本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
iam-policy-no-statements-with-admin-access
檢查您建立的 AWS Identity and Access Management (IAM) 政策是否具有允許授予所有資源所有動作許可的陳述式。如果任何自訂受管 IAM 政策陳述式在 "Resource": "*" 上包括搭配 "Action": "*" 的 "Effect": "Allow",則表示規則為「NON_COMPLIANT」。
注意
此規則僅評估客戶管理政策。此規則不會評估內嵌政策或 AWS 受管政策。如需差異的詳細資訊,請參閱《IAM 使用者指南》中的 受管政策和內嵌政策。
下列政策為「NON_COMPLIANT」:
"Statement": [ { "Sid": "VisualEditor", "Effect": "Allow", "Action": "*", "Resource": "*" }
下列政策為「COMPLIANT」:
"Statement": [ { "Sid": "VisualEditor", "Effect": "Allow", "Action": "service:*", "Resource": "*" }
識別符: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS
資源類型:AWS::IAM::Policy
觸發類型: Configuration changes (組態變更)
AWS 區域:除亞太區域 (泰國)、中東 (阿拉伯聯合大公國)、亞太區域 (海德拉巴)、亞太區域 (馬來西亞)、亞太區域 (墨爾本)、墨西哥 (中部)、以色列 (特拉維夫)、加拿大西部 (卡加利)、歐洲 (西班牙)、歐洲 (蘇黎世) 區域以外所有支援的 AWS 區域
參數:
- excludePermissionBoundaryPolicy (選用)
- 類型:布林值
-
布林值標記,用於排除用作許可界限的 IAM 政策評估。如果設定為 'true',則規則將不會在評估中包含許可界限。否則,當值設為 'false' 時,系統會評估範圍中的所有 IAM 政策。預設值為 'false'。
AWS CloudFormation 範本
若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則,請參閱 使用 AWS CloudFormation 範本建立 AWS Config 受管規則。
