iam-policy-no-statements-with-full-access - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

iam-policy-no-statements-with-full-access

Vérifie si AWS Les politiques Identity and Access Management (IAM) que vous créez accordent des autorisations à toutes les actions sur un individu AWS ressources. La règle est NON _ COMPLIANT si une IAM politique gérée par le client autorise un accès complet à au moins 1 AWS service.

Contexte : Conformément au principe du moindre privilège, il est recommandé de limiter les actions autorisées dans vos IAM politiques lorsque vous accordez des autorisations à AWS services. Cette approche permet de garantir que vous n'accordez que les autorisations nécessaires en spécifiant les actions exactes requises, évitant ainsi l'utilisation de caractères génériques illimités pour un service, tel que. ec2:*

Dans certains cas, vous souhaiterez peut-être autoriser plusieurs actions avec un préfixe similaire, tel que DescribeFlowLogset DescribeAvailabilityZones. Dans ces cas, vous pouvez ajouter un caractère générique suffixé au préfixe commun (par exemple,). ec2:Describe* Le regroupement des actions associées peut aider à éviter d'atteindre les limites IAM de taille fixées par les règles.

Cette règle sera rétablie COMPLIANT si vous utilisez des actions préfixées avec un caractère générique suffixé (par exemple,). ec2:Describe* Cette règle ne renvoie NON _ que COMPLIANT si vous utilisez des caractères génériques non restreints (par exemple,ec2:*).

Note

Cette règle évalue uniquement les politiques gérées par le client. Cette règle NOT évalue les politiques intégrées ou AWS politiques gérées. Pour plus d'informations sur la différence, consultez les sections Politiques gérées et politiques intégrées dans le Guide de l'IAMutilisateur.

Identifiant : IAM _ POLICY _NO_ _ _ STATEMENTS _ WITH FULL ACCESS

Types de ressources : AWS::IAM::Policy

Type de déclencheur : changements de configuration

Région AWS: Tous pris en charge AWS régions

Paramètres :

excludePermissionBoundaryPolitique (facultatif)
Type : valeur booléenne

Drapeau booléen pour exclure l'évaluation des IAM politiques utilisées comme limites d'autorisations. Si elle est définie sur « true », la règle n'inclura pas de limites d'autorisations dans l'évaluation. Dans le cas contraire, toutes les IAM politiques concernées sont évaluées lorsque la valeur est définie sur « faux ». La valeur par défaut est « false ».

AWS CloudFormation modèle

Pour créer AWS Config règles gérées avec AWS CloudFormation modèles, voirCréation de règles gérées AWS Config avec des modèles AWS CloudFormation.