iam-customer-policy-blocked-kms-actions - AWS Config
AWS CloudFormation modèle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

iam-customer-policy-blocked-kms-actions

Vérifie si les politiques gérées AWS d'Identity and Access Management (IAM) que vous créez n'autorisent pas les actions bloquées sur les clés KMS. AWS La règle est NON_COMPLIANT si une action bloquée est autorisée sur les clés AWS KMS par la politique IAM gérée.

Note

Cette règle n'évalue pas les variables ou les conditions dans les politiques IAM. Pour plus d'informations, voir Éléments de stratégie IAM : variables et éléments de stratégie IAM JSON : condition dans le guide de l'utilisateur IAM.

Identificateur : IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS

Types de ressources : AWS::IAM::Policy

Type de déclencheur : changements de configuration

Région AWS: Toutes les AWS régions prises en charge sauf l'Asie-Pacifique (Thaïlande), le Moyen-Orient (Émirats arabes unis), l'Asie-Pacifique (Hyderabad), l'Asie-Pacifique (Malaisie), l'Asie-Pacifique (Melbourne), le Mexique (centre), Israël (Tel Aviv), le Canada Ouest (Calgary), l'Europe (Espagne), la région Europe (Zurich)

Paramètres :

blockedActionsPatterns
Type : CSV

Liste séparée par des virgules de schémas d’action KMS bloqués. Par exemple, vous pouvez répertorier kms: Decrypt* ou kms: ReEncrypt comme modèles d'action bloqués. La règle est NON_COMPLIANT si la politique IAM gérée autorise l’un des schémas d’action répertoriés dans ce paramètre.

excludePermissionBoundaryPolitique (facultatif)
Type : valeur booléenne

Indicateur booléen permettant d'exclure l'évaluation des politiques IAM utilisées comme limites d'autorisations. Si elle est définie sur « true », la règle n'inclura pas de limites d'autorisations dans l'évaluation. Sinon, toutes les politiques IAM concernées sont évaluées lorsque la valeur est définie sur « false ». La valeur par défaut est « false ».

AWS CloudFormation modèle

Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voirCréation de règles AWS Config gérées à l'aide AWS CloudFormation de modèles.