本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Access Analyzer 政策檢查參考

您可以使用政策驗證來驗證您的 AWS Identity and Access Management Access Analyzer 政策。您可以使用 JSON 主控台中的 AWS CLI、 AWS API 或 IAM 政策編輯器來建立或編輯政策。IAM Access Analyzer 會根據 IAM 政策文法和最佳實務來驗證您的政策。 AWS您可以檢視政策驗證檢查問題清單，包含安全警告、錯誤、一般警告和政策的建議。這些問題清單提供可行的建議，協助您撰寫具有功能性且符合安全最佳實務的政策。IAM Access Analyzer 提供的基本政策檢查清單如下所示。執行政策驗證檢查不會額外收費。若要進一步了解如何使用政策驗證來驗證政策，請參閱：使用 IAM Access Analyzer 驗證政策。

錯誤 – 不允許 ARN 帳戶

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."

解決錯誤

從資源 ARN 中移除帳戶 ID。某些 AWS 服務的資源 ARNs 不支援指定帳戶 ID。

例如，Amazon S3 不支援帳戶 ID 做為儲存貯體 ARNs 中的命名空間。Amazon S3 儲存貯體名稱全域唯一，且所有 AWS 帳戶共用命名空間。若要檢視 Amazon S3 中可用的所有資源類型，請參閱服務授權參考中的 Amazon S3 定義的資源類型。

相關用語

錯誤 – 不允許使用 ARN 區域

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."

解決錯誤

從資源 ARN 中移除區域。某些 AWS 服務的資源 ARNs 不支援指定區域。

例如，IAM 是全域服務。IAM 資源 ARN 的區域部分一律保持空白。IAM 資源是全域的，就像帳戶 AWS 今天一樣。例如，以 IAM 使用者身分登入後，您可以存取任何地理區域 AWS 的服務。

錯誤 – 資料類型不符

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Data type mismatch: The text does not match the expected JSON data type {{data_type}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The text does not match the expected JSON data type {{data_type}}."

解決錯誤

更新文字以使用支援的資料類型。

例如，Version 全域條件鍵需要 String 資料類型。如果您提供日期或整數，則資料類型將不相符。

相關用語

錯誤 – 重複鍵使用不同的大小寫

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."

解決錯誤

檢閱相同條件區塊中的類似條件鍵，並針對所有執行個體使用相同的大小寫。

條件區塊是政策聲明 Condition 元素內的文字。條件鍵 names 不區分大小寫。條件鍵 values 是否區分大小寫取決於您使用的條件運算子。如需條件鍵中區分大小寫的詳細資訊，請參閱 IAMJSON政策元素：Condition。

相關用語

錯誤 - 無效的動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"

解決錯誤

您指定的動作無效。如果您輸入錯誤的服務字首或動作名稱，就會發生這種情況。對於某些常見問題，政策檢查會傳回建議的動作。

相關用語

AWS 具有此錯誤的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例指派許可 AWS 來開始使用 。

下列 AWS 受管政策在其政策陳述式中包含無效的動作。無效的動作並不會影響政策所授與的許可。使用 AWS 受管政策作為建立受管政策的參考時， AWS 建議您從政策中移除無效的動作。

錯誤 – 無效的 ARN 帳戶

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."

解決錯誤

在資源 ARN 中更新帳戶 ID。帳戶 IDs 是 12 位數整數。若要了解如何檢視您的帳戶 ID，請參閱尋找 AWS 您的帳戶 ID。

相關用語

錯誤 – 無效的 ARN 字首

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add the required prefix (arn) to the resource ARN."

解決錯誤

AWS 資源 ARNs 必須包含必要的arn:字首。

相關用語

錯誤 – 無效的 ARN 區域

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."

解決錯誤

資源類型在指定區域中不支援。如需每個區域中支援的 AWS 服務資料表，請參閱區域資料表。

相關用語

錯誤 – 無效的 ARN 資源

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."

解決錯誤

資源 ARN 必須符合已知資源類型的規格。若要檢視服務的預期 ARN 格式，請參閱 AWS 服務的動作、資源和條件索引鍵。選擇服務的名稱以檢視其資源類型和 ARN 格式。

相關用語

錯誤 – 無效的 ARN 服務案例

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."

解決錯誤

資源 ARN 中的服務必須符合服務字首的規格 （包括大寫）。若要檢視服務的字首，請參閱 AWS 服務的動作、資源和條件索引鍵。選擇服務的名稱，然後在第一句中找到該服務的字首。

相關用語

錯誤 - 無效的條件資料類型

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."

解決錯誤

條件鍵值組中的值必須符合條件鍵和條件運算子的資料類型。若要檢視 服務的條件索引鍵資料類型，請參閱 AWS 服務的動作、資源和條件索引鍵。選擇服務的名稱，以檢視該服務的條件鍵。

例如，CurrentTime全域條件鍵支援 Date 條件運算子。如果您為條件區塊中的值提供字串或整數，則資料類型將不相符。

相關用語

錯誤 - 無效的條件鍵格式

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid condition key format: The condition key format is not valid. Use the format service:keyname.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition key format is not valid. Use the format service:keyname."

解決錯誤

條件鍵值組中的鍵必須符合服務的規格。若要檢視 服務的條件索引鍵，請參閱 AWS 服務的動作、資源和條件索引鍵。選擇服務的名稱，以檢視該服務的條件鍵。

相關用語

錯誤 - 無效條件多重布林值

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."

解決錯誤

條件鍵值對中的鍵需要單一布林值。當您提供多個布林值時，條件比對可能不會傳回您預期的結果。

若要檢視 服務的條件索引鍵，請參閱 AWS 服務的動作、資源和條件索引鍵。選擇服務的名稱，以檢視該服務的條件鍵。

錯誤 - 無效的條件運算子

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."

解決錯誤

更新條件以使用支援的條件運算子。

相關用語

錯誤 — 效果的無效

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."

解決錯誤

更新 Effect 元素以使用有效的效果。Effect 的有效值為 Allow 和 Deny。

相關用語

錯誤 — 無效的全域條件鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."

解決錯誤

更新條件鍵值組中的條件鍵，以使用支援的全域條件鍵。

全域條件金鑰是具有 aws:aprefix. AWS services 的條件金鑰，可以支援全域條件金鑰或提供包含其服務字首的服務特定金鑰。例如，IAM 條件索引鍵包含iam:字首。如需詳細資訊，請參閱 AWS 服務的動作、資源和條件金鑰，然後選擇您要檢視其金鑰的服務。

相關用語

錯誤 — 無效的分割區

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"

解決錯誤

更新資源 ARN 以包含支援的分割區。如果您包含支援的分割區，則服務或資源可能不支援您包含的分割區。

分割區是 AWS 區域群組。每個 AWS 帳戶都範圍為一個分割區。在傳統區域中，使用 aws 分割區。在中國區域，使用 aws-cn。

相關用語

錯誤 — 無效的政策元素

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid policy element: The policy element {{element}} is not valid.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The policy element {{element}} is not valid."

解決錯誤

更新政策以僅包含支援的 JSON 政策元素。

相關用語

錯誤 — 無效的主體格式

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."

解決錯誤

更新主體，以使用支援的鍵值組格式。

您可以在以資源為基礎的政策中指定主體，但不能在以身分為基礎的政策中指定。

例如，若要為 AWS 帳戶中的每個人定義存取權，請在政策中使用下列主體：

"Principal": { "AWS": "123456789012" }

相關用語

錯誤 - 無效的主體鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid principal key: The principal key {{principal-key}} is not valid.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The principal key {{principal-key}} is not valid."

解決錯誤

更新主體鍵值組中的鍵，以使用支援的主體鍵。以下是支援的主體鍵：

相關用語

錯誤 - 無效的區域

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."

解決錯誤

更新條件鍵值組的值，以包含支援的區域。如需每個區域中支援的 AWS 服務資料表，請參閱區域資料表。

相關用語

錯誤 - 無效的服務

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid service: The service {{service}} does not exist. Use a valid service name.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The service {{service}} does not exist. Use a valid service name."

解決錯誤

動作或條件鍵中的服務字首必須符合服務字首的規格 (包括大小寫)。若要檢視服務的字首，請參閱 AWS 服務的動作、資源和條件索引鍵。選擇服務的名稱，然後在第一句中找到該服務的字首。

相關用語

錯誤 - 無效的服務條件鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."

解決錯誤

更新條件鍵值組中的鍵，以使用服務的已知條件鍵。全域條件鍵名稱是以 aws 字首為開頭。 AWS 服務可提供包含其服務字首的服務專屬鍵。若要檢視服務的字首，請參閱 AWS 服務的動作、資源和條件索引鍵。

相關用語

錯誤 - 動作中的服務無效

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"

解決錯誤

動作中的服務字首必須符合服務字首的規格 (包括大小寫)。若要檢視服務的字首，請參閱 AWS 服務的動作、資源和條件索引鍵。選擇服務的名稱，然後在第一句中找到該服務的字首。

相關用語

錯誤 — 運算子的無效變數

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid variable for operator: Policy variables can only be used with String and ARN operators.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Policy variables can only be used with String and ARN operators."

解決錯誤

您可以在 Resource 元素中使用政策變數，也可以在 Condition 元素中使用字串比較。當您使用字串運算子或 ARN 運算子時，條件支援變數。字串運算子包括 StringEquals、StringLike 和 StringNotLike。ARN運算子包括 ArnEquals和 ArnLike。您無法使用政策變數搭配其他運算子，例如 Numeric、Date、Boolean、Binary、IP Address 或 Null 運算子。

相關用語

錯誤 - 無效的版本

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"

解決錯誤

Version政策元素指定 AWS 用於處理政策的語言語法規則。若要使用所有可用的政策功能，請在所有政策的 Statement 元素前面包含最新的 Version 元素。

"Version": "2012-10-17"

相關用語

錯誤 – Json 語法錯誤

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."

解決錯誤

您的政策包含語法錯誤。檢查您的 JSON 語法。

相關用語

錯誤 – Json 語法錯誤

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Json syntax error: Fix the JSON syntax error.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Fix the JSON syntax error."

解決錯誤

您的政策包含語法錯誤。檢查您的 JSON 語法。

相關用語

錯誤 - 缺少動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing action: Add an Action or NotAction element to the policy statement.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add an Action or NotAction element to the policy statement."

解決錯誤

AWS JSON政策必須包含 Action或 NotAction元素。

相關用語

錯誤 – 缺少 ARN 欄位

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"

解決錯誤

資源 ARN 中的所有欄位必須符合已知資源類型的規格。若要檢視服務的預期 ARN 格式，請參閱 AWS 服務的動作、資源和條件索引鍵。選擇服務的名稱以檢視其資源類型和 ARN 格式。

相關用語

錯誤 – 缺少 ARN 區域

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing ARN Region: Add a Region to the {{service}} resource ARN.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add a Region to the {{service}} resource ARN."

解決錯誤

大多數 AWS 服務的資源 ARNs 需要您指定區域。如需每個區域中支援的 AWS 服務資料表，請參閱區域資料表。

相關用語

錯誤 – 缺少效果

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."

解決錯誤

AWS JSON政策必須包含值為 Allow和 的Effect元素Deny。

相關用語

錯誤 – 缺少主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing principal: Add a Principal element to the policy statement.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add a Principal element to the policy statement."

解決錯誤

以資源為基礎的政策必須包含 Principal 元素。

例如，若要為 AWS 帳戶中的每個人定義存取權，請在政策中使用下列主體：

"Principal": { "AWS": "123456789012" }

相關用語

錯誤 – 缺少限定詞

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."

解決錯誤

在 Condition 元素中，您所建置的表達式使用條件運算子 (例如等於或小於) 來比較政策中的條件鍵與值，以及請求內容中的鍵與值。對於包含單一條件鍵之多個值的請求，您必須像陣列一樣，在括號內括住條件 ("Key2":["Value2A", "Value2B"])。您還必須使用 ForAllValues 或 ForAnyValue 設定運算子搭配 StringLike 條件運算子。這些限定詞新增設定操作功能到條件運算子，以便您可以針對多個條件值測試多個請求值。

相關用語

AWS 具有此錯誤的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

下列 AWS 受管政策在其政策陳述式中包含條件索引鍵的遺失限定符。使用 AWS 受管政策做為建立客戶受管政策的參考時， AWS 建議您將 ForAllValues或 ForAnyValue條件金鑰限定詞新增至 Condition元素。

錯誤 – 缺少資源

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing resource: Add a Resource or NotResource element to the policy statement.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add a Resource or NotResource element to the policy statement."

解決錯誤

角色信任政策以外的所有政策必須包含 Resource或 NotResource元素。

相關用語

錯誤 – 缺少陳述式

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing statement: Add a statement to the policy

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add a statement to the policy"

解決錯誤

JSON 政策必須包含陳述式。

相關用語

錯誤 – 如果存在，則為空

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."

解決錯誤

除 Null 條件運算子外，您可在任何條件運算子名稱的結尾新增 IfExists。使用 Null 條件運算子檢查授權時是否有條件鍵。使用 ...ifExists 來表示「如果請求的內容中存在政策鍵，則依照政策所述來處理鍵。如果該鍵不存在，則評估條件元素為 true。」

相關用語

錯誤 – SCP 語法錯誤動作萬用字元

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."

解決錯誤

AWS Organizations 服務控制政策 (SCPs) 支援在 Action或 NotAction元素中指定值。不過，這些值只能在字串結尾包含萬用字元 (*)。這表示您可指定 iam:Get* 而不是 iam:*role。

若要指定多個動作， AWS 建議您個別列出這些動作。

相關用語

錯誤 – SCP 語法錯誤允許條件

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."

解決錯誤

AWS Organizations 服務控制政策 (SCPs) 僅在您使用 時支援在 Condition 元素中指定值"Effect": "Deny"。

若要只允許單一動作，除了您使用 ...NotEquals 版本的條件運算子進行指定的情況以外，您可以拒絕存取所有項目。這會否定運算子所做的比較。

相關用語

錯誤 – SCP 語法錯誤 allow NotAction

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."

解決錯誤

AWS Organizations 服務控制政策 (SCPs) 不支援搭配 使用 NotAction元素"Effect": "Allow"。

您必須重新撰寫邏輯，以允許動作清單，或拒絕每個未列出的動作。

相關用語

錯誤 – SCP 語法錯誤允許資源

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."

解決錯誤

AWS Organizations 服務控制政策 (SCPs) 僅在您使用 時支援在 Resource 元素中指定值"Effect": "Deny"。

您必須重寫邏輯，以允許所有資源，或拒絕列出的每個資源。

相關用語

錯誤 – SCP 語法錯誤 NotResource

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."

解決錯誤

AWS Organizations 服務控制政策 (SCPs) 不支援 NotResource元素。

您必須重寫邏輯，以允許所有資源，或拒絕列出的每個資源。

相關用語

錯誤 – SCP 語法錯誤主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."

解決錯誤

AWS Organizations 服務控制政策 (SCPs) 不支援 Principal或 NotPrincipal元素。

您可以使用 Condition 元素中的aws:PrincipalArn全域條件索引鍵來指定 Amazon Resource Name (ARN)。

相關用語

錯誤 – 需要唯一 Sid

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."

解決錯誤

對於某些政策類型，陳述式 IDs 必須是唯一的。Sid (陳述式 ID) 元素允許您輸入您為政策陳述式提供的可選識別符。您可以使用 SID 元素將陳述式 ID 值指派給陳述式陣列中的每個陳述式。在可讓您指定 ID 元素的 服務中，例如 SQS 和 SNS，該Sid值只是政策文件 ID 的子 ID。例如，在 IAM 中，該Sid值在 JSON 政策中必須是唯一的。

相關用語

錯誤 - 政策中不支援的動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."

解決錯誤

在連接至不同資源類型的資源型政策中，部分動作在其 Action 元素中不受支援。例如，Amazon S3 儲存貯體政策不支援 AWS Key Management Service 動作。指定連接至資源型政策的資源類型支援的動作。

相關用語

錯誤 – 不支援的元素組合

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."

解決錯誤

某些 JSON 政策元素組合無法同時使用。例如，您不能在同一政策陳述式中同時使用 Action 與 NotAction。相互排斥的其他組合包括 Principal/NotPrincipal 和 Resource/NotResource。

相關用語

錯誤 – 不支援的全域條件鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."

解決錯誤

AWS 不支援使用指定的全域條件金鑰。視您的使用案例而定，您可以使用 aws:PrincipalArn 或 aws:SourceArn 全域條件鍵。例如，aws:ARN使用 來aws:PrincipalArn比較提出請求之主體的 Amazon Resource Name (ARN) 與您在政策中指定的 ARN。或者，使用aws:SourceArn全域條件索引鍵，將提出 a service-to-service 請求之資源的 Amazon Resource Name (ARN) 與您在政策中指定的 ARN 進行比較。

相關用語

錯誤 – 不支援的主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."

解決錯誤

Principal 元素會指定允許或拒絕存取資源的主體。您無法在 IAM 身分型政策中使用 Principal元素。您可以在 IAM 角色的信任政策中使用它，也可以在資源型政策中使用它。資源型政策是您直接內嵌在資源中的政策。例如，您可以在 Amazon S3 儲存貯體或 AWS KMS 金鑰中嵌入政策。

相關用語

錯誤 – 政策中不支援的資源 ARN

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."

解決錯誤

當政策連接至不同的資源類型時，資源型政策的 Resource元素不支援某些資源 ARNs。例如，Amazon S3 儲存貯體政策的 Resource元素不支援 AWS KMS ARNs。指定連接至資源型政策的資源類型支援的資源 ARN。

相關用語

錯誤 – 不支援的 Sid

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"

解決錯誤

Sid 元素支援大寫字母，小寫字母和數字。

相關用語

錯誤 – 主體中不支援的萬用字元

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."

解決錯誤

Principal 元素結構支援使用鍵值組。政策中指定的主體值包括萬用字元 (*)。您不能在指定的主體鍵中包含萬用字元。例如，當您在 Principal 元素中指定使用者時，您無法使用萬用字元來表示「所有使用者」。您必須命名特定的一個或多個使用者。同樣地，當您指定擔任的角色工作階段時，您無法使用萬用字元來表示「所有工作階段」。您必須命名特定工作階段。您也無法使用萬用字元來比對部分名稱或 ARN。

若要解決此問題清單，請移除萬用字元，並提供更具體的主體。

相關用語

錯誤 – 變數中缺少大括號

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."

解決錯誤

政策變數結構支援使用 $ 字首，後面接著一對大括號 ({ })。在 ${ } 字元內，包含要在政策中想要使用的請求中的值的名稱。

若要解決此問題清單，請新增遺失的大括號，以確定一組完整的大括號開頭和結尾已存在。

相關用語

錯誤 – 變數中缺少引號

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."

解決錯誤

將變數新增至政策時，您可以指定變數的預設值。如果變數不存在， AWS 會使用您提供的預設文字。

若要將預設值新增到一個變數，請以單引號 (' ') 括住預設值，並使用逗號和空格 (, ) 分隔變數文字和預設值。

例如，如果主體標記為 team=yellow，他們可以存取名為 amzn-s3-demo-bucket-yellow 的 amzn-s3-demo-bucket Amazon S3 儲存貯體。具有此資源的政策可讓團隊成員存取其自己的資源，但不能存取其他團隊的資源。對於沒有團隊標籤的使用者，您可以將預設值設定為 company-wide。這些使用者只能存取 amzn-s3-demo-bucket-company-wide 儲存貯體，其中他們可以檢視廣泛的資訊，例如加入團隊的指示。

"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"

相關用語

錯誤 – 變數中不支援的空間

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "A space is not supported within the policy variable text. Remove the space."

解決錯誤

政策變數結構支援使用 $ 字首，後面接著一對大括號 ({ })。在 ${ } 字元內，包含要在政策中想要使用的請求中的值的名稱。雖然您在指定預設變數時可以包含空格，但不能在變數名稱中包含空格。

相關用語

錯誤 – 空的變數

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."

解決錯誤

政策變數結構支援使用 $ 字首，後面接著一對大括號 ({ })。在 ${ } 字元內，包含要在政策中想要使用的請求中的值的名稱。

相關用語

錯誤 – 元素中不支援變數

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."

解決錯誤

您可以在 Resource 元素中使用政策變數，也可以在 Condition 元素中使用字串比較。

相關用語

錯誤 – 版本中不支援變數

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."

解決錯誤

若要使用政策變數，必須包含 Version 元素，並將其設定為支援政策變數的版本。變數已導入版本 2012-10-17。舊版的政策語言不支援政策變數。如果您未將 Version 設定為 2012-10-17 或更高版本，則 ${aws:username} 等變數會被視為政策中的常值字串。

Version 政策元素與政策版本不同。Version 政策元素是在政策內使用，並定義政策語言的版本。當您在 IAM 中變更客戶受管政策時，會建立政策版本。變更的政策不會覆寫現有的政策。相反地，IAM 會建立新的受管政策版本。

相關用語

錯誤 – 私有 IP 地址

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."

解決錯誤

全域條件鍵 aws:SourceIp 僅適用於公有 IP 地址範圍。當您的政策只允許私有 IP 地址時，您會收到此錯誤。在這種情況下，條件永遠不會符合。

錯誤 – Private NotIpAddress

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."

解決錯誤

全域條件鍵 aws:SourceIp 僅適用於公有 IP 地址範圍。當您使用 NotIpAddress 條件運算子，並只列出私有 IP 位址時，您會收到這個錯誤。在此情況下，條件會一律符合且為無效。

錯誤 – 政策大小超過 SCP 配額

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."

解決錯誤

AWS Organizations 服務控制政策 (SCPs) 支援在 Action或 NotAction元素中指定值。不過，這些值只能在字串結尾包含萬用字元 (*)。這表示您可指定 iam:Get* 而不是 iam:*role。

若要指定多個動作， AWS 建議您個別列出這些動作。

相關用語

錯誤 — 無效的服務委託人格式

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."

解決錯誤

條件鍵值組中的值必須符合已定義的服務主體格式。

服務主體是用來將許可授予給服務的識別符。您可以在 Principal 元素中指定服務主體，或將其作為某些全域條件鍵和服務特定鍵的值。服務主體是由每個服務定義。

服務主體的識別符包含服務名稱，而且通常採用以下全小寫字母格式：

service-name.amazonaws.com

某些服務特定鍵可能會針對服務主體使用不同的格式。例如，kms:ViaService 條件鍵需要下列全小寫字母格式的服務主體：

service-name.AWS_region.amazonaws.com

相關用語

錯誤 – 條件中缺少標籤鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."

解決錯誤

若要根據標籤控制存取，則在政策的條件元素中提供標籤資訊。

例如，若要控制對 AWS 資源的存取，請包含aws:ResourceTag條件索引鍵。此鍵需要格式 aws:ResourceTag/tag-key。如需指定條件中的標籤鍵 owner 和標籤值 JaneDoe，請使用下列格式。

"Condition": {
    "StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}

相關用語

錯誤 - vpc 格式無效

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."

解決錯誤

此 aws:SourceVpc 條件鍵必須使用字首 vpc-，後跟 8 或 17 個英數字元，例如 vpc-11223344556677889 或 vpc-12345678。

相關用語

錯誤 - vpce 格式無效

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid vpce format: The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The VPCE identifier in the condition key value is not valid.  Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."

解決錯誤

此 aws:SourceVpce 條件鍵必須使用字首 vpce-，後跟 8 或 17 個英數字元，例如 vpce-11223344556677889 或 vpce-12345678。

相關用語

錯誤 - 不支援聯合身分主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."

解決錯誤

Principal 元素使用聯合委託人來連接 IAM 角色的信任政策，透過身分聯合提供存取權。身分政策和其他資源型曾策不支援 Principal 元素中的聯合身分提供者。例如，您無法在 Amazon S3 儲存貯體政策中使用 SAML 主體。將 Principal 元素變更為支援的主體類型。

相關用語

錯誤 - 條件鍵不支援的動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."

解決錯誤

請確保政策陳述式的 Condition 元素中的條件鍵會套用至 Action 元素中的每個動作。若要確保政策有效地允許或拒絕您指定的動作，您應該將不支援的動作移至不同的陳述式，而不使用條件鍵。

相關用語

錯誤 - 政策中不支援的動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."

解決錯誤

在連接至不同資源類型的資源型政策中，部分動作在其 Action 元素中不受支援。例如，Amazon S3 儲存貯體政策不支援 AWS Key Management Service 動作。指定連接至資源型政策的資源類型支援的動作。

相關用語

錯誤 – 政策中不支援的資源 ARN

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."

解決錯誤

當政策連接至不同的資源類型時，資源型政策的 Resource元素不支援某些資源 ARNs。例如，Amazon S3 儲存貯體政策的 Resource元素不支援 AWS KMS ARNs。指定連接至資源型政策的資源類型支援的資源 ARN。

相關用語

錯誤 - 服務主體不支援的條件索引鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."

解決錯誤

您可以使用服務主體在資源型政策的 Principal元素 AWS 服務 中指定 ，該主體是服務的識別符。您無法將某些條件鍵與特定服務主體搭配使用。例如，您無法將 aws:PrincipalOrgID 條件鍵與服務主體 cloudfront.amazonaws.com 搭配使用。您應該移除不適用於 Principal 元素中服務主體的條件鍵。

相關用語

錯誤 – 角色信任政策語法錯誤：NotPrincipal

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."

解決錯誤

角色信任政策是連接至 IAM 角色的資源型政策。信任政策會定義哪些主體實體 (帳戶、使用者、角色和聯合身分使用者) 可擔任該角色。角色信任原則不支援 NotPrincipal。更新政策以改為使用 Principal 元素。

相關用語

錯誤 – 角色信任政策不支援在主體中使用萬用字元

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."

解決錯誤

角色信任政策是連接至 IAM 角色的資源型政策。信任政策會定義哪些主體實體 (帳戶、使用者、角色和聯合身分使用者) 可擔任該角色。在角色信任政策的 Principal 元素中不支援 "Principal:" "*"。以有效的主體值取代萬用字元。

相關用語

錯誤 – 角色信任政策語法錯誤：Resource

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."

解決錯誤

角色信任政策是連接至 IAM 角色的資源型政策。信任政策會定義哪些主體實體 (帳戶、使用者、角色和聯合身分使用者) 可擔任該角色。角色信任政策會套用至它們所連接的角色。您不能在角色信任政策中指定 Resource 或 NotResource 元素。移除 Resource 或 NotResource 元素。

錯誤 – 類型與 IP 範圍不符

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."

解決錯誤

更新文字以使用 CIDR 格式的 IP 地址條件運算子資料類型。

相關用語

錯誤 – 缺少條件金鑰動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."

解決錯誤

除非指定的動作位於 Action 元素中，否則不會評估政策陳述式的 Condition 元素中的條件鍵。若要確保政策有效地允許或拒絕您指定的條件鍵，請將動作新增至 Action 元素。

相關用語

錯誤 – 角色信任政策中的聯合主體語法無效

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."

解決錯誤

主體值指定與預期格式不相符的聯合主體。將聯合主體的格式更新為有效的網域名稱或 SAML 中繼資料 ARN。

相關用語

錯誤 – 主體的不相符動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."

解決錯誤

對於 Principal 元素中指定的主體，政策陳述式的 Action 元素中指定的動作無效。例如，您無法搭配 sts:AssumeRoleWithWebIdentity動作使用 SAML 提供者主體。您應該將 SAML 提供者主體與 sts:AssumeRoleWithSAML動作搭配使用，或將 OIDC 提供者主體與 sts:AssumeRoleWithWebIdentity動作搭配使用。

相關用語

錯誤 – 缺少 Roles Anywhere 信任政策的動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."

解決錯誤

若要讓 IAM Roles Anywhere 能夠擔任角色並交付臨時 AWS 憑證，該角色必須信任 IAM Roles Anywhere 服務主體。IAM Roles Anywhere 服務主體需要 sts:AssumeRole、 sts:SetSourceIdentity和 sts:TagSession許可才能擔任角色。如果缺少這些許可中的任何一個，您必須將它們新增至政策。

相關用語

錯誤 – 政策大小超過 RCP 配額

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."

解決錯誤

AWS Organizations 資源控制政策 (RCPs) 支援在 Action元素中指定值。不過，這些值只能在字串結尾包含萬用字元 (*)。這表示您可指定 s3:Get* 而不是 s3:*Object。

若要指定多個動作， AWS 建議您個別列出這些動作。

相關用語

錯誤 – RCP 語法錯誤主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."

解決錯誤

AWS Organizations 資源控制政策 (RCPs) 僅支援指定 Principal元素中的所有主體 ("*")。RCPs 不支援 NotPrincipal元素。

相關用語

錯誤 – 允許 RCP 語法錯誤

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."

解決錯誤

AWS Organizations 資源控制政策 (RCPs) 僅支援指定 Principal元素中的所有主體 ("*") 和 Resource元素中的所有資源 ("*")。RCPs Allow不支援具有 效果的 Condition元素。

相關用語

錯誤 – RCP 語法錯誤 NotAction

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."

解決錯誤

AWS Organizations 資源控制政策 (RCPs) 不支援 NotAction元素。使用 Action元素。

相關用語

錯誤 – RCP 語法錯誤動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."

解決錯誤

AWS Organizations 資源控制政策 (RCPs) 僅支援在 Action元素中指定選取的服務字首。

相關用語

一般警告 – 使用 SLR 建立 NotResource

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."

解決一般警告

動作iam:CreateServiceLinkedRole會授予許可，以建立 IAM 角色，允許 AWS 服務代表您執行動作。在具有 NotResource元素的政策iam:CreateServiceLinkedRole中使用 可以允許為多個資源建立非預期的服務連結角色。 AWS 建議您改為在 Resource元素中指定允許的 ARNs。

一般警告 – 在動作和SLR 中建立具有星號的 NotResource

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

解決一般警告

動作iam:CreateServiceLinkedRole會授予許可，以建立 IAM 角色，允許 AWS 服務代表您執行動作。在 Action和 中包含 NotResource元素的萬用字元 (*) 政策可以允許為多個資源建立非預期的服務連結角色。 AWS 建議您改為在 Resource 元素中指定允許的 ARNs。

一般警告 – 使用 SLR NotAction 和 Word 建立 NotResource

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

解決一般警告

動作iam:CreateServiceLinkedRole會授予許可，以建立 IAM 角色，允許 AWS 服務代表您執行動作。將 NotAction元素與 NotResource 元素搭配使用，可以允許為多個資源建立非預期的服務連結角色。 AWS 建議您改寫政策，以允許在Resource元素中的有限 ARNs 清單iam:CreateServiceLinkedRole上。您也可以將 iam:CreateServiceLinkedRole 新增到 NotAction 元素。

一般警告 – 在資源中建立具有星號的 SLR

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."

解決一般警告

動作iam:CreateServiceLinkedRole會授予許可，以建立 IAM 角色，允許 AWS 服務代表您執行動作。在 Resource 元素iam:CreateServiceLinkedRole中具有萬用字元 (*) 的政策中使用 可以允許為多個資源建立非預期的服務連結角色。 AWS 建議您改為在 Resource元素中指定允許的 ARNs。

AWS 具有此一般警告的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

其中一些使用案例適用於您帳戶中的進階使用者。下列 AWS 受管政策提供進階使用者存取權，並授予許可，以為任何 AWS service. AWS recommment 建立服務連結角色。建議您將下列 AWS 受管政策僅連接至您認為進階使用者的 IAM 身分。

一般警告 – 在動作和資源中建立具有星號的 SLR

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

解決一般警告

動作iam:CreateServiceLinkedRole會授予許可，以建立 IAM 角色，允許 AWS 服務代表您執行動作。Action 和 Resource 元素中包含萬用字元 (*) 的政策可允許為多個資源建立非預期的服務連結角色。這允許在您指定 "Action": "*"、 "Action": "iam:*"或 "Action": "iam:Create*". AWS recommends 時建立服務連結角色，而您在 Resource元素中指定允許的 ARNs。

AWS 具有此一般警告的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

其中一些使用案例適用於您帳戶中的系統管理員。下列 AWS 受管政策提供管理員存取權，並授予許可，以為任何 AWS service. AWS recommend 建立服務連結角色。建議您將下列 AWS 受管政策僅附加到您認為管理員的 IAM 身分。

一般警告 – 在資源和 SLR 中建立具有星號的 NotAction

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

解決一般警告

動作iam:CreateServiceLinkedRole會授予許可，以建立 IAM 角色，允許 AWS 服務代表您執行動作。在具有萬用字元 (*) 的政策中使用 NotAction 元素，Resource可以允許為多個資源建立非預期的服務連結角色。 AWS 建議您改為在 Resource元素中指定允許的 ARNs。您也可以將 iam:CreateServiceLinkedRole 新增到 NotAction 元素。

一般警告 — 已取代的全域條件鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."

解決一般警告

政策包含已取代的全域條件鍵。更新條件鍵值組中的條件鍵，以使用支援的全域條件鍵。

一般警告 – 無效的日期值

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."

解決一般警告

Unix Epoch 時間描述了自 1970 年 1 月 1 日以來經過的時間點，減去閏秒。Epoch 時間可能無法解析為您預期的精確時間。 AWS 建議您使用 W3C 標準來表示日期和時間格式。例如，您可以指定完整日期，例如 YYYY-MM-DD (1997-07-16)，也可以將時間附加到第二個日期，例如 YYYY-MM-DDThh：mm：ssTZD (1997-07-16T19：20：30+01：00)。

一般警告 – 角色參考無效

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."

解決一般警告

AWS 建議您為 IAM 角色指定 Amazon Resource Name (ARN)，而不是其主體 ID。當 IAM 儲存政策時，它會將 ARN 轉換為現有角色的主要 ID。 AWS 包含安全預防措施。如果有人刪除並重新建立角色，則會有新的 ID，且政策不會符合新角色的 ID。

一般警告 – 無效的使用者參考

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."

解決一般警告

AWS 建議您為 IAM 使用者指定 Amazon Resource Name (ARN)，而不是其主體 ID。當 IAM 儲存政策時，它會將 ARN 轉換為現有使用者的主要 ID。 AWS 包含安全預防措施。如果有人刪除並重新建立使用者，則會有新的 ID，且政策不會符合新使用者的 ID。

一般警告 – 遺失版本

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing version: We recommend that you specify the Version element to help you with debugging permission issues.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."

解決一般警告

AWS 建議您在政策中包含選用Version參數。如果您未包含 Version 元素，則值預設為 2012-10-17，但較新功能 (例如政策變數) 將無法使用您的政策。例如，${aws:username} 這類變數無法辨識為變數，而是視為政策中的文字字串。

一般警告 – 建議使用獨特 Sid

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."

解決一般警告

AWS 建議您使用唯一的陳述式 IDs。Sid (陳述式 ID) 元素允許您輸入您為政策陳述式提供的可選識別符。您可以使用 SID 元素將陳述式 ID 值指派給陳述式陣列中的每個陳述式。

相關用語

一般警告 – 沒有類似運算子的萬用字元

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."

解決一般警告

Condition 元素結構會要求您使用條件運算子和鍵值組。當您指定使用萬用字元 (*、?) 的條件值時，必須使用 Like 版本的條件運算子。例如，並非使用 StringEquals 字串條件運算子,而是使用 StringLike。

"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}

AWS 具有此一般警告的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

下列 AWS 受管政策在其條件值中包含萬用字元，而沒有包含 Like用於模式比對的條件運算子。使用 AWS 受管政策作為建立客戶受管政策的參考時， AWS 建議您使用支援模式比對的條件運算子與萬用字元 (*、？)，例如 StringLike。

一般警告 – 政策大小超過身分政策配額

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."

解決一般警告

您最多可以將 10 個受管政策連接至 IAM 身分 （使用者、使用者群組或角色）。但是，每個受管政策的大小不可超過 6,144 個字元的預設配額。根據此配額計算政策大小時，IAM 不會計算空格。配額也稱為 中的限制 AWS，是帳戶中 AWS 資源、動作和項目的最大值。

此外，您可以將任意數量的內嵌政策新增至 IAM 身分。不過，每個身分的所有內嵌政策大小總計不能超過指定的配額。

如果您的政策大於配額，您可以將政策組織成多個陳述式，並將這些陳述式群組成多個政策。

相關用語

AWS 具有此一般警告的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

下列 AWS 受管政策會授予多個 AWS 服務的動作許可，並超過政策大小上限。當您使用 AWS 受管政策做為建立受管政策的參考時，必須將政策分割為多個政策。

一般警告 – 政策大小超過資源政策配額

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."

解決一般警告

資源型政策是您連接至資源的 JSON 政策文件，例如 Amazon S3 儲存貯體。這些政策會授予指定的主體許可，允許在該資源上執行特定的動作，並且定義資源所適用的條件。資源型政策的大小不能超過為該資源設定的配額。配額也稱為 中的限制 AWS，是 AWS 帳戶中資源、動作和項目的最大值。

如果您的政策大於配額，您可以將政策組織成多個陳述式，並將這些陳述式群組成多個政策。

相關用語

一般警告 – 類型不符

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."

解決一般警告

更新文字以使用支援的條件運算子資料類型。

例如，aws:MultiFactorAuthPresent 全域條件鍵需要資料類型為 Boolean 的條件運算子。如果您提供日期或整數，則資料類型將不相符。

相關用語

一般警告 – 類型不符布林值

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."

解決一般警告

更新文字以使用布林值條件運算子資料類型，例如 true 或 false。

例如，aws:MultiFactorAuthPresent 全域條件鍵需要資料類型為 Boolean 的條件運算子。如果您提供日期或整數，則資料類型將不相符。

相關用語

一般警告 – 類型不符日期

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."

解決一般警告

更新文字以使用 YYYY-MM-DD或其他 ISO 8601 日期時間格式的日期條件運算子資料類型。

相關用語

一般警告 – 類型不符號碼

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."

解決一般警告

更新文字以使用數字條件運算子資料類型。

相關用語

一般警告 – 類型不符字串

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."

解決一般警告

更新文字以使用字串條件運算子資料類型。

相關用語

一般警告 – 建議使用特定的 github 儲存庫和分支

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."

解決一般警告

如果您使用 GitHub 作為 OIDC IdP，最佳實務是限制可以擔任與 IAM IdP 相關聯角色的實體。當您在角色信任政策中包含Condition陳述式時，您可以將角色限制為特定 GitHub 組織、儲存庫或分支。您可以使用條件鍵 token.actions.githubusercontent.com:sub 來限制存取。建議您將條件限制為一組特定的儲存庫或分支。如果您在 中使用萬用字元 (*)token.actions.githubusercontent.com:sub，則來自您控制範圍之外的組織或儲存庫的 GitHub 動作可以擔任與 AWS 帳戶中的 GitHub IAM WordIdP 相關聯的角色。

相關用語

一般警告 – 政策大小超過角色信任政策配額

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."

解決一般警告

IAM 和 AWS STS 具有限制角色信任政策大小的配額。角色信任政策中的字元 (不包括空白) 超過字元上限。我們建議您使用 Service Quotas 和 AWS Support Center Console要求增加角色信任政策長度配額。

相關用語

一般警告 – 缺少相關主體條件索引鍵的RCP

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."

解決一般警告

AWS Organizations 資源控制政策 (RCPs) 可能會影響 IAM 角色、使用者和 AWS 服務 主體。為了防止使用服務主體代表您行事的服務受到意外影響，請將下列陳述式新增至您的 Condition 元素：

"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}

相關用語

一般警告 – 缺少相關服務主體條件索引鍵的RCP

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."

解決一般警告

AWS Organizations 資源控制政策 (RCPs) 可能會影響 IAM 角色、使用者和 AWS 服務 主體。為了防止意外影響委託人，請將下列陳述式新增至您的 Condition 元素：

"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}

相關用語

一般警告 – 缺少 RCP 服務條件金鑰 null 檢查

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."

解決一般警告

AWS Organizations 資源控制政策 (RCPs) 可能會影響 IAM 角色、使用者和 AWS 服務 主體。為了防止使用服務主體代表您執行的服務受到意外影響，每當使用指定的金鑰時，請將下列其中一個陳述式新增至您的 Condition 元素：

"Null": { "aws:SourceAccount": "false"}

或

"Null": { "aws:SourceArn": "false"}

相關用語

安全警告 – 允許 with NotPrincipal

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."

解決安全警告

使用 "Effect": "Allow" 與 NotPrincipal 可能太過寬鬆。例如，這可以將許可授予匿名 principals. AWS recommends，讓您指定需要使用 Principal元素存取的主體。或者，您可以允許廣泛存取，然後新增另一個使用 NotPrincipal 元素與 “Effect”: “Deny” 的陳述式。

安全警告 – 具有單一值索引鍵的 ForAllValues

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."

解決安全警告

AWS 建議您ForAllValues僅將 與多值條件搭配使用。ForAllValues 集合運算子會測試請求集每個成員的值是否為條件鍵集的子集。如果請求中每個鍵值至少符合政策中的一個值，則條件會傳回 true。如果請求中沒有鍵，或鍵值解析為 null 資料集 (例如空白字串)，則也會傳回 true。

若要了解條件是支援單一值還是多個值，請檢閱服務的動作、資源及條件鍵頁面。具有 ArrayOf 資料類型字首的條件鍵是多重值條件鍵。例如，Amazon SES 支援具有單一值 (String) 和ArrayOfString多值資料類型的金鑰。

安全警告 – 使用 NotResource 傳遞角色

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

解決安全警告

若要設定許多 AWS 服務，您必須將 IAM 角色傳遞給服務。若要允許這樣做，您必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。在 政策iam:PassRole中使用 搭配 NotResource元素，可以讓您的委託人存取比您預期更多的服務或功能。 AWS 建議您在 Resource元素中指定允許的 ARNs。此外，您可以使用 iam:PassedToService 條件鍵將許可降低為單一服務。

安全警告 – 在動作和 NotResource 中使用星號傳遞角色

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

解決安全警告

若要設定許多 AWS 服務，您必須將 IAM 角色傳遞給服務。若要允許這樣做，您必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。在 中包含萬用字元 (*) Action且包含 NotResource元素的政策，可讓您的委託人存取超出您預期的服務或功能。 AWS 建議您改為在 Resource元素中指定允許的 ARNs。此外，您可以使用 iam:PassedToService 條件鍵將許可降低為單一服務。

安全警告 – 使用 NotAction 和 NotResource 傳遞角色

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."

解決安全警告

若要設定許多 AWS 服務，您必須將 IAM 角色傳遞給服務。若要允許這樣做，您必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。使用 NotAction元素並列出 NotResource 元素中的某些資源，可以讓您的委託人存取比您預期更多的服務或功能。 AWS 建議您在 Resource元素中指定允許的 ARNs。此外，您可以使用 iam:PassedToService 條件鍵將許可降低為單一服務。

安全性警告 – 使用資源中的星號傳遞角色

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

解決安全警告

若要設定許多 AWS 服務，您必須將 IAM 角色傳遞給服務。若要允許這樣做，您必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。在 Resource元素中允許 iam:PassRole和 包含萬用字元 (*) 的政策，可讓您的委託人存取比您預期更多的服務或功能。 AWS 建議您在 Resource元素中指定允許的 ARNs。此外，您可以使用 iam:PassedToService 條件鍵將許可降低為單一服務。

某些 AWS 服務會在其角色名稱中包含其服務命名空間。此政策檢查會在分析政策以產生問題清單時，將這些慣例納入考量。例如，下列資源 ARN 可能不會產生調查結果：

arn:aws:iam::*:role/Service*

AWS 具有此安全警告的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

這些使用案例其中一個適用於您帳戶中的系統管理員。下列 AWS 受管政策提供管理員存取權，並授予許可，以將任何 IAM 角色傳遞至任何 service。 AWS 建議您僅將下列 AWS 受管政策附加至您認為管理員的 IAM 身分。

下列 AWS 受管政策包括在資源中iam:PassRole具有萬用字元 (*) 的 許可，且位於取代路徑上。針對每個政策，我們更新了許可指南，例如建議支援使用案例的新 AWS 受管政策。若要檢視這些政策的替代方案，請參閱指南以瞭解每個服務。

下列 AWS 受管政策僅提供服務連結角色的許可，允許 AWS 服務代表您執行動作。您無法將這些政策連接至 IAM 身分。

安全性警告 – 使用動作中的星號和資源傳遞角色

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

解決安全警告

若要設定許多 AWS 服務，您必須將 IAM 角色傳遞給服務。若要允許這樣做，您必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。在 Action和 Resource 元素中具有萬用字元 (*) 的政策，可以讓您的委託人存取比您預期更多的服務或功能。 AWS 建議您在 Resource元素中指定允許的 ARNs。此外，您可以使用 iam:PassedToService 條件鍵將許可降低為單一服務。

AWS 具有此安全警告的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

其中一些使用案例適用於您帳戶中的系統管理員。下列 AWS 受管政策提供管理員存取權，並授予許可，以將任何 IAM 角色傳遞至任何 AWS service. AWS recommends，建議您僅將下列 AWS 受管政策附加至您認為管理員的 IAM 身分。

安全警告 – 在資源和 NotAction 中傳遞具有星號的角色

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

解決安全警告

若要設定許多 AWS 服務，您必須將 IAM 角色傳遞給服務。若要允許這樣做，您必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。在 政策中使用 NotAction元素，在 Resource元素中使用萬用字元 (*) 可以允許委託人存取比您預期更多的服務或功能。 AWS 建議您在 Resource元素中指定允許的 ARNs。此外，您可以使用 iam:PassedToService 條件鍵將許可降低為單一服務。

安全性警告 – 遺失配對的條件金鑰

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."

解決安全警告

當與其他相關條件鍵配對時，某些條件鍵會更安全。 AWS 建議您在與現有條件鍵相同的條件區塊中包含相關的條件鍵。這會使透過政策授與的許可更安全。

例如，您可以使用 aws:VpcSourceIp 條件鍵，將從中提出請求的 IP 地址與您在政策中指定的 IP 地址進行比較。 AWS 建議您新增相關的 aws:SourceVPC 條件鍵。這會檢查請求是否來自您在政策中指定的 VPC，以及您指定的 IP 地址。

相關用語

安全性警告 – 拒絕使用不支援的服務標籤條件鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."

解決安全警告

在 政策的 Condition元素中使用不支援的標籤條件索引鍵"Effect": "Deny"可能會過度寬鬆，因為該服務會忽略該條件。 AWS 建議您移除不支援條件索引鍵的服務動作，並建立另一個陳述式來拒絕存取這些動作的特定資源。

如果您使用 aws:ResourceTag 條件鍵，且其不受服務動作支援，則該鍵不會包含在要求內容中。在此案例中，Deny 陳述式中的條件一律會傳回 false，且絕不會拒絕該動作。即使已正確標記資源，也會發生這種情況。

當服務支援 aws:ResourceTag 條件鍵時，您可以使用標籤來控制對該服務之資源的存取。這稱為屬性型存取控制 (ABAC)。不支援這些金鑰的服務會要求您使用資源型存取控制 (RBAC) 控制對資源的存取。

例如，假設您想要拒絕存取取消標記刪除標記為鍵值組 status=Confidential 的特定資源。也假設 AWS Lambda 允許您標記和取消標記資源，但不支援aws:ResourceTag條件金鑰。若要拒絕 的刪除動作 AWS App Mesh ， AWS Backup 如果此標籤存在，請使用 aws:ResourceTag 條件索引鍵。對於 Lambda，請使用資源命名慣例，其中包含 "Confidential" 字首。然後包含一個單獨的陳述式，以防止刪除具有該命名慣例的資源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyDeleteSupported",
            "Effect": "Deny",
            "Action": [
                "appmesh:DeleteMesh", 
                "backup:DeleteBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/status": "Confidential"
                }
            }
        },
        {
            "Sid": "DenyDeleteUnsupported",
            "Effect": "Deny",
            "Action": "lambda:DeleteFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
        }
    ]
}

相關用語

安全警告 – Deny NotAction 具有服務不支援的標籤條件索引鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

解決安全警告

在政策的 Condition 元素中使用標籤條件鍵與元素 NotAction 和 "Effect": "Deny" 可能太過寬鬆。對於不支援 condition key. AWS recommends 的服務動作，系統會忽略條件，您會重寫邏輯以拒絕動作清單。

如果您使用 aws:ResourceTag 條件鍵與 NotAction，則不會拒絕任何不支援鍵的新或現有服務動作。 AWS 建議您明確列出您要拒絕的動作。IAM Access Analyzer 會針對不支援 aws:ResourceTag 條件金鑰的所列動作，傳回個別的調查結果。如需詳細資訊，請參閱安全性警告 – 拒絕使用不支援的服務標籤條件鍵。

當服務支援 aws:ResourceTag 條件鍵時，您可以使用標籤來控制對該服務之資源的存取。這稱為屬性型存取控制 (ABAC)。不支援這些金鑰的服務會要求您使用資源型存取控制 (RBAC) 來控制對資源的存取。

相關用語

安全性警告 - 限制存取服務主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."

解決安全警告

您可以使用服務主體在資源型政策的 Principal元素 AWS 服務 中指定 ，該主體是服務的識別符。授予服務主體代表您採取行動的存取權時，會限制存取。您可以使用 aws:SourceArn、aws:SourceAccount、 aws:SourceOrgID或 aws:SourceOrgPaths條件索引鍵來限制對特定來源的存取，例如特定資源 ARN、組織 ID 或組織路徑 AWS 帳戶，以防止過度寬鬆的政策。限制存取可協助您避免名為混淆代理人問題的安全問題。

相關用語

安全性警告 – 缺少 OIDC 主體的條件鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."

解決安全警告

在沒有條件的情況下使用 Open ID Connect 主體可能會過於寬鬆。新增條件索引鍵，其字首與您的聯合 OIDC 主體相符，以確保只有預期的身分提供者擔任該角色。

相關用語

安全性警告 – 缺少 github 儲存庫條件鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."

解決安全警告

如果您使用 GitHub 作為 OIDC IdP，最佳實務是限制可以擔任與 IAM IdP 相關聯角色的實體。當您在角色信任政策中包含Condition陳述式時，您可以將角色限制為特定 GitHub 組織、儲存庫或分支。您可以使用條件鍵 token.actions.githubusercontent.com:sub 來限制存取。建議您將條件限制為一組特定的儲存庫或分支。如果您未包含此條件，則來自您控制範圍之外的組織或儲存庫的 GitHub 動作可以擔任您 AWS 帳戶中與IAM GitHub IdP 相關聯的角色。

相關用語

安全警告 – 類似具有 ARN 條件索引鍵的運算子的字串

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."

解決安全警告

AWS 建議您在比較 ARN 時使用 ARNs 運算子而非字串運算子，以確保根據 ARN 條件值進行適當的存取限制。每當使用指定的金鑰時，將StringLike運算子更新為 Condition 元素中的ArnLike運算子。

這些 AWS 受管政策是此安全警告的例外狀況：

相關用語

建議 – 空陣列動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty array action: This statement includes no actions and does not affect the policy. Specify actions.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."

解決建議

陳述式必須包含一個 Action 或 NotAction 元素，其中包括一組動作。當元素為空時，政策陳述式不會提供任何許可。指定 Action 元素中的動作。

建議 – 空陣列條件

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."

解決建議

選擇性的 Condition 元素結構會要求您使用條件運算子和鍵值組。當條件值為空時，條件會傳回 true，且政策陳述式不會提供任何許可。指定條件值。

建議 – 空陣列條件 ForAllValues

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

解決建議

Condition 元素結構會要求您使用條件運算子和鍵值組。ForAllValues 集合運算子會測試請求集每個成員的值是否為條件鍵集的子集。

當您使用 ForAllValues 與空條件鍵時，只有在請求中沒有鍵時才會符合條件。 AWS 建議如果您想要測試請求內容是否為空，請改用 Null 條件運算子。

建議 – 空陣列條件 ForAnyValue

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."

解決建議

Condition 元素結構會要求您使用條件運算子和鍵值組。ForAnyValues 集合運算子會測試這組請求值是否至少有一個成員符合這組條件鍵值的至少一個成員。

當您使用 ForAnyValues 與空條件鍵時，條件一律不會相符。這表示陳述式不會影響 policy. AWS recommends 您重寫條件。

建議 – 空陣列條件 IfExists

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

解決建議

...IfExists 後置詞會編輯條件運算子。這表示如果政策鍵中存在於請求的內容中，則依照政策所述來處理鍵。如果該鍵不存在，則評估條件元素為 true。

當您使用 ...IfExists 與空條件鍵時，只有在請求中沒有鍵時才會符合條件。 AWS 建議如果您想要測試請求內容是否為空，請改用 Null 條件運算子。

建議 – 空陣列主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

解決建議

您必須在 IAM 角色的信任政策中使用 Principal或 NotPrincipal元素，並在資源型政策中使用 。資源型政策是您直接內嵌在資源中的政策。

當您在陳述式的 Principal元素中提供空陣列時，陳述式不會影響 policy. AWS recommends，您可以指定應可存取資源的主體。

建議 – 空陣列資源

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."

解決建議

陳述式必須包含 Resource 或 NotResource 元素。

當您在陳述式的資源元素中提供空陣列時，陳述式不會影響您為資源指定 Amazon Resource Names (ARNs) 的 policy. AWS recommends。

建議 – 空物件條件

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."

解決建議

Condition 元素結構會要求您使用條件運算子和鍵值組。

當您在陳述式的條件元素中提供空物件時，陳述式對政策沒有任何影響。移除可選元素或指定條件。

建議 – 空物件主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

解決建議

您必須在 IAM 角色的信任政策中使用 Principal或 NotPrincipal元素，並在資源型政策中使用 。資源型政策是您直接內嵌在資源中的政策。

當您在陳述式的 Principal元素中提供空物件時，陳述式不會對 policy. AWS recommends 產生影響，建議您指定應可存取資源的主體。

建議 – 空 Sid 值

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Empty Sid value: Add a value to the empty string in the Sid element.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Add a value to the empty string in the Sid element."

解決建議

選擇性的 Sid (陳述式 ID) 元素允許您輸入您為政策陳述式提供的識別碼。您可以將 Sid 值指派給陳述式陣列中的每個陳述式。如果您選擇使用 Sid 元素，您必須提供字串值。

相關用語

建議 – 改善 IP 範圍

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."

解決建議

IP 地址條件必須是標準 CIDR 格式，例如 203.0.113.0/24 或 2001：DB8：1234：5678：：/64。當您在遮罩位元之後包含非零位元時，不會考慮用於 condition. AWS recommends 您使用訊息中包含的新地址。

建議 – Null 具有限定詞

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."

解決建議

在 Condition 元素中，您所建置的表達式使用條件運算子 (例如等於或小於) 來比較政策中的條件鍵與值，以及請求內容中的鍵與值。針對包含多個值的單一條件鍵請求，您必須使用 ForAllValues 或 ForAnyValue 集合運算子。

當您使用 Null 條件運算子與 ForAllValues 時，陳述式一律會傳回 true。當您將Null條件運算子與 搭配使用時ForAnyValue， 陳述式一律會傳回 false. AWS recommends，告知您將StringLike條件運算子與這些集運算子搭配使用。

相關用語

建議 – 私有 IP 地址子集

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

解決建議

全域條件鍵 aws:SourceIp 僅適用於公有 IP 地址範圍。

當您的 Condition 元素包含私有和公有 IP 地址的混合時，陳述式可能沒有預期的效果。您可以使用 aws:VpcSourceIP 來指定私有 IP 地址。

建議 – Private NotIpAddress 子集

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

解決建議

全域條件鍵 aws:SourceIp 僅適用於公有 IP 地址範圍。

當您的 Condition 元素包含 NotIpAddress 條件運算子與私有和公有 IP 地址的混合時，陳述式可能沒有預期的效果。每個未在政策中指定的公有 IP 地址都會相符。沒有任何私有 IP 地址會相符。為了達到這個效果，您可以使用 NotIpAddress 與 aws:VpcSourceIP，然後指定不應相符的私有 IP 地址。

建議 – 冗餘動作

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."

解決建議

當您在 Action元素中使用萬用字元 (*) 時，您可以包含備援 permissions. AWS recommends，以檢閱政策，並僅包含您需要的許可。這可協助您移除冗餘動作。

例如，下列動作包含 iam:GetCredentialReport 動作兩次。

"Action": [
        "iam:Get*",
        "iam:List*",
        "iam:GetCredentialReport"
    ],

在此範例中，會針對以 Get或 開頭的每個 IAM 動作定義許可List。當 IAM 新增其他取得或清單操作時，此政策將允許它們。您可能想要允許這全部的唯讀動作。iam:GetCredentialReport 動作已包含在內做為 iam:Get*。若要移除重複的許可，您可以移除 iam:GetCredentialReport。

當動作的所有內容都是冗餘時，您會收到此政策檢查的問題清單。在此範例中，如果元素包含 iam:*CredentialReport，其不被認為是冗餘。其中包括 iam:GetCredentialReport (此為冗餘) 以及 iam:GenerateCredentialReport (此非為冗餘)。移除 iam:Get* 或 iam:*CredentialReport 會變更政策的許可。

AWS 具有此建議的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

冗餘動作並不會影響政策所授與的許可。使用 AWS 受管政策作為建立客戶受管政策的參考時， AWS 建議您從政策中移除冗餘動作。

建議 – 冗餘條件值編號

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."

解決建議

當您針對條件鍵中的類似值使用數值條件運算子時，您可以建立導致冗餘許可的重疊。

例如，下列 Condition 元素包含多個 aws:MultiFactorAuthAge 條件，具有 1200 秒的年齡重疊。

"Condition": {
        "NumericLessThan": {
          "aws:MultiFactorAuthAge": [
            "2700",
            "3600"
          ]
        }
      }

在此範例中，如果在不到 3600 秒 (1 小時） 之前完成多重要素驗證 (MFA)，則會定義許可。您可以移除冗餘 2700 值。

建議 – 冗餘資源

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"

解決建議

當您在 Amazon Resource Names (ARNs) 中使用萬用字元 (*) 時，您可以建立備援資源許可。

例如，下列Resource元素包含具有備援許可的多個 ARNs。

"Resource": [
            "arn:aws:iam::111122223333:role/jane-admin",
            "arn:aws:iam::111122223333:role/jane-s3only",
            "arn:aws:iam::111122223333:role/jane*"
        ],

在此範例中，會針對任何名稱開頭為 jane 的角色定義許可。您可以移除備援jane-admin和 jane-s3only ARNs，而無需變更產生的許可。這確實會使政策為動態。其將定義任何未來角色開頭為 jane 的許可。如果政策的目的是允許存取靜態數量的角色，則移除最後一個 ARN，並僅列出應定義的 ARNs。

AWS 具有此建議的 受管政策

AWS 受管政策可讓您根據一般 AWS 使用案例 AWS 指派許可來開始使用 。

冗餘資源並不會影響政策所授與的許可。使用 AWS 受管政策作為建立客戶受管政策的參考時， AWS 建議您從政策中移除備援資源。

建議 – 冗餘陳述式

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."

解決建議

Statement 元素是政策的主要元素。此元素為必要。Statement 元素可包含單一陳述式，或是個別陳述式的陣列。

當您在長政策中多次包含相同的陳述式時，陳述式為冗餘。您可以移除其中一個陳述式，而不會影響政策授與的許可。當有人編輯政策時，他們可能會變更其中一個陳述式，而不會更新複本。這可能會導致超過預期的許可。

建議 – 服務名稱中的萬用字元

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."

解決建議

當您在政策中包含 AWS 服務的名稱時， AWS 建議您不要包含萬用字元 (*、？)。這可能會為您不想要的未來服務新增許可。例如，有十幾個 AWS 服務在名稱*code*中包含 單字。

"Resource": "arn:aws:*code*::111122223333:*"

建議 — 使用服務不支援的標籤條件金鑰允許

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."

解決建議

在 政策的 Condition元素中使用不支援的標籤條件索引鍵"Effect": "Allow"不會影響政策授予的許可，因為該服務動作會忽略該條件。 AWS 建議您移除不支援條件索引鍵之服務的動作，並建立另一個陳述式，以允許存取該服務中的特定資源。

如果您使用 aws:ResourceTag 條件鍵，且其不受服務動作支援，則該鍵不會包含在要求內容中。在此案例中，Allow 陳述式中的條件一律會傳回 false，且絕不會允許該動作。即使已正確標記資源，也會發生這種情況。

當服務支援 aws:ResourceTag 條件鍵時，您可以使用標籤來控制對該服務之資源的存取。這稱為屬性型存取控制 (ABAC)。不支援這些金鑰的服務要求您使用資源型存取控制 (RBAC) 控制對資源的存取。

例如，假設您想要允許團隊成員檢視標記為鍵值組 team=BumbleBee 的特定資源詳細資訊。也假設 AWS Lambda 允許您標記資源，但不支援aws:ResourceTag條件金鑰。若要允許 的檢視動作 AWS App Mesh ， AWS Backup 如果此標籤存在，請使用 aws:ResourceTag 條件索引鍵。對於 Lambda，請使用資源命名慣例，其中包含團隊名稱做為字首。接著納入一個單獨的陳述式，以允許檢視採用該命名慣例的資源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewSupported",
            "Effect": "Allow",
            "Action": [
                "appmesh:DescribeMesh", 
                "backup:GetBackupPlan"
                ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/team": "BumbleBee"
                }
            }
        },
        {
            "Sid": "AllowViewUnsupported",
            "Effect": "Allow",
            "Action": "lambda:GetFunction",
            "Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
        }
    ]
}

相關用語

建議 – Allow NotAction 搭配服務不支援的標籤條件索引鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

解決建議

在政策的 Condition 元素中使用不受支援的標籤條件鍵與元素 NotAction 和 "Effect": "Allow" 並不會影響政策所授與的許可。對於不支援 condition key. AWS recommends 的服務動作，系統會忽略條件，您重寫邏輯以允許動作清單。

如果您使用 aws:ResourceTag 條件鍵與 NotAction，則不會允許任何不支援鍵的新或現有服務動作。 AWS 建議您明確列出您要允許的動作。IAM Access Analyzer 會針對不支援 aws:ResourceTag 條件金鑰的所列動作傳回個別調查結果。如需詳細資訊，請參閱建議 — 使用服務不支援的標籤條件金鑰允許。

當服務支援 aws:ResourceTag 條件鍵時，您可以使用標籤來控制對該服務之資源的存取。這稱為屬性型存取控制 (ABAC)。不支援這些金鑰的服務會要求您使用資源型存取控制 (RBAC) 控制對資源的存取。

相關用語

建議 – 服務主體的建議條件索引鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."

解決建議

您可以使用服務主體在資源型政策的 Principal元素 AWS 服務 中指定 ，該主體是服務的識別符。在授予對服務主體的存取權時，您應該使用 aws:SourceArn、aws:SourceAccount、aws:SourceOrgID 或 aws:SourceOrgPaths 條件鍵，而不是其他條件鍵 (例如 aws:Referer)。這可協助您避免名為混淆代理人問題的安全問題。

相關用語

建議 - 政策中的不相關條件鍵

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy.  Use this key in an identity-based policy to govern access to this resource."

解決建議

部分條件鍵與資源型政策無關。例如，s3:ResourceAccount 條件鍵與連接至 Amazon S3 儲存貯體或 Amazon S3 存取點資源類型的資源型政策無關。

您應在身分型政策中使用條件鍵，以控制存取資源。

相關用語

建議 – 角色信任政策中的冗餘主體

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."

解決建議

如果您在政策的 Principal 元素中同時指定擔任角色的主體及其父角色，則它會不允許或拒絕任何不同的許可。例如，如果您使用下列格式指定 Principal 元素，則其為冗餘主體：

"Principal": {
            "AWS": [
            "arn:aws:iam::AWS-account-ID:role/rolename",
            "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname"
        ]

我們建議移除擔任角色的主體。

相關用語

建議 – 確認對象要求類型

在 中 AWS Management Console，此檢查的調查結果包含下列訊息：

Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.

在以程式設計方式呼叫 AWS CLI or AWS API 時，此檢查的調查結果包含下列訊息：

"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."

解決建議

aud （受眾） 宣告金鑰是應用程式的唯一識別符，當您向 IdP 註冊應用程式時，會發給您，並識別 JSON Web 權杖的收件人。對象要求可以是多重值或單一值。如果要求是多重值，請使用 ForAllValues 或 ForAnyValue 條件集運算子。如果要求是單一值，請勿使用條件集運算子。

相關用語