Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
iam-policy-no-statements-with-full-access
Memeriksa jika AWS Kebijakan Identity and Access Management (IAM) yang Anda buat memberikan izin untuk semua tindakan pada individu AWS sumber daya. Aturannya adalah NON _ COMPLIANT jika ada IAM kebijakan yang dikelola pelanggan yang memungkinkan akses penuh ke setidaknya 1 AWS layanan.
Konteks: Mengikuti prinsip hak istimewa paling sedikit, disarankan untuk membatasi tindakan yang diizinkan dalam IAM kebijakan Anda saat memberikan izin AWS
layanan. Pendekatan ini membantu memastikan bahwa Anda hanya memberikan izin yang diperlukan dengan menentukan tindakan tepat yang diperlukan, menghindari penggunaan wildcard tidak terbatas untuk layanan, seperti. ec2:*
Dalam beberapa kasus, Anda mungkin ingin mengizinkan beberapa tindakan dengan awalan serupa, seperti DescribeFlowLogsdan DescribeAvailabilityZones. Dalam kasus ini, Anda dapat menambahkan wildcard akhiran ke awalan umum (misalnya,). ec2:Describe* Mengelompokkan tindakan terkait dapat membantu menghindari mencapai batas ukuran IAM kebijakan.
Aturan ini akan kembali COMPLIANT jika Anda menggunakan tindakan awalan dengan wildcard berakhiran (misalnya,). ec2:Describe* Aturan ini hanya akan mengembalikan NON _ COMPLIANT jika Anda menggunakan wildcard yang tidak dibatasi (misalnya,ec2:*).
catatan
Aturan ini hanya mengevaluasi kebijakan yang dikelola pelanggan. Aturan ini NOT mengevaluasi kebijakan sebaris atau AWS kebijakan terkelola. Untuk informasi selengkapnya tentang perbedaannya, lihat Kebijakan terkelola dan kebijakan sebaris di Panduan IAM Pengguna.
Pengidentifikasi: IAM _ POLICY _TIDAK_ _ _ _ STATEMENTS WITH FULL ACCESS
Jenis Sumber Daya: AWS::IAM::Policy
Jenis pemicu: Perubahan konfigurasi
Wilayah AWS: Semua didukung AWS daerah
Parameter:
- excludePermissionBoundaryKebijakan (Opsional)
- Jenis: boolean
-
Boolean flag untuk mengecualikan evaluasi IAM kebijakan yang digunakan sebagai batas izin. Jika disetel ke 'true', aturan tidak akan menyertakan batas izin dalam evaluasi. Jika tidak, semua IAM kebijakan dalam lingkup dievaluasi ketika nilai disetel ke 'false.' Nilai default adalah 'salah'.
AWS CloudFormation templat
Untuk membuat AWS Config aturan yang dikelola dengan AWS CloudFormation template, lihatMembuat AturanAWS Config Terkelola DenganAWS CloudFormation Template.
