iam-policy-no-statements-with-admin-access
作成した AWS Identity and Access Management (IAM) ポリシーに、すべてのリソースにおけるすべてのアクションにアクセス許可を付与する Allow ステートメントを確認します。いずれかのカスタマー管理 IAM ポリシーステートメントに、"Resource": "*" に対して "Action": "*" が "Effect": "Allow" になっている場合、ルールは NON_COMPLIANT です。
注記
このルールは、カスタマー管理ポリシーのみを評価します。このルールは、インラインポリシーまたは AWS 管理ポリシーを評価しません。この違いに関する詳細については、「IAM ユーザーガイド」の「マネージドポリシーとインラインポリシー」を参照してください。
次のポリシーは NON_COMPLIANT です。
"Statement": [ { "Sid": "VisualEditor", "Effect": "Allow", "Action": "*", "Resource": "*" }
次のポリシーは COMPLIANT です。
"Statement": [ { "Sid": "VisualEditor", "Effect": "Allow", "Action": "service:*", "Resource": "*" }
識別子: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS
リソースタイプ: AWS::IAM::Policy
トリガータイプ: 設定変更
AWS リージョン: サポートされているすべての AWS リージョン
パラメータ:
- excludePermissionBoundaryPolicy (オプション)
- 型: ブール値
-
許可の境界として使用される IAM ポリシーの評価を除外するブールフラグ。「true」に設定すると、ルールで許可の境界は評価に含まれません。それ以外の場合、値が「false」に設定されていると、スコープ内のすべての IAM ポリシーが評価されます。デフォルト値は「false」です。
AWS CloudFormation テンプレート
AWS Config テンプレートを使用して AWS CloudFormation マネージドルールを作成するには、「AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成」を参照してください。
