Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Referensi pemeriksaan validasi kebijakan IAM
Anda dapat memvalidasi kebijakan Anda menggunakan validasi AWS Identity and Access Management Access Analyzer kebijakan. Anda dapat membuat atau mengedit kebijakan menggunakan editor kebijakan AWS CLI, AWS API, atau JSON di konsol IAM. [IAM Access Analyzer memvalidasi kebijakan Anda terhadap [tata bahasa kebijakan](reference_policies_grammar.md) IAM dan praktik terbaik.AWS](best-practices.md) Anda dapat melihat temuan pemeriksaan validasi kebijakan yang mencakup peringatan keamanan, kesalahan, peringatan umum, dan saran untuk kebijakan Anda. Temuan ini memberikan rekomendasi yang dapat ditindaklanjuti yang membantu Anda membuat kebijakan yang fungsional dan sesuai dengan praktik terbaik keamanan. Daftar pemeriksaan kebijakan dasar yang disediakan oleh IAM Access Analyzer dibagikan di bawah ini. Tidak ada biaya tambahan yang terkait dengan menjalankan pemeriksaan validasi kebijakan. Untuk mempelajari lebih lanjut tentang memvalidasi kebijakan menggunakan validasi kebijakan, lihat. [Validasi kebijakan dengan IAM Access Analyzer](access-analyzer-policy-validation.md)
## Kesalahan - Akun ARN tidak diizinkan
**Kode masalah: ARN\$1ACCOUNT\$1NOT\$1ALLOWED**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."
```
**Menyelesaikan kesalahan**
Hapus ID akun dari sumber daya ARN. Sumber daya ARNs untuk beberapa AWS layanan tidak mendukung menentukan ID akun.
Misalnya, Amazon S3 tidak mendukung ID akun sebagai namespace di bucket. ARNs Nama bucket Amazon S3 unik secara global, dan namespace dibagikan oleh semua akun. AWS *Untuk melihat semua jenis sumber daya yang tersedia di Amazon S3, lihat [Jenis sumber daya yang ditentukan oleh Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) di Referensi Otorisasi Layanan.*
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Pengidentifikasi Akun](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS sumber daya layanan dengan format ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Wilayah ARN tidak diizinkan
**Kode masalah: ARN\$1REGION\$1NOT\$1ALLOVED**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."
```
**Menyelesaikan kesalahan**
Hapus wilayah dari sumber daya ARN. Sumber daya ARNs untuk beberapa AWS layanan tidak mendukung menentukan Wilayah.
Misalnya, IAM adalah layanan global. Bagian Wilayah dari ARN sumber daya IAM selalu dikosongkan. Sumber daya IAM bersifat global, seperti AWS akun saat ini. Misalnya, setelah Anda masuk sebagai pengguna IAM, Anda dapat mengakses AWS layanan di wilayah geografis mana pun.
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS sumber daya layanan dengan format ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Ketidakcocokan tipe data
**Kode masalah:** DATA\$1TYPE\$1MISMATCH
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."
```
**Menyelesaikan kesalahan**
Perbarui teks untuk menggunakan tipe data yang didukung.
Misalnya, kunci kondisi `Version` global memerlukan tipe `String` data. Jika Anda memberikan tanggal atau bilangan bulat, tipe data tidak akan cocok.
**Istilah terkait**
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
## Kesalahan - Kunci duplikat dengan kasus yang berbeda
**Kode masalah:** DUPLICATE\$1KEYS\$1WITH\$1DIFFERENT\$1CASE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."
```
**Menyelesaikan kesalahan**
Tinjau kunci kondisi serupa dalam blok kondisi yang sama dan gunakan kapitalisasi yang sama untuk semua instance.
*Blok kondisi* adalah teks dalam `Condition` elemen pernyataan kebijakan. *Nama* kunci kondisi tidak peka dengan huruf besar-kecil. Sensitivitas kasus *nilai* kunci kondisi tergantung pada operator kondisi yang Anda gunakan. Untuk informasi selengkapnya tentang sensitivitas huruf besar/kecil pada tombol kondisi, lihat. [Elemen kebijakan IAM JSON: Condition](reference_policies_elements_condition.md)
**Istilah terkait**
+ [Ketentuan](reference_policies_elements_condition.md)
+ [Blok kondisi](reference_policies_elements_condition.md#AccessPolicyLanguage_ConditionBlock)
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [AWS kunci kondisi layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Tindakan tidak valid
**Kode masalah:** INVALID\$1ACTION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"
```
**Menyelesaikan kesalahan**
Tindakan yang Anda tentukan tidak valid. Ini bisa terjadi jika Anda salah mengetik awalan layanan atau nama tindakan. Untuk beberapa masalah umum, pemeriksaan kebijakan mengembalikan tindakan yang disarankan.
**Istilah terkait**
+ [Tindakan kebijakan](reference_policies_elements_action.md)
+ [AWS tindakan layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
### AWS kebijakan terkelola dengan kesalahan ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Kebijakan AWS terkelola berikut mencakup tindakan tidak valid dalam pernyataan kebijakan mereka. Tindakan yang tidak valid tidak memengaruhi izin yang diberikan oleh kebijakan. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan terkelola, AWS sarankan agar Anda menghapus tindakan yang tidak valid dari kebijakan Anda.
+ [Amazon EMRFull AccessPolicy \$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEMRFullAccessPolicy_v2)
+ [CloudWatchSyntheticsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchSyntheticsFullAccess)
## Kesalahan - Akun ARN tidak valid
**Kode masalah:** INVALID\$1ARN\$1ACCOUNT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."
```
**Menyelesaikan kesalahan**
Perbarui ID akun di sumber daya ARN. Akun IDs adalah bilangan bulat 12 digit. Untuk mempelajari cara melihat ID akun, lihat [Menemukan ID AWS akun](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers).
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Pengidentifikasi Akun](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS sumber daya layanan dengan format ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan — Awalan ARN tidak valid
**Kode masalah:** INVALID\$1ARN\$1PREFIX
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add the required prefix (arn) to the resource ARN."
```
**Menyelesaikan kesalahan**
AWS sumber daya ARNs harus menyertakan `arn:` awalan yang diperlukan.
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS sumber daya layanan dengan format ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Wilayah ARN Tidak Valid
**Kode masalah:** INVALID\$1ARN\$1REGION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."
```
**Menyelesaikan kesalahan**
Jenis sumber daya tidak didukung di Wilayah yang ditentukan. Untuk tabel AWS layanan yang didukung di setiap Wilayah, lihat [tabel Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [Nama dan kode wilayah](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)
## Kesalahan - Sumber daya ARN tidak valid
**Kode masalah:** INVALID\$1ARN\$1RESOURCE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."
```
**Menyelesaikan kesalahan**
Sumber daya ARN harus sesuai dengan spesifikasi untuk jenis sumber daya yang diketahui. Untuk melihat format ARN yang diharapkan untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) layanan. Pilih nama layanan untuk melihat jenis sumber daya dan format ARN.
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS sumber daya layanan dengan format ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Kasus layanan ARN tidak valid
**Kode masalah:** INVALID\$1ARN\$1SERVICE\$1CASE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid ARN service case: Update the service name {{service}} in the resource ARN to use all lowercase letters.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Update the service name {{service}} in the resource ARN to use all lowercase letters."
```
**Menyelesaikan kesalahan**
Layanan di sumber daya ARN harus sesuai dengan spesifikasi (termasuk kapitalisasi) untuk awalan layanan. Untuk melihat awalan untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Pilih nama layanan dan temukan awalannya di kalimat pertama.
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS sumber daya layanan dengan format ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Tipe data kondisi tidak valid
**Kode masalah:** INVALID\$1CONDITION\$1DATA\$1TYPE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."
```
**Menyelesaikan kesalahan**
Nilai dalam pasangan kunci-nilai kondisi harus sesuai dengan tipe data dari kunci kondisi dan operator kondisi. Untuk melihat tipe data kunci kondisi untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Pilih nama layanan untuk melihat tombol kondisi untuk layanan tersebut.
Misalnya, kunci kondisi [`CurrentTime`](reference_policies_condition-keys.md#condition-keys-currenttime)global mendukung operator `Date` kondisi. Jika Anda memberikan string atau bilangan bulat untuk nilai di blok kondisi, tipe data tidak akan cocok.
**Istilah terkait**
+ [Ketentuan](reference_policies_elements_condition.md)
+ [Blok kondisi](reference_policies_elements_condition.md#AccessPolicyLanguage_ConditionBlock)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [AWS kunci kondisi layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Format kunci kondisi tidak valid
**Kode masalah:** INVALID\$1CONDITION\$1KEY\$1FORMAT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key format is not valid. Use the format service:keyname."
```
**Menyelesaikan kesalahan**
Kunci dalam kondisi pasangan kunci-nilai harus sesuai dengan spesifikasi untuk layanan. Untuk melihat kunci kondisi untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Pilih nama layanan untuk melihat tombol kondisi untuk layanan tersebut.
**Istilah terkait**
+ [Ketentuan](reference_policies_elements_condition.md)
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [AWS kunci kondisi layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Kondisi tidak valid beberapa Boolean
**Kode masalah:** INVALID\$1CONDITION\$1MULTIPLE\$1BOOLEAN
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."
```
**Menyelesaikan kesalahan**
Kunci dalam pasangan kunci-nilai kondisi mengharapkan nilai Boolean tunggal. Saat Anda memberikan beberapa nilai Boolean, kecocokan kondisi mungkin tidak mengembalikan hasil yang Anda harapkan.
Untuk melihat kunci kondisi untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Pilih nama layanan untuk melihat tombol kondisi untuk layanan tersebut.
+ [Ketentuan](reference_policies_elements_condition.md)
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [AWS kunci kondisi layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Operator kondisi tidak valid
**Kode masalah:** INVALID\$1CONDITION\$1OPERATOR
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."
```
**Menyelesaikan kesalahan**
Perbarui kondisi untuk menggunakan operator kondisi yang didukung.
**Istilah terkait**
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
+ [Elemen kondisi](reference_policies_elements_condition.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Kesalahan - Efek tidak valid
**Kode masalah:** INVALID\$1EFFECT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."
```
**Menyelesaikan kesalahan**
Perbarui `Effect` elemen untuk menggunakan efek yang valid. Nilai yang valid untuk `Effect` adalah **Allow** dan **Deny**.
**Istilah terkait**
+ [Elemen efek](reference_policies_elements_effect.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Kesalahan - Kunci kondisi global tidak valid
**Kode masalah:** INVALID\$1GLOBAL\$1CONDITION\$1KEY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."
```
**Menyelesaikan kesalahan**
Perbarui kunci kondisi pada pasangan kunci-nilai kondisi untuk menggunakan kunci kondisi global yang didukung.
Kunci kondisi global adalah kunci kondisi dengan `aws:` awalan. AWS layanan dapat mendukung kunci kondisi global atau menyediakan kunci khusus layanan yang menyertakan awalan layanan mereka. Misalnya, kunci kondisi IAM mencakup prefiks `iam:`. Untuk informasi selengkapnya, lihat [Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dan pilih layanan yang kuncinya ingin Anda lihat.
**Istilah terkait**
+ [Kunci kondisi global](reference_policies_condition-keys.md)
## Kesalahan - Partisi tidak valid
**Kode masalah:** INVALID\$1PARTITION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"
```
**Menyelesaikan kesalahan**
Perbarui ARN sumber daya untuk menyertakan partisi yang didukung. Jika Anda menyertakan partisi yang didukung, maka layanan atau sumber daya mungkin tidak mendukung partisi yang Anda sertakan.
*Partisi* adalah sekelompok AWS Wilayah. Setiap AWS akun dicakup ke satu partisi. Di Wilayah Klasik, gunakan `aws` partisi. Di Wilayah Tiongkok, `aws-cn` gunakan.
**Istilah terkait**
+ [Nama Sumber Daya Amazon (ARNs) - Partisi](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)
## Kesalahan - Elemen kebijakan tidak valid
**Kode masalah:** INVALID\$1POLICY\$1ELEMENT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid policy element: The policy element {{element}} is not valid.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The policy element {{element}} is not valid."
```
**Menyelesaikan kesalahan**
Perbarui kebijakan agar hanya menyertakan elemen kebijakan JSON yang didukung.
**Istilah terkait**
+ [Elemen kebijakan JSON](reference_policies_elements.md)
## Kesalahan - Format utama tidak valid
**Kode masalah:** INVALID\$1PRINCIPAL\$1FORMAT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."
```
**Menyelesaikan kesalahan**
Perbarui prinsipal untuk menggunakan format pasangan nilai kunci yang didukung.
Anda dapat menentukan prinsipal dalam kebijakan berbasis sumber daya, tetapi bukan kebijakan berbasis identitas.
Misalnya, untuk menentukan akses bagi semua orang di AWS akun, gunakan prinsip berikut dalam kebijakan Anda:
```
"Principal": { "AWS": "123456789012" }
```
**Istilah terkait**
+ [Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md)
+ [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md)
## Kesalahan - Kunci utama tidak valid
**Kode masalah:** INVALID\$1PRINCIPAL\$1KEY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid principal key: The principal key {{principal-key}} is not valid.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The principal key {{principal-key}} is not valid."
```
**Menyelesaikan kesalahan**
Perbarui kunci dalam pasangan nilai kunci utama untuk menggunakan kunci utama yang didukung. Berikut ini adalah kunci utama yang didukung:
+ AWS
+ CanonicalUser
+ Terfederasi
+ Layanan
**Istilah terkait**
+ [Elemen utama](reference_policies_elements_principal.md)
## Kesalahan - Wilayah Tidak Valid
**Kode masalah:** INVALID\$1REGION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid Region: The Region {{region}} is not valid. Update the condition value to a supported Region.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a supported Region."
```
**Menyelesaikan kesalahan**
Perbarui nilai pasangan kunci-nilai kondisi untuk menyertakan Wilayah yang didukung. Untuk tabel AWS layanan yang didukung di setiap Wilayah, lihat [tabel Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [Nama dan kode wilayah](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)
## Kesalahan - Layanan tidak valid
**Kode masalah:** INVALID\$1SERVICE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid service: The service {{service}} does not exist. Use a valid service name.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The service {{service}} does not exist. Use a valid service name."
```
**Menyelesaikan kesalahan**
Awalan layanan dalam kunci tindakan atau kondisi harus sesuai dengan spesifikasi (termasuk kapitalisasi) untuk awalan layanan. Untuk melihat awalan untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Pilih nama layanan dan temukan awalannya di kalimat pertama.
**Istilah terkait**
+ [Layanan yang dikenal dan tindakan, sumber daya, dan kunci kondisinya](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Kunci kondisi layanan tidak valid
**Kode masalah:** INVALID\$1SERVICE\$1CONDITION\$1KEY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."
```
**Menyelesaikan kesalahan**
Perbarui kunci dalam pasangan kunci-nilai kondisi untuk menggunakan kunci kondisi yang diketahui untuk layanan. Nama kunci kondisi global dimulai dengan `aws` awalan. AWS layanan dapat menyediakan kunci khusus layanan yang menyertakan awalan layanan mereka. Untuk melihat awalan untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html).
**Istilah terkait**
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [Layanan yang dikenal dan tindakan, sumber daya, dan kunci kondisinya](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Layanan tidak valid dalam tindakan
**Kode masalah: INVALID\$1SERVICE\$1IN\$1ACTION**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"
```
**Menyelesaikan kesalahan**
Awalan layanan dalam tindakan harus sesuai dengan spesifikasi (termasuk kapitalisasi) untuk awalan layanan. Untuk melihat awalan untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html). Pilih nama layanan dan temukan awalannya di kalimat pertama.
**Istilah terkait**
+ [Elemen aksi](reference_policies_elements_action.md)
+ [Layanan yang dikenal dan tindakan mereka](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Variabel tidak valid untuk operator
**Kode masalah:** INVALID\$1VARIABLE\$1FOR\$1OPERATOR
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Policy variables can only be used with String and ARN operators."
```
**Menyelesaikan kesalahan**
Anda dapat menggunakan variabel kebijakan di elemen `Resource` dan dalam perbandingan string dalam elemen `Condition`. Kondisi mendukung variabel ketika Anda menggunakan operator string atau operator ARN. Operator string termasuk`StringEquals`,`StringLike`, dan`StringNotLike`. Operator ARN termasuk `ArnEquals` dan. `ArnLike` Anda tidak dapat menggunakan variabel kebijakan dengan operator lain, seperti Numerik, Tanggal, Boolean, Biner, Alamat IP, atau operator Null.
**Istilah terkait**
+ [Menggunakan variabel kebijakan dalam elemen Kondisi](reference_policies_variables.md#policy-vars-conditionelement)
+ [Elemen kondisi](reference_policies_elements_condition.md)
## Kesalahan - Versi tidak valid
**Kode masalah:** INVALID\$1VERSION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid version: The version {{version}} is not valid. Use one of the following versions: {{versions}}
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The version {{version}} is not valid. Use one of the following versions: {{versions}}"
```
**Menyelesaikan kesalahan**
Elemen `Version` kebijakan menentukan aturan sintaks bahasa yang AWS digunakan untuk memproses kebijakan. Untuk menggunakan semua fitur kebijakan yang tersedia, sertakan `Version` elemen terbaru sebelum `Statement` elemen di semua kebijakan Anda.
```
"Version": "2012-10-17"
```
**Istilah terkait**
+ [Elemen versi](reference_policies_elements_version.md)
## Kesalahan - Kesalahan sintaks Json
**Kode masalah:** JSON\$1SYNTAX\$1ERROR
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."
```
**Menyelesaikan kesalahan**
Kebijakan Anda menyertakan kesalahan sintaks. Periksa sintaks JSON Anda.
**Istilah terkait**
+ [Validator JSON](https://json-validate.com/)
+ [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Kesalahan - Kesalahan sintaks Json
**Kode masalah:** JSON\$1SYNTAX\$1ERROR
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Json syntax error: Fix the JSON syntax error.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Fix the JSON syntax error."
```
**Menyelesaikan kesalahan**
Kebijakan Anda menyertakan kesalahan sintaks. Periksa sintaks JSON Anda.
**Istilah terkait**
+ [Validator JSON](https://json-validate.com/)
+ [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Kesalahan - Tindakan hilang
**Kode masalah:** MISSING\$1ACTION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing action: Add an Action or NotAction element to the policy statement.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add an Action or NotAction element to the policy statement."
```
**Menyelesaikan kesalahan**
AWS Kebijakan JSON harus menyertakan `NotAction` elemen `Action` atau.
**Istilah terkait**
+ [Elemen aksi](reference_policies_elements_action.md)
+ [NotAction elemen](reference_policies_elements_notaction.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Kesalahan - Bidang ARN tidak ada
**Kode masalah:** MISSING\$1ARN\$1FIELD
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"
```
**Menyelesaikan kesalahan**
Semua bidang di ARN sumber daya harus sesuai dengan spesifikasi untuk jenis sumber daya yang diketahui. Untuk melihat format ARN yang diharapkan untuk layanan, lihat [Tindakan, sumber daya, dan kunci kondisi untuk AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) layanan. Pilih nama layanan untuk melihat jenis sumber daya dan format ARN.
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS sumber daya layanan dengan format ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Wilayah ARN Hilang
**Kode masalah:** MISSING\$1ARN\$1REGION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing ARN Region: Add a Region to the {{service}} resource ARN.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add a Region to the {{service}} resource ARN."
```
**Menyelesaikan kesalahan**
Sumber daya ARNs untuk sebagian besar AWS layanan mengharuskan Anda menentukan Wilayah. Untuk tabel AWS layanan yang didukung di setiap Wilayah, lihat [tabel Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [Nama dan kode wilayah](https://docs.aws.amazon.com/general/latest/gr/rande.html#region-names-codes)
## Kesalahan - Efek hilang
**Kode masalah:** MISSING\$1EFFECT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."
```
**Menyelesaikan kesalahan**
AWS Kebijakan JSON harus menyertakan `Effect` elemen dengan nilai **Allow** dan**Deny**.
**Istilah terkait**
+ [Elemen efek](reference_policies_elements_effect.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Kesalahan - Kepala sekolah tidak ada
**Kode masalah:** MISSING\$1PRINCIPAL
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing principal: Add a Principal element to the policy statement.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add a Principal element to the policy statement."
```
**Menyelesaikan kesalahan**
Kebijakan berbasis sumber daya harus menyertakan elemen. `Principal`
Misalnya, untuk menentukan akses bagi semua orang di AWS akun, gunakan prinsip berikut dalam kebijakan Anda:
```
"Principal": { "AWS": "123456789012" }
```
**Istilah terkait**
+ [Elemen utama](reference_policies_elements_principal.md)
+ [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md)
## Kesalahan - Kualifikasi tidak ada
**Kode masalah:** MISSING\$1QUALIFIER
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing qualifier: The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."
```
**Menyelesaikan kesalahan**
Dalam `Condition` elemen, Anda membangun ekspresi di mana Anda menggunakan operator kondisi seperti sama atau kurang dari untuk membandingkan kondisi dalam kebijakan terhadap kunci dan nilai dalam konteks permintaan. Untuk permintaan yang menyertakan beberapa nilai untuk satu kunci kondisi, Anda harus menyertakan kondisi dalam tanda kurung seperti array (“Key2": [" Value2A”, “Value2B"]). Anda juga harus menggunakan `ForAllValues` atau `ForAnyValue` mengatur operator dengan operator `StringLike` kondisi. Pengkualifikasi ini menambahkan fungsi operasi kumpulan ke operator kondisi sehingga Anda dapat menguji beberapa nilai permintaan terhadap beberapa nilai kondisi.
**Istilah terkait**
+ [Kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Elemen kondisi](reference_policies_elements_condition.md)
### AWS kebijakan terkelola dengan kesalahan ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Kebijakan AWS terkelola berikut menyertakan kualifikasi yang hilang untuk kunci kondisi dalam pernyataan kebijakan mereka. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan terkelola pelanggan, AWS sarankan Anda menambahkan `ForAllValues` atau `ForAnyValue` syarat kualifikasi kunci ke `Condition` elemen Anda.
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)
## Kesalahan - Sumber daya hilang
**Kode masalah:** MISSING\$1RESOURCE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing resource: Add a Resource or NotResource element to the policy statement.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add a Resource or NotResource element to the policy statement."
```
**Menyelesaikan kesalahan**
Semua kebijakan kecuali kebijakan kepercayaan peran harus menyertakan `NotResource` elemen `Resource` atau.
**Istilah terkait**
+ [Elemen sumber daya](reference_policies_elements_resource.md)
+ [NotResource elemen](reference_policies_elements_notresource.md)
+ [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Kesalahan - Pernyataan hilang
**Kode masalah:** MISSING\$1STATEMENT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing statement: Add a statement to the policy
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add a statement to the policy"
```
**Menyelesaikan kesalahan**
Kebijakan JSON harus menyertakan pernyataan.
**Istilah terkait**
+ [Elemen kebijakan JSON](reference_policies_elements.md)
## Kesalahan - Null dengan jika ada
**Kode masalah:** NULL\$1WITH\$1IF\$1EXISTS
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."
```
**Menyelesaikan kesalahan**
Anda dapat menambahkan `IfExists` ke akhir nama operator kondisi apa pun kecuali operator `Null` kondisi. Gunakan operator ketentuan `Null` untuk memeriksa apakah kunci kondisi ada pada saat otorisasi. Gunakan `...ifExists` untuk mengatakan “Jika kunci kebijakan hadir dalam konteks permintaan, proses kunci seperti yang ditentukan dalam kebijakan. Jika kuncinya tidak ada, evaluasi elemen ketentuan sebagai benar."
**Istilah terkait**
+ [... IfExists operator kondisi](reference_policies_elements_condition_operators.md#Conditions_IfExists)
+ [Operator kondisi nol](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elemen kondisi](reference_policies_elements_condition.md)
## Kesalahan - Wildcard aksi kesalahan sintaks SCP
**Kode masalah:** SCP\$1SYNTAX\$1ERROR\$1ACTION\$1WILDCARD
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."
```
**Menyelesaikan kesalahan**
AWS Organizations kebijakan kontrol layanan (SCPs) mendukung menentukan nilai-nilai dalam `Action` atau `NotAction` elemen. Namun, nilai-nilai ini dapat mencakup wildcard (\$1) hanya di akhir string. Ini berarti Anda dapat menentukan `iam:Get*` tetapi tidak`iam:*role`.
Untuk menentukan beberapa tindakan, AWS sarankan Anda mencantumkannya satu per satu.
**Istilah terkait**
+ [SCP Aksi dan elemen NotAction ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html#scp-syntax-action)
+ [Evaluasi SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)
+ [AWS Organizations kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
## Kesalahan - Prinsip kesalahan sintaks SCP
**Kode masalah:** SCP\$1SYNTAX\$1ERROR\$1PRINCIPAL
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."
```
**Menyelesaikan kesalahan**
AWS Organizations kebijakan kontrol layanan (SCPs) tidak mendukung `Principal` atau `NotPrincipal` elemen.
Anda dapat menentukan Amazon Resource Name (ARN) menggunakan kunci kondisi `aws:PrincipalArn` global dalam elemen. `Condition`
**Istilah terkait**
+ [Sintaks SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [Kunci kondisi global untuk kepala sekolah](reference_policies_condition-keys.md#condition-keys-principalarn)
## Kesalahan - Sids Unik diperlukan
**Kode masalah:** UNIQUE\$1SIDS\$1REQUIRED
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."
```
**Menyelesaikan kesalahan**
Untuk beberapa jenis kebijakan, pernyataan IDs harus unik. Elemen `Sid` (ID pernyataan) memungkinkan Anda memasukkan pengenal opsional yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan nilai ID pernyataan untuk setiap pernyataan dalam array pernyataan menggunakan `SID` elemen. Dalam layanan yang memungkinkan Anda menentukan elemen ID, seperti SQS dan SNS, `Sid` nilainya hanyalah sub-ID dari ID dokumen kebijakan. Misalnya, di IAM, `Sid` nilainya harus unik dalam kebijakan JSON.
**Istilah terkait**
+ [Elemen kebijakan IAM JSON: Sid](reference_policies_elements_sid.md)
## Kesalahan — Tindakan yang tidak didukung dalam kebijakan
**Kode masalah:** UNSUPPORTED\$1ACTION\$1IN\$1POLICY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```
**Menyelesaikan kesalahan**
Beberapa tindakan tidak didukung dalam `Action` elemen dalam kebijakan berbasis sumber daya yang dilampirkan ke jenis sumber daya yang berbeda. Misalnya, AWS Key Management Service tindakan tidak didukung dalam kebijakan bucket Amazon S3. Tentukan tindakan yang didukung oleh jenis sumber daya yang dilampirkan pada kebijakan berbasis sumber daya Anda.
**Istilah terkait**
+ [Elemen kebijakan JSON: Tindakan](reference_policies_elements_action.md)
## Kesalahan - Kombinasi elemen yang tidak didukung
**Kode masalah:** UNSUPPORTED\$1ELEMENT\$1COMBINATION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported element combination: The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements."
```
**Menyelesaikan kesalahan**
Beberapa kombinasi elemen kebijakan JSON tidak dapat digunakan bersama-sama. Misalnya, Anda tidak dapat menggunakan `Action` dan `NotAction` dalam pernyataan kebijakan yang sama. Pasangan lain yang saling eksklusif termasuk `Principal/NotPrincipal` dan`Resource/NotResource`.
**Istilah terkait**
+ [Referensi elemen kebijakan IAM JSON](reference_policies_elements.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Kesalahan - Kunci kondisi global yang tidak didukung
**Kode masalah:** UNSUPPORTED\$1GLOBAL\$1CONDITION\$1KEY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."
```
**Menyelesaikan kesalahan**
AWS tidak mendukung penggunaan kunci kondisi global yang ditentukan. Tergantung pada kasus penggunaan Anda, Anda dapat menggunakan `aws:PrincipalArn` atau kunci kondisi `aws:SourceArn` global. Misalnya`aws:ARN`, gunakan `aws:PrincipalArn` untuk membandingkan Amazon Resource Name (ARN) prinsipal yang membuat permintaan dengan ARN yang Anda tentukan dalam kebijakan. Atau, gunakan kunci kondisi `aws:SourceArn` global untuk membandingkan Nama Sumber Daya Amazon (ARN) sumber daya yang membuat service-to-service permintaan dengan ARN yang Anda tentukan dalam kebijakan.
**Istilah terkait**
+ [AWS kunci konteks kondisi global](reference_policies_condition-keys.md)
## Kesalahan — Prinsipal yang tidak didukung
**Kode masalah:** UNSUPPORTED\$1PRINCIPAL
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported principal: The policy type {{policy_type}} does not support the Principal element. Remove the Principal element.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The policy type {{policy_type}} does not support the Principal element. Remove the Principal element."
```
**Menyelesaikan kesalahan**
`Principal`Elemen menentukan prinsipal yang diizinkan atau ditolak akses ke sumber daya. Anda tidak dapat menggunakan elemen `Principal` dalam kebijakan berbasis-identitas IAM. Anda dapat menggunakannya dalam kebijakan kepercayaan untuk peran IAM dan kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya adalah kebijakan yang diterapkan langsung ke sumber daya. Misalnya, Anda dapat menyematkan kebijakan di bucket Amazon S3 atau AWS kunci KMS.
**Istilah terkait**
+ [AWS Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md)
+ [Akses sumber daya lintas akun di IAM](access_policies-cross-account-resource-access.md)
## Kesalahan — ARN sumber daya yang tidak didukung dalam kebijakan
**Kode masalah:** UNSUPPORTED\$1RESOURCE\$1ARN\$1IN\$1POLICY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```
**Menyelesaikan kesalahan**
Beberapa sumber daya ARNs tidak didukung dalam `Resource` elemen kebijakan berbasis sumber daya saat kebijakan dilampirkan ke jenis sumber daya yang berbeda. Misalnya, AWS KMS ARNs tidak didukung dalam `Resource` elemen untuk kebijakan bucket Amazon S3. Tentukan ARN sumber daya yang didukung oleh jenis sumber daya yang dilampirkan pada kebijakan berbasis sumber daya Anda.
**Istilah terkait**
+ [Elemen kebijakan JSON: Tindakan](reference_policies_elements_action.md)
## Kesalahan — Sid Tidak Didukung
**Kode masalah:** UNSUPPORTED\$1SID
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"
```
**Menyelesaikan kesalahan**
Elemen `Sid` mendukung huruf besar, huruf kecil, dan angka.
**Istilah terkait**
+ [Elemen kebijakan IAM JSON: Sid](reference_policies_elements_sid.md)
## Kesalahan - Wildcard tidak didukung pada prinsipnya
**Kode masalah:** UNSUPPORTED\$1WILDCARD\$1IN\$1PRINCIPAL
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."
```
**Menyelesaikan kesalahan**
Struktur `Principal` elemen mendukung penggunaan pasangan kunci-nilai. Nilai pokok yang ditentukan dalam polis termasuk wildcard (\$1). Anda tidak dapat menyertakan wildcard dengan kunci utama yang Anda tentukan. Misalnya, saat Anda menentukan pengguna dalam `Principal` elemen, Anda tidak dapat menggunakan wildcard yang berarti “semua pengguna”. Anda harus memberi nama pengguna atau pengguna tertentu. Demikian pula, ketika Anda menentukan sesi peran yang diasumsikan, Anda tidak dapat menggunakan wildcard yang berarti “semua sesi”. Anda harus menyebutkan sesi tertentu. Anda juga tidak dapat menggunakan wildcard untuk mencocokkan bagian dari nama atau ARN.
Untuk mengatasi temuan ini, hapus wildcard dan berikan prinsipal yang lebih spesifik.
**Istilah terkait**
+ [AWS Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md)
## Kesalahan - Penjepit tidak ada dalam variabel
**Kode masalah:** MISSING\$1BRACE\$1IN\$1VARIABLE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."
```
**Menyelesaikan kesalahan**
Struktur variabel kebijakan mendukung penggunaan `$` awalan diikuti oleh sepasang kurawal kurawal (). `{ }` Di dalam `${ }` karakter, sertakan nama nilai dari permintaan yang ingin Anda gunakan dalam kebijakan.
Untuk mengatasi temuan ini, tambahkan penjepit yang hilang untuk memastikan set kawat gigi pembukaan dan penutup penuh hadir.
**Istilah terkait**
+ [Elemen kebijakan IAM: Variabel](reference_policies_variables.md)
## Kesalahan - Kutipan hilang dalam variabel
**Kode masalah:** MISSING\$1QUOTE\$1IN\$1VARIABLE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."
```
**Menyelesaikan kesalahan**
Ketika Anda menambahkan variabel ke kebijakan Anda, Anda dapat menentukan nilai default untuk variabel. Jika variabel tidak ada, AWS gunakan teks default yang Anda berikan.
Untuk menambahkan nilai default ke variabel, sertai nilai default dengan tanda kutip tunggal (`' '`), dan pisahkan teks variabel serta nilai default dengan koma dan spasi (`, `).
Misalnya, jika prinsipal diberi tag`team=yellow`, mereka dapat mengakses bucket `amzn-s3-demo-bucket` Amazon S3 dengan nama tersebut. `amzn-s3-demo-bucket-yellow` Kebijakan dengan sumber daya ini mungkin memungkinkan anggota tim untuk mengakses sumber daya mereka sendiri, tetapi bukan milik tim lain. Untuk pengguna tanpa tag tim, Anda dapat menetapkan nilai default`company-wide`. Pengguna ini hanya dapat mengakses `amzn-s3-demo-bucket-company-wide` bucket di mana mereka dapat melihat informasi yang luas, seperti instruksi untuk bergabung dengan tim.
```
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"
```
**Istilah terkait**
+ [Elemen kebijakan IAM: Variabel](reference_policies_variables.md)
## Kesalahan - Ruang yang tidak didukung dalam variabel
**Kode masalah:** UNSUPPORTED\$1SPACE\$1IN\$1VARIABLE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "A space is not supported within the policy variable text. Remove the space."
```
**Menyelesaikan kesalahan**
Struktur variabel kebijakan mendukung penggunaan `$` awalan diikuti oleh sepasang kurawal kurawal (). `{ }` Di dalam `${ }` karakter, sertakan nama nilai dari permintaan yang ingin Anda gunakan dalam kebijakan. Meskipun Anda dapat menyertakan spasi ketika Anda menentukan variabel default, Anda tidak dapat menyertakan spasi dalam nama variabel.
**Istilah terkait**
+ [Elemen kebijakan IAM: Variabel](reference_policies_variables.md)
## Kesalahan - Variabel kosong
**Kode masalah:** EMPTY\$1VARIABLE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."
```
**Menyelesaikan kesalahan**
Struktur variabel kebijakan mendukung penggunaan `$` awalan diikuti oleh sepasang kurawal kurawal (). `{ }` Di dalam `${ }` karakter, sertakan nama nilai dari permintaan yang ingin Anda gunakan dalam kebijakan.
**Istilah terkait**
+ [Elemen kebijakan IAM: Variabel](reference_policies_variables.md)
## Kesalahan - Variabel tidak didukung dalam elemen
**Kode masalah:** VARIABLE\$1UNSUPPORTED\$1IN\$1ELEMENT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."
```
**Menyelesaikan kesalahan**
Anda dapat menggunakan variabel kebijakan di elemen `Resource` dan dalam perbandingan string dalam elemen `Condition`.
**Istilah terkait**
+ [Elemen kebijakan IAM: Variabel](reference_policies_variables.md)
## Kesalahan - Variabel tidak didukung dalam versi
**Kode masalah:** VARIABLE\$1UNSUPPORTED\$1IN\$1VERSION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."
```
**Menyelesaikan kesalahan**
Untuk menggunakan variabel kebijakan, Anda harus menyertakan `Version` elemen dan menyetelnya ke versi yang mendukung variabel kebijakan. Variabel diperkenalkan dalam versi `2012-10-17`. Versi sebelumnya dari bahasa kebijakan tidak mendukung variabel kebijakan. Jika Anda tidak menyetel `Version` ke `2012-10-17` atau yang lebih baru, variabel seperti `${aws:username}` diperlakukan sebagai string literal dalam kebijakan.
Elemen kebijakan `Version` berbeda dari versi kebijakan. Elemen kebijakan `Version` digunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Versi kebijakan, dibuat saat Anda mengubah kebijakan yang dikelola pelanggan di IAM. Perubahan kebijakan tidak mengesampingkan kebijakan yang ada. Sebagai gantinya, IAM membuat versi baru dari kebijakan yang dikelola.
**Istilah terkait**
+ [Elemen kebijakan IAM: Variabel](reference_policies_variables.md)
+ [Elemen kebijakan IAM JSON: Versi](reference_policies_elements_version.md)
## Kesalahan - Alamat IP pribadi
**Kode masalah:** PRIVATE\$1IP\$1ADDRESS
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."
```
**Menyelesaikan kesalahan**
Kunci kondisi global hanya `aws:SourceIp` berfungsi untuk rentang alamat IP publik. Anda menerima kesalahan ini ketika kebijakan Anda hanya mengizinkan alamat IP pribadi. Dalam hal ini, kondisinya tidak akan pernah cocok.
+ [aws: kunci kondisi SourceIp global](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Kesalahan - Pribadi NotIpAddress
**Kode masalah:** PRIVATE\$1NOT\$1IP\$1ADDRESS
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."
```
**Menyelesaikan kesalahan**
Kunci kondisi global hanya `aws:SourceIp` berfungsi untuk rentang alamat IP publik. Anda menerima kesalahan ini ketika Anda menggunakan operator `NotIpAddress` kondisi dan hanya mencantumkan alamat IP pribadi. Dalam hal ini, kondisinya akan selalu cocok dan tidak akan efektif.
+ [aws: kunci kondisi SourceIp global](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Kesalahan — Ukuran kebijakan melebihi kuota SCP
**Kode masalah:** POLICY\$1SIZE\$1EXCEEDS\$1SCP\$1QUOTA
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."
```
**Menyelesaikan kesalahan**
AWS Organizations kebijakan kontrol layanan (SCPs) mendukung menentukan nilai-nilai dalam `Action` atau `NotAction` elemen. Namun, nilai-nilai ini dapat mencakup wildcard (\$1) hanya di akhir string. Ini berarti Anda dapat menentukan `iam:Get*` tetapi tidak`iam:*role`.
Untuk menentukan beberapa tindakan, AWS sarankan Anda mencantumkannya satu per satu.
**Istilah terkait**
+ [Kuota untuk Organizations AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)
+ [AWS Organizations kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
## Kesalahan - Format utama layanan tidak valid
**Kode masalah:** INVALID\$1SERVICE\$1PRINCIPAL\$1FORMAT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."
```
**Menyelesaikan kesalahan**
Nilai dalam pasangan kunci-nilai kondisi harus cocok dengan format utama layanan yang ditentukan.
*Pengguna utama layanan* adalah pengidentifikasi yang digunakan untuk memberikan izin layanan. Anda dapat menentukan prinsip layanan dalam `Principal` elemen atau sebagai nilai untuk beberapa kunci kondisi global dan kunci khusus layanan. Prinsip layanan ditentukan oleh masing-masing layanan.
Pengenal untuk kepala layanan mencakup nama layanan, dan biasanya dalam format berikut dalam semua huruf kecil:
`service-name.amazonaws.com`
Beberapa kunci khusus layanan mungkin menggunakan format yang berbeda untuk prinsipal layanan. Misalnya, kunci `kms:ViaService` kondisi memerlukan format berikut untuk prinsip layanan dalam semua huruf kecil:
`service-name.AWS_region.amazonaws.com`
**Istilah terkait**
+ [Prinsipal layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS kunci kondisi global](reference_policies_condition-keys.md)
+ [`kms:ViaService`kunci kondisi](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)
## Kesalahan - Kunci tag hilang dalam kondisi
**Kode masalah:** MISSING\$1TAG\$1KEY\$1IN\$1CONDITION
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."
```
**Menyelesaikan kesalahan**
Untuk mengontrol akses berdasarkan tanda, Anda memberikan informasi tanda di [elemen ketentuan](reference_policies_elements_condition.md) dari kebijakan.
Misalnya, untuk [mengontrol akses ke AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources), Anda menyertakan kunci `aws:ResourceTag` kondisi. Kunci ini membutuhkan format`aws:ResourceTag/tag-key`. Untuk menentukan kunci tag `owner` dan nilai tag `JaneDoe` dalam suatu kondisi, gunakan format berikut.
```
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}
```
**Istilah terkait**
+ [Mengontrol akses menggunakan tag](access_iam-tags.md)
+ [Ketentuan](reference_policies_elements_condition.md)
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [AWS kunci kondisi layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Format vpc tidak valid
**Kode masalah:** INVALID\$1VPC\$1FORMAT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."
```
**Menyelesaikan kesalahan**
Kunci `aws:SourceVpc` kondisi harus menggunakan awalan `vpc-` diikuti oleh 8 atau 17 karakter alfanumerik, misalnya, atau. `vpc-11223344556677889` `vpc-12345678`
**Istilah terkait**
+ [AWS kunci kondisi global: aws: SourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)
## Kesalahan - Format vpce tidak valid
**Kode masalah:** INVALID\$1VPCE\$1FORMAT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."
```
**Menyelesaikan kesalahan**
Kunci `aws:SourceVpce` kondisi harus menggunakan awalan `vpce-` diikuti oleh 8 atau 17 karakter alfanumerik, misalnya, atau. `vpce-11223344556677889` `vpce-12345678`
**Istilah terkait**
+ [AWS kunci kondisi global: aws: SourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce)
## Kesalahan - Prinsipal federasi tidak didukung
**Kode masalah: FEDERATED\$1PRINCIPAL\$1NOT\$1SUPPORTED**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."
```
**Menyelesaikan kesalahan**
`Principal`Elemen ini menggunakan prinsip-prinsip federasi untuk kebijakan kepercayaan yang melekat pada peran IAM untuk menyediakan akses melalui federasi identitas. Kebijakan identitas dan kebijakan berbasis sumber daya lainnya tidak mendukung penyedia identitas federasi di elemen tersebut. `Principal` Misalnya, Anda tidak dapat menggunakan prinsipal SAFL dalam kebijakan bucket Amazon S3. Ubah `Principal` elemen ke tipe utama yang didukung.
**Istilah terkait**
+ [Menciptakan peran untuk federasi identitas](id_roles_create_for-idp.md)
+ [Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md)
## Kesalahan - Tindakan yang tidak didukung untuk kunci kondisi
**Kode masalah:** UNSUPPORTED\$1ACTION\$1FOR\$1CONDITION\$1KEY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."
```
**Menyelesaikan kesalahan**
Pastikan bahwa kunci kondisi dalam `Condition` elemen pernyataan kebijakan berlaku untuk setiap tindakan dalam `Action` elemen. Untuk memastikan bahwa tindakan yang Anda tentukan diizinkan atau ditolak secara efektif oleh kebijakan Anda, Anda harus memindahkan tindakan yang tidak didukung ke pernyataan lain tanpa kunci kondisi.
**catatan**
Jika `Action` elemen memiliki tindakan dengan wildcard, IAM Access Analyzer tidak mengevaluasi tindakan tersebut untuk kesalahan ini.
**Istilah terkait**
+ [Elemen kebijakan JSON: Tindakan](reference_policies_elements_action.md)
## Kesalahan — Tindakan yang tidak didukung dalam kebijakan
**Kode masalah:** UNSUPPORTED\$1ACTION\$1IN\$1POLICY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```
**Menyelesaikan kesalahan**
Beberapa tindakan tidak didukung dalam `Action` elemen dalam kebijakan berbasis sumber daya yang dilampirkan ke jenis sumber daya yang berbeda. Misalnya, AWS Key Management Service tindakan tidak didukung dalam kebijakan bucket Amazon S3. Tentukan tindakan yang didukung oleh jenis sumber daya yang dilampirkan pada kebijakan berbasis sumber daya Anda.
**Istilah terkait**
+ [Elemen kebijakan JSON: Tindakan](reference_policies_elements_action.md)
## Kesalahan — ARN sumber daya yang tidak didukung dalam kebijakan
**Kode masalah:** UNSUPPORTED\$1RESOURCE\$1ARN\$1IN\$1POLICY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
```
**Menyelesaikan kesalahan**
Beberapa sumber daya ARNs tidak didukung dalam `Resource` elemen kebijakan berbasis sumber daya saat kebijakan dilampirkan ke jenis sumber daya yang berbeda. Misalnya, AWS KMS ARNs tidak didukung dalam `Resource` elemen untuk kebijakan bucket Amazon S3. Tentukan ARN sumber daya yang didukung oleh jenis sumber daya yang dilampirkan pada kebijakan berbasis sumber daya Anda.
**Istilah terkait**
+ [Elemen kebijakan JSON: Tindakan](reference_policies_elements_action.md)
## Kesalahan - Kunci kondisi yang tidak didukung untuk prinsipal layanan
**Kode masalah:** UNSUPPORTED\$1CONDITION\$1KEY\$1FOR\$1SERVICE\$1PRINCIPAL
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."
```
**Menyelesaikan kesalahan**
Anda dapat menentukan Layanan AWS dalam `Principal` elemen kebijakan berbasis sumber daya menggunakan *prinsip layanan*, yang merupakan pengenal untuk layanan. Anda tidak dapat menggunakan beberapa kunci kondisi dengan prinsip layanan tertentu. Misalnya, Anda tidak dapat menggunakan kunci `aws:PrincipalOrgID` kondisi dengan kepala layanan`cloudfront.amazonaws.com`. Anda harus menghapus kunci kondisi yang tidak berlaku untuk prinsip layanan dalam `Principal` elemen.
**Istilah terkait**
+ [Prinsipal layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md)
## Kesalahan — Kesalahan sintaks kebijakan kepercayaan peran notprincipal
**Kode masalah: ROLE\$1TRUST\$1POLICY\$1SYNTAX\$1ERROR\$1NOTPRINCIPAL**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."
```
**Menyelesaikan kesalahan**
Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya yang melekat pada peran IAM. Kebijakan kepercayaan menentukan entitas prinsipal mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat memegang peran tersebut. Kebijakan kepercayaan peran tidak mendukung`NotPrincipal`. Perbarui kebijakan untuk menggunakan `Principal` elemen sebagai gantinya.
**Istilah terkait**
+ [Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md)
+ [Elemen kebijakan JSON: NotPrincipal](reference_policies_elements_notprincipal.md)
## Kesalahan — Kebijakan kepercayaan peran tidak didukung wildcard pada prinsipnya
**Kode masalah:** ROLE\$1TRUST\$1POLICY\$1UNSUPPORTED\$1WILDCARD\$1IN\$1PRINCIPAL
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."
```
**Menyelesaikan kesalahan**
Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya yang melekat pada peran IAM. Kebijakan kepercayaan menentukan entitas utama mana (akun, pengguna, peran, dan pengguna federasi) yang dapat mengambil peran tersebut. `"Principal:" "*"`tidak didukung dalam `Principal` elemen kebijakan kepercayaan peran. Ganti wildcard dengan nilai pokok yang valid.
**Istilah terkait**
+ [Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md)
## Kesalahan - Sumber kesalahan sintaks kebijakan kepercayaan peran
**Kode masalah: ROLE\$1TRUST\$1POLICY\$1SYNTAX\$1ERROR\$1RESOURCE**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."
```
**Menyelesaikan kesalahan**
Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya yang melekat pada peran IAM. Kebijakan kepercayaan menentukan entitas prinsipal mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat memegang peran tersebut. Kebijakan kepercayaan peran berlaku untuk peran yang melekat padanya. Anda tidak dapat menentukan `NotResource` elemen `Resource` atau dalam kebijakan kepercayaan peran. Hapus `NotResource` elemen `Resource` atau.
+ [Elemen kebijakan JSON: Sumber daya](reference_policies_elements_resource.md)
+ [Elemen kebijakan JSON: NotResource](reference_policies_elements_notresource.md)
## Kesalahan - Ketik rentang IP ketidakcocokan
**Kode masalah:** TYPE\$1MISMATCH\$1IP\$1RANGE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."
```
**Menyelesaikan kesalahan**
Perbarui teks untuk menggunakan tipe data operator kondisi alamat IP, dalam format CIDR.
**Istilah terkait**
+ [Operator kondisi alamat IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
## Kesalahan - Tindakan tidak ada untuk kunci kondisi
**Kode masalah:** MISSING\$1ACTION\$1FOR\$1CONDITION\$1KEY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."
```
**Menyelesaikan kesalahan**
Kunci kondisi dalam `Condition` elemen pernyataan kebijakan tidak dievaluasi kecuali tindakan yang ditentukan ada dalam `Action` elemen. Untuk memastikan bahwa kunci kondisi yang Anda tentukan diizinkan atau ditolak secara efektif oleh kebijakan Anda, tambahkan tindakan ke `Action` elemen.
**Istilah terkait**
+ [Elemen kebijakan JSON: Tindakan](reference_policies_elements_action.md)
## Kesalahan - Sintaks utama federasi tidak valid dalam kebijakan kepercayaan peran
**Kode masalah: INVALID\$1FEDERATED\$1PRINCIPAL\$1SYNTAX\$1IN\$1ROLE\$1TRUST\$1POLICY**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."
```
**Menyelesaikan kesalahan**
Nilai pokok menentukan prinsip federasi yang tidak sesuai dengan format yang diharapkan. Perbarui format prinsipal federasi ke nama domain yang valid atau metadata SAMB ARN.
**Istilah terkait**
+ [Pengguna dan peran federasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles)
## Kesalahan - Tindakan tidak cocok untuk prinsipal
**Kode masalah:** MISMATCHED\$1ACTION\$1FOR\$1PRINCIPAL
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."
```
**Menyelesaikan kesalahan**
Tindakan yang ditentukan dalam `Action` elemen pernyataan kebijakan tidak valid dengan prinsipal yang ditentukan dalam elemen. `Principal` Misalnya, Anda tidak dapat menggunakan prinsipal penyedia SAFL dengan `sts:AssumeRoleWithWebIdentity` tindakan tersebut. Anda harus menggunakan prinsipal penyedia SAMP dengan `sts:AssumeRoleWithSAML` tindakan atau menggunakan prinsip penyedia OIDC dengan tindakan tersebut. `sts:AssumeRoleWithWebIdentity`
**Istilah terkait**
+ [AssumeRoleWithSAM](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html)
+ [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)
## Kesalahan - Tindakan tidak ada untuk peran di mana saja kebijakan kepercayaan
**Kode masalah:** MISSING\$1ACTION\$1FOR\$1ROLES\$1ANYWHERE\$1TRUST\$1POLICY
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."
```
**Menyelesaikan kesalahan**
Agar IAM Roles Anywhere dapat mengambil peran dan memberikan AWS kredensi sementara, peran tersebut harus mempercayai kepala layanan IAM Roles Anywhere. Prinsipal layanan IAM Roles Anywhere memerlukan `sts:AssumeRole``sts:SetSourceIdentity`,, dan `sts:TagSession` izin untuk mengambil peran. Jika ada izin yang hilang, Anda harus menambahkannya ke kebijakan Anda.
**Istilah terkait**
+ [Model kepercayaan dalam AWS Identity and Access Management Peran Di Mana Saja](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html)
## Kesalahan — Ukuran kebijakan melebihi kuota RCP
**Kode masalah:** POLICY\$1SIZE\$1EXCEEDS\$1RCP\$1QUOTA
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."
```
**Menyelesaikan kesalahan**
AWS Organizations kebijakan kontrol sumber daya (RCPs) mendukung menentukan nilai dalam `Action` elemen. Namun, nilai-nilai ini dapat mencakup wildcard (\$1) hanya di akhir string. Ini berarti Anda dapat menentukan `s3:Get*` tetapi tidak`s3:*Object`.
Untuk menentukan beberapa tindakan, AWS sarankan Anda mencantumkannya satu per satu.
**Istilah terkait**
+ [Kuota untuk AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html)
+ [AWS Organizations kebijakan kontrol sumber daya](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)
## Kesalahan - Prinsip kesalahan sintaks RCP
**Kode masalah: RCP\$1SYNTAX\$1ERROR\$1PRINCIPAL**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."
```
**Menyelesaikan kesalahan**
AWS Organizations kebijakan kontrol sumber daya (RCPs) hanya mendukung menentukan semua prinsipal (” `*` “) dalam elemen. `Principal` `NotPrincipal`Elemen ini tidak didukung untuk RCPs.
**Istilah terkait**
+ [Sintaks RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Properti kepala sekolah](reference_policies_condition-keys.md#condition-keys-principal-properties)
## Kesalahan - Kesalahan sintaks RCP memungkinkan
**Kode masalah: RCP\$1SYNTAX\$1ERROR\$1ALLOW**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."
```
**Menyelesaikan kesalahan**
AWS Organizations kebijakan kontrol sumber daya (RCPs) hanya mendukung menentukan semua prinsipal (” `*` “) dalam `Principal` elemen dan semua sumber daya (”`*`”) dalam elemen. `Resource` `Condition`Elemen dengan efek `Allow` tidak didukung untuk RCPs.
**Istilah terkait**
+ [Sintaks RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Properti kepala sekolah](reference_policies_condition-keys.md#condition-keys-principal-properties)
+ [Properti sumber daya](reference_policies_condition-keys.md#condition-keys-resource-properties)
## Kesalahan - Kesalahan sintaks RCP NotAction
**Kode masalah: RCP\$1SYNTAX\$1ERROR\$1NOTACTION**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."
```
**Menyelesaikan kesalahan**
AWS Organizations kebijakan kontrol sumber daya (RCPs) tidak mendukung `NotAction` elemen. Gunakan `Action` elemen.
**Istilah terkait**
+ [Sintaks RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
+ [Elemen kebijakan IAM JSON: NotAction](reference_policies_elements_notaction.md)
## Kesalahan - Tindakan kesalahan sintaks RCP
**Kode masalah: RCP\$1SYNTAX\$1ERROR\$1ACTION**
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."
```
**Menyelesaikan kesalahan**
AWS Organizations kebijakan kontrol sumber daya (RCPs) hanya mendukung menentukan awalan layanan tertentu dalam elemen. `Action`
**Istilah terkait**
+ [Sintaks RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Daftar dukungan Layanan AWS itu RCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-supported-services)
## Kesalahan - Akun ARN tidak ada
**Kode masalah:** MISSING\$1ARN\$1ACCOUNT
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing ARN account: The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id."
```
**Menyelesaikan kesalahan**
Sertakan ID akun di ARN sumber daya. Akun IDs adalah bilangan bulat 12 digit. Untuk mempelajari cara melihat ID akun, lihat [Menemukan ID AWS akun](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingYourAccountIdentifiers).
**Istilah terkait**
+ [Sumber daya kebijakan](reference_policies_elements_resource.md)
+ [Pengidentifikasi Akun](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)
+ [Sumber Daya ARNs](reference_identifiers.md#identifiers-arns)
+ [AWS sumber daya layanan dengan format ARN](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Kesalahan - Nilai kunci kms tidak valid
**Kode masalah:** INVALID\$1KMS\$1KEY\$1VALUE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid kms key value: The {{key}} condition key value must be valid a KMS key ARN.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{key}} condition key value must be valid a KMS key ARN."
```
**Menyelesaikan kesalahan**
AWS KMS key ARN (Amazon Resource Name) adalah pengidentifikasi unik yang sepenuhnya memenuhi syarat untuk kunci KMS. ARN kunci mencakup Akun AWS, Wilayah, dan ID kunci. ARN kunci mengikuti format ini:
`arn:aws:kms:region:account-id:key/key-id`
**Istilah terkait**
+ [Temukan ID kunci dan kunci ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)
+ [Kunci ARN](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-id-key-ARN)
+ [AWS kunci konteks kondisi global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
## Kesalahan - Penggunaan variabel terlalu permisif
**Kode masalah:** VARIABLE\$1USAGE\$1TOO\$1PERMISSIVE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Variable usage too permissive: Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters.
```
```
The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.
```
```
Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters."
```
```
"findingDetails": "The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys."
```
```
"findingDetails": "Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon."
```
**Menyelesaikan kesalahan**
Ada tiga kemungkinan menemukan pesan untuk kesalahan ini.
+ Untuk pesan galat pertama, ubah penggunaan variabel kebijakan Anda menjadi lebih spesifik. Tambahkan setidaknya 6 karakter berturut-turut sebelum variabel kebijakan untuk mengurangi cakupan izin. Misalnya, alih-alih menggunakan`${aws:username}`, menggunakan `prefix-${aws:username}` atau`myapp-${aws:username}`. Ini memastikan bahwa variabel kebijakan tidak memberikan akses yang terlalu luas.
+ Untuk pesan kesalahan kedua, hapus variabel kebijakan dari kunci kondisi yang ditentukan. Variabel kebijakan dapat bertindak sebagai wildcard yang efektif dan tidak diizinkan dengan kunci kondisi sensitif untuk alasan keamanan. Sebagai gantinya, gunakan nilai statis tertentu atau pertimbangkan untuk merestrukturisasi kebijakan Anda untuk menggunakan kunci kondisi tidak sensitif yang mendukung variabel kebijakan.
+ Untuk pesan kesalahan ketiga, ubah penggunaan variabel `aws:userID` kebijakan Anda menjadi lebih ketat. Tempatkan variabel kebijakan di sisi kanan titik dua (setelah ID akun) atau gunakan sebagai satu-satunya karakter di sisi kiri titik dua. Misalnya, gunakan `AIDACKCEVSQ6C2EXAMPLE:${aws:userid}` atau `${aws:userid}:*` bukan`${aws:userid}`.
**Istilah terkait**
+ [Elemen kebijakan IAM: Variabel dan tag](reference_policies_variables.md)
+ [Elemen kebijakan IAM: Kondisi](reference_policies_elements_condition.md)
+ [Kondisi dengan beberapa kunci konteks atau nilai](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS kunci konteks kondisi global](reference_policies_condition-keys.md)
## Kesalahan - Penggunaan wildcard terlalu permisif
**Kode masalah:** WILDCARD\$1USAGE\$1TOO\$1PERMISSIVE
**Jenis pencarian:** ERROR
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Wildcard usage too permissive: Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters.
```
```
The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.
```
```
Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters."
```
```
"findingDetails": "The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys."
```
```
"findingDetails": "Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon."
```
**Menyelesaikan kesalahan**
Ada tiga kemungkinan menemukan pesan untuk kesalahan ini.
+ Untuk pesan kesalahan pertama, buat penggunaan wildcard Anda lebih spesifik dengan menambahkan setidaknya 6 karakter berturut-turut sebelum wildcard. Misalnya, alih-alih menggunakan`*`, menggunakan `prefix-*` atau`prefix-*-suffix`. Ini mengurangi ruang lingkup kondisi dan mengikuti prinsip hak istimewa paling sedikit.
+ Untuk pesan kesalahan kedua, hapus wildcard dari kunci kondisi yang ditentukan. Wildcard tidak diizinkan dengan kunci kondisi sensitif untuk alasan keamanan. Ganti wildcard dengan nilai tertentu yang cocok dengan pola akses yang Anda inginkan, atau pertimbangkan untuk menggunakan kunci kondisi non-sensitif yang berbeda yang mendukung wildcard.
+ Untuk pesan kesalahan ketiga, ubah penggunaan `aws:userID` wildcard Anda menjadi lebih ketat. Tempatkan wildcard di sisi kanan titik dua (setelah ID akun) atau gunakan sebagai satu-satunya karakter di sisi kiri titik dua. Misalnya, gunakan `AIDACKCEVSQ6C2EXAMPLE:*` atau `*:*` bukan`*`.
**Istilah terkait**
+ [Elemen kebijakan IAM: Kondisi](reference_policies_elements_condition.md)
+ [Kondisi dengan beberapa kunci konteks atau nilai](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS kunci konteks kondisi global](reference_policies_condition-keys.md)
+ [Pengidentifikasi IAM](reference_identifiers.md)
## Peringatan Umum - Buat SLR dengan NotResource
**Kode masalah: CREATE\$1SLR\$1WITH\$1NOT\$1RESOURCE**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan umum**
Tindakan tersebut `iam:CreateServiceLinkedRole` memberikan izin untuk membuat peran IAM yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Menggunakan `iam:CreateServiceLinkedRole` kebijakan dengan `NotResource` elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya.
+ [CreateServiceLinkedRole operasi](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elemen kebijakan IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Peringatan Umum - Buat SLR dengan bintang beraksi dan NotResource
**Kode masalah: CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1NOT\$1RESOURCE**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan umum**
Tindakan tersebut `iam:CreateServiceLinkedRole` memberikan izin untuk membuat peran IAM yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Kebijakan dengan wildcard (\$1) dalam `Action` dan yang menyertakan `NotResource` elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya.
+ [CreateServiceLinkedRole operasi](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elemen kebijakan IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Peringatan Umum - Buat SLR dengan NotAction dan NotResource
**Kode masalah: CREATE\$1SLR\$1WITH\$1NOT\$1ACTION\$1AND\$1NOT\$1RESOURCE**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan umum**
Tindakan tersebut `iam:CreateServiceLinkedRole` memberikan izin untuk membuat peran IAM yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Menggunakan `NotAction` elemen dengan `NotResource` elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya. AWS merekomendasikan agar Anda menulis ulang kebijakan untuk mengizinkan `iam:CreateServiceLinkedRole` pada daftar terbatas ARNs dalam `Resource` elemen sebagai gantinya. Anda juga dapat `iam:CreateServiceLinkedRole` menambahkan `NotAction` elemen.
+ [CreateServiceLinkedRole operasi](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elemen kebijakan IAM JSON: NotAction](reference_policies_elements_notaction.md)
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
+ [Elemen kebijakan IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Peringatan Umum - Buat SLR dengan bintang di sumber daya
**Kode masalah: CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1RESOURCE**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan umum**
Tindakan tersebut `iam:CreateServiceLinkedRole` memberikan izin untuk membuat peran IAM yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Menggunakan `iam:CreateServiceLinkedRole` dalam kebijakan dengan wildcard (\$1) dalam `Resource` elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya.
+ [CreateServiceLinkedRole operasi](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
### AWS kebijakan terkelola dengan peringatan umum ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Beberapa kasus penggunaan tersebut adalah untuk pengguna yang kuat di dalam akun Anda. Kebijakan AWS terkelola berikut menyediakan akses pengguna yang kuat dan memberikan izin untuk membuat [peran terkait layanan](id_roles_create-service-linked-role.md) untuk layanan apa pun. AWS AWS merekomendasikan agar Anda melampirkan kebijakan AWS terkelola berikut hanya ke identitas IAM yang Anda anggap pengguna daya.
+ [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [AlexaForBusinessFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AlexaForBusinessFullAccess)
+ [AWSOrganizationsServiceTrustPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSOrganizationsServiceTrustPolicy)— Kebijakan AWS terkelola ini memberikan izin untuk digunakan oleh peran AWS Organizations terkait layanan. Peran ini memungkinkan Organizations untuk membuat peran terkait layanan tambahan untuk layanan lain di organisasi Anda AWS .
## Peringatan Umum - Buat SLR dengan bintang dalam aksi dan sumber daya
**Kode masalah: CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1RESOURCE**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan umum**
Tindakan tersebut `iam:CreateServiceLinkedRole` memberikan izin untuk membuat peran IAM yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Kebijakan dengan wildcard (\$1) di `Resource` elemen `Action` dan dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya. Hal ini memungkinkan pembuatan peran terkait layanan saat Anda menentukan`"Action": "*"`,`"Action": "iam:*"`, atau. `"Action": "iam:Create*"` AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya.
+ [CreateServiceLinkedRole operasi](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
### AWS kebijakan terkelola dengan peringatan umum ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Beberapa kasus penggunaan tersebut adalah untuk administrator dalam akun Anda. Kebijakan AWS terkelola berikut menyediakan akses administrator dan memberikan izin untuk membuat [peran terkait layanan](id_roles_create-service-linked-role.md) untuk layanan apa pun. AWS AWS merekomendasikan agar Anda melampirkan kebijakan AWS terkelola berikut hanya pada identitas IAM yang Anda anggap administrator.
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
+ [IAMFullAkses](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)
## Peringatan Umum - Buat SLR dengan bintang di sumber daya dan NotAction
**Kode masalah: CREATE\$1SLR\$1WITH\$1STAR\$1IN\$1RESOURCE\$1AND\$1NOT\$1ACTION**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan umum**
Tindakan tersebut `iam:CreateServiceLinkedRole` memberikan izin untuk membuat peran IAM yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Menggunakan `NotAction` elemen dalam kebijakan dengan wildcard (\$1) dalam `Resource` elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya. Anda juga dapat `iam:CreateServiceLinkedRole` menambahkan `NotAction` elemen.
+ [CreateServiceLinkedRole operasi](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)
+ [Elemen kebijakan IAM JSON: NotAction](reference_policies_elements_notaction.md)
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Peringatan Umum - Kunci kondisi global yang tidak digunakan lagi
**Kode masalah: DEPRECATED\$1GLOBAL\$1CONDITION\$1KEY**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."
```
**Menyelesaikan peringatan umum**
Kebijakan ini mencakup kunci kondisi global yang tidak digunakan lagi. Perbarui kunci kondisi pada pasangan kunci-nilai kondisi untuk menggunakan kunci kondisi global yang didukung.
+ [Kunci kondisi global](reference_policies_condition-keys.md)
## Peringatan Umum - Nilai tanggal tidak valid
**Kode masalah:** INVALID\$1DATE\$1VALUE
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."
```
**Menyelesaikan peringatan umum**
Waktu Unix Epoch menggambarkan titik waktu yang telah berlalu sejak 1 Januari 1970, dikurangi detik kabisat. Waktu zaman mungkin tidak sesuai dengan waktu yang tepat yang Anda harapkan. AWS merekomendasikan agar Anda menggunakan standar W3C untuk format tanggal dan waktu. Misalnya, Anda dapat menentukan tanggal lengkap, seperti YYYY-MM-DD (1997-07-16), atau Anda juga dapat menambahkan waktu ke tanggal kedua, YYYY-MM-DDThh seperti:mm:SSTZD (1997-07-16T 19:20:30 \$1 01:00).
+ [Format Tanggal dan Waktu W3C](https://www.w3.org/TR/NOTE-datetime)
+ [Elemen kebijakan IAM JSON: Versi](reference_policies_elements_version.md)
+ [aws: kunci kondisi CurrentTime global](reference_policies_condition-keys.md#condition-keys-currenttime)
## Peringatan Umum - Referensi peran tidak valid
**Kode masalah:** INVALID\$1ROLE\$1REFERENCE
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."
```
**Menyelesaikan peringatan umum**
AWS merekomendasikan agar Anda menentukan Nama Sumber Daya Amazon (ARN) untuk peran IAM, bukan ID utamanya. Ketika IAM menyimpan kebijakan, itu akan mengubah ARN menjadi ID utama untuk peran yang ada. AWS termasuk tindakan pencegahan keamanan. Jika seseorang menghapus dan membuat ulang peran, itu akan memiliki ID baru, dan kebijakan tidak akan cocok dengan ID peran baru.
+ [Menentukan kepala sekolah: peran IAM](reference_policies_elements_principal.md#principal-roles)
+ [IAM ARNs](reference_identifiers.md#identifiers-arns)
+ [IAM unik IDs](reference_identifiers.md#identifiers-unique-ids)
## Peringatan Umum - Referensi pengguna tidak valid
**Kode masalah:** INVALID\$1USER\$1REFERENCE
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."
```
**Menyelesaikan peringatan umum**
AWS merekomendasikan agar Anda menentukan Nama Sumber Daya Amazon (ARN) untuk pengguna IAM, bukan ID utamanya. Ketika IAM menyimpan kebijakan, itu akan mengubah ARN menjadi ID utama untuk pengguna yang ada. AWS termasuk tindakan pencegahan keamanan. Jika seseorang menghapus dan membuat ulang pengguna, itu akan memiliki ID baru, dan kebijakan tidak akan cocok dengan ID pengguna baru.
+ [Menentukan prinsipal: pengguna IAM](reference_policies_elements_principal.md#principal-users)
+ [IAM ARNs](reference_identifiers.md#identifiers-arns)
+ [IAM unik IDs](reference_identifiers.md#identifiers-unique-ids)
## Peringatan Umum - Versi tidak ada
**Kode masalah:** MISSING\$1VERSION
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."
```
**Menyelesaikan peringatan umum**
AWS merekomendasikan agar Anda menyertakan `Version` parameter opsional dalam kebijakan Anda. Jika Anda tidak menyertakan elemen Versi, nilai default, tetapi fitur yang lebih baru`2012-10-17`, seperti variabel kebijakan, tidak akan berfungsi dengan kebijakan Anda. Misalnya, variabel seperti `${aws:username}` tidak diakui sebagai variabel dan diperlakukan sebagai string literal di dalam kebijakan.
+ [Elemen kebijakan IAM JSON: Versi](reference_policies_elements_version.md)
## Peringatan Umum - Sids Unik direkomendasikan
**Kode masalah:** UNIQUE\$1SIDS\$1RECOMMENTED
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."
```
**Menyelesaikan peringatan umum**
AWS merekomendasikan agar Anda menggunakan pernyataan unik IDs. Elemen `Sid` (ID pernyataan) memungkinkan Anda memasukkan pengenal opsional yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan nilai ID pernyataan untuk setiap pernyataan dalam array pernyataan menggunakan `SID` elemen.
**Istilah terkait**
+ [Elemen kebijakan IAM JSON: Sid](reference_policies_elements_sid.md)
## Peringatan Umum - Wildcard tanpa operator seperti
**Kode masalah:** WILDCARD\$1WITHOUT\$1LIKE\$1OPERATOR
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."
```
**Menyelesaikan peringatan umum**
Struktur `Condition` elemen mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai. Saat Anda menentukan nilai kondisi yang menggunakan wildcard (\$1,?) , Anda harus menggunakan `Like` versi operator kondisi. Misalnya, alih-alih operator kondisi `StringEquals` string, gunakan`StringLike`.
```
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}
```
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
### AWS kebijakan terkelola dengan peringatan umum ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Kebijakan AWS terkelola berikut menyertakan wildcard dalam nilai kondisinya tanpa operator kondisi yang menyertakan `Like` pencocokan pola. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan terkelola pelanggan, AWS sarankan agar Anda menggunakan operator kondisi yang mendukung pencocokan pola dengan wildcard (\$1,?) , seperti`StringLike`.
+ [AWSGlueConsoleSageMakerNotebookFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSGlueConsoleSageMakerNotebookFullAccess)
## Peringatan Umum — Ukuran kebijakan melebihi kuota kebijakan identitas
**Kode masalah: POLICY\$1SIZE\$1EXCEEDS\$1IDENTITY\$1POLICY\$1QUOTA**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."
```
**Menyelesaikan peringatan umum**
Anda dapat melampirkan hingga 10 kebijakan terkelola ke identitas IAM (pengguna, grup pengguna, atau peran). Namun, ukuran setiap kebijakan terkelola tidak dapat melebihi kuota default 6.144 karakter. IAM tidak menghitung spasi kosong saat menghitung ukuran kebijakan terhadap kuota ini. Kuota, juga disebut sebagai batas dalam AWS, adalah nilai maksimum untuk sumber daya, tindakan, dan item di AWS akun Anda.
Selain itu, Anda dapat menambahkan kebijakan sebaris sebanyak yang Anda inginkan ke identitas IAM. Namun, ukuran jumlah semua kebijakan inline per identitas tidak dapat melebihi kuota yang ditentukan.
Jika kebijakan Anda lebih besar dari kuota, Anda dapat mengatur kebijakan Anda ke dalam beberapa pernyataan dan mengelompokkan pernyataan ke dalam beberapa kebijakan.
**Istilah terkait**
+ [IAM dan kuota AWS STS karakter](reference_iam-quotas.md)
+ [Beberapa pernyataan dan beberapa kebijakan](access_policies.md#policies-syntax-multiples)
+ [Kebijakan yang dikelola pelanggan IAM](access_policies_managed-vs-inline.md#customer-managed-policies)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
+ [Tata bahasa kebijakan IAM JSON](reference_policies_grammar.md)
### AWS kebijakan terkelola dengan peringatan umum ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Kebijakan AWS terkelola berikut memberikan izin untuk tindakan di banyak AWS layanan dan melebihi ukuran kebijakan maksimum. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan terkelola, Anda harus membagi kebijakan menjadi beberapa kebijakan.
+ [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [AWSSupportServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportServiceRolePolicy)
## Peringatan Umum — Ukuran kebijakan melebihi kuota kebijakan sumber daya
**Kode masalah: POLICY\$1SIZE\$1EXCEEDS\$1RESOURCE\$1POLICY\$1QUOTA**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."
```
**Menyelesaikan peringatan umum**
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya, seperti bucket Amazon S3. Kebijakan ini memberikan izin pokok yang ditentukan untuk melakukan tindakan spesifik pada sumber daya tersebut dan menentukan dalam kondisi apa hal ini berlaku. Ukuran kebijakan berbasis sumber daya tidak dapat melebihi kuota yang ditetapkan untuk sumber daya tersebut. Kuota, juga disebut sebagai batas dalam AWS, adalah nilai maksimum untuk sumber daya, tindakan, dan item di AWS akun Anda.
Jika kebijakan Anda lebih besar dari kuota, Anda dapat mengatur kebijakan Anda ke dalam beberapa pernyataan dan mengelompokkan pernyataan ke dalam beberapa kebijakan.
**Istilah terkait**
+ [Kebijakan berbasis sumber daya](access_policies.md#policies_resource-based)
+ [Kebijakan bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)
+ [Beberapa pernyataan dan beberapa kebijakan](access_policies.md#policies-syntax-multiples)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
+ [Tata bahasa kebijakan IAM JSON](reference_policies_grammar.md)
## Peringatan Umum - Ketidakcocokan Jenis
**Kode masalah: TYPE\$1MISMATCH**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
```
**Menyelesaikan peringatan umum**
Perbarui teks untuk menggunakan tipe data operator kondisi yang didukung.
Misalnya, kunci kondisi `aws:MultiFactorAuthPresent` global memerlukan operator kondisi dengan tipe `Boolean` data. Jika Anda memberikan tanggal atau bilangan bulat, tipe data tidak akan cocok.
**Istilah terkait**
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
## Peringatan Umum - Ketik ketidakcocokan Boolean
**Kode masalah:** TYPE\$1MISMATCH\$1BOOLEAN
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."
```
**Menyelesaikan peringatan umum**
Perbarui teks untuk menggunakan tipe data operator kondisi Boolean, seperti `true` atau`false`.
Misalnya, kunci kondisi `aws:MultiFactorAuthPresent` global memerlukan operator kondisi dengan tipe `Boolean` data. Jika Anda memberikan tanggal atau bilangan bulat, tipe data tidak akan cocok.
**Istilah terkait**
+ [Operator kondisi boolean](reference_policies_elements_condition_operators.md#Conditions_Boolean)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
## Peringatan Umum - Ketik tanggal ketidakcocokan
**Kode masalah:** TYPE\$1MISMATCH\$1DATE
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."
```
**Menyelesaikan peringatan umum**
Perbarui teks untuk menggunakan tipe data operator kondisi tanggal, dalam format waktu tanggal ISO 8601 `YYYY-MM-DD` atau ISO 8601 lainnya.
**Istilah terkait**
+ [Operator kondisi tanggal](reference_policies_elements_condition_operators.md#Conditions_Date)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
## Peringatan Umum - Ketik nomor ketidakcocokan
**Kode masalah:** TYPE\$1MISMATCH\$1NUMBER
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."
```
**Menyelesaikan peringatan umum**
Perbarui teks untuk menggunakan tipe data operator kondisi numerik.
**Istilah terkait**
+ [Operator kondisi numerik](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
## Peringatan Umum - Ketik string ketidakcocokan
**Kode masalah:** TYPE\$1MISMATCH\$1STRING
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."
```
**Menyelesaikan peringatan umum**
Perbarui teks untuk menggunakan tipe data operator kondisi string.
**Istilah terkait**
+ [Operator kondisi string](reference_policies_elements_condition_operators.md#Conditions_String)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
## Peringatan Umum - Direkomendasikan repo dan cabang github khusus
**Kode masalah:** SPECIFIC\$1GITHUB\$1REPO\$1AND\$1BRANCH\$1RECOMMENTED
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."
```
**Menyelesaikan peringatan umum**
Jika Anda menggunakan GitHub sebagai IDP OIDC, praktik terbaik adalah membatasi entitas yang dapat mengambil peran yang terkait dengan IDP IAM. Saat menyertakan `Condition` pernyataan dalam kebijakan kepercayaan peran, Anda dapat membatasi peran tersebut ke GitHub organisasi, repositori, atau cabang tertentu. Anda dapat menggunakan tombol kondisi `token.actions.githubusercontent.com:sub` untuk membatasi akses. Kami menyarankan Anda membatasi kondisi untuk satu set repositori atau cabang tertentu. Jika Anda menggunakan wildcard (`*`) di`token.actions.githubusercontent.com:sub`, maka GitHub Tindakan dari organisasi atau repositori di luar kendali Anda dapat mengambil peran yang terkait dengan GitHub IDP IAM di akun Anda. AWS
**Istilah terkait**
+ [Mengkonfigurasi peran untuk penyedia identitas GitHub OIDC](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html#idp_oidc_Create_GitHub)
## Peringatan Umum - Ukuran kebijakan melebihi kuota kebijakan kepercayaan peran
**Kode masalah: POLICY\$1SIZE\$1EXCEEDS\$1ROLE\$1TRUST\$1POLICY\$1QUOTA**
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."
```
**Menyelesaikan peringatan umum**
IAM dan AWS STS memiliki kuota yang membatasi ukuran kebijakan kepercayaan peran. Karakter dalam kebijakan kepercayaan peran, tidak termasuk spasi putih, melebihi maksimum karakter. Kami menyarankan Anda untuk meminta peningkatan kuota kebijakan kepercayaan peran menggunakan Service Quotas dan. AWS Support Center Console
**Istilah terkait**
+ [IAM dan AWS STS kuota, persyaratan nama, dan batas karakter](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)
## Peringatan Umum - RCP kehilangan kunci kondisi utama terkait
**Kode masalah:** RCP\$1MISSING\$1RELATED\$1PRINCIPAL\$1CONDITION\$1KEY
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."
```
**Menyelesaikan peringatan umum**
AWS Organizations kebijakan kontrol sumber daya (RCPs) dapat memengaruhi peran, pengguna, dan Layanan AWS kepala sekolah IAM. Untuk mencegah dampak yang tidak diinginkan pada layanan yang bertindak atas nama Anda menggunakan prinsip layanan, tambahkan pernyataan berikut ke `Condition` elemen Anda:
```
"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}
```
**Istilah terkait**
+ [Sintaks RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Properti kepala sekolah](reference_policies_condition-keys.md#condition-keys-principal-properties)
## Peringatan Umum - RCP kehilangan kunci kondisi utama layanan terkait
**Kode masalah:** RCP\$1MISSING\$1RELATED\$1SERVICE\$1PRINCIPAL\$1CONDITION\$1KEY
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."
```
**Menyelesaikan peringatan umum**
AWS Organizations kebijakan kontrol sumber daya (RCPs) dapat memengaruhi peran, pengguna, dan Layanan AWS kepala sekolah IAM. Untuk mencegah dampak yang tidak diinginkan pada prinsipal Anda, tambahkan pernyataan berikut ke elemen Anda: `Condition`
```
"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}
```
**Istilah terkait**
+ [Sintaks RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Properti kepala sekolah](reference_policies_condition-keys.md#condition-keys-principal-properties)
## Peringatan Umum - Pemeriksaan nol kunci kondisi layanan RCP hilang
**Kode masalah:** RCP\$1MISSING\$1SERVICE\$1CONDITION\$1KEY\$1NULL\$1CHECK
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The specified service may have a service integration that does not require the use of the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."
```
**Menyelesaikan peringatan umum**
AWS Organizations kebijakan kontrol sumber daya (RCPs) dapat memengaruhi peran, pengguna, dan Layanan AWS kepala sekolah IAM. Untuk mencegah dampak yang tidak diinginkan pada layanan yang bertindak atas nama Anda menggunakan prinsip layanan, tambahkan salah satu pernyataan berikut ke `Condition` elemen Anda setiap kali kunci yang ditentukan digunakan:
```
"Null": { "aws:SourceAccount": "false"}
```
atau
```
"Null": { "aws:SourceArn": "false"}
```
**Istilah terkait**
+ [Sintaks RCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_syntax.html)
+ [Properti kepala sekolah](reference_policies_condition-keys.md#condition-keys-principal-properties)
## Peringatan Umum - Gunakan tombol kondisi hanya dengan layanan yang didukung
**Kode masalah:** USE\$1CONDITION\$1KEY\$1ONLY\$1WITH\$1SUPPORTED\$1SERVICES
**Jenis pencarian:** GENERAL\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Use condition key only with supported services: The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.
```
**Menyelesaikan peringatan umum**
Tinjau AWS dokumentasi untuk mengidentifikasi mana yang Layanan AWS mendukung kunci kondisi ini. Jika ada layanan dalam kebijakan Anda yang tidak mendukung kunci kondisi, ubah kebijakan Anda untuk cakupan kunci kondisi hanya untuk Layanan AWS yang mendukungnya.
**Istilah terkait**
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceaccount)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgid)
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpceorgpaths)
+ [Tindakan, sumber daya, dan kunci kondisi untuk Layanan AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)
## Peringatan Keamanan - Kunci kondisi yang tidak dapat dipercaya
**Kode masalah:** UNTRUSTWORTHY\$1CONDITION\$1KEY
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Untrustworthy condition key: The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller."
```
**Menyelesaikan peringatan keamanan**
Jangan gunakan tombol kondisi ini untuk kontrol akses. Penelepon berpotensi memanipulasi atau menipu nilai kunci, yang menciptakan risiko keamanan.
**Istilah terkait**
+ [AWS kunci konteks kondisi global](reference_policies_condition-keys.md)
## Peringatan Keamanan — Izinkan dengan NotPrincipal
**Kode masalah:** ALLOW\$1WITH\$1NOT\$1PRINCIPAL
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."
```
**Menyelesaikan peringatan keamanan**
Menggunakan `"Effect": "Allow"` dengan `NotPrincipal` bisa terlalu permisif. Misalnya, ini dapat memberikan izin kepada prinsipal anonim. AWS merekomendasikan agar Anda menentukan prinsipal yang memerlukan akses menggunakan elemen. `Principal` Atau, Anda dapat mengizinkan akses luas dan kemudian menambahkan pernyataan lain yang menggunakan `NotPrincipal` elemen dengan`“Effect”: “Deny”`.
+ [AWS Elemen kebijakan JSON: Principal](reference_policies_elements_principal.md)
+ [AWS Elemen kebijakan JSON: NotPrincipal](reference_policies_elements_notprincipal.md)
## Peringatan Keamanan - ForAllValues dengan kunci bernilai tunggal
**Kode masalah:** FORALLVALUES\$1WITH\$1SINGLE\$1VALUED\$1KEY
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."
```
**Menyelesaikan peringatan keamanan**
AWS merekomendasikan agar Anda menggunakan `ForAllValues` satu-satunya dengan kondisi multivaluasi. Operator `ForAllValues` set menguji apakah nilai setiap anggota kumpulan permintaan adalah subset dari set kunci kondisi. Kondisi tersebut akan memberikan hasil benar jika setiap nilai kunci dalam permintaan tersebut sesuai dengan setidaknya satu nilai dalam kebijakan. Kondisi ini juga akan memberikan hasil benar jika tidak ada kunci dalam permintaan, atau jika nilai kunci menghasilkan kumpulan data nol, seperti string kosong.
Untuk mempelajari apakah suatu kondisi mendukung nilai tunggal atau beberapa nilai, tinjau halaman [Tindakan, sumber daya, dan kunci kondisi](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) untuk layanan. Kunci kondisi dengan awalan tipe `ArrayOf` data adalah kunci kondisi multivalued. Misalnya, Amazon SES mendukung kunci dengan nilai tunggal (`String`) dan tipe data `ArrayOfString` multivalued.
+ [Kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
## Peringatan Keamanan - Lulus peran dengan NotResource
**Kode masalah:** PASS\$1ROLE\$1WITH\$1NOT\$1RESOURCE
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan keamanan**
Untuk mengonfigurasi banyak AWS layanan, Anda harus meneruskan peran IAM ke layanan. Untuk mengizinkan ini, Anda harus memberikan `iam:PassRole` izin kepada identitas (pengguna, grup pengguna, atau peran). Menggunakan `iam:PassRole` kebijakan dengan `NotResource` elemen dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol `iam:PassedToService` kondisi.
+ [Melewati peran ke layanan](id_roles_use_passrole.md)
+ [saya: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elemen kebijakan IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Peringatan Keamanan - Lulus peran dengan bintang beraksi dan NotResource
**Kode masalah:** PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1NOT\$1RESOURCE
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan keamanan**
Untuk mengonfigurasi banyak AWS layanan, Anda harus meneruskan peran IAM ke layanan. Untuk mengizinkan ini, Anda harus memberikan `iam:PassRole` izin kepada identitas (pengguna, grup pengguna, atau peran). Kebijakan dengan wildcard (\$1) dalam `Action` dan yang menyertakan `NotResource` elemen dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol `iam:PassedToService` kondisi.
+ [Melewati peran ke layanan](id_roles_use_passrole.md)
+ [saya: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elemen kebijakan IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Peringatan Keamanan - Lulus peran dengan NotAction dan NotResource
**Kode masalah:** PASS\$1ROLE\$1WITH\$1NOT\$1ACTION\$1AND\$1NOT\$1RESOURCE
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."
```
**Menyelesaikan peringatan keamanan**
Untuk mengonfigurasi banyak AWS layanan, Anda harus meneruskan peran IAM ke layanan. Untuk mengizinkan ini, Anda harus memberikan `iam:PassRole` izin kepada identitas (pengguna, grup pengguna, atau peran). Menggunakan `NotAction` elemen dan daftar beberapa sumber daya dalam `NotResource` elemen dapat memungkinkan prinsipal Anda untuk mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol `iam:PassedToService` kondisi.
+ [Melewati peran ke layanan](id_roles_use_passrole.md)
+ [saya: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elemen kebijakan IAM JSON: NotAction](reference_policies_elements_notaction.md)
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
+ [Elemen kebijakan IAM JSON: NotResource](reference_policies_elements_notresource.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Peringatan Keamanan - Lulus peran dengan bintang di sumber daya
**Kode masalah:** PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1RESOURCE
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```
**Menyelesaikan peringatan keamanan**
Untuk mengonfigurasi banyak AWS layanan, Anda harus meneruskan peran IAM ke layanan. Untuk mengizinkan ini, Anda harus memberikan `iam:PassRole` izin kepada identitas (pengguna, grup pengguna, atau peran). Kebijakan yang memungkinkan `iam:PassRole` dan yang menyertakan wildcard (\$1) dalam `Resource` elemen dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol `iam:PassedToService` kondisi.
Beberapa AWS layanan menyertakan namespace layanan mereka atas nama peran mereka. Pemeriksaan kebijakan ini mempertimbangkan konvensi ini saat menganalisis kebijakan untuk menghasilkan temuan. Misalnya, ARN sumber daya berikut mungkin tidak menghasilkan temuan:
```
arn:aws:iam::*:role/Service*
```
+ [Melewati peran ke layanan](id_roles_use_passrole.md)
+ [saya: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
### AWS kebijakan terkelola dengan peringatan keamanan ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Salah satu kasus penggunaan tersebut adalah untuk administrator dalam akun Anda. Kebijakan AWS terkelola berikut menyediakan akses administrator dan memberikan izin untuk meneruskan peran IAM apa pun ke layanan apa pun. AWS merekomendasikan agar Anda melampirkan kebijakan AWS terkelola berikut hanya ke identitas IAM yang Anda anggap administrator.
+ [AdministratorAccess-Memperkuat](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess-Amplify)
Kebijakan AWS terkelola berikut mencakup izin `iam:PassRole` dengan wildcard (\$1) di sumber daya dan berada di jalur [penghentian](access_policies_managed-deprecated.md). Untuk setiap kebijakan ini, kami memperbarui panduan izin, seperti merekomendasikan kebijakan AWS terkelola baru yang mendukung kasus penggunaan. Untuk melihat alternatif kebijakan ini, lihat panduan untuk [setiap layanan](reference_aws-services-that-work-with-iam.md).
+ AWSElasticBeanstalkFullAccess
+ AWSElasticBeanstalkService
+ AWSLambdaFullAccess
+ AWSLambdaReadOnlyAccess
+ AWSOpsWorksFullAccess
+ AWSOpsWorksRole
+ AWSDataPipelineRole
+ AmazonDynamoDBFullAccesswithDataPipeline
+ AmazonElasticMapReduceFullAccess
+ AmazonDynamoDBFullAccesswithDataPipeline
+ Amazon EC2 ContainerServiceFullAccess
Kebijakan AWS terkelola berikut memberikan izin hanya untuk [peran terkait layanan](id_roles_create-service-linked-role.md), yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Anda tidak dapat melampirkan kebijakan ini ke identitas IAM Anda.
+ [AWSServiceRoleForAmazonEKSNodegroup](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSServiceRoleForAmazonEKSNodegroup)
## Peringatan Keamanan - Lulus peran dengan bintang dalam aksi dan sumber daya
**Kode masalah:** PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1ACTION\$1AND\$1RESOURCE
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```
**Menyelesaikan peringatan keamanan**
Untuk mengonfigurasi banyak AWS layanan, Anda harus meneruskan peran IAM ke layanan. Untuk mengizinkan ini, Anda harus memberikan `iam:PassRole` izin kepada identitas (pengguna, grup pengguna, atau peran). Kebijakan dengan wildcard (\$1) di `Resource` elemen `Action` dan dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol `iam:PassedToService` kondisi.
+ [Melewati peran ke layanan](id_roles_use_passrole.md)
+ [saya: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
### AWS kebijakan terkelola dengan peringatan keamanan ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Beberapa kasus penggunaan tersebut adalah untuk administrator dalam akun Anda. Kebijakan AWS terkelola berikut menyediakan akses administrator dan memberikan izin untuk meneruskan peran IAM apa pun ke layanan apa pun AWS . AWS merekomendasikan agar Anda melampirkan kebijakan AWS terkelola berikut hanya pada identitas IAM yang Anda anggap administrator.
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)
+ [IAMFullAkses](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess)
## Peringatan Keamanan - Lulus peran dengan bintang di sumber daya dan NotAction
**Kode masalah:** PASS\$1ROLE\$1WITH\$1STAR\$1IN\$1RESOURCE\$1AND\$1NOT\$1ACTION
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
```
**Menyelesaikan peringatan keamanan**
Untuk mengonfigurasi banyak AWS layanan, Anda harus meneruskan peran IAM ke layanan. Untuk mengizinkan ini, Anda harus memberikan `iam:PassRole` izin kepada identitas (pengguna, grup pengguna, atau peran). Menggunakan `NotAction` elemen dalam kebijakan dengan wildcard (\$1) dalam `Resource` elemen dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam `Resource` elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol `iam:PassedToService` kondisi.
+ [Melewati peran ke layanan](id_roles_use_passrole.md)
+ [saya: PassedToService](reference_policies_iam-condition-keys.md#ck_PassedToService)
+ [Elemen kebijakan IAM JSON: NotAction](reference_policies_elements_notaction.md)
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Peringatan Keamanan - Kunci kondisi berpasangan tidak ada
**Kode masalah:** MISSING\$1PAIRED\$1CONDITION\$1KEYS
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."
```
**Menyelesaikan peringatan keamanan**
Beberapa tombol kondisi lebih aman saat dipasangkan dengan kunci kondisi terkait lainnya. AWS merekomendasikan agar Anda menyertakan kunci kondisi terkait di blok kondisi yang sama dengan kunci kondisi yang ada. Hal ini membuat izin yang diberikan melalui kebijakan lebih aman.
Misalnya, Anda dapat menggunakan tombol `aws:VpcSourceIp` kondisi untuk membandingkan alamat IP dari mana permintaan dibuat dengan alamat IP yang Anda tentukan dalam kebijakan. AWS merekomendasikan agar Anda menambahkan kunci `aws:SourceVPC` kondisi terkait. Ini memeriksa apakah permintaan berasal dari VPC yang Anda tentukan dalam kebijakan *dan* alamat IP yang Anda tentukan.
**Istilah terkait**
+ [`aws:VpcSourceIp`kunci kondisi global](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [`aws:SourceVPC`kunci kondisi global](reference_policies_condition-keys.md#condition-keys-sourcevpc)
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [Elemen kondisi](reference_policies_elements_condition.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Peringatan Keamanan - Tolak dengan kunci kondisi tag yang tidak didukung untuk layanan
**Kode masalah: DENY\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE**
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."
```
**Menyelesaikan peringatan keamanan**
Menggunakan kunci kondisi tag yang tidak didukung dalam `Condition` elemen kebijakan dengan `"Effect": "Deny"` bisa terlalu permisif, karena kondisi diabaikan untuk layanan tersebut. AWS merekomendasikan agar Anda menghapus tindakan layanan yang tidak mendukung kunci kondisi dan membuat pernyataan lain untuk menolak akses ke sumber daya tertentu untuk tindakan tersebut.
Jika Anda menggunakan kunci `aws:ResourceTag` kondisi dan tidak didukung oleh tindakan layanan, maka kunci tidak termasuk dalam konteks permintaan. Dalam hal ini, kondisi dalam `Deny` pernyataan selalu kembali `false` dan tindakan tidak pernah ditolak. Ini terjadi bahkan jika sumber daya ditandai dengan benar.
Saat layanan mendukung kunci `aws:ResourceTag` kondisi, Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya layanan tersebut. Ini dikenal sebagai [Attribute-based Access Control (ABAC)](introduction_attribute-based-access-control.md). Layanan yang tidak mendukung kunci ini mengharuskan Anda untuk mengontrol akses ke sumber daya menggunakan [kontrol akses berbasis sumber daya (RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)).
**catatan**
Beberapa layanan memungkinkan dukungan untuk kunci `aws:ResourceTag` kondisi untuk subset sumber daya dan tindakan mereka. IAM Access Analyzer mengembalikan temuan untuk tindakan layanan yang tidak didukung. Misalnya, Amazon S3 mendukung `aws:ResourceTag` subset sumber dayanya. Untuk melihat semua jenis sumber daya yang tersedia di Amazon S3 yang mendukung kunci `aws:ResourceTag` kondisi, lihat [Jenis sumber daya yang ditentukan oleh Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) di Referensi Otorisasi Layanan.
Misalnya, asumsikan bahwa Anda ingin menolak akses untuk menghapus tag menghapus sumber daya tertentu yang ditandai dengan pasangan nilai kunci. `status=Confidential` Juga asumsikan bahwa AWS Lambda memungkinkan Anda untuk menandai dan menghapus tag sumber daya, tetapi tidak mendukung kunci `aws:ResourceTag` kondisi. Untuk menolak tindakan hapus untuk AWS App Mesh dan AWS Backup jika tag ini ada, gunakan tombol `aws:ResourceTag` kondisi. Untuk Lambda, gunakan konvensi penamaan sumber daya yang menyertakan awalan. `"Confidential"` Kemudian sertakan pernyataan terpisah yang mencegah penghapusan sumber daya dengan konvensi penamaan itu.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteSupported",
"Effect": "Deny",
"Action": [
"appmesh:DeleteMesh",
"backup:DeleteBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/status": "Confidential"
}
}
},
{
"Sid": "DenyDeleteUnsupported",
"Effect": "Deny",
"Action": "lambda:DeleteFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
}
]
}
```
**Awas**
Jangan gunakan... [IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)versi operator kondisi sebagai solusi untuk temuan ini. Ini berarti “Tolak tindakan jika kunci ada dalam konteks permintaan dan nilainya cocok. Kalau tidak, tolak tindakannya.” Pada contoh sebelumnya, termasuk `lambda:DeleteFunction` tindakan dalam `DenyDeleteSupported` pernyataan dengan `StringEqualsIfExists` operator selalu menyangkal tindakan. Untuk tindakan itu, kuncinya tidak ada dalam konteks, dan setiap upaya untuk menghapus jenis sumber daya tersebut ditolak, terlepas dari apakah sumber daya tersebut diberi tag.
**Istilah terkait**
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [Membandingkan ABAC dengan RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
+ [Elemen kondisi](reference_policies_elements_condition.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Peringatan Keamanan - Tolak NotAction dengan kunci kondisi tag yang tidak didukung untuk layanan
**Kode masalah: DENY\$1NOTACTION\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE**
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
```
**Menyelesaikan peringatan keamanan**
Menggunakan kunci kondisi tag dalam `Condition` elemen kebijakan dengan elemen `NotAction` dan `"Effect": "Deny"` bisa terlalu permisif. Kondisi ini diabaikan untuk tindakan layanan yang tidak mendukung kunci kondisi. AWS merekomendasikan agar Anda menulis ulang logika untuk menolak daftar tindakan.
Jika Anda menggunakan kunci `aws:ResourceTag` kondisi dengan`NotAction`, tindakan layanan baru atau yang sudah ada yang tidak mendukung kunci tidak ditolak. AWS merekomendasikan agar Anda secara eksplisit mencantumkan tindakan yang ingin Anda tolak. IAM Access Analyzer mengembalikan temuan terpisah untuk tindakan terdaftar yang tidak mendukung kunci `aws:ResourceTag` kondisi. Untuk informasi selengkapnya, lihat [Peringatan Keamanan - Tolak dengan kunci kondisi tag yang tidak didukung untuk layanan](#access-analyzer-reference-policy-checks-security-warning-deny-with-unsupported-tag-condition-key-for-service).
Saat layanan mendukung kunci `aws:ResourceTag` kondisi, Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya layanan tersebut. Ini dikenal sebagai [Attribute-based Access Control (ABAC)](introduction_attribute-based-access-control.md). Layanan yang tidak mendukung kunci ini mengharuskan Anda untuk mengontrol akses ke sumber daya menggunakan [kontrol akses berbasis sumber daya (RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)).
**Istilah terkait**
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [Membandingkan ABAC dengan RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
+ [Elemen kondisi](reference_policies_elements_condition.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Peringatan Keamanan — Batasi akses ke prinsipal layanan
**Kode masalah:** RESTRICT\$1ACCESS\$1TO\$1SERVICE\$1PRINCIPAL
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."
```
**Menyelesaikan peringatan keamanan**
Anda dapat menentukan Layanan AWS dalam `Principal` elemen kebijakan berbasis sumber daya menggunakan prinsip layanan, yang merupakan pengenal untuk layanan. Saat memberikan akses ke kepala layanan untuk bertindak atas nama Anda, batasi akses. Anda dapat mencegah kebijakan yang terlalu permisif dengan menggunakan`aws:SourceArn`,`aws:SourceAccount`,`aws:SourceOrgID`, atau kunci `aws:SourceOrgPaths` kondisi untuk membatasi akses ke sumber tertentu, seperti ARN sumber daya tertentu, ID organisasi Akun AWS, atau jalur organisasi. Membatasi akses membantu Anda mencegah masalah keamanan yang disebut *masalah wakil yang bingung*.
**Istilah terkait**
+ [Layanan AWS kepala sekolah](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS kunci kondisi global: aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)
+ [AWS kunci kondisi global: aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)
+ [AWS kunci kondisi global: aws: SourceOrgId](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid)
+ [AWS kunci kondisi global: aws: SourceOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)
+ [Masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)
## Peringatan Keamanan - Kunci kondisi tidak ada untuk kepala sekolah oidc
**Kode masalah:** MISSING\$1CONDITION\$1KEY\$1FOR\$1OIDC\$1PRINCIPAL
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."
```
**Menyelesaikan peringatan keamanan**
Menggunakan prinsipal Open ID Connect tanpa kondisi bisa terlalu permisif. Tambahkan kunci kondisi dengan awalan yang cocok dengan prinsip OIDC federasi Anda untuk memastikan bahwa hanya penyedia identitas yang dituju yang mengambil peran tersebut.
**Istilah terkait**
+ [Membuat peran untuk identitas web atau OpenID Connect Federation (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
## Peringatan Keamanan - Kunci kondisi repo github tidak ada
**Kode masalah:** MISSING\$1GITHUB\$1REPO\$1CONDITION\$1KEY
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."
```
**Menyelesaikan peringatan keamanan**
Jika Anda menggunakan GitHub sebagai IDP OIDC, praktik terbaik adalah membatasi entitas yang dapat mengambil peran yang terkait dengan IDP IAM. Saat menyertakan `Condition` pernyataan dalam kebijakan kepercayaan peran, Anda dapat membatasi peran tersebut ke GitHub organisasi, repositori, atau cabang tertentu. Anda dapat menggunakan tombol kondisi `token.actions.githubusercontent.com:sub` untuk membatasi akses. Kami menyarankan Anda membatasi kondisi untuk satu set repositori atau cabang tertentu. Jika Anda tidak menyertakan kondisi ini, maka GitHub Tindakan dari organisasi atau repositori di luar kendali Anda dapat mengambil peran yang terkait dengan IDP GitHub IAM di akun Anda. AWS
**Istilah terkait**
+ [Mengkonfigurasi peran untuk penyedia identitas GitHub OIDC](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html#idp_oidc_Create_GitHub)
## Peringatan Keamanan - String seperti operator dengan kunci kondisi ARN
**Kode masalah:** STRING\$1LIKE\$1OPERATOR\$1WITH\$1ARN\$1CONDITION\$1KEYS
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
```
**Menyelesaikan peringatan keamanan**
AWS merekomendasikan agar Anda menggunakan operator ARN alih-alih operator string saat membandingkan ARNs untuk memastikan pembatasan akses yang tepat berdasarkan nilai kondisi ARN. Perbarui `StringLike` operator ke `ArnLike` operator di `Condition` elemen Anda setiap kali kunci yang ditentukan digunakan.
Kebijakan AWS terkelola ini merupakan pengecualian untuk peringatan keamanan ini:
+ [AmazonSecurityLakeAdministrator](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSecurityLakeAdministrator.html)
+ [AWSCodePipeline\$1FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_FullAccess.html)
+ [AWSCodePipeline\$1ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCodePipeline_ReadOnlyAccess.html)
+ [S3 UnlockBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/S3UnlockBucketPolicy.html)
+ [SQSUnlockQueuePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SQSUnlockQueuePolicy.html)
**Istilah terkait**
+ [Operator kondisi Nama Sumber Daya Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN)
+ [Operator kondisi string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String)
+ [AWS kebijakan terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)
## Peringatan Keamanan — ForAnyValue dengan jenis klaim audiens
**Kode masalah:** FORANYVALUE\$1WITH\$1AUDIENCE\$1CLAIM\$1TYPE
**Jenis pencarian:** SECURITY\$1WARNING
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
ForAnyValue with audience claim type: Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:."
```
**Menyelesaikan peringatan keamanan**
AWS merekomendasikan agar Anda tidak menggunakan operator yang `ForAnyValue` ditetapkan dengan kunci kondisi bernilai tunggal. Gunakan operator set hanya dengan kunci kondisi multivalued. Hapus operator yang `ForAnyValue` ditetapkan.
**Istilah terkait**
+ [Kunci konteks bernilai tunggal vs. multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md)
+ [Contoh kebijakan kunci konteks bernilai tunggal](reference_policies_condition_examples-single-valued-context-keys.md)
## Saran - Tindakan array kosong
**Kode masalah:** EMPTY\$1ARRAY\$1ACTION
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."
```
**Menyelesaikan saran**
Pernyataan harus mencakup salah satu `Action` atau `NotAction` elemen yang mencakup serangkaian tindakan. Ketika elemen kosong, pernyataan kebijakan tidak memberikan izin. Tentukan tindakan dalam `Action` elemen.
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
## Saran - Kondisi array kosong
**Kode masalah:** EMPTY\$1ARRAY\$1CONDITION
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."
```
**Menyelesaikan saran**
Struktur `Condition` elemen opsional mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai. Ketika nilai kondisi kosong, kondisi kembali `true` dan pernyataan kebijakan tidak memberikan izin. Tentukan nilai kondisi.
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran - Kondisi array kosong ForAllValues
**Kode masalah:** EMPTY\$1ARRAY\$1CONDITION\$1FORALLVALUES
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
```
**Menyelesaikan saran**
Struktur `Condition` elemen mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai. Operator `ForAllValues` set menguji apakah nilai setiap anggota kumpulan permintaan adalah subset dari set kunci kondisi.
Bila Anda menggunakan `ForAllValues` dengan kunci kondisi kosong, kondisi hanya cocok jika tidak ada kunci dalam permintaan. AWS merekomendasikan bahwa jika Anda ingin menguji apakah konteks permintaan kosong, gunakan operator `Null` kondisi sebagai gantinya.
+ [Kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Operator kondisi nol](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran - Kondisi array kosong ForAnyValue
**Kode masalah:** EMPTY\$1ARRAY\$1CONDITION\$1FORANYVALUE
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."
```
**Menyelesaikan saran**
Struktur `Condition` elemen mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai. Operator `ForAnyValues` set menguji apakah setidaknya satu anggota dari kumpulan nilai permintaan cocok dengan setidaknya satu anggota dari kumpulan nilai kunci kondisi.
Bila Anda menggunakan `ForAnyValues` dengan kunci kondisi kosong, kondisi tidak pernah cocok. Ini berarti bahwa pernyataan tersebut tidak berpengaruh pada kebijakan tersebut. AWS merekomendasikan agar Anda menulis ulang kondisinya.
+ [Kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran - Kondisi array kosong IfExists
**Kode masalah:** EMPTY\$1ARRAY\$1CONDITION\$1IFEXISTS
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
```
**Menyelesaikan saran**
`...IfExists`Sufiks mengedit operator kondisi. Ini berarti bahwa jika kunci kebijakan hadir dalam konteks permintaan, proses kunci seperti yang ditentukan dalam kebijakan. Jika kunci tidak ada, evaluasi elemen kondisi sebagai benar.
Bila Anda menggunakan `...IfExists` dengan kunci kondisi kosong, kondisi hanya cocok jika tidak ada kunci dalam permintaan. AWS merekomendasikan bahwa jika Anda ingin menguji apakah konteks permintaan kosong, gunakan operator `Null` kondisi sebagai gantinya.
+ [... IfExists operator kondisi](reference_policies_elements_condition_operators.md#Conditions_IfExists)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran - Prinsipal array kosong
**Kode masalah:** EMPTY\$1ARRAY\$1PRINCIPAL
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
```
**Menyelesaikan saran**
Anda harus menggunakan `NotPrincipal` elemen `Principal` atau dalam kebijakan kepercayaan untuk peran IAM dan kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya adalah kebijakan yang diterapkan langsung ke sumber daya.
Bila Anda menyediakan array kosong dalam `Principal` elemen pernyataan, pernyataan tersebut tidak berpengaruh pada kebijakan. AWS merekomendasikan agar Anda menentukan prinsip yang harus memiliki akses ke sumber daya.
+ [Elemen kebijakan IAM JSON: Principal](reference_policies_elements_principal.md)
+ [Elemen kebijakan IAM JSON: NotPrincipal](reference_policies_elements_notprincipal.md)
## Saran - Sumber daya array kosong
**Kode masalah:** EMPTY\$1ARRAY\$1RESOURCE
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."
```
**Menyelesaikan saran**
Pernyataan harus menyertakan elemen `Resource` atau `NotResource`.
Bila Anda menyediakan array kosong dalam elemen sumber daya pernyataan, pernyataan tersebut tidak berpengaruh pada kebijakan. AWS merekomendasikan agar Anda menentukan Amazon Resource Names (ARNs) untuk sumber daya.
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
+ [Elemen kebijakan IAM JSON: NotResource](reference_policies_elements_notresource.md)
## Saran - Kondisi objek kosong
**Kode masalah:** EMPTY\$1OBJECT\$1CONDITION
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."
```
**Menyelesaikan saran**
Struktur `Condition` elemen mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai.
Ketika Anda memberikan objek kosong dalam elemen kondisi pernyataan, pernyataan tersebut tidak berpengaruh pada kebijakan. Hapus elemen opsional atau tentukan kondisi.
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran - Prinsip objek kosong
**Kode masalah:** EMPTY\$1OBJECT\$1PRINCIPAL
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
```
**Menyelesaikan saran**
Anda harus menggunakan `NotPrincipal` elemen `Principal` atau dalam kebijakan kepercayaan untuk peran IAM dan kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya adalah kebijakan yang diterapkan langsung ke sumber daya.
Ketika Anda memberikan objek kosong dalam `Principal` elemen pernyataan, pernyataan tersebut tidak berpengaruh pada kebijakan. AWS merekomendasikan agar Anda menentukan prinsip yang harus memiliki akses ke sumber daya.
+ [Elemen kebijakan IAM JSON: Principal](reference_policies_elements_principal.md)
+ [Elemen kebijakan IAM JSON: NotPrincipal](reference_policies_elements_notprincipal.md)
## Saran - Nilai Sid kosong
**Kode masalah:** EMPTY\$1SID\$1VALUE
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Empty Sid value: Add a value to the empty string in the Sid element.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Add a value to the empty string in the Sid element."
```
**Menyelesaikan saran**
Elemen opsional `Sid` (ID pernyataan) memungkinkan Anda memasukkan pengenal yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan `Sid` nilai untuk setiap pernyataan dalam array pernyataan. Jika Anda memilih untuk menggunakan `Sid` elemen, Anda harus memberikan nilai string.
**Istilah terkait**
+ [Elemen kebijakan IAM JSON: Sid](reference_policies_elements_sid.md)
## Saran — Setara dengan null false
**Kode masalah:** EQUIVALENT\$1TO\$1NULL\$1FALSE
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Equivalent to null false: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition."
```
**Menyelesaikan saran**
Ganti kunci kondisi saat ini dengan kunci yang disarankan disetel ke`false`. Perubahan ini meningkatkan kejelasan kebijakan dan memastikan evaluasi kondisi yang lebih andal. Perbarui blok kondisi Anda untuk digunakan `{recommendedKey}: false` alih-alih kombinasi key-operator saat ini.
**Istilah terkait**
+ [Elemen kebijakan IAM: Kondisi](reference_policies_elements_condition.md)
+ [Kondisi dengan beberapa kunci konteks atau nilai](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS kunci konteks kondisi global](reference_policies_condition-keys.md)
## Saran - Setara dengan null true
**Kode masalah:** EQUIVALENT\$1TO\$1NULL\$1TRUE
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Equivalent to null true: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition."
```
**Menyelesaikan saran**
Ganti kunci kondisi saat ini dengan kunci yang disarankan disetel ke`true`. Perubahan ini meningkatkan kejelasan kebijakan dan memastikan evaluasi kondisi yang lebih andal. Perbarui blok kondisi Anda untuk digunakan `{recommendedKey}: true` alih-alih kombinasi key-operator saat ini.
**Istilah terkait**
+ [Elemen kebijakan IAM: Kondisi](reference_policies_elements_condition.md)
+ [Kondisi dengan beberapa kunci konteks atau nilai](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS kunci konteks kondisi global](reference_policies_condition-keys.md)
## Saran - Tingkatkan rentang IP
**Kode masalah:** IMPROVE\$1IP\$1RANGE
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."
```
**Menyelesaikan saran**
Kondisi alamat IP harus dalam format CIDR standar, seperti 203.0.113.0/24 atau 2001:: 1234:5678: :/64. DB8 Ketika Anda memasukkan bit bukan nol setelah bit bertopeng, mereka tidak dipertimbangkan untuk kondisi tersebut. AWS merekomendasikan agar Anda menggunakan alamat baru yang disertakan dalam pesan.
+ [Operator kondisi alamat IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran - Null dengan kualifikasi
**Kode masalah: NULL\$1WITH\$1QUALIFIER**
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."
```
**Menyelesaikan saran**
Dalam `Condition` elemen, Anda membangun ekspresi di mana Anda menggunakan operator kondisi seperti sama atau kurang dari untuk membandingkan kondisi dalam kebijakan terhadap kunci dan nilai dalam konteks permintaan. Untuk permintaan yang menyertakan beberapa nilai untuk satu kunci kondisi, Anda harus menggunakan `ForAllValues` atau `ForAnyValue` mengatur operator.
Bila Anda menggunakan operator `Null` kondisi dengan`ForAllValues`, pernyataan selalu kembali`true`. Bila Anda menggunakan operator `Null` kondisi dengan`ForAnyValue`, pernyataan selalu kembali`false`. AWS merekomendasikan agar Anda menggunakan operator `StringLike` kondisi dengan operator set ini.
**Istilah terkait**
+ [Kunci konteks multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.md#reference_policies_condition-multi-valued-context-keys)
+ [Operator kondisi nol](reference_policies_elements_condition_operators.md#Conditions_Null)
+ [Elemen kondisi](reference_policies_elements_condition.md)
## Saran - Subset alamat IP pribadi
**Kode masalah:** PRIVATE\$1IP\$1ADDRESS\$1SUBSET
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
```
**Menyelesaikan saran**
Kunci kondisi global hanya `aws:SourceIp` berfungsi untuk rentang alamat IP publik.
Ketika `Condition` elemen Anda menyertakan campuran alamat IP pribadi dan publik, pernyataan tersebut mungkin tidak memiliki efek yang diinginkan. Anda dapat menentukan alamat IP pribadi menggunakan`aws:VpcSourceIP`.
**catatan**
Kunci kondisi global hanya `aws:VpcSourceIP` cocok jika permintaan berasal dari alamat IP yang ditentukan dan melewati titik akhir VPC.
+ [aws: kunci kondisi SourceIp global](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [aws: kunci kondisi VpcSourceIp global](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Operator kondisi alamat IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran - Subset pribadi NotIpAddress
**Kode masalah:** PRIVATE\$1NOT\$1IP\$1ADDRESS\$1SUBSET
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
```
**Menyelesaikan saran**
Kunci kondisi global hanya `aws:SourceIp` berfungsi untuk rentang alamat IP publik.
Ketika `Condition` elemen Anda menyertakan operator `NotIpAddress` kondisi dan campuran alamat IP pribadi dan publik, pernyataan tersebut mungkin tidak memiliki efek yang diinginkan. Setiap alamat IP publik yang tidak ditentukan dalam kebijakan akan cocok. Tidak ada alamat IP pribadi yang cocok. Untuk mencapai efek ini, Anda dapat menggunakan `NotIpAddress` dengan `aws:VpcSourceIP` dan menentukan alamat IP pribadi yang seharusnya tidak cocok.
+ [aws: kunci kondisi SourceIp global](reference_policies_condition-keys.md#condition-keys-sourceip)
+ [aws: kunci kondisi VpcSourceIp global](reference_policies_condition-keys.md#condition-keys-vpcsourceip)
+ [Operator kondisi alamat IP](reference_policies_elements_condition_operators.md#Conditions_IPAddress)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran — Tindakan berlebihan
**Kode masalah:** REDUNDANT\$1ACTION
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."
```
**Menyelesaikan saran**
Saat Anda menggunakan wildcard (\$1) dalam `Action` elemen, Anda dapat menyertakan izin yang berlebihan. AWS menyarankan agar Anda meninjau kebijakan Anda dan hanya menyertakan izin yang Anda butuhkan. Ini dapat membantu Anda menghapus tindakan berlebihan.
Misalnya, tindakan berikut termasuk `iam:GetCredentialReport` tindakan dua kali.
```
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],
```
Dalam contoh ini, izin didefinisikan untuk setiap tindakan IAM yang dimulai dengan `Get` atau. `List` Ketika IAM menambahkan operasi get atau list tambahan, kebijakan ini akan mengizinkannya. Anda mungkin ingin mengizinkan semua tindakan hanya-baca ini. `iam:GetCredentialReport`Tindakan ini sudah termasuk sebagai bagian dari`iam:Get*`. Untuk menghapus izin duplikat, Anda dapat menghapus. `iam:GetCredentialReport`
Anda menerima temuan untuk pemeriksaan kebijakan ini ketika semua konten tindakan berlebihan. Dalam contoh ini, jika elemen disertakan`iam:*CredentialReport`, itu tidak dianggap berlebihan. Itu termasuk`iam:GetCredentialReport`, yang berlebihan, dan`iam:GenerateCredentialReport`, yang tidak. Menghapus salah satu `iam:Get*` atau `iam:*CredentialReport` akan mengubah izin kebijakan.
+ [Elemen kebijakan IAM JSON: Tindakan](reference_policies_elements_action.md)
### AWS kebijakan terkelola dengan saran ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Tindakan berlebihan tidak memengaruhi izin yang diberikan oleh kebijakan. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan yang dikelola pelanggan, AWS sarankan agar Anda menghapus tindakan berlebihan dari kebijakan Anda.
## Saran — Nilai kondisi redundan num
**Kode masalah:** REDUNDANT\$1CONDITION\$1VALUE\$1NUM
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."
```
**Menyelesaikan saran**
Bila Anda menggunakan operator kondisi numerik untuk nilai serupa dalam kunci kondisi, Anda dapat membuat tumpang tindih yang menghasilkan izin berlebihan.
Misalnya, `Condition` elemen berikut mencakup beberapa `aws:MultiFactorAuthAge` kondisi yang memiliki usia tumpang tindih 1200 detik.
```
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}
```
Dalam contoh ini, izin ditentukan jika otentikasi multi-faktor (MFA) diselesaikan kurang dari 3600 detik (1 jam) yang lalu. Anda dapat menghapus nilai redundan. `2700`
+ [Operator kondisi numerik](reference_policies_elements_condition_operators.md#Conditions_Numeric)
+ [Elemen kebijakan IAM JSON: Kondisi](reference_policies_elements_condition.md)
## Saran — Sumber daya redundan
**Kode masalah: REDUNDANT\$1RESOURCE**
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"
```
**Menyelesaikan saran**
Saat menggunakan wildcard (\$1) di Amazon Resource Names (ARNs), Anda dapat membuat izin sumber daya yang berlebihan.
Misalnya, `Resource` elemen berikut mencakup beberapa ARNs dengan izin berlebihan.
```
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],
```
Dalam contoh ini, izin ditentukan untuk peran apa pun dengan nama yang dimulai dengan`jane`. Anda dapat menghapus `jane-admin` redundan dan `jane-s3only` ARNs tanpa mengubah izin yang dihasilkan. Hal ini membuat kebijakan menjadi dinamis. Ini akan menentukan izin untuk setiap peran masa depan yang dimulai dengan`jane`. Jika tujuan kebijakan adalah untuk mengizinkan akses ke sejumlah peran statis, hapus ARN terakhir dan daftarkan hanya ARNs yang harus ditentukan.
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
### AWS kebijakan terkelola dengan saran ini
[AWS kebijakan terkelola](access_policies_managed-vs-inline.md#aws-managed-policies) memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Sumber daya redundan tidak memengaruhi izin yang diberikan oleh kebijakan. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan yang dikelola pelanggan, AWS sarankan Anda menghapus sumber daya yang berlebihan dari kebijakan Anda.
## Saran — Pernyataan berlebihan
**Kode masalah:** REDUNDANT\$1STATEMENT
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."
```
**Menyelesaikan saran**
Elemen `Statement` adalah elemen utama kebijakan ini. Elemen ini wajib diisi. Elemen `Statement` dapat berisi satu pernyataan atau serangkaian pernyataan individu.
Ketika Anda memasukkan pernyataan yang sama lebih dari sekali dalam kebijakan panjang, pernyataan tersebut berlebihan. Anda dapat menghapus salah satu pernyataan tanpa memengaruhi izin yang diberikan oleh kebijakan. Ketika seseorang mengedit kebijakan, mereka mungkin mengubah salah satu pernyataan tanpa memperbarui duplikat. Ini mungkin menghasilkan lebih banyak izin daripada yang dimaksudkan.
+ [Elemen kebijakan IAM JSON: Pernyataan](reference_policies_elements_statement.md)
## Saran — Wildcard dalam nama layanan
**Kode masalah:** WILDCARD\$1IN\$1SERVICE\$1NAME
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."
```
**Menyelesaikan saran**
Ketika Anda memasukkan nama AWS layanan dalam kebijakan, AWS merekomendasikan agar Anda tidak menyertakan wildcard (\$1,?). Ini mungkin menambahkan izin untuk layanan future yang tidak Anda inginkan. Misalnya, ada lebih dari selusin AWS layanan dengan kata `*code*` dalam nama mereka.
```
"Resource": "arn:aws:*code*::111122223333:*"
```
+ [Elemen kebijakan IAM JSON: Sumber daya](reference_policies_elements_resource.md)
## Saran - Izinkan dengan kunci kondisi tag yang tidak didukung untuk layanan
**Kode masalah:** ALLOW\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."
```
**Menyelesaikan saran**
Menggunakan kunci kondisi tag yang tidak didukung dalam `Condition` elemen kebijakan dengan `"Effect": "Allow"` tidak memengaruhi izin yang diberikan oleh kebijakan, karena kondisi diabaikan untuk tindakan layanan tersebut. AWS merekomendasikan agar Anda menghapus tindakan untuk layanan yang tidak mendukung kunci kondisi dan membuat pernyataan lain untuk mengizinkan akses ke sumber daya tertentu dalam layanan tersebut.
Jika Anda menggunakan kunci `aws:ResourceTag` kondisi dan tidak didukung oleh tindakan layanan, maka kunci tidak termasuk dalam konteks permintaan. Dalam hal ini, kondisi dalam `Allow` pernyataan selalu kembali `false` dan tindakan tidak pernah diizinkan. Ini terjadi bahkan jika sumber daya ditandai dengan benar.
Saat layanan mendukung kunci `aws:ResourceTag` kondisi, Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya layanan tersebut. Ini dikenal sebagai [Attribute-based Access Control (ABAC)](introduction_attribute-based-access-control.md). Layanan yang tidak mendukung kunci ini mengharuskan Anda untuk mengontrol akses ke sumber daya menggunakan [kontrol akses berbasis sumber daya (RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)).
**catatan**
Beberapa layanan memungkinkan dukungan untuk kunci `aws:ResourceTag` kondisi untuk subset sumber daya dan tindakan mereka. IAM Access Analyzer mengembalikan temuan untuk tindakan layanan yang tidak didukung. Misalnya, Amazon S3 mendukung `aws:ResourceTag` subset sumber dayanya. Untuk melihat semua jenis sumber daya yang tersedia di Amazon S3 yang mendukung kunci `aws:ResourceTag` kondisi, lihat [Jenis sumber daya yang ditentukan oleh Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) di Referensi Otorisasi Layanan.
Misalnya, asumsikan bahwa Anda ingin mengizinkan anggota tim untuk melihat detail sumber daya tertentu yang ditandai dengan pasangan nilai kunci. `team=BumbleBee` Juga asumsikan bahwa AWS Lambda memungkinkan Anda untuk menandai sumber daya, tetapi tidak mendukung kunci `aws:ResourceTag` kondisi. Untuk mengizinkan tindakan tampilan untuk AWS App Mesh dan AWS Backup jika tag ini ada, gunakan kunci `aws:ResourceTag` kondisi. Untuk Lambda, gunakan konvensi penamaan sumber daya yang menyertakan nama tim sebagai awalan. Kemudian sertakan pernyataan terpisah yang memungkinkan melihat sumber daya dengan konvensi penamaan itu.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewSupported",
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"backup:GetBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "BumbleBee"
}
}
},
{
"Sid": "AllowViewUnsupported",
"Effect": "Allow",
"Action": "lambda:GetFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
}
]
}
```
**Awas**
Jangan gunakan `Not` [versi operator kondisi](reference_policies_elements_condition_operators.md) `"Effect": "Allow"` sebagai solusi untuk temuan ini. Operator kondisi ini memberikan pencocokan yang dinegasikan. Ini berarti bahwa setelah kondisi dievaluasi, hasilnya dinegasikan. Dalam contoh sebelumnya, termasuk `lambda:GetFunction` tindakan dalam `AllowViewSupported` pernyataan dengan `StringNotEquals` operator selalu memungkinkan tindakan, terlepas dari apakah sumber daya ditandai.
Jangan gunakan... [IfExists](reference_policies_elements_condition_operators.md#Conditions_IfExists)versi operator kondisi sebagai solusi untuk temuan ini. Ini berarti “Izinkan tindakan jika kunci ada dalam konteks permintaan dan nilainya cocok. Jika tidak, izinkan aksinya.” Dalam contoh sebelumnya, termasuk `lambda:GetFunction` tindakan dalam `AllowViewSupported` pernyataan dengan `StringEqualsIfExists` operator selalu memungkinkan tindakan. Untuk tindakan itu, kuncinya tidak ada dalam konteks, dan setiap upaya untuk melihat jenis sumber daya diizinkan, terlepas dari apakah sumber daya diberi tag.
**Istilah terkait**
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
+ [Elemen kondisi](reference_policies_elements_condition.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Saran - Izinkan NotAction dengan kunci kondisi tag yang tidak didukung untuk layanan
**Kode masalah: ALLOW\$1NOTACTION\$1WITH\$1UNSUPPORTED\$1TAG\$1CONDITION\$1KEY\$1FOR\$1SERVICE**
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
```
**Menyelesaikan saran**
Menggunakan kunci kondisi tag yang tidak didukung dalam `Condition` elemen kebijakan dengan elemen `NotAction` dan `"Effect": "Allow"` tidak memengaruhi izin yang diberikan oleh kebijakan. Kondisi ini diabaikan untuk tindakan layanan yang tidak mendukung kunci kondisi. AWS merekomendasikan agar Anda menulis ulang logika untuk mengizinkan daftar tindakan.
Jika Anda menggunakan kunci `aws:ResourceTag` kondisi dengan`NotAction`, tindakan layanan baru atau yang sudah ada yang tidak mendukung kunci tidak diperbolehkan. AWS merekomendasikan agar Anda secara eksplisit mencantumkan tindakan yang ingin Anda izinkan. IAM Access Analyzer mengembalikan temuan terpisah untuk tindakan terdaftar yang tidak mendukung kunci `aws:ResourceTag` kondisi. Untuk informasi selengkapnya, lihat [Saran - Izinkan dengan kunci kondisi tag yang tidak didukung untuk layanan](#access-analyzer-reference-policy-checks-suggestion-allow-with-unsupported-tag-condition-key-for-service).
Saat layanan mendukung kunci `aws:ResourceTag` kondisi, Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya layanan tersebut. Ini dikenal sebagai [Attribute-based Access Control (ABAC)](introduction_attribute-based-access-control.md). Layanan yang tidak mendukung kunci ini mengharuskan Anda untuk mengontrol akses ke sumber daya menggunakan [kontrol akses berbasis sumber daya (RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)).
**Istilah terkait**
+ [Kunci kondisi global](reference_policies_condition-keys.md)
+ [Membandingkan ABAC dengan RBAC](introduction_attribute-based-access-control.md#introduction_attribute-based-access-control_compare-rbac)
+ [Elemen kebijakan JSON IAM: Operator kondisi](reference_policies_elements_condition_operators.md)
+ [Elemen kondisi](reference_policies_elements_condition.md)
+ [Ikhtisar kebijakan JSON](access_policies.md#access_policies-json)
## Saran - Kunci kondisi yang direkomendasikan untuk kepala layanan
**Kode masalah: RECOMMENDED\$1CONDITION\$1KEY\$1FOR\$1SERVICE\$1PRINCIPAL**
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."
```
**Menyelesaikan saran**
Anda dapat menentukan Layanan AWS dalam `Principal` elemen kebijakan berbasis sumber daya menggunakan *prinsip layanan*, yang merupakan pengenal untuk layanan. Anda harus menggunakan`aws:SourceArn`,, `aws:SourceAccount``aws:SourceOrgID`, atau kunci `aws:SourceOrgPaths` kondisi saat memberikan akses ke prinsipal layanan alih-alih kunci kondisi lainnya, seperti. `aws:Referer` Ini membantu Anda mencegah masalah keamanan yang disebut *masalah wakil yang bingung*.
**Istilah terkait**
+ [Layanan AWS kepala sekolah](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services)
+ [AWS kunci kondisi global: aws: SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)
+ [AWS kunci kondisi global: aws: SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)
+ [AWS kunci kondisi global: aws: SourceOrgId](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid)
+ [AWS kunci kondisi global: aws: SourceOrgPaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)
+ [Masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)
## Saran — Kunci kondisi yang tidak relevan dalam kebijakan
**Kode masalah:** IRRELEVANT\$1CONDITION\$1KEY\$1IN\$1POLICY
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."
```
**Menyelesaikan saran**
Beberapa kunci kondisi tidak relevan untuk kebijakan berbasis sumber daya. Misalnya, kunci `s3:ResourceAccount` kondisi tidak relevan untuk kebijakan berbasis sumber daya yang dilampirkan ke bucket Amazon S3 atau jenis sumber daya jalur akses Amazon S3.
Anda harus menggunakan kunci kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya.
**Istilah terkait**
+ [Kebijakan berbasis identitas dan kebijakan berbasis sumber daya](access_policies_identity-vs-resource.md)
## Saran - Kunci redundan karena wildcard dalam kondisi
**Kode masalah: REDUNDANT\$1KEY\$1DUE\$1TO\$1WILDCARD\$1IN\$1CONDITION**
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Redundant key due to wildcard in condition: The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition."
```
**Menyelesaikan saran**
Hapus kunci kondisi redundan dari kebijakan Anda. Kuncinya selalu cocok karena pola wildcard, membuatnya tidak perlu. Sederhanakan blok kondisi Anda dengan menghapus kunci ini sambil mempertahankan izin efektif yang sama.
**Istilah terkait**
+ [Elemen kebijakan IAM: Kondisi](reference_policies_elements_condition.md)
+ [Kondisi dengan beberapa kunci konteks atau nilai](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS kunci konteks kondisi global](reference_policies_condition-keys.md)
## Saran — Prinsip redundan dalam kebijakan kepercayaan peran
**Kode masalah:** REDUNDANT\$1PRINCIPAL\$1IN\$1ROLE\$1TRUST\$1POLICY
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."
```
**Menyelesaikan saran**
Jika Anda menentukan prinsipal peran yang diasumsikan dan peran induknya dalam `Principal` elemen kebijakan, kebijakan tersebut tidak mengizinkan atau menolak izin yang berbeda. Misalnya, itu berlebihan jika Anda menentukan `Principal` elemen menggunakan format berikut:
```
"Principal": {
"AWS": [
"arn:aws:iam::AWS-account-ID:role/rolename",
"arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname"
]
```
Kami merekomendasikan untuk menghapus prinsipal peran yang diasumsikan.
**Istilah terkait**
+ [Kepala sesi peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-role-session)
## Saran — Pernyataan redundan karena wildcard dalam kondisi
**Kode masalah: REDUNDANT\$1STATEMENT\$1DUE\$1TO\$1WILDCARD\$1IN\$1CONDITION**
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Redundant statement due to wildcard in condition: The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition."
```
**Menyelesaikan saran**
Hapus kunci kondisi yang tidak cocok dengan nilai apa pun. Kunci ini menciptakan kondisi yang tidak dapat dijangkau yang tidak akan pernah puas, membuatnya berlebihan. Bersihkan kebijakan Anda dengan menghapus kunci ini untuk meningkatkan keterbacaan dan kinerja.
**Istilah terkait**
+ [Elemen kebijakan IAM: Kondisi](reference_policies_elements_condition.md)
+ [Kondisi dengan beberapa kunci konteks atau nilai](reference_policies_condition-logic-multiple-context-keys-or-values.md)
+ [AWS kunci konteks kondisi global](reference_policies_condition-keys.md)
## Saran — Konfirmasi jenis klaim audiens
**Kode masalah:** CONFIRM\$1AUDIENCE\$1CLAIM\$1TYPE
**Jenis pencarian:** SARAN
**Detail temuan**
Dalam Konsol Manajemen AWS, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
Confirm audience claim type: The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier.
```
Dalam panggilan terprogram ke AWS API AWS CLI atau, temuan untuk pemeriksaan ini mencakup pesan berikut:
```
"findingDetails": "The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier."
```
**Menyelesaikan saran**
Kunci klaim `aud` (audiens) adalah pengenal unik untuk aplikasi Anda yang diberikan kepada Anda saat Anda mendaftarkan aplikasi dengan iDP dan mengidentifikasi penerima yang dimaksudkan untuk token web JSON. Klaim audiens dapat bernilai multivaluasi atau bernilai tunggal. Jika klaim multivaluasi, gunakan operator set `ForAllValues` atau `ForAnyValue` kondisi. Jika klaim bernilai tunggal, jangan gunakan operator set kondisi.
**Istilah terkait**
+ [Membuat peran untuk identitas web atau OpenID Connect Federation (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html)
+ [Kunci konteks multivaluasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)
+ [Kunci kondisi bernilai tunggal vs. multivaluasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_single-vs-multi-valued-condition-keys.html)