本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
iam-customer-policy-blocked-kms-actions
檢查您建立的受管 AWS Identity and Access Management (IAM) 政策是否不允許對 AWS KMS 金鑰進行封鎖的動作。如果受管 IAM 政策允許在 AWS KMS 金鑰上執行任何封鎖的動作,則該規則為「不符合 NON_ 規範」。
注意
此規則不會評估 IAM 政策中的變數或條件。如需詳細資訊,請參閱 IAM 政策元素:變數和 IAM JSON 政策元素:IAM 使用者指南中的條件。
識別符:IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS
資源類型: AWS::IAM::Policy
觸發類型: Configuration changes (組態變更)
AWS 區域:所有支援的 AWS 地區
參數:
- 封鎖 ActionsPatterns
- 類型:CSV
-
列出以逗號分隔的封鎖 KMS 動作模式清單。例如,您可以將 KMS: 解密 * 或公里:列為封鎖的動ReEncrypt 作模式。如果受管 IAM 政策允許此參數中列出的任何動作模式,則該規則為 NON_COMPLIANT。
- 排除PermissionBoundaryPolicy (可選)
- 類型:布林值
-
布林值標記,用於排除用作許可界限的 IAM 政策評估。如果設定為 'true',則規則將不會在評估中包含許可界限。否則,當值設為 'false' 時,系統會評估範圍中的所有 IAM 政策。預設值為 'false'。
AWS CloudFormation 範本
若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則,請參閱建立 AWS Config 受管規則 (使用 AWS CloudFormation 範本)。