement pour les plages d'adresses IP publiques.

Lorsque votre élément `Condition` inclut l'opérateur de condition `NotIpAddress` et un mélange d'adresses IP privées et publiques, l'instruction peut ne pas avoir l'effet désiré. Toutes les adresses IP publiques non spécifiées dans la politique correspondront. Aucune adresse IP privée ne correspondra. Pour obtenir cet effet, vous pouvez utiliser `NotIpAddress` avec `aws:VpcSourceIP` et spécifier les adresses IP privées qui ne doivent pas correspondre.
+ [aws : clé de condition SourceIp globale](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [aws : clé de condition VpcSourceIp globale](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Opérateurs de condition d'adresse IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion : action redondante
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-action"></a>

**Code d’erreur :** REDUNDANT\$1ACTION

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."
```

**Résolution de la suggestion**

Lorsque vous utilisez des caractères génériques (\$1) dans l'`Action`élément, vous pouvez inclure des autorisations redondantes. AWS vous recommande de revoir votre politique et de n'inclure que les autorisations dont vous avez besoin. Cela peut vous aider à supprimer les actions redondantes.

Par exemple, les actions suivantes incluent l'action `iam:GetCredentialReport` deux fois.

```
"Action": [
        "iam:Get*",
        "iam:List*",
        "iam:GetCredentialReport"
    ],
```

Dans cet exemple, les autorisations sont définies pour chaque action IAM commençant par `Get` ou `List`. Lorsque IAM ajoute des opérations get ou list supplémentaires, cette politique les autorise. Vous pouvez vouloir autoriser toutes ces actions en lecture seule. L'action `iam:GetCredentialReport` est déjà incluse dans le cadre de `iam:Get*`. Pour supprimer les autorisations en double, vous pouvez supprimer `iam:GetCredentialReport`.

Vous recevez un résultat pour cette vérification de politique lorsque tout le contenu d'une action est redondant. Dans cet exemple, si l'élément incluait `iam:*CredentialReport`, il ne serait pas considéré comme redondant. En effet, il inclut `iam:GetCredentialReport`, qui est redondant, et `iam:GenerateCredentialReport`, qui ne l'est pas. La suppression de `iam:Get*` ou `iam:*CredentialReport` modifierait les autorisations de la politique.
+ [Éléments de politique JSON IAM : Action](reference_policies_elements_action.md)

### AWS politiques gérées avec cette suggestion
<a name="accan-ref-policy-check-message-fix-suggestion-redundant-action-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les actions redondantes n'affectent pas les autorisations accordées par la politique. Lorsque vous utilisez une politique AWS gérée comme référence pour créer votre politique gérée par le client, il est AWS recommandé de supprimer les actions redondantes de votre politique.

## Suggestion : valeur de condition redondante num
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-condition-value-num"></a>

**Code d’erreur :** REDUNDANT\$1CONDITION\$1VALUE\$1NUM

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."
```

**Résolution de la suggestion**

Lorsque vous utilisez des opérateurs de condition numériques pour des valeurs similaires dans une clé de condition, vous pouvez créer un chevauchement qui entraîne des autorisations redondantes.

Par exemple, l'élément `Condition` suivant inclut plusieurs conditions `aws:MultiFactorAuthAge` dont les plages d'd'âge se chevauchent de 1 200 secondes.

```
"Condition": {
        "NumericLessThan": {
          "aws:MultiFactorAuthAge": [
            "2700",
            "3600"
          ]
        }
      }
```

Dans cet exemple, les autorisations sont définies si l'authentification multifacteur (MFA) a été effectuée il y a moins de 3 600 secondes (1 heure). Vous pouvez supprimer la valeur `2700` redondante.
+ [Opérateurs de condition numériques](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ [Éléments de politique JSON IAM : Condition](reference_policies_elements_condition.md)

## Suggestion : ressource redondante
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-resource"></a>

**Code d’erreur :** REDUNDANT\$1RESOURCE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"
```

**Résolution de la suggestion**

Lorsque vous utilisez des caractères génériques (\$1) dans Amazon Resource Names (ARNs), vous pouvez créer des autorisations de ressources redondantes.

Par exemple, l'`Resource`élément suivant inclut plusieurs ARNs autorisations redondantes.

```
"Resource": [
            "arn:aws:iam::111122223333:role/jane-admin",
            "arn:aws:iam::111122223333:role/jane-s3only",
            "arn:aws:iam::111122223333:role/jane*"
        ],
```

Dans cet exemple, les autorisations sont définies pour tous les rôles dont le nom commence par `jane`. Vous pouvez supprimer le redondant `jane-s3only` ARNs sans modifier `jane-admin` les autorisations qui en résultent. Cela rend la politique dynamique. Elle définira les autorisations pour tous les futurs rôles commençant par `jane`. Si le but de la politique est d'autoriser l'accès à un nombre statique de rôles, supprimez le dernier ARN et ne listez ARNs que celui qui doit être défini.
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

### AWS politiques gérées avec cette suggestion
<a name="accan-ref-policy-check-message-fix-suggestion-redundant-resource-awsmanpol"></a>

[AWS les politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies) vous permettent de démarrer AWS en attribuant des autorisations en fonction de cas AWS d'utilisation généraux.

Les ressources redondantes n'affectent pas les autorisations accordées par la politique. Lorsque vous utilisez une politique AWS gérée comme référence pour créer votre politique gérée par le client, il est AWS recommandé de supprimer les ressources redondantes de votre politique.

## Suggestion : instruction redondante
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-statement"></a>

**Code d’erreur :** REDUNDANT\$1STATEMENT

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."
```

**Résolution de la suggestion**

L'élément `Statement` constitue l'élément principal d'une politique. Cet élément est obligatoire. L'élément `Statement` peut contenir une seule instruction ou un ensemble d'instructions individuelles.

Lorsque vous incluez la même instruction plusieurs fois dans une politique longue, les instructions sont redondantes. Vous pouvez supprimer l'une des instructions sans affecter les autorisations accordées par la politique. Lorsqu'une personne modifie une politique, elle peut modifier l'une des instructions sans mettre à jour son double. Cela peut entraîner un nombre d'autorisations plus élevé que prévu.
+ [Éléments de politique JSON IAM : Statement](reference_policies_elements_statement.md)

## Suggestion  : caractère générique dans le nom du service
<a name="access-analyzer-reference-policy-checks-suggestion-wildcard-in-service-name"></a>

**Code d’erreur :** WILDCARD\$1IN\$1SERVICE\$1NAME

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."
```

**Résolution de la suggestion**

Lorsque vous incluez le nom d'un AWS service dans une politique, il est AWS recommandé de ne pas inclure de caractères génériques (\$1, ?). Cela peut ajouter des autorisations non voulues à de futurs services. Par exemple, il existe plus d'une douzaine de AWS services dont le nom `*code*` contient le mot.

```
"Resource": "arn:aws:*code*::111122223333:*"
```
+ [Éléments de politique JSON IAM : Resource](reference_policies_elements_resource.md)

## Suggestion  : autoriser avec la clé de condition d'étiquette non prise en charge pour le service
<a name="access-analyzer-reference-policy-checks-suggestion-allow-with-unsupported-tag-condition-key-for-service"></a>

**Code d’erreur :** ALLOW\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."
```

**Résolution de la suggestion**

L'utilisation de clés de condition de balise non prises en charge dans l'`Condition`élément d'une politique avec n'`"Effect": "Allow"`affecte pas les autorisations accordées par la politique, car la condition est ignorée pour cette action de service. AWS recommande de supprimer les actions pour les services qui ne prennent pas en charge la clé de condition et de créer une autre instruction pour autoriser l'accès à des ressources spécifiques de ce service.

Si vous utilisez la clé de condition `aws:ResourceTag` et qu'elle n'est pas prise en charge par une action de service, la clé n'est pas incluse dans le contexte de la demande. Dans ce cas, la condition dans l'instruction `Allow` renvoie toujours `false` et l'action n'est jamais autorisée. Cela se produit même si la ressource est correctement balisée. 

Lorsqu'un service prend en charge la clé de condition `aws:ResourceTag`, vous pouvez utiliser des balises pour contrôler l'accès aux ressources de ce service. Ceci est connu sous le nom de [contrôle d'accès basé sur les attributs (ABAC)](introduction_attribute-based-access-control.md). Les services qui ne prennent pas en charge ces clés ont besoin que vous contrôliez l'accès aux ressources à l'aide du [Contrôle d'accès basé sur les ressources (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).

**Note**  
Certains services autorisent la prise en charge de la clé de condition `aws:ResourceTag` pour un sous-ensemble de leurs ressources et actions. IAM Access Analyzer renvoie les résultats des actions de service qui ne sont pas prises en charge. Par exemple, Amazon S3 prend en charge `aws:ResourceTag` pour un sous-ensemble de ses ressources. Pour afficher tous les types de ressources disponibles dans Amazon S3 qui prennent en charge la clé de condition `aws:ResourceTag`, veuillez consulter [Types de ressources définis par Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) dans la Référence des autorisations de service.

Par exemple, supposons que vous vouliez autoriser des membres de l'équipe à afficher les détails des ressources spécifiques qui sont balisées avec la paire clé-valeur `team=BumbleBee`. Supposons également que cela vous AWS Lambda permet de baliser les ressources, mais que cela ne prend pas en charge la clé de `aws:ResourceTag` condition. Pour autoriser les actions d'affichage pour AWS App Mesh et AWS Backup si cette balise est présente, utilisez la clé de `aws:ResourceTag` condition. Pour Lambda, utilisez une convention de dénomination des ressources incluant le nom de l'équipe comme préfixe. Incluez ensuite une instruction séparée qui permet l'affichage des ressources avec cette convention de dénomination.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewSupported",
            "Effect": "Allow",
            "Action": [
                "appmesh:DescribeMesh", 
                "backup:GetBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/team": "BumbleBee"
                }
            }
        },
        {
            "Sid": "AllowViewUnsupported",
            "Effect": "Allow",
            "Action": "lambda:GetFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
        }
    ]
}
```

**Avertissement**  
N'utilisez pas la [version de l'opérateur de condition ](reference_policies_elements_condition_operators.md) `Not` avec `"Effect": "Allow"` pour contourner ce résultat. Ces opérateurs de condition fournissent une correspondance annulée. Cela signifie qu'une fois la condition évaluée, le résultat est annulé. Dans l'exemple précédent, le fait d'inclure l'action `lambda:GetFunction` dans l'instruction `AllowViewSupported` avec l'opérateur `StringNotEquals` autorise toujours l'action, que la ressource soit balisée ou non.  
N'utilisez pas la [IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)version... de l'opérateur de condition pour contourner ce résultat. Cela signifie « Autoriser l'action si la clé est présente dans le contexte de la demande et que les valeurs correspondent. Sinon, autoriser l'action. » Dans l'exemple précédent, le fait d'inclure l'action `lambda:GetFunction` dans l'instruction `AllowViewSupported` avec l'opérateur `StringEqualsIfExists` autorise toujours l'action. Pour cette action, la clé n'est pas présente dans le contexte et chaque tentative d'affichage de ce type de ressource est autorisée, que la ressource soit ou non étiquetée.

**Termes connexes**
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)
+ [Élément de condition](reference_policies_elements_condition.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Suggestion — Autoriser NotAction avec étiquette non prise en charge, clé de condition pour le service
<a name="access-analyzer-reference-policy-checks-suggestion-allow-notaction-with-unsupported-tag-condition-key-for-service"></a>

**Code d’erreur :** ALLOW\$1NOTACTION\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
```

**Résolution de la suggestion**

L'utilisation de clés de condition de balise non prises en charge dans l'élément `Condition` d'une politique avec l'élément `NotAction` et `"Effect": "Allow"` n'affecte pas les autorisations accordées par la politique. La condition est ignorée pour les actions de service qui ne prennent pas en charge la clé de condition. AWS recommande de réécrire la logique pour autoriser une liste d'actions.

Si vous utilisez la clé de condition `aws:ResourceTag` avec `NotAction`, toutes les actions de service nouvelles ou existantes ne prenant pas en charge la clé ne sont pas autorisées. AWS vous recommande de répertorier explicitement les actions que vous voulez autoriser. IAM Access Analyzer renvoie un résultat distinct pour les actions répertoriées ne prenant pas en charge la clé de condition `aws:ResourceTag`. Pour plus d’informations, veuillez consulter [Suggestion  : autoriser avec la clé de condition d'étiquette non prise en charge pour le service](#access-analyzer-reference-policy-checks-suggestion-allow-with-unsupported-tag-condition-key-for-service).

Lorsqu'un service prend en charge la clé de condition `aws:ResourceTag`, vous pouvez utiliser des balises pour contrôler l'accès aux ressources de ce service. Ceci est connu sous le nom de [contrôle d'accès basé sur les attributs (ABAC)](introduction_attribute-based-access-control.md). Les services qui ne prennent pas en charge ces clés ont besoin que vous contrôliez l'accès aux ressources à l'aide du [Contrôle d'accès basé sur les ressources (RBAC)](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac).

**Termes connexes**
+ [Clés de condition globale](reference_policies_condition-keys.md)
+ [Comparaison entre ABAC et RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Éléments de politique JSON IAM : Opérateurs de condition](reference_policies_elements_condition_operators.md)
+ [Élément de condition](reference_policies_elements_condition.md)
+ [Présentation des politiques JSON](access_policies.md#access_policies-json)

## Suggestion  : clé de condition recommandée pour le principal de service
<a name="access-analyzer-reference-policy-checks-suggestion-recommended-condition-key-for-service-principal"></a>

**Code d’erreur :** RECOMMENDED\$1CONDITION\$1KEY\$1FOR\$1SERVICE\$1PRINCIPAL

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."
```

**Résolution de la suggestion**

Vous pouvez spécifier Services AWS dans l'`Principal`élément d'une politique basée sur les ressources à l'aide d'un *principal de service*, qui est un identifiant du service. Vous devez utiliser les clés de condition `aws:SourceArn`, `aws:SourceAccount`, `aws:SourceOrgID` ou `aws:SourceOrgPaths` lors de l'octroi d'un accès à des principaux de service plutôt qu'à d'autres clés de condition, telles que `aws:Referer`. Cela vous aide à prévenir un problème de sécurité appelé le *problème de l'adjoint confus*.

**Termes connexes**
+ [Service AWS principes](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS clés de condition globales : aws : SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)
+ [AWS clés de condition globales : aws : SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)
+ [AWS clés de condition globales : aws : SourceOrgId](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid)
+ [AWS clés de condition globales : aws : SourceOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)
+ [Le problème de l'adjoint confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)

## Suggestion  : clé de condition non pertinente dans la politique
<a name="access-analyzer-reference-policy-checks-suggestion-irrelevant-condition-key-in-policy"></a>

**Code d’erreur :** IRRELEVANT\$1CONDITION\$1KEY\$1IN\$1POLICY

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource."
```

**Résolution de la suggestion**

Certaines clés de condition ne sont pas pertinentes pour les politiques basées sur les ressources. Par exemple, la clé de condition `s3:ResourceAccount` n'est pas pertinente pour la politique basée sur les ressources attachée à un compartiment Amazon S3 ou à un type de ressource de point d'accès Amazon S3.

Vous devez utiliser la clé de condition dans une politique basée sur l'identité pour contrôler l'accès à la ressource.

**Termes connexes**
+ [Politiques basées sur l'identité et politiques basées sur les ressources](access_policies_identity-vs-resource.md)

## Suggestion : clé redondante en raison du caractère générique dans la condition
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-key-due-to-wildcard-in-condition"></a>

**Code d’erreur :** REDUNDANT\$1KEY\$1DUE\$1TO\$1WILDCARD\$1IN\$1CONDITION

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Redundant key due to wildcard in condition: The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition."
```

**Résolution de la suggestion**

Supprimez la clé de condition redondante de votre politique. La clé correspond toujours en raison du motif de caractères génériques, ce qui la rend inutile. Simplifiez votre bloc de conditions en supprimant cette clé tout en conservant les mêmes autorisations effectives. 

**Termes connexes**
+ [Éléments de politique IAM : condition](reference_policies_elements_condition.md)
+ [Conditions comportant plusieurs clés ou valeurs contextuelles](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md)

## Suggestion : principal redondant dans la politique d'approbation de rôle
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-principal-in-role-trust-policy"></a>

**Code d’erreur :** REDUNDANT\$1PRINCIPAL\$1IN\$1ROLE\$1TRUST\$1POLICY

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."
```

**Résolution de la suggestion**

Si vous spécifiez à la fois un principal avec rôle assumé et son rôle parent dans l'élément `Principal` d'une politique, celle-ci n'autorise ou ne refuse aucune autorisation différente. Par exemple, il est redondant si vous spécifiez l'élément `Principal` au format suivant :

```
"Principal": {
            "AWS": [
            "arn:aws:iam::AWS-account-ID:role/rolename",
            "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname"
        ]
```

Nous recommandons de supprimer le principal avec rôle assumé.

**Termes connexes**
+ [Principaux de séance de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-role-session)

## Suggestion : instruction redondante en raison du caractère générique dans la condition
<a name="access-analyzer-reference-policy-checks-suggestion-redundant-statement-due-to-wildcard-in-condition"></a>

**Code d’erreur :** REDUNDANT\$1STATEMENT\$1DUE\$1TO\$1WILDCARD\$1IN\$1CONDITION

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Redundant statement due to wildcard in condition: The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition."
```

**Résolution de la suggestion**

Supprimez la clé de condition qui ne correspond à aucune valeur. Cette clé crée une condition inaccessible qui ne sera jamais satisfaite, la rendant ainsi redondante. Nettoyez votre politique en supprimant cette clé pour améliorer la lisibilité et les performances.

**Termes connexes**
+ [Éléments de politique IAM : condition](reference_policies_elements_condition.md)
+ [Conditions comportant plusieurs clés ou valeurs contextuelles](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md)

## Suggestion : confirmer le type de réclamation de l'audience
<a name="access-analyzer-reference-policy-checks-suggestion-confirm-audience-claim-type"></a>

**Code d’erreur :** CONFIRM\$1AUDIENCE\$1CLAIM\$1TYPE

**Type de résultat :** SUGGESTION

**Trouver des détails**

Dans le AWS Management Console, le résultat de cette vérification inclut le message suivant :

```
Confirm audience claim type: The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier.
```

Dans les appels programmatiques à l' AWS API AWS CLI or, le résultat de cette vérification inclut le message suivant :

```
"findingDetails": "The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier."
```

**Résolution de la suggestion**

La clé de réclamation (d'audience) `aud` est un identifiant unique pour votre application qui vous est délivré lorsque vous enregistrez votre application auprès de l'IdP, et elle identifie les destinataires auxquels le jeton web JSON est destiné. Les reclamations d'audience peuvent être à valeurs multiples ou à valeur unique. Si la réclamation est à valeurs multiples, utilisez un opérateur d'ensemble de conditions `ForAllValues` ou `ForAnyValue`. Si la réclamation est à valeur unique, n'utilisez pas d'opérateur d'ensemble de conditions.

**Termes connexes**
+ [Création d'un rôle pour l'identité Web ou pour OpenID Connect Federation (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Clés de contexte à valeurs multiples](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)
+ [Clés de condition à valeur unique ou à valeurs multiples](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_single-vs-multi-valued-condition-keys.html)