Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riferimento ai controlli delle policy di Access Analyzer
Puoi convalidare le policy utilizzando la convalida AWS Identity and Access Management Access Analyzer delle policy di. È possibile creare o modificare una politica utilizzando il AWS CLI AWS API, o l'editor JSON delle politiche nella IAM console. IAMAccess Analyzer convalida la policy rispetto alla sintassi IAM delle policy e AWS alle best practice. È possibile visualizzare i risultati del controllo della convalida delle policy che includono avvisi di sicurezza, errori, avvisi generali e suggerimenti per la policy. Questi risultati forniscono suggerimenti utili che consentono di creare policy funzionali e conformi alle best practice per la sicurezza. L'elenco dei controlli di base delle policy forniti da IAM Access Analyzer è disponibile di seguito. L'esecuzione dei controlli di convalida delle policy non comporta costi aggiuntivi. Per ulteriori informazioni sulla convalida delle policy tramite l'apposito procedimento, consulta Convalida delle policy con IAM Access Analyzer.
Errore: ARN account non consentito
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."
Risoluzione dell'errore
Rimuovi l'ID account dalla risorsaARN. La risorsa ARNs per alcuni AWS servizi non supporta la specifica di un ID account.
Ad esempio, Amazon S3 non supporta un ID account come spazio dei nomi nel bucket. ARNs Il nome di un bucket Amazon S3 è univoco a livello globale e lo spazio dei nomi è condiviso da tutti gli account. AWS Per visualizzare tutti i tipi di risorse disponibili in Amazon S3, consulta Tipi di risorse definiti da Amazon S3 in Service Authorization Reference.
Termini correlati
Errore: ARN regione non consentita
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."
Risoluzione dell'errore
Rimuovi la regione dalla risorsaARN. La risorsa ARNs per alcuni AWS servizi non supporta la specifica di una regione.
Ad esempio, IAM è un servizio globale. La parte della regione di una IAM risorsa ARN viene sempre mantenuta vuota. IAMle risorse sono globali, come oggi lo è un AWS account conto è oggi. Ad esempi, dopo aver effettuato l'accesso come IAM utente, puoi accedere ai AWS servizi in qualsiasi regione geografica.
Errore: mancata corrispondenza del tipo di dati
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."
Risoluzione dell'errore
Aggiorna il testo per utilizzare il tipo di dati supportato.
Ad esempio, la chiave di condizione globale di Version
richiede un tipo di dati String
. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
Termini correlati
Errore: chiavi duplicate con un diverso formato maiuscolo/minuscolo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."
Risoluzione dell'errore
Esamina le chiavi di condizione simili all'interno dello stesso blocco di condizione e utilizza lo stesso formato maiuscolo/minuscolo per tutte le istanze.
Un blocco di condizione è il testo all'interno dell'elemento Condition
di una istruzione della policy. I nomi delle chiavi di condizione non distinguono tra maiuscole e minuscole. La distinzione tra maiuscole e minuscole dei valori delle chiavi di condizione dipende dall'operatore di condizione utilizzato. Per ulteriori informazioni sul formato maiuscolo/minuscolo per le chiavi di condizione, consulta IAMJSONelementi politici: Condition.
Termini correlati
Errore: operazione non valida
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"
Risoluzione dell'errore
L'azione specificata non è valida. Ciò può verificarsi se si digita male il prefisso del servizio o il nome dell'operazione. Per alcuni problemi comuni, il controllo delle policy restituisce un'operazione suggerita.
Termini correlati
AWS Policy gestite da con questo errore
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Le seguenti policy AWS gestite da da includono operazioni non valide nelle relative istruzioni delle policy. Le operazioni non valide non influenzano le autorizzazioni concesse dalla policy. Quando utilizzi una policy AWS gestita da come riferimento per creare la tua policy gestita, AWS consiglia di rimuovere dalla policy le operazioni non valide.
Errore: account non valido ARN
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."
Risoluzione dell'errore
Aggiorna l'ID account nella risorsaARN. IDsGli account sono numeri interi a 12 cifre. Per informazioni su come visualizzare il tuo ID account, consulta Ricerca del tuo ID AWS account.
Termini correlati
Errore: prefisso non valido ARN
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "Add the required prefix (arn) to the resource ARN."
Risoluzione dell'errore
AWS la risorsa ARNs deve includere il arn:
prefisso richiesto.
Termini correlati
Errore: regione non valida ARN
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."
Risoluzione dell'errore
Il tipo di risorsa non è supportato nella regione specificata. Per una tabella dei AWS servizi supportati in ciascuna regione, consulta la tabella delle regioni
Termini correlati
Errore: risorsa non valida ARN
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."
Risoluzione dell'errore
La risorsa ARN deve corrispondere alle specifiche per i tipi di risorse noti. Per visualizzare il ARN formato previsto per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi. Sceglie il nome del servizio per visualizzarne i tipi e i ARN formati di risorse.
Termini correlati
Errore: caso di ARN servizio non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."
Risoluzione dell'errore
Il servizio nell'risorsa ARN deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
Termini correlati
Errore: tipo di dati di condizione non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."
Risoluzione dell'errore
Il valore nella coppia chiave-valore condizione deve corrispondere al tipo di dati della chiave di condizione e dell'operatore di condizione. Per visualizzare il tipo di dati della chiave di condizione per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi. Scegli il nome del servizio per visualizzarne le chiavi di condizione.
Ad esempio, la chiave di condizione globale di CurrentTime supporta l'operatore di condizione Date
. Se si specifica una stringa o un numero intero per il valore nel blocco di condizione, il tipo di dati non corrisponderà.
Termini correlati
Errore: formato della chiave di condizione non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The condition key format is not valid. Use the format service:keyname."
Risoluzione dell'errore
La chiave nella coppia chiave-valore condizione deve corrispondere alle specifiche del servizio. Per visualizzare le chiavi di condizione per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi. Scegli il nome del servizio per visualizzarne le chiavi di condizione.
Termini correlati
Errore: booleano multiplo della condizione non valida
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."
Risoluzione dell'errore
La chiave nella coppia chiave-valore della condizione prevede un singolo valore booleano. Quando si forniscono più valori booleani, la corrispondenza della condizione potrebbe non restituire i risultati previsti.
Per visualizzare le chiavi di condizione per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi. Scegli il nome del servizio per visualizzarne le chiavi di condizione.
Errore: operatore di condizione non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."
Risoluzione dell'errore
Aggiorna la condizione per utilizzare un operatore di condizione supportato.
Termini correlati
Errore: effetto non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."
Risoluzione dell'errore
Aggiorna l'elemento Effect
per utilizzare un effetto valido. I valori validi di Effect
sono Allow
e Deny
.
Termini correlati
Errore: chiave di condizione globale non valida
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."
Risoluzione dell'errore
Aggiorna la chiave di condizione nella coppia chiave-valore della condizione per utilizzare una chiave di condizione globale supportata.
Le chiavi di condizione globali sono chiavi di condizione con un aws:
prefisso. AWS i servizi possono supportare chiavi di condizione globali o fornire chiavi specifiche del servizio che includono il prefisso del servizio. Ad esempio, le chiavi di IAM condizione di includono il iam:
prefisso. Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi e scegli il servizio di cui vuoi visualizzare le chiavi.
Termini correlati
Errore: partizione non valida
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"
Risoluzione dell'errore
Aggiorna la risorsa ARN per includere una partizione supportata. Se hai incluso una partizione supportata, il servizio o la risorsa potrebbe non supportare la partizione inclusa.
Una partizione è un gruppo di regioni. AWS Ogni AWS account è limitato a una partizione. Nelle regioni classiche, utilizza la partizione aws
. Nelle regioni della Cina, utilizza aws-cn
.
Termini correlati
Errore: elemento della policy non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid policy element: The policy element {{element}} is not valid.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The policy element {{element}} is not valid."
Risoluzione dell'errore
Aggiorna la policy per includere solo gli elementi JSON della policy supportati.
Termini correlati
Errore: formato principale non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."
Risoluzione dell'errore
Aggiorna il principale per utilizzare un formato di coppia chiave-valore supportato.
Puoi specificare un principale in una policy basata sulle risorse, ma non in una policy basata sulle identità.
Ad esempi, per definire l'accesso per tutti gli utenti in un AWS account utilizza nella policy il seguente principale:
"Principal": { "AWS": "123456789012" }
Termini correlati
Errore: chiave principale non valida
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid principal key: The principal key {{principal-key}} is not valid.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The principal key {{principal-key}} is not valid."
Risoluzione dell'errore
Aggiorna la chiave nella coppia chiave-valore del principale per utilizzare una chiave principale supportata. Le chiavi principali supportate sono le seguenti:
AWS
CanonicalUser
Federato
Servizio
Termini correlati
Errore: regione non valida
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."
Risoluzione dell'errore
Aggiorna il valore della coppia chiave-valore della condizione per includere una regione supportata. Per una tabella dei AWS servizi supportati in ciascuna regione, consulta la tabella delle regioni
Termini correlati
Errore: servizio non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid service: The service {{service}} does not exist. Use a valid service name.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIoperazione, il per questo controllo include il seguente messaggio:
"findingDetails": "The service {{service}} does not exist. Use a valid service name."
Risoluzione dell'errore
Il prefisso del servizio nell'operazione o nella chiave di condizione deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
Termini correlati
Errore: chiave di condizione del servizio non valida
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."
Risoluzione dell'errore
Aggiorna la chiave nella coppia chiave-valore della condizione per utilizzare una chiave di condizione nota per il servizio. Le chiavi di condizione globali sono chiavi di condizione con un prefisso aws
. I servizi
AWS possono fornire chiavi specifiche del servizio che includono il prefisso del servizio. Per visualizzare il prefisso per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi.
Termini correlati
Errore: servizio non valido nell'operazione
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"
Risoluzione dell'errore
Il prefisso del servizio nell'operazione deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
Termini correlati
Errore: variabile non valida per l'operatore
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Policy variables can only be used with String and ARN operators."
Risoluzione dell'errore
Le variabili di policy possono essere utilizzate nell'elemento Resource
e per confrontare stringhe nell'elemento Condition
. Le condizioni supportano le variabili quando si utilizzano operatori o ARN operatori stringa. Gli operatori stringa includono StringEquals
, StringLike
e StringNotLike
. ARNgli operatori includono ArnEquals
eArnLike
. Non è possibile utilizzare una variabile della policy con altri operatori, ad esempio Numeric, Date, Boolean, Binary, IP Address o Null.
Termini correlati
Errore: versione non valida
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"
Risoluzione dell'errore
L'elemento Version
policy specifica le regole sintattiche del linguaggio che devono essere AWS utilizzate da per elaborare una policy. Per utilizzare tutte le funzionalità della policy disponibili, includi il seguente elemento Version
prima dell'elemento Statement
in tutte le policy.
"Version": "2012-10-17"
Termini correlati
Errore: errore di sintassi JSON
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."
Risoluzione dell'errore
La policy include un errore di sintassi. Controlla la JSON sintassi.
Termini correlati
Errore: errore di sintassi JSON
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Json syntax error: Fix the JSON syntax error.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Fix the JSON syntax error."
Risoluzione dell'errore
La policy include un errore di sintassi. Controlla la JSON sintassi.
Termini correlati
Errore: operazione mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing action: Add an Action or NotAction element to the policy statement.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Add an Action or NotAction element to the policy statement."
Risoluzione dell'errore
AWS JSONle politiche devono includere un NotAction
elemento Action
or.
Termini correlati
Errore: ARN campo mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"
Risoluzione dell'errore
Tutti i campi della risorsa ARN devono corrispondere alle specifiche per i tipi di risorse noti. Per visualizzare il ARN formato previsto per un servizio, consulta Operazioni, risorse e chiavi di condizione per AWS i servizi. Sceglie il nome del servizio per visualizzarne i tipi e i ARN formati di risorse.
Termini correlati
Errore: ARN regione mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing ARN Region: Add a Region to the {{service}} resource ARN.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Add a Region to the {{service}} resource ARN."
Risoluzione dell'errore
La risorsa ARNs per la maggior parte AWS dei servizi richiede di specificare una regione. Per una tabella dei AWS servizi supportati in ciascuna regione, consulta la tabella delle regioni
Termini correlati
Errore: effetto mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."
Risoluzione dell'errore
AWS JSONle politiche devono includere un Effect
elemento con valore Allow
eDeny
.
Termini correlati
Errore: principale mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing principal: Add a Principal element to the policy statement.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Add a Principal element to the policy statement."
Risoluzione dell'errore
Le policy basate sulle risorse devono includere un elemento Principal
.
Ad esempi, per definire l'accesso per tutti gli utenti in un AWS account utilizza nella policy il seguente principale:
"Principal": { "AWS": "123456789012" }
Termini correlati
Errore: qualificatore mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."
Risoluzione dell'errore
Nell'elemento Condition
è possibile creare espressioni in cui utilizzare operatori condizionali ("uguale a", "minore di" e così via) per confrontare le chiavi e i valori della policy rispetto alle chiavi e ai valori del contesto della richiesta. Per le richieste che includono più valori per una singola chiave, è necessario racchiudere le condizioni tra parentesi come un array ("Key2":["Value2A", "Value2B"]). È inoltre necessario utilizzare gli operatori su set ForAllValues
o ForAnyValue
con l'operatori di condizione StringLike
. Questi qualificatori aggiungono funzionalità di operazione set all'operatore della condizione, in modo che sia possibile testare più valori di richieste con più valori di condizione.
Termini correlati
AWS Policy gestite da con questo errore
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Le seguenti policy AWS gestite da includono un qualificatore mancante per le chiavi di condizione nelle istruzioni delle policy. Quando utilizzi la policy AWS gestita da come riferimento per creare la tua policy gestita, AWS consiglia di aggiungere i qualificatori di chiavi ForAllValues
o ForAnyValue
condizione per il tuo Condition
elemento.
Errore: risorsa mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing resource: Add a Resource or NotResource element to the policy statement.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Add a Resource or NotResource element to the policy statement."
Risoluzione dell'errore
Tutte le politiche, ad eccezione delle politiche di trust dei ruoli, devono includere un NotResource
elemento Resource
or.
Termini correlati
Errore: istruzione mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing statement: Add a statement to the policy
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Add a statement to the policy"
Risoluzione dell'errore
Una JSON policy deve includere una dichiarazione.
Termini correlati
Errore: null con if esiste
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."
Risoluzione dell'errore
È possibile aggiungere IfExists
alla fine di qualsiasi nome dell'operatore di condizione ad eccezione dell'operatore di condizione Null
. Utilizza un operatore di condizione Null
per verificare se una chiave di condizione è presente al momento dell'autorizzazione. Utilizza ...ifExists
per dichiarare che "Se la chiave di policy è presente nel contesto della richiesta, la chiave deve essere elaborata come specificato nella policy. Se la chiave non è presente, l'elemento della condizione viene valutato come "true".
Termini correlati
Errore: carattere SCP jolly dell'operazione con errore di sintassi
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."
Risoluzione dell'errore
AWS Organizations le politiche di controllo del servizio (SCPs) supportano la specificazione di valori negli elementi Action
orNotAction
. Tuttavia, questi valori possono includere caratteri jolly (*) solo alla fine della stringa. Ciò significa che puoi specificare iam:Get*
ma non iam:*role
.
Per specificare più operazioni, AWS consiglia di elencarle singolarmente.
Termini correlati
Errore: condizione di autorizzazione con errore di SCP sintassi
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."
Risoluzione dell'errore
AWS Organizations le politiche di controllo del servizio (SCPs) supportano la specificazione dei valori nell'Condition
elemento solo quando si utilizza. "Effect": "Deny"
Per consentire solo una singola operazione, è possibile negare l'accesso a tutto tranne la condizione specificata utilizzando la versione ...NotEquals
di un operatore di condizione. Questo rifiuta il confronto fatto dall'operatore.
Termini correlati
Errore: autorizzazione con errore di SCP sintassi NotAction
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."
Risoluzione dell'errore
AWS Organizations le politiche di controllo del servizio (SCPs) non supportano l'utilizzo dell'NotAction
elemento with"Effect": "Allow"
.
È necessario riscrivere la logica per consentire una lista di operazioni o per rifiutare tutte le operazioni che non sono nell'elenco.
Termini correlati
Errore: risorsa di autorizzazione con errore di SCP sintassi
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."
Risoluzione dell'errore
AWS Organizations le politiche di controllo del servizio (SCPs) supportano la specificazione dei valori nell'Resource
elemento solo quando si utilizza. "Effect": "Deny"
È necessario riscrivere la logica per consentire tutte le risorse o rifiutare tutte le risorse elencate.
Termini correlati
Errore: errore di SCP sintassi NotResource
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."
Risoluzione dell'errore
AWS Organizations le politiche di controllo del servizio (SCPs) non supportano l'NotResource
elemento.
È necessario riscrivere la logica per consentire tutte le risorse o rifiutare tutte le risorse elencate.
Termini correlati
Errore: principale dell'errore di SCP sintassi
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."
Risoluzione dell'errore
AWS Organizations le politiche di controllo del servizio (SCPs) non supportano gli NotPrincipal
elementi Principal
or.
Puoi specificare l'Amazon Resource Name (ARN) utilizzando la chiave di condizione aws:PrincipalArn
globale nell'Condition
elemento.
Termini correlati
Errore: sid univoci richiesti
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."
Risoluzione dell'errore
Per alcuni tipi di policy, la dichiarazione IDs deve essere univoca. L'elemento Sid
(ID istruzione) consente di immettere un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore ID di istruzione a ogni istruzione in una matrice di istruzioni utilizzando l'elemento SID
. In servizi che consentono di specificare un elemento ID, ad esempio SQS eSNS, il Sid
valore è semplicemente un ID secondario dell'ID del documento di policy. Ad esempio, inIAM, il Sid
valore deve essere univoco all'interno di una JSON policy.
Termini correlati
Errore: operazione non supportata nella policy
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
Risoluzione dell'errore
Alcune operazioni non sono supportate nell’elemento Action
nella policy basata su risorse collegato a un tipo di risorsa diverso. Ad esempi, AWS Key Management Service le operazioni non sono supportate nelle policy bucket di Amazon S3. Specificare un'operazione supportata dal tipo di risorsa collegato alla policy basata su risorse.
Termini correlati
Errore: combinazione di elementi non supportata
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."
Risoluzione dell'errore
Alcune combinazioni di elementi delle JSON policy non possono essere utilizzate insieme. Ad esempio, non è possibile utilizzare Action
e NotAction
nella stessa dichiarazione di policy. Altre coppie che si escludono reciprocamente sono Principal/NotPrincipal
e Resource/NotResource
.
Termini correlati
Errore: chiave di condizione globale non supportata
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."
Risoluzione dell'errore
AWS non supporta l'utilizzo della chiave di condizione globale specificata. A seconda del tuo caso d'uso, puoi utilizzare le chiavi di condizione globali aws:PrincipalArn
o aws:SourceArn
. Ad esempio, invece diaws:ARN
, usa aws:PrincipalArn
per confrontare l'Amazon Resource Name (ARN) del principale che ha effettuato la richiesta con ARN quello specificato nella policy. In alternativa, utilizza la chiave di condizione aws:SourceArn
globale per confrontare l'Amazon Resource Name (ARN) della risorsa ARN che effettua una service-to-service richiesta con quello specificato nella policy.
Termini correlati
Errore: principale non supportato
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."
Risoluzione dell'errore
L'elemento Principal
specifica il principale a cui è consentito o rifiutato l'accesso a una risorsa. Non è possibile utilizzare l'Principal
elemento in una policy IAM basata sull'identità. Puoi usarlo nelle policy di attendibilità per IAM i ruoli e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa. Ad esempio, puoi integrare le policy in un bucket Amazon S3 o una chiave. AWS KMS
Termini correlati
Errore: risorsa non supportata ARN nella policy
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
Risoluzione dell'errore
Alcune risorse ARNs non sono supportate nell'Resource
elemento della policy basata su risorse quando la policy è collegata a un tipo di risorsa diverso. Ad esempi, AWS KMS ARNs non sono supportati nell'Resource
elemento per le policy bucket Amazon S3. Specificare una risorsa ARN supportata da un tipo di risorsa collegato alla policy basata sulle risorse.
Termini correlati
Errore: sid non supportato
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"
Risoluzione dell'errore
L'elemento Sid
supporta lettere maiuscole, lettere minuscole e numeri.
Termini correlati
Errore: carattere jolly non supportato nel principale
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."
Risoluzione dell'errore
La struttura dell'elemento Principal
supporta l'utilizzo di una coppia chiave-valore. Il valore del principale specificato nella policy include un carattere jolly (*). Non è possibile includere un carattere jolly con la chiave del principale specificata. Ad esempio, quando specifichi gli utenti in un elemento Principal
, non è possibile utilizzare un carattere jolly che indica "tutti gli utenti". Assegna un nome a uno o più utenti specifici. Allo stesso modo, quando si specifica una sessione con assunzione di ruolo, non è possibile utilizzare un carattere jolly (*) per indicare "tutte le sessioni". È necessario assegnare un nome a una sessione specifica. Non è possibile utilizzare un carattere jolly per associare parte di un nome o di unARN.
Per risolvere questo risultato, rimuovi il carattere jolly e fornisci un principale più specifico.
Termini correlati
Errore: parentesi mancante nella variabile
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."
Risoluzione dell'errore
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso $
seguito da una coppia di parentesi graffe ({ }
). All'interno dei caratteri ${ }
, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy.
Per risolvere questo risultato, aggiungi la parentesi graffa mancante per assicurarti che sia presente il set completo di parentesi graffe di apertura e chiusura.
Termini correlati
Errore: virgoletta mancante nella variabile
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."
Risoluzione dell'errore
Quando aggiungi una variabile alla policy, puoi specificare un valore di default per la variabile. Se non è presente una variabile, AWS utilizza il testo di default fornito.
Per aggiungere un valore di default a una variabile, racchiudi il valore di default tra virgolette singole (' '
) e separa il testo della variabile e il valore di default con una virgola e uno spazio (,
).
Ad esempio, se un principale è contrassegnato con team=yellow
, possono accedere al bucket Amazon S3 amzn-s3-demo-bucket
con il nomeamzn-s3-demo-bucket-yellow
. Una policy con questa risorsa potrebbe consentire ai membri del team di accedere alle proprie risorse, ma non a quelle di altri team. Per gli utenti senza tag dei team, puoi impostare un valore di default dicompany-wide
. Questi utenti possono accedere solo al bucket amzn-s3-demo-bucket-company-wide
, dove possono visualizzare informazioni generali, come le istruzioni per entrare a far parte di un team.
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-
${aws:PrincipalTag/team, 'company-wide
'}"
Termini correlati
Errore: spazio non supportato nella variabile
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "A space is not supported within the policy variable text. Remove the space."
Risoluzione dell'errore
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso $
seguito da una coppia di parentesi graffe ({ }
). All'interno dei caratteri ${ }
, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy. Sebbene sia possibile includere uno spazio quando si specifica una variabile di default, non è possibile includere uno spazio nel nome della variabile.
Termini correlati
Errore: variabile vuota
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."
Risoluzione dell'errore
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso $
seguito da una coppia di parentesi graffe ({ }
). All'interno dei caratteri ${ }
, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy.
Termini correlati
Errore: variabile non supportata nell'elemento
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."
Risoluzione dell'errore
Le variabili di policy possono essere utilizzate nell'elemento Resource
e per confrontare stringhe nell'elemento Condition
.
Termini correlati
Errore: variabile non supportata nella versione
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."
Risoluzione dell'errore
Per usare le variabili di policy, è necessario che l'elemento Version
sia incluso in una istruzione e impostato su una versione che supporti le variabili di policy. Le variabili sono state introdotte a partire dalla versione 2012-10-17
. Le versioni precedenti del linguaggio di policy non supportano le variabili. Se non imposti la Version
su 2012-10-17
o una versione successiva, le variabili come ${aws:username}
nella policy vengono trattate come stringhe letterali.
Un elemento di policy Version
è diverso da una versione di policy. L'elemento di policy Version
viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Una versione della policy viene creata quando si modifica una policy gestita dal cliente inIAM. La policy modificata non viene sovrascritta a quella precedente. IAMcreata invece una nuova versione della policy gestita.
Termini correlati
Errore: indirizzo IP privato
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."
Risoluzione dell'errore
La chiave di condizione globale aws:SourceIp
funziona solo per intervalli di indirizzi IP pubblici. Questo errore viene visualizzato quando la policy consente solo indirizzi IP privati. In questo caso, la condizione non corrisponderà mai.
Errore: privato NotIpAddress
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."
Risoluzione dell'errore
La chiave di condizione globale aws:SourceIp
funziona solo per intervalli di indirizzi IP pubblici. Questo errore viene visualizzato quando si utilizza l'operatore di condizione NotIpAddress
e sono riportati solo gli indirizzi IP privati. In questo caso, la condizione corrispondere sempre ed è inefficace.
Errore: la dimensione della policy supera SCP la quota
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."
Risoluzione dell'errore
AWS Organizations le politiche di controllo del servizio (SCPs) supportano la specificazione di valori negli elementi Action
orNotAction
. Tuttavia, questi valori possono includere caratteri jolly (*) solo alla fine della stringa. Ciò significa che puoi specificare iam:Get*
ma non iam:*role
.
Per specificare più operazioni, AWS consiglia di elencarle singolarmente.
Termini correlati
Errore: formato principale del servizio non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."
Risoluzione dell'errore
Il valore nella coppia chiave-valore della condizione deve corrispondere a un formato di principale di servizio definito.
Un'entità servizio è un identificatore che viene utilizzato per concedere autorizzazioni a un servizio. Puoi specificare un principale di servizio nell’elemento Principal
o come valore per alcune chiavi di condizione globali e chiavi specifiche del servizio. Il principale del servizio è definito da ciascun servizio.
L'identificatore di un principale del servizio include il nome del servizio ed è solitamente nel formato seguente con tutte le lettere minuscole:
service-name
.amazonaws.com
Alcune chiavi specifiche del servizio possono utilizzare un formato diverso per i principali di servizio. Ad esempio, la chiave di condizione kms:ViaService
richiede il seguente formato per i principali del servizio con tutte le lettere minuscole:
service-name.AWS_region
.amazonaws.com
Termini correlati
Errore: chiave di tag mancante nella condizione
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."
Risoluzione dell'errore
Per controllare gli accessi in base ai tag, devi fornire informazioni sui tag nell'elemento condizione di una policy.
Ad esempio, per controllare l'accesso alle AWS risorse, si include la chiave di aws:ResourceTag
condizione. Questa chiave richiede il formato aws:ResourceTag/
. Per specificare la chiave di tag tag-key
owner
e il valore del tag JaneDoe
In una condizione, utilizza il seguente formato:
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}
Termini correlati
Errore: formato vpc non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."
Risoluzione dell'errore
La chiave di condizione aws:SourceVpc
deve utilizzare il prefisso vpc-
seguito da 8 o 17 caratteri alfanumerici, ad esempio vpc-11223344556677889
o vpc-12345678
.
Termini correlati
Errore: formato vpce non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."
Risoluzione dell'errore
La chiave di condizione aws:SourceVpce
deve utilizzare il prefisso vpce-
seguito da 8 o 17 caratteri alfanumerici, ad esempio vpce-11223344556677889
o vpce-12345678
.
Termini correlati
Errore: principale federato non supportato
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."
Risoluzione dell'errore
L'Principal
elemento utilizza i principali federati per le policy di attendibilità collegate ai IAM ruoli per fornire l'accesso tramite la federazione delle identità. Le policy di identità e altre policy basate sulle risorse non supportano un provider di identità federato nell’elemento Principal
. Ad esempio, non puoi utilizzare un SAML principale in una policy bucket Amazon S3. Modifica l’elemento Principal
con un tipo di principale supportato.
Termini correlati
Errore: operazione non supportata per la chiave di
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."
Risoluzione dell'errore
Assicurati che la chiave di condizione sia nell’elemento Condition
della dichiarazione di policy si applichi a tutte le operazioni nell’elemento Action
. Per garantire che le operazioni specificate siano effettivamente consentite o rifiutate dalla policy, è necessario spostare le operazioni non supportate in una dichiarazione diversa senza la chiave di condizione.
Nota
Se l'Action
elemento ha operazioni con caratteri jolly, IAM Access Analyzer non le valuta per questo errore.
Termini correlati
Errore: operazione non supportata nella policy
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
Risoluzione dell'errore
Alcune operazioni non sono supportate nell’elemento Action
nella policy basata su risorse collegato a un tipo di risorsa diverso. Ad esempi, AWS Key Management Service le operazioni non sono supportate nelle policy bucket di Amazon S3. Specificare un'operazione supportata dal tipo di risorsa collegato alla policy basata su risorse.
Termini correlati
Errore: risorsa non supportata ARN nella policy
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
Risoluzione dell'errore
Alcune risorse ARNs non sono supportate nell'Resource
elemento della policy basata su risorse quando la policy è collegata a un tipo di risorsa diverso. Ad esempi, AWS KMS ARNs non sono supportati nell'Resource
elemento per le policy bucket Amazon S3. Specificare una risorsa ARN supportata da un tipo di risorsa collegato alla policy basata sulle risorse.
Termini correlati
Errore: chiave di condizione non supportata per il principale del servizio
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."
Risoluzione dell'errore
Puoi specificare Servizi AWS nell'Principal
elemento di una policy basata sulle risorse che utilizza un principale del servizio, che è un identificatore del servizio. Non è possibile utilizzare alcune chiavi di condizione con determinati principali del servizio. Ad esempio, non puoi utilizzare la chiave di condizione aws:PrincipalOrgID
con il principale del servizio cloudfront.amazonaws.com
. È necessario rimuovere le chiavi di condizione che non si applicano al principale del servizio nell’elemento Principal
.
Termini correlati
Errore: errore di sintassi notprincipal della policy di attendibilità del ruolo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."
Risoluzione dell'errore
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo. IAM Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Le politiche di attendibilità dei ruoli non supportano NotPrincipal
. Aggiornare la policy per utilizzare un elemento Principal
.
Termini correlati
Errore: carattere jolly della policy di attendibilità del ruolo non supportato nel principale
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."
Risoluzione dell'errore
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo. IAM Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. L'elemento Principal
della policy di attendibilità del ruolo non supporta "Principal:" "*"
. Sostituisci il jolly con un valore principale valido.
Termini correlati
Error: errore di sintassi resource della policy di attendibilità del ruolo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."
Risoluzione dell'errore
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo. IAM Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Le politiche di attendibilità del ruolo si applicano al ruolo a cui sono associate. Non puoi specificare un elemento Resource
o NotResource
in una policy di attendibilità del ruolo. Rimozione dell'elemento Resource
o NotResource
.
Errore: il tipo non corrisponde all'intervallo IP
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."
Risoluzione dell'errore
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione dell'indirizzo IP, in un CIDR formato.
Termini correlati
Errore: operazione mancante per la chiave di condizione
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."
Risoluzione dell'errore
La chiave della condizione nell'elemento Condition
della dichiarazione di policy non viene valutata a meno che l'operazione specificata non sia inclusa nell'elemento Action
. Per garantire che le chiavi di condizione specificate siano effettivamente consentite o rifiutate dalla policy, aggiungi l'operazione all'elemento Action
.
Termini correlati
Errore: sintassi del principale federato non valida nella policy di attendibilità dei ruoli
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."
Risoluzione dell'errore
Il valore principale specifica un pricipale federato che non corrisponde al formato previsto. Aggiorna il formato del principale federato con un nome di dominio o SAML metadati ARN valido.
Termini correlati
Errore: operazione non corrispondente per il principale
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."
Risoluzione dell'errore
L'operazione specificata nell'elemento Action
della dichiarazione di policy non è valida con il principale specificato nell'elemento Principal
. Ad esempio, non puoi utilizzare un principale SAML provider con l'sts:AssumeRoleWithWebIdentity
operazione. È necessario utilizzare un principale del SAML fornitore con l'sts:AssumeRoleWithSAML
operazione oppure utilizzare un principale del OIDC fornitore con l'sts:AssumeRoleWithWebIdentity
operazione.
Termini correlati
Errore: operazione mancante per la policy di attendibilità dei ruoli ovunque
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."
Risoluzione dell'errore
IAMAffinché Roles Anywhere sia in grado di assumere un ruolo e fornire AWS
credenziali temporanee, il ruolo deve considerare attendibile il principale del servizio IAM Roles Anywhere. Il responsabile del servizio IAM Roles Anywhere richiede sts:AssumeRole
sts:SetSourceIdentity
, e sts:TagSession
le autorizzazioni per assumere un ruolo. Se manca una delle autorizzazioni, va aggiunta alla policy.
Termini correlati
Errore: la dimensione della policy supera RCP la quota
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."
Risoluzione dell'errore
AWS Organizations le politiche di controllo delle risorse (RCPs) supportano la specificazione dei valori nell'Action
elemento. Tuttavia, questi valori possono includere caratteri jolly (*) solo alla fine della stringa. Ciò significa che puoi specificare s3:Get*
ma non s3:*Object
.
Per specificare più operazioni, AWS consiglia di elencarle singolarmente.
Termini correlati
Errore: principale dell'errore di RCP sintassi
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."
Risoluzione dell'errore
AWS Organizations le politiche di controllo delle risorse (RCPs) supportano solo la specificazione di tutti i principali (» *
«) nell'elemento. Principal
L'NotPrincipal
elemento non è supportato per. RCPs
Termini correlati
Errore: autorizzazione con errore di RCP sintassi
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."
Risoluzione dell'errore
AWS Organizations le politiche di controllo delle risorse (RCPs) supportano solo la specificazione di tutti i principi (» *
«) nell'Principal
elemento e di tutte le risorse (» *
«) nell'elemento. Resource
L'Condition
elemento con un effetto di non Allow
è supportato per. RCPs
Termini correlati
Errore: errore di RCP sintassi NotAction
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."
Risoluzione dell'errore
AWS Organizations le politiche di controllo delle risorse (RCPs) non supportano l'NotAction
elemento. Usa l'Action
elemento.
Termini correlati
Errore: operazione con errore di RCP sintassi
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."
Risoluzione dell'errore
AWS Organizations le politiche di controllo delle risorse (RCPs) supportano solo la specificazione di prefissi di servizio selezionati nell'elemento. Action
Termini correlati
Avviso generale: crea SLR con NotResource
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole
concede l'autorizzazione per creare un IAM ruolo che consente a un AWS servizio di eseguire operazioni automaticamente. L'uso iam:CreateServiceLinkedRole
in una policy con l'NotResource
elemento può consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse.
AWS consiglia invece di specificare allowed ARNs nell'Resource
elemento.
Avviso generale: creazione SLR con stella nell'operazione e NotResource
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole
concede l'autorizzazione per creare un IAM ruolo che consente a un AWS servizio di eseguire operazioni automaticamente. Le policy con un carattere jolly (*) nel Action
e che includono l'NotResource
elemento possono consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse.
AWS consiglia invece di specificare allowed ARNs nell'elemento. Resource
Avviso generale: crea SLR con NotAction e NotResource
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole
concede l'autorizzazione per creare un IAM ruolo che consente a un AWS servizio di eseguire operazioni automaticamente. L'uso dell'NotAction
elemento con l'NotResource
elemento può consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse.
AWS consiglia invece di riscrivere la policy per consentirla iam:CreateServiceLinkedRole
su un elenco limitato di elementi inclusi ARNs nell'elemento. Resource
È inoltre possibile aggiungere iam:CreateServiceLinkedRole
all'elemento NotAction
.
Avviso generale: creazione SLR con stella nella risorsa
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o AWS API all'controllo include il seguente messaggio:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole
concede l'autorizzazione per creare un IAM ruolo che consente a un AWS servizio di eseguire operazioni automaticamente. L'uso iam:CreateServiceLinkedRole
di una policy con un carattere jolly (*) nell'Resource
elemento può consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse.
AWS consiglia invece di specificare allowed ARNs nell'elemento. Resource
AWS Policy gestite da con questo avviso generale
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Alcuni di questi casi d'uso riguardano utenti esperti all'interno del tuo account. Le seguenti politiche AWS gestite forniscono l'accesso ai power user e concedono le autorizzazioni per creare ruoli collegati ai servizi per qualsiasi servizio. AWS AWS consiglia di associare le seguenti politiche AWS gestite solo alle IAM identità che consideri power user.
AWSOrganizationsServiceTrustPolicy
— Questa policy AWS gestita fornisce le autorizzazioni per l'utilizzo da parte del ruolo collegato al AWS Organizations servizio. Questo ruolo consente a Organizations di creare ulteriori ruoli collegati ai servizi nell'organizzazione AWS .
Avviso generale: creazione SLR con stella nell'operazione e nella risorsa
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole
concede l'autorizzazione per creare un IAM ruolo che consente a un AWS servizio di eseguire operazioni automaticamente. Le policy con un carattere jolly (*) negli elementi Action
e Resource
possono consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse. Ciò consente di creare un ruolo collegato al servizio quando si specifica"Action": "*"
, "Action": "iam:*"
o. "Action": "iam:Create*"
AWS consiglia invece di specificare allowed ARNs nell'Resource
elemento.
AWS Policy gestite da con questo avviso generale
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Alcuni di questi casi d'uso sono destinati agli amministratori del tuo account. Le seguenti politiche AWS gestite forniscono l'accesso all'amministratore e concedono le autorizzazioni per creare ruoli collegati ai servizi per qualsiasi servizio. AWS AWS consiglia di allegare le seguenti politiche AWS gestite solo alle IAM identità che si considerano amministratori.
Avviso generale: creazione SLR con stella nella risorsa e NotAction
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole
concede l'autorizzazione per creare un IAM ruolo che consente a un AWS servizio di eseguire operazioni automaticamente. L'uso dell'NotAction
elemento in una policy con un carattere jolly (*) nell'Resource
elemento può consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse.
AWS consiglia invece di specificare allowed ARNs nell'elemento. Resource
È inoltre possibile aggiungere iam:CreateServiceLinkedRole
all'elemento NotAction
.
Avviso generale: chiave di condizione globale obsoleta
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."
Risoluzione dell'avviso generale
La policy include una chiave di condizione globale obsoleta. Aggiorna la chiave di condizione nella coppia chiave-valore della condizione per utilizzare una chiave di condizione globale supportata.
Avviso generale: valore data non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."
Risoluzione dell'avviso generale
Il tempo Unix Epoch descrive un punto nel tempo trascorso dal 1 gennaio 1970, meno i secondi intercalari. Il tempo Epoch potrebbe non risolversi al momento preciso che ci si aspetta. AWS consiglia di utilizzare lo standard W3C per i formati di data e ora. Ad esempio, è possibile specificare una data completa, ad esempio YYYY-MM-DD (1997-16), oppure aggiungere l'ora al secondo, ad esempio:mm:ss (1997-16T 19:20:30 + YYYY-MM-DDThh 01:00). TZD
Avviso generale: riferimento al ruolo non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."
Risoluzione dell'avviso generale
AWS consiglia di specificare l'Amazon Resource Name (ARN) per un IAM ruolo anziché il suo ID principale. Quando IAM salva la policy, la ARN trasformerà nell'ID principale per il ruolo esistente. AWS include una precauzione di sicurezza. Se qualcuno elimina e crea nuovamente il ruolo, avrà un nuovo ID e la policy non corrisponderà all'ID del nuovo ruolo.
Avviso generale: riferimento utente non valido
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."
Risoluzione dell'avviso generale
AWS consiglia di specificare l'Amazon Resource Name (ARN) per un IAM utente anziché il suo ID principale. Quando IAM salva la policy, lo trasformerà ARN nell'ID principale per l'utente esistente. AWS include una precauzione di sicurezza. Se qualcuno elimina e crea nuovamente l'utente, avrà un nuovo ID e la policy non corrisponderà all'ID del nuovo utente.
Avviso generale: versione mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."
Risoluzione dell'avviso generale
AWS consiglia di includere il Version
parametro facoltativo nella policy. Se non includi un elemento Versione, per impostazione predefinita il valore viene impostato su 2012-10-17
, ma le funzionalità più recenti, come le variabili di policy, non funzioneranno con la policy. Ad esempio, le variabili tipo ${aws:username}
non saranno riconosciute come variabili e verranno trattate come stringhe letterali nella policy.
Avviso generale: sid univoci consigliati
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."
Risoluzione dell'avviso generale
AWS consiglia di utilizzare istruzione univociIDs. L'elemento Sid
(ID istruzione) consente di immettere un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore ID di istruzione a ogni istruzione in una matrice di istruzioni utilizzando l'elemento SID
.
Termini correlati
Avviso generale: carattere jolly senza operatore like
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."
Risoluzione dell'avviso generale
La struttura dell'elemento Condition
richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. Quando specifichi un valore di condizione che utilizza un carattere jolly (*,?) , devi utilizzare la versione Like
dell'operatore di condizione. Ad esempio, anziché l'operatore di condizione stringa StringEquals
, utilizza StringLike
.
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}
AWS Policy gestite da con questo avviso generale
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Le seguenti policy AWS gestite da includono caratteri jolly nel loro valore di condizione senza un operatore di condizione che include Like
la corrispondenza dei modelli. Quando utilizzi la policy AWS gestita da come riferimento per creare la tua policy gestita, AWS consiglia di utilizzare un operatore di condizione che supporti la corrispondenza dei modelli con caratteri jolly (*,?) , ad esempio. StringLike
Avviso generale: la dimensione della policy supera la quota delle policy di identità
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."
Risoluzione dell'avviso generale
Puoi collegare fino a 10 policy gestite a un'IAMidentità (utente, gruppo di utenti o ruolo). Tuttavia, le dimensioni di ciascuna policy gestita non possono superare la quota di default i 6.144 caratteri. IAMnon calcola gli spazi vuoti nel computo per determinare le dimensioni di una policy rispetto a tali limiti. Le quote, anche definite come limiti in AWS, costituiscono il valore massimo per le risorse, le azioni e gli elementi nell' AWS account.
Inoltre, puoi aggiungere a un'IAMidentità tutte le policy in linea desiderate. Tuttavia, la dimensione della somma di tutte le policy in linea per identità non può superare la quota specificata.
Se la policy è maggiore della quota, è possibile organizzare la policy in più istruzioni e raggruppare le istruzioni in più policy.
Termini correlati
AWS Policy gestite da con questo avviso generale
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Le seguenti policy AWS gestite da concedono autorizzazioni per le operazioni in molti AWS servizi e superare la dimensione massima delle policy. Quando si utilizza la policy gestita da AWS come riferimento per creare la policy gestita, è necessario suddividerla in più policy.
Avviso generale: la dimensione della policy supera la quota delle policy delle risorse
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."
Risoluzione dell'avviso generale
Le policy basate sulle risorse sono documenti di JSON policy che colleghi a una risorsa, come ad esempio un bucket Amazon S3. Queste policy concedono all'entità principale specificata l'autorizzazione per eseguire operazioni specifiche sulla risorsa e definiscono le condizioni in cui ciò si applica. La dimensione delle policy basate sulle risorse non può superare la quota impostata per quella risorsa. Le quote, anche definite come limiti in AWS, costituiscono il valore massimo per le risorse, le azioni e gli elementi nell' AWS account.
Se la policy è maggiore della quota, è possibile organizzare la policy in più istruzioni e raggruppare le istruzioni in più policy.
Termini correlati
Avviso generale: mancata corrispondenza del tipo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione supportato.
Ad esempio, la chiave di condizione globale di aws:MultiFactorAuthPresent
richiede un operatore di condizione con il tipo di dati Boolean
. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
Termini correlati
Avviso generale: booleano con mancata corrispondenza del tipo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."
Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare un tipo di dati dell'operatore condizione booleano, ad esempio true
o false
.
Ad esempio, la chiave di condizione globale di aws:MultiFactorAuthPresent
richiede un operatore di condizione con il tipo di dati Boolean
. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
Termini correlati
Avviso generale: data della mancata corrispondenza del tipo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."
Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione data, in uno YYYY-MM-DD
o altro formato data ora ISO 8601.
Termini correlati
Avviso generale: numero della mancata corrispondenza del tipo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."
Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione numerico.
Termini correlati
Avviso generale: stringa della mancata corrispondenza del tipo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."
Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione stringa.
Termini correlati
Avviso generale: si consigliano repository e ramo github specifici
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."
Risoluzione dell'avviso generale
Se utilizzi GitHub un OIDC IdP, è consigliabile limitare le entità che possono assumere il ruolo associato all'IAMIdP. Quando includi un'Condition
istruzione in una policy di attendibilità, puoi limitare il ruolo a una specifica GitHub organizzazione, repository o ramo. Puoi utilizzare la chiave della condizione token.actions.githubusercontent.com:sub
per limitare l'accesso. Ti consigliamo di limitare la condizione a un insieme specifico di repository o rami. Se non utilizzi un jolly (*
) intoken.actions.githubusercontent.com:sub
, GitHub le operazioni di organizzazioni o repository al di fuori del tuo controllo sono in grado di assumere ruoli associati all'IdP nel tuo GitHub IAM account. AWS
Termini correlati
Avviso generale: la dimensione della policy supera la quota delle policy di attendibilità del ruolo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."
Risoluzione dell'avviso generale
IAMe AWS STS hanno quote che limitano la dimensione delle policy di attendibilità del ruolo. I caratteri nella policy di attendibilità del ruolo, esclusi gli spazi bianchi, superano il numero massimo di caratteri. È consigliabile richiedere un aumento della quota della policy di attendibilità del ruolo utilizzando Service Quotas o AWS Support Center Console.
Termini correlati
Avviso generale: RCP manca la chiave della condizione principale correlata
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."
Risoluzione dell'avviso generale
AWS Organizations le politiche di controllo delle risorse (RCPs) possono influire su IAM ruoli, utenti e Servizio AWS responsabili. Per evitare un impatto indesiderato sui servizi che agiscono per conto dell'utente utilizzando un responsabile del servizio, aggiungete la seguente dichiarazione al vostro Condition
elemento:
"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}
Termini correlati
Avviso generale: RCP manca la chiave della condizione principale del servizio correlato
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."
Risoluzione dell'avviso generale
AWS Organizations le politiche di controllo delle risorse (RCPs) possono influire su IAM ruoli, utenti e Servizio AWS responsabili. Per evitare un impatto non intenzionale sui principali, aggiungi la seguente istruzione al tuo Condition
elemento:
"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}
Termini correlati
Avviso generale: controllo nullo della chiave delle condizioni di servizio RCP mancante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."
Risoluzione dell'avviso generale
AWS Organizations le politiche di controllo delle risorse (RCPs) possono influire su IAM ruoli, utenti e Servizio AWS
responsabili. Per evitare un impatto indesiderato sui servizi che agiscono per conto dell'utente utilizzando un'entità del servizio, aggiungete una delle seguenti istruzioni all'Condition
elemento ogni volta che viene utilizzata la chiave specificata:
"Null": { "aws:SourceAccount": "false"}
oppure
"Null": { "aws:SourceArn": "false"}
Termini correlati
Avviso di sicurezza: Consenti con NotPrincipal
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."
Risoluzione dell'avviso di sicurezza
L'uso di "Effect": "Allow"
con NotPrincipal
può essere eccessivamente permissivo. Ad esempio, questo può concedere autorizzazioni a responsabili anonimi.
AWS consiglia di specificare i principali che necessitano l'accesso utilizzando l'Principal
elemento. In alternativa, è possibile consentire un accesso ampio e quindi aggiungere un'altra istruzione che utilizza l'elemento NotPrincipal
con “Effect”: “Deny”
.
Avviso di sicurezza: ForAllValues con chiave a valore singolo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."
Risoluzione dell'avviso di sicurezza
AWS consiglia di utilizzare il ForAllValues
solo con condizioni multivalore. L'operatore impostato ForAllValues
verifica se il valore di ogni membro del set di richieste è un sottoinsieme del set di chiavi di condizione. La condizione restituisce true se ogni valore delle chiavi nella richiesta corrisponde ad almeno un valore nella policy. Restituisce true anche se non ci sono chiavi nella richiesta o se i valori delle chiavi si riducono a un set di dati nullo, ad esempio una stringa vuota.
Per sapere se una condizione supporta un valore singolo o più valori, rivedi la pagina Operazioni, risorse e chiavi di condizione per il servizio. Le chiavi di condizione con il prefisso del tipo di dati ArrayOf
sono chiavi di condizione multivalore. Ad esempi, Amazon SES supporta chiavi con valori singoli (String
) e il tipo di dati ArrayOfString
multivalore.
Avviso di sicurezza: invio del ruolo con NotResource
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso di sicurezza
Per configurare più AWS servizi, è necessario passare un IAM ruolo al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole
a un'identità (utente, gruppo di utenti o ruolo). L'uso iam:PassRole
di una policy con l'NotResource
elemento può consentire ai principali di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'Resource
elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService
.
Avviso di sicurezza: invio del ruolo con stella in azione e NotResource
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso di sicurezza
Per configurare più AWS servizi, è necessario passare un IAM ruolo al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole
a un'identità (utente, gruppo di utenti o ruolo). Le policy con un carattere jolly (*) nel carattere jolly (*) Action
e che includono l'NotResource
elemento possono consentire ai principali di accedere a un numero maggiore di servizi o funzionalità rispetto a quello previsto. AWS consiglia invece di specificare allowed ARNs nell'Resource
elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService
.
Avviso di sicurezza: invio del ruolo con NotAction e NotResource
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."
Risoluzione dell'avviso di sicurezza
Per configurare più AWS servizi, è necessario passare un IAM ruolo al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole
a un'identità (utente, gruppo di utenti o ruolo). L'uso dell'NotAction
elemento e la visualizzazione di risorse nell'NotResource
elemento possono consentire ai principali di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'Resource
elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService
.
Avviso di sicurezza: invio del ruolo con stella in risorsa
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
Risoluzione dell'avviso di sicurezza
Per configurare più AWS servizi, è necessario passare un IAM ruolo al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole
a un'identità (utente, gruppo di utenti o ruolo). Le policy che lo consentono iam:PassRole
e che includono un carattere jolly (*) nell'Resource
elemento possono consentire ai principali di accedere a un numero maggiore di servizi o funzionalità rispetto a quello previsto. AWS consiglia invece di specificare allowed ARNs nell'Resource
elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService
.
Alcuni AWS servizi includono il loro spazio dei nomi di servizio nel nome del loro ruolo. Questo controllo delle policy tiene conto di queste convenzioni durante l'analisi della policy per generare i risultati. Ad esempio, il seguente risorsa ARN potrebbe non generare un risultato:
arn:aws:iam::*:role/Service*
AWS Policy gestite da con questo avviso di sicurezza
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Uno di questi casi d'uso riguarda gli amministratori all'interno del tuo account. Le seguenti policy AWS gestite da forniscono l'accesso degli amministratori e concedono le autorizzazioni per inviare qualsiasi IAM ruolo a qualsiasi servizio. AWS consiglia di allegare le seguenti politiche AWS gestite solo alle IAM identità che si considerano amministratori.
Le seguenti policy AWS gestite da includono le autorizzazioni per iam:PassRole utilizzare con un carattere jolly (*) nella risorsa e stanno per essere dichiarate obsoleti. Per ciascuna di queste policy, abbiamo aggiornato le istruzioni sulle autorizzazioni, ad esempio suggerendo una nuova policy AWS gestita da che supporta il caso d'uso. Per visualizzare le alternative a queste policy, consulta per guide relative a ogni servizio.
AWSElasticBeanstalkFullAccess
AWSElasticBeanstalkService
AWSLambdaFullAccess
AWSLambdaReadOnlyAccess
AWSOpsWorksFullAccess
AWSOpsWorksRole
AWSDataPipelineRole
AmazonDynamoDBFullAccesswithDataPipeline
AmazonElasticMapReduceFullAccess
AmazonDynamoDBFullAccesswithDataPipeline
Amazon EC2ContainerServiceFullAccess
Le seguenti policy AWS gestite da forniscono autorizzazioni solo per i ruoli collegati ai servizi, che consentono ai AWS servizi per eseguire operazioni per tuo conto. Non puoi collegare queste policy alle IAM identità.
Avviso di sicurezza: invio del ruolo con stella in azione e risorsa
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
Risoluzione dell'avviso di sicurezza
Per configurare più AWS servizi, è necessario passare un IAM ruolo al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole
a un'identità (utente, gruppo di utenti o ruolo). Le policy con un carattere jolly (*) negli Resource
elementi Action
e possono consentire ai principali di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare allowed ARNs nell'Resource
elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService
.
AWS Policy gestite da con questo avviso di sicurezza
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Alcuni di questi casi d'uso sono destinati agli amministratori del tuo account. Le seguenti politiche AWS gestite forniscono l'accesso all'amministratore e concedono le autorizzazioni per trasferire qualsiasi IAM ruolo a qualsiasi servizio. AWS AWS consiglia di allegare le seguenti politiche AWS gestite solo alle IAM identità che si considerano amministratori.
Avviso di sicurezza: invio del ruolo con stella in risorsa e NotAction
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
Risoluzione dell'avviso di sicurezza
Per configurare più AWS servizi, è necessario passare un IAM ruolo al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole
a un'identità (utente, gruppo di utenti o ruolo). L'uso dell'NotAction
elemento in una policy con un carattere jolly (*) nell'Resource
elemento può consentire ai principali di accedere a un numero maggiore di servizi o funzionalità rispetto a quello previsto. AWS consiglia invece di specificare allowed ARNs nell'Resource
elemento. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService
.
Avviso di sicurezza: chiavi di condizione abbinate mancanti
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."
Risoluzione dell'avviso di sicurezza
Alcune chiavi di condizione sono più sicure se abbinate ad altre chiavi di condizione correlate. AWS consiglia di includere le chiavi di condizione correlate nello stesso blocco di condizione della chiave di condizione esistente. Ciò rende più sicure le autorizzazioni concesse tramite la policy.
Ad esempio, è possibile utilizzare la chiave di condizione aws:VpcSourceIp
per confrontare l'indirizzo IP da cui è stata effettuata una richiesta con l'indirizzo IP specificato nella policy. AWS
consiglia di aggiungere la chiave di condizione aws:SourceVPC
correlata. Controlla se la richiesta proviene da VPC ciò specificato nella policy e l'indirizzo IP specificato.
Termini correlati
Avviso di sicurezza: Rifiuta con chiave di condizione tag non supportata per il servizio
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."
Risoluzione dell'avviso di sicurezza
L'utilizzo di chiavi di condizione dei tag non supportate nell'Condition
elemento di una policy with "Effect": "Deny"
può essere eccessivamente permissivo, poiché la condizione viene ignorata per quel servizio. AWS consiglia di rimuovere le operazioni di servizio che non supportano la chiave di condizione e di creare un'altra istruzione per negare l'accesso a risorse specifiche per tali operazioni.
Se utilizzi la chiave di condizione aws:ResourceTag
e non è supportata da un'operazione di servizio, la chiave non viene inclusa nel contesto della richiesta. In questo caso, la condizione nell'istruzione Deny
restituisce sempre false
e l'operazione non viene mai negata. Ciò accade anche se la risorsa è taggata correttamente.
Quando un servizio supporta la chiave di condizione aws:ResourceTag
, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come controllo degli accessi basato su attributi (). ABAC I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il controllo degli accessi basato su risorse (). RBAC
Nota
Alcuni servizi consentono il supporto per la chiave di condizione aws:ResourceTag
per un sottoinsieme di risorse e operazioni. IAMAccess Analyzer restituisce risultati per le operazioni di servizio non supportate. Ad esempio, Amazon S3 supporta aws:ResourceTag
per un sottoinsieme delle relative risorse. Per visualizzare tutti i tipi di risorse disponibili in Amazon S3 che supportano la chiave di condizione aws:ResourceTag
, consulta Tipi di risorse definiti da Amazon S3 in Service Authorization Reference.
Ad esempio, supponiamo che tu desideri rifiutare l'accesso per rimuovere tag da risorse specifiche che sono taggate con la coppia chiave-valore status=Confidential
. Assumiamo inoltre che AWS Lambda consenta di aggiungere e rimuovere tag sulle risorse, ma che non supporta la chiave di aws:ResourceTag
condizione. Per rifiutare le operazioni di eliminazione per AWS App Mesh e AWS Backup se questo tag è presente, utilizza il chiave di aws:ResourceTag
condizione. Per Lambda, utilizza una convenzione di denominazione delle risorse che include il prefisso "Confidential"
. Quindi includi un'istruzione separata che impedisca l'eliminazione delle risorse con tale convenzione di denominazione.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteSupported",
"Effect": "Deny",
"Action": [
"appmesh:DeleteMesh",
"backup:DeleteBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/status
": "Confidential
"
}
}
},
{
"Sid": "DenyDeleteUnsupported",
"Effect": "Deny",
"Action": "lambda:DeleteFunction",
"Resource": "arn:aws:lambda:*
:123456789012
:function:status-Confidential*
"
}
]
}
avvertimento
Non utilizzare la IfExistsversione... dell'operatore di condizione come soluzione alternativa per questo risultato. Questo significa "Rifiuta l'operazione se la chiave è presente nel contesto della richiesta e i valori corrispondono. Altrimenti, rifiuta l'operazione". Nell'esempio precedente, inclusa l'operazione lambda:DeleteFunction
nell'istruzione DenyDeleteSupported
con l'operatore StringEqualsIfExists
rifiuta sempre sempre l'operazione. Per tale operazione, la chiave non è presente nel contesto e ogni tentativo di eliminare tale tipo di risorsa viene negato, indipendentemente dal fatto che la risorsa sia taggata o meno.
Termini correlati
Avviso di sicurezza: Rifiuta NotAction con chiave di condizione tag non supportata per il servizio
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
Risoluzione dell'avviso di sicurezza
L'uso delle chiavi di condizione dei tag nell'elemento Condition
di una policy con l'elemento NotAction
e "Effect": "Deny"
può essere eccessivamente permissivo. La condizione viene ignorata per le operazioni di servizio che non supportano la chiave di condizione. AWS consiglia di riscrivere la logica per negare un elenco di operazioni.
Se utilizzi la chiave di condizione aws:ResourceTag
con NotAction
, tutte le operazioni di servizio nuove o esistenti che non supportano la chiave non vengono rifiutate. AWS
consiglia di elencare esplicitamente le operazioni che si desidera negare. IAMSistema di analisi degli accessi WS Icess restituisce una ricerca separata per le operazioni elencate che non supportano la chiave di aws:ResourceTag
condizione. Per ulteriori informazioni, consulta Avviso di sicurezza: Rifiuta con chiave di condizione tag non supportata per il servizio.
Quando un servizio supporta la chiave di condizione aws:ResourceTag
, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come controllo degli accessi basato su attributi (). ABAC I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il controllo degli accessi basato su risorse (). RBAC
Termini correlati
Avviso di sicurezza: limita l'accesso al principale del servizio
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."
Risoluzione dell'avviso di sicurezza
Puoi specificare Servizi AWS nell'Principal
elemento di una policy basata sulle risorse che utilizza un principale del servizio, che è un identificatore del servizio. Quando concedi l'accesso a un principale del servizio per agire per conto tuo, limita l'accesso. Puoi impedire le policy eccessivamente permissive utilizzando le chiaviaws:SourceArn
, aws:SourceAccount
aws:SourceOrgID
, o di aws:SourceOrgPaths
condizione per limitare l'accesso a una risorsa specifica, ad esempio una risorsa ARN Account AWS, ID organizzazione o percorsi di organizzazione. La limitazione dell'accesso consente di prevenire un problema di sicurezza chiamato problema del "confused deputy".
Termini correlati
Avviso di sicurezza: chiavi di condizione mancante per il principale oidc
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."
Risoluzione dell'avviso di sicurezza
L'utilizzo di un principale Open ID Connect senza una condizione può essere eccessivamente permissivo. Aggiungi chiavi di condizione con un prefisso che corrisponda ai OIDC principali federati per assicurarti che solo il provider di identità previsto assuma il ruolo.
Termini correlati
Avviso di sicurezza: chiavi di condizione repository github mancanti
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."
Risoluzione dell'avviso di sicurezza
Se utilizzi GitHub un OIDC IdP, è consigliabile limitare le entità che possono assumere il ruolo associato all'IAMIdP. Quando includi un'Condition
istruzione in una policy di attendibilità, puoi limitare il ruolo a una specifica GitHub organizzazione, repository o ramo. Puoi utilizzare la chiave della condizione token.actions.githubusercontent.com:sub
per limitare l'accesso. Ti consigliamo di limitare la condizione a un insieme specifico di repository o rami. Se non includi questa condizione, GitHub le operazioni di organizzazioni o repository al di fuori del tuo controllo sono in grado di assumere ruoli associati all' GitHub IAMIdP nel AWS tuo account.
Termini correlati
Avviso di sicurezza: operatore simile a una stringa con chiavi di ARN condizione
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
Risoluzione dell'avviso di sicurezza
AWS consiglia di utilizzare ARN operatori anziché operatori di stringa durante il confronto ARNs per garantire una corretta restrizione dell'accesso in base ai valori delle ARN condizioni. Aggiorna l'StringLike
operatore con l'ArnLike
operatore del tuo Condition
elemento ogni volta che viene utilizzata la chiave specificata.
Queste politiche AWS gestite sono eccezioni a questo avviso di sicurezza:
Termini correlati
Suggerimento: operazione array vuota
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."
Risoluzione del suggerimento
Le istruzioni devono includere un elemento Action
o NotAction
che include un insieme di azioni. Quando l'elemento è vuoto, l'istruzione della policy non fornisce autorizzazioni. Specifica le operazioni nell'elemento Action
.
Suggerimento: condizione array vuota
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."
Risoluzione del suggerimento
La struttura dell'elemento Condition
facoltativa richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. Quando il valore della condizione è vuoto, la condizione restituisce true
e l'istruzione della policy non fornisce autorizzazioni. Specifica un valore di condizione.
Suggerimento: condizione array vuota ForAllValues
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
Risoluzione del suggerimento
La struttura dell'elemento Condition
richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. L'operatore impostato ForAllValues
verifica se il valore di ogni membro del set di richieste è un sottoinsieme del set di chiavi di condizione.
Quando si utilizza ForAllValues
con una chiave di condizione vuota, la condizione corrisponde solo se non ci sono chiavi nella richiesta. AWS consiglia, se si desidera verificare se un contesto di richiesta è vuoto, di utilizzare invece l'operatore di condizione Null
.
Suggerimento: condizione array vuota ForAnyValue
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."
Risoluzione del suggerimento
La struttura dell'elemento Condition
richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. L'operatore impostato ForAnyValues
verifica se almeno un membro del set di valori di richiesta è corrispondente ad almeno un membro del set di valori delle chiavi di condizione.
Quando utilizzi ForAnyValues
con una chiave di condizione vuota, la condizione non corrisponde mai. Ciò significa che l'informativa non ha alcun effetto sulla policy. AWS consiglia di riscrivere la condizione.
Suggerimento: condizione array vuota IfExists
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
Risoluzione del suggerimento
Il suffisso ...IfExists
modifica un operatore di condizione. Ciò significa che se la chiave di policy è presente nel contesto della richiesta, la chiave deve essere elaborata come specificato nella policy. Se la chiave non è presente, l'elemento della condizione viene valutato come true (VERO).
Quando si utilizza ...IfExists
con una chiave di condizione vuota, la condizione corrisponde solo se non ci sono chiavi nella richiesta. AWS consiglia, se si desidera verificare se un contesto di richiesta è vuoto, di utilizzare invece l'operatore di condizione Null
.
Suggerimento: principale array vuoto
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
Risoluzione del suggerimento
È necessario utilizzare l'NotPrincipal
elemento Principal
or nelle policy di trust per IAM i ruoli e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa.
Quando si specifica un array vuoto nell'Principal
elemento di un'istruzione, l'istruzione non ha alcun effetto sulla policy. AWS consiglia di specificare i responsabili che devono avere accesso alla risorsa.
Suggerimento: risorsa array vuota
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."
Risoluzione del suggerimento
Le istruzioni devono includere un elemento Resource
o un elemento NotResource
.
Quando si specifica un array vuoto nell'elemento della risorsa di un'istruzione, l'istruzione non ha alcun effetto sulla policy. AWS consiglia di specificare Amazon Resource Names (ARNs) per le risorse.
Suggerimento: condizione oggetto vuota
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."
Risoluzione del suggerimento
La struttura dell'elemento Condition
richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore.
Quando si specifica un oggetto vuoto nell'elemento di condizione di un'istruzione, l'istruzione non ha alcun effetto sulla policy. Rimuovi l'elemento facoltativo o specifica le condizioni.
Suggerimento: principale oggetto vuoto
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
Risoluzione del suggerimento
È necessario utilizzare l'NotPrincipal
elemento Principal
or nelle policy di trust per IAM i ruoli e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa.
Quando si specifica un oggetto vuoto nell'Principal
elemento di un'istruzione, l'istruzione non ha alcun effetto sulla policy. AWS consiglia di specificare i responsabili che devono avere accesso alla risorsa.
Suggerimento: valore sid vuoto
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Empty Sid value: Add a value to the empty string in the Sid element.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a value to the empty string in the Sid element."
Risoluzione del suggerimento
L'elemento Sid
(ID istruzione) facoltativo consente di immettere un identificatore fornito per l'istruzione della policy. Puoi assegnare un valore Sid
a ogni istruzione in un array di istruzioni. Se scegli di utilizzare l'elemento Sid
, devi fornire un valore di stringa.
Termini correlati
Suggerimento: migliora l'intervallo IP
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."
Risoluzione del suggerimento
Le condizioni dell'indirizzo IP devono essere nel CIDR formato standard, ad esempio 203.0.113.0/24 o 2001:: 1234:5678: :/64. DB8 Quando si includono bit diversi da zero dopo i bit mascherati, questi non vengono considerati per la condizione. AWS consiglia di utilizzare il nuovo indirizzo incluso nel messaggio.
Suggerimento: null con qualificatore
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."
Risoluzione del suggerimento
Nell'elemento Condition
è possibile creare espressioni in cui utilizzare operatori condizionali ("uguale a", "minore di" e così via) per confrontare le chiavi e i valori della policy rispetto alle chiavi e ai valori del contesto della richiesta. Per le richieste che includono più valori per una singola chiave di condizione, è necessario utilizzare gli operatori su set ForAllValues
o ForAnyValue
.
Quando si utilizza l'operatore di condizione Null
con ForAllValues
, l'istruzione restituisce sempre true
. Quando si utilizza l'operatore di Null
condizione conForAnyValue
, l'istruzione restituisce false
sempre. AWS consiglia di utilizzare l'operatore di StringLike
condizione con questi operatori di set.
Termini correlati
Suggerimento: sottoinsieme di indirizzi IP privati
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
Risoluzione del suggerimento
La chiave di condizione globale aws:SourceIp
funziona solo per intervalli di indirizzi IP pubblici.
Se il tuo elemento Condition
include un mix di indirizzi IP privati e pubblici, l'istruzione potrebbe non avere l'effetto desiderato. Non puoi specificare indirizzi IP privati utilizzando aws:VpcSourceIP
.
Nota
La chiave di condizione globale aws:VpcSourceIP
corrisponde solo se la richiesta proviene dall'indirizzo IP specificato e passa attraverso un VPC endpoint.
Suggerimento: sottoinsieme privato NotIpAddress
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
Risoluzione del suggerimento
La chiave di condizione globale aws:SourceIp
funziona solo per intervalli di indirizzi IP pubblici.
Se il tuo elemento Condition
include l'operatore di condizione NotIpAddress
e un mix di indirizzi IP privati e pubblici, l'istruzione potrebbe non avere l'effetto desiderato. Ogni indirizzo IP pubblico non specificato nella policy corrisponderà. Nessun indirizzo IP privato corrisponderà. Per ottenere questo effetto, puoi usare NotIpAddress
con aws:VpcSourceIP
e specificare gli indirizzi IP privati che non devono corrispondere.
Suggerimento: azione ridondante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."
Risoluzione del suggerimento
Quando si utilizzano caratteri jolly (*) nell'Action
elemento, è possibile includere autorizzazioni ridondanti. AWS consiglia di rivedere la policy e di includere solo le autorizzazioni necessarie. In questo modo è possibile rimuovere le operazioni ridondanti.
Ad esempio, le operazioni riportate di seguito includono due volte l'operazione iam:GetCredentialReport
.
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],
In questo esempio, le autorizzazioni sono definite per ogni IAM azione che inizia con Get
o. List
Quando IAM aggiunge ulteriori operazioni get o list, questa policy le consentirà. Potresti voler consentire tutte queste azioni di sola lettura. L'operazione iam:GetCredentialReport
è già inclusa come parte di iam:Get*
. Per rimuovere le autorizzazioni duplicate, puoi rimuovere iam:GetCredentialReport
.
Quando tutti i contenuti di un'operazione sono ridondanti, viene visualizzato un risultato per questo controllo delle policy. In questo esempio, se l'elemento includeva iam:*CredentialReport
, non è considerato ridondante. Ciò include iam:GetCredentialReport
, che è ridondante, e iam:GenerateCredentialReport
, che non lo è. La rimozione di iam:Get*
o iam:*CredentialReport
modificherebbe le autorizzazioni della policy.
AWS Policy gestite da con questo suggerimento
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Le operazioni ridondanti non influenzano le autorizzazioni concesse dalla policy. Quando utilizzi una policy AWS gestita da come riferimento per creare la tua policy gestita, AWS consiglia di rimuovere dalla policy le operazioni ridondanti.
Suggerimento: valore condizione ridondante num
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."
Risoluzione del suggerimento
Quando si utilizzano operatori di condizioni numeriche per valori simili in una chiave di condizione, è possibile creare una sovrapposizione che si traduce in autorizzazioni ridondanti.
Ad esempio, il seguente elemento Condition
include più condizioni aws:MultiFactorAuthAge
che hanno una sovrapposizione di età di 1200 secondi.
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}
In questo esempio, le autorizzazioni vengono definite se l'autenticazione a più fattori (MFA) è stata completata meno di 3600 secondi (1 ora) fa. È possibile rimuovere il valore 2700
ridondante.
Suggerimento: risorsa ridondante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"
Risoluzione del suggerimento
Quando usi i caratteri jolly (*) in Amazon Resource Name (ARNs), puoi creare autorizzazioni per le risorse ridondanti.
Ad esempi, il seguente Resource
elemento include più autorizzazioni ARNs ridondanti.
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],
In questo esempio, le autorizzazioni sono definite per qualsiasi ruolo con un nome che inizia con jane
. È possibile rimuovere il ridondante jane-admin
e jane-s3only
ARNs senza modificare le autorizzazioni risultanti. Questo rende la policy dinamica. Definirà le autorizzazioni per tutti i ruoli futuri che iniziano con jane
. Se l'intenzione della policy è consentire l'accesso a un numero statico di ruoli, rimuovere l'ultimo ARN ed elencare solo ARNs quelli da definire.
AWS Policy gestite da con questo suggerimento
AWS L'opzione Policy gestite da consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi AWS d'uso generali.
Le operazioni ridondanti non influenzano le autorizzazioni concesse dalla policy. Quando utilizzi una policy AWS gestita da come riferimento per creare la tua policy gestita, AWS consiglia di rimuovere dalla policy le operazioni ridondanti.
Suggerimento: istruzione ridondante
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."
Risoluzione del suggerimento
L'elemento Statement
è l'elemento principale per una policy. Questa elemento è obbligatorio. L'elemento Statement
può contenere una singola istruzione o una matrice di singole istruzioni.
Quando si include la stessa istruzione più di una volta in una policy lunga, le istruzioni sono ridondanti. È possibile rimuovere una delle istruzioni senza influire sulle autorizzazioni concesse dalla policy. Quando un utente modifica una policy, potrebbe modificare una delle istruzioni senza aggiornare il duplicato. Ciò potrebbe comportare un numero di autorizzazioni maggiore del previsto.
Suggerimento: carattere jolly nel nome del servizio
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."
Risoluzione del suggerimento
Quando si include il nome di un AWS servizio in una policy, AWS consiglia di non includere i caratteri jolly (*,?). Ciò potrebbe aggiungere autorizzazioni per servizi futuri non previsti. Ad esempio, ci sono più di una dozzina di AWS servizi con la parola *code*
nel loro nome.
"Resource": "arn:aws:*code*::111122223333:*"
Suggerimento: consenti con chiave di condizione tag non supportata per il servizio
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."
Risoluzione del suggerimento
L'uso di chiavi di condizione dei tag non supportate nell'Condition
elemento di una policy con non "Effect": "Allow"
influisce sulle autorizzazioni concesse dalla policy, perché la condizione viene ignorata per quell'operazione di servizio. AWS consiglia di rimuovere le operazioni per i servizi che non supportano la chiave di condizione e di creare un'altra istruzione per consentire l'accesso a risorse specifiche di quel servizio.
Se utilizzi la chiave di condizione aws:ResourceTag
e non è supportata da un'operazione di servizio, la chiave non viene inclusa nel contesto della richiesta. In questo caso, la condizione nell'istruzione Allow
restituisce sempre false
e l'operazione non viene mai rifiutata. Ciò accade anche se la risorsa è taggata correttamente.
Quando un servizio supporta la chiave di condizione aws:ResourceTag
, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come controllo degli accessi basato su attributi (). ABAC I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il controllo degli accessi basato su risorse (). RBAC
Nota
Alcuni servizi consentono il supporto per la chiave di condizione aws:ResourceTag
per un sottoinsieme di risorse e operazioni. IAMAccess Analyzer restituisce risultati per le operazioni di servizio non supportate. Ad esempio, Amazon S3 supporta aws:ResourceTag
per un sottoinsieme delle relative risorse. Per visualizzare tutti i tipi di risorse disponibili in Amazon S3 che supportano la chiave di condizione aws:ResourceTag
, consulta Tipi di risorse definiti da Amazon S3 in Service Authorization Reference.
Ad esempio, supponiamo che tu desideri consentire ai membri del team di visualizzare i dettagli per le risorse specifiche che sono taggate con la coppia chiave-valore team=BumbleBee
. Assumiamo inoltre che AWS Lambda consenta di aggiungere tag alle risorse, ma che non supporta la chiave di aws:ResourceTag
condizione. Per consentire le operazioni di eliminazione per AWS App Mesh e AWS Backup se questo tag è presente, utilizza il chiave di aws:ResourceTag
condizione. Per Lambda, utilizza una convenzione di denominazione delle risorse che include il nome del team come prefisso. Quindi includi un'istruzione separata che consenta la visualizzazione delle risorse con tale convenzione di denominazione.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewSupported",
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"backup:GetBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team
": "BumbleBee
"
}
}
},
{
"Sid": "AllowViewUnsupported",
"Effect": "Allow",
"Action": "lambda:GetFunction",
"Resource": "arn:aws:lambda:*
:123456789012
:function:team-BumbleBee*
"
}
]
}
avvertimento
Non utilizzare la Not
versione dell'operatore di condizione con "Effect": "Allow"
come soluzione alternativa per questo risultato. Questi operatori di condizione forniscono la corrispondenza negata. Ciò significa che dopo che la condizione è stata valutata, il risultato viene negato. Nell'esempio precedente, che include l'operazione lambda:GetFunction
nell'istruzione AllowViewSupported
con l'operatore StringNotEquals
consente sempre l'operazione, indipendentemente dal fatto che la risorsa sia taggata o meno.
Non utilizzare la IfExistsversione... dell'operatore di condizione come soluzione alternativa per questo risultato. Questo significa "Consenti l'operazione se la chiave è presente nel contesto della richiesta e i valori corrispondono. Altrimenti, autorizza l'operazione." Nell'esempio precedente, inclusa l'operazione lambda:GetFunction
nell'istruzione AllowViewSupported
con l'operatore StringEqualsIfExists
consente sempre l'operazione. Per tale operazione, la chiave non è presente nel contesto e ogni tentativo di visualizzare tale tipo di risorsa viene negato, indipendentemente dal fatto che la risorsa sia taggata o meno.
Termini correlati
Suggerimento: consenti NotAction con chiave di condizione tag non supportata per il servizio
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
Risoluzione del suggerimento
L'uso delle chiavi di condizione dei tag non supportate nell'elemento Condition
di una policy con l'elemento NotAction
e "Effect": "Allow"
non influisce sulle autorizzazioni concesse dai policy. La condizione viene ignorata per le operazioni di servizio che non supportano la chiave di condizione. AWS consiglia di riscrivere la logica per consentire una lista di operazioni.
Se utilizzi la chiave di condizione aws:ResourceTag
con NotAction
, tutte le operazioni di servizio nuove o esistenti che non supportano la chiave non vengono rifiutate. AWS
consiglia di elencare esplicitamente le operazioni che si desidera consentire. IAMSistema di analisi degli accessi WS Icess restituisce una ricerca separata per le operazioni elencate che non supportano la chiave di aws:ResourceTag
condizione. Per ulteriori informazioni, consulta Suggerimento: consenti con chiave di condizione tag non supportata per il servizio.
Quando un servizio supporta la chiave di condizione aws:ResourceTag
, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come controllo degli accessi basato su attributi (). ABAC I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il controllo degli accessi basato su risorse (). RBAC
Termini correlati
Suggerimento: chiave di condizione consigliata per il principale del servizio
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."
Risoluzione del suggerimento
Puoi specificare Servizi AWS nell'Principal
elemento di una policy basata sulle risorse che utilizza un principale del servizio, che è un identificatore del servizio. Quando si concede l'accesso ai principali del servizio, è consigliabile utilizzare le chiavi di condizione aws:SourceArn
, aws:SourceAccount
, aws:SourceOrgID
o aws:SourceOrgPaths
anziché altre chiavi di condizione, come aws:Referer
. Questo aiuta a prevenire un problema di sicurezza chiamato problema del "confused deputy".
Termini correlati
Suggerimento: chiave di condizione irrilevante nella policy
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."
Risoluzione del suggerimento
Alcune chiavi di condizione non sono rilevanti per le policy basate sulle risorse. Ad esempio, la chiave di condizione s3:ResourceAccount
non è rilevante per la polocy basata sulle risorse collegata a un tipo di risorsa bucket Amazon S3 o a un punto di accesso Amazon S3.
Puoi utilizzare la chiave di condizione nella policy basata sulle identità per controllare l'accesso alla risorsa.
Termini correlati
Suggerimento: principale ridondante nella policy di attendibilità del ruolo
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."
Risoluzione del suggerimento
Se si specifica sia un principale con ruolo assunto che il suo ruolo padre nell'elemento Principal
di una policy, non consente o nega autorizzazioni diverse. Ad esempio, è ridondante se si specifica l'elemento Principal
utilizzando il seguente formato:
"Principal": { "AWS": [ "arn:aws:iam::
AWS-account-ID
:role/rolename
", "arn:aws:iam::AWS-account-ID
:assumed-role/rolename
/rolesessionname
" ]
Si consiglia di rimuovere il principale del ruolo assunto.
Termini correlati
Suggerimento: conferma il tipo di attestazione del pubblico
Nella AWS Management Console, il risultato per questo controllo include il seguente messaggio:
Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.
Nelle chiamate programmatiche alla AWS CLI o all' AWS APIarea, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."
Risoluzione del suggerimento
La chiave di attestazione aud
(destinatario) è un identificatore univoco per l'app rilasciato durante la registrazione dell'app con IdP. Identifica i destinatari del token JSON Web. Le attestazioni del pubblico possono essere multivalore o a valore singolo. Se l'attestazione è multivalore, utilizza un'operatore di condizione ForAllValues
o ForAnyValue
. Se l'attestazione ha un valore singolo, non utilizzare un operatore di condizione.
Termini correlati