iam-policy-no-statements-with-full-access - AWS Config
Modelo do AWS CloudFormation

iam-policy-no-statements-with-full-access

Verifica se as políticas do AWS Identity and Access Management (IAM) criadas por você concedem permissões para todas as ações em recursos da AWS individuais. A regra será NON_COMPLIANT se alguma política do IAM gerenciada pelo cliente permitir acesso total a pelo menos um serviço da AWS.

Contexto: seguindo o princípio de privilégio mínimo, é recomendável limitar as ações permitidas em suas políticas do IAM ao conceder permissões aos serviços da AWS. Essa abordagem ajuda a garantir que você conceda somente as permissões necessárias especificando as ações exatas necessárias, evitando o uso de curingas irrestritos para um serviço, como ec2:*.

Em alguns casos, você pode desejar permitir várias ações com um prefixo semelhante, como DescribeFlowLogs e DescribeAvailabilityZones. Nesses casos autorizados, você pode adicionar um curinga com sufixo ao prefixo comum (por exemplo, ec2:Describe*). O agrupamento de ações relacionadas pode ajudar a evitar atingir os limites de tamanho da política do IAM.

Essa regra retornará COMPLIANT se você usar ações prefixadas com um caractere curinga com sufixo (por exemplo, ec2:Describe*). Essa regra só retornará NON_COMPLIANT se você usar curingas irrestritos (por exemplo, ec2:*).

nota

Essa regra avalia somente as políticas gerenciadas pelo cliente. Essa regra NÃO avalia políticas em linha ou políticas gerenciadas pela AWS. Para obter mais informações sobre a diferença, consulte Políticas gerenciadas e em linha no Guia do Usuário do IAM.

Identificador: IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS

Tipos de Recurso: AWS::IAM::Policy

Tipo de acionador: alterações da configuração

Região da AWS: todas as regiões da AWS com suporte

Parâmetros:

excludePermissionBoundaryPolicy (opcional)
Tipo: booliano

Sinalizador booliano para excluir a avaliação das políticas do IAM usadas como limites de permissões. Se definida como "verdadeira", a regra não incluirá limites de permissões na avaliação. Caso contrário, todas as políticas do IAM no escopo serão avaliadas quando o valor estiver definido como "falso". O valor padrão é "falso".

Modelo do AWS CloudFormation

Para criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation, consulte Criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.