iam-policy-no-statements-with-full-access - AWS Config
AWS CloudFormation modello

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

iam-policy-no-statements-with-full-access

Verifica se AWS Le politiche di Identity and Access Management (IAM) create dall'utente concedono le autorizzazioni a tutte le azioni su base individuale AWS risorse. La regola è NON _ COMPLIANT se una IAM politica gestita dal cliente consente l'accesso completo ad almeno 1 AWS servizio.

Contesto: seguendo il principio del privilegio minimo, si consiglia di limitare le azioni consentite nelle IAM politiche quando si concedono le autorizzazioni a AWS servizi. Questo approccio consente di concedere solo le autorizzazioni necessarie specificando le azioni esatte richieste, evitando l'uso di caratteri jolly illimitati per un servizio, ad esempio. ec2:*

In alcuni casi, potresti voler consentire più azioni con un prefisso simile, ad esempio e. DescribeFlowLogsDescribeAvailabilityZones In questi casi, è possibile aggiungere un carattere jolly con suffisso al prefisso comune (ad esempio,). ec2:Describe* Il raggruppamento delle azioni correlate può aiutare a evitare di raggiungere i limiti di dimensione delle policy. IAM

Questa regola verrà restituita COMPLIANT se si utilizzano azioni prefisse con un carattere jolly suffisso (ad esempio,). ec2:Describe* Questa regola restituirà NON _ solo COMPLIANT se si utilizzano caratteri jolly senza restrizioni (ad esempio,). ec2:*

Nota

Questa regola valuta solo le policy gestite dal cliente. Questa regola NOT valuta le politiche in linea o AWS politiche gestite. Per ulteriori informazioni sulla differenza, consulta le politiche gestite e le politiche in linea nella Guida per l'IAMutente.

Identificatore: IAM _ POLICY STATEMENTS _NO_ _ _ WITH FULL ACCESS

Tipi di risorse: AWS::IAM::Policy

Tipo di trigger: Modifiche alla configurazione

Regione AWS: Tutti supportati AWS regioni

Parametri:

excludePermissionBoundaryPolitica (facoltativa)
Tipo: booleano

Contrassegno booleano per escludere la valutazione delle IAM politiche utilizzate come limiti delle autorizzazioni. Se impostato su "true", la regola non include i limiti delle autorizzazioni nella valutazione. Altrimenti, tutte le IAM politiche incluse nell'ambito vengono valutate quando il valore è impostato su «false». Il valore predefinito è "false".

AWS CloudFormation modello

Per creare AWS Config regole gestite con AWS CloudFormation modelli, vediCreazione di regole gestite di AWS Config con modelli AWS CloudFormation.