Laufzeitprüfungen für AMS Automated IAM Provisioning in AMS

Auf die Rolle kann von einem externen Konto aus zugegriffen werden, das sich außerhalb Ihrer Vertrauenszone befindet.

Dieses Ergebnis bezieht sich auf einen Prinzipal, der in der Vertrauensrichtlinie für Rollen aufgeführt ist und sich außerhalb Ihrer Vertrauenszone befindet. Eine Vertrauenszone ist definiert als das Konto, in dem die Rolle erstellt wird, oder als die AWS Organisation, zu der das Konto gehört. Eine Entität, die nicht zu dem Konto oder derselben AWS Organisation gehört, ist eine externe Entität. Um das Problem zu lösen, überprüfen Sie die Konto-ID im Hauptkonto ARNs und stellen Sie sicher, dass das Konto Ihnen gehört und es sich um ein integriertes AMS-Konto handelt.

Auf die Rolle kann eine externe Entität zugreifen, die einem Konto gehörtExternal_Account_ID, das nicht dem AMS-Kundenkonto gehört. Account_ID

Dieses Ergebnis wird generiert, wenn die Rollenvertrauensrichtlinie einen Prinzipal-ARN mit einer Konto-ID, die Ihnen nicht gehört, und ein integriertes AMS-Konto enthält. Um dieses Problem zu beheben, entfernen Sie einen solchen Prinzipal aus der Rollenvertrauensrichtlinie.

Die kanonische Benutzer-ID wird in der IAM-Vertrauensrichtlinie nicht unterstützt.

Canonical Principal IDs werden in der IAM-Vertrauensrichtlinie nicht unterstützt. Um dieses Problem zu beheben, entfernen Sie einen solchen Prinzipal aus der Rollenvertrauensrichtlinie.

Auf die Rolle kann über eine externe Webidentität zugegriffen werden, die sich außerhalb Ihrer Vertrauenszone befindet.

Dieses Ergebnis wird generiert, wenn die Rollenvertrauensrichtlinie einen anderen externen Web-Identitätsanbieter (IdP) als SAML-IdP zulässt. Um dieses Problem zu beheben, überprüfen Sie die Rollenvertrauensrichtlinie und entfernen Sie die Anweisungen, die den Vorgang zulassen. sts:AssumeRoleWithWebIdentity

Auf die Rolle kann über den SAML-Verbund zugegriffen werden. Der bereitgestellte SAML-Identitätsanbieter (IdP) ist jedoch nicht vorhanden.

Dieses Ergebnis wird generiert, wenn die Rollenvertrauensrichtlinie SAML-IdP enthält, das in Ihrem Konto nicht vorhanden ist. Um das Problem zu lösen, stellen Sie sicher, dass alle aufgelisteten SAML-IdP in Ihrem Konto vorhanden sind.

Die Richtlinie enthält privilegierte Aktionen, die dem Administrator- oder Power-User-Zugriff entsprechen. Erwägen Sie, den Umfang der Berechtigungen auf einen bestimmten Dienst, eine bestimmte Aktion oder Ressource zu reduzieren. Wenn erweiterte Richtlinienelemente wie NotActionoder verwendet NotResourcewerden, stellen Sie sicher, dass sie nicht mehr Zugriff gewähren, als Sie beabsichtigen, insbesondere bei Zulassungsanweisungen.

Es ist eine bewährte Sicherheitspraxis, nur die Berechtigungen AWS Identity and Access Management zu gewähren, die für die Ausführung einer Aufgabe erforderlich sind, wenn Sie Berechtigungen mit IAM-Richtlinien festlegen. Definieren Sie dazu die Aktionen, die für bestimmte Ressourcen unter bestimmten Bedingungen ausgeführt werden können, die auch als Berechtigungen mit den geringsten Rechten bezeichnet werden. Dieses Ergebnis wird generiert, wenn die Automatisierung feststellt, dass die Richtlinie weitreichende Berechtigungen gewährt und nicht dem Prinzip der geringsten Rechte entspricht. Um dieses Problem zu lösen, überprüfen und reduzieren Sie die Anzahl der Berechtigungen.

Die Erklärung enthält privilegierte Aktionen fürService_Name. Erwägen Sie, diese Aktionen mit einer Deny-Anweisung auszuschließen. Eine Liste der privilegierten Aktionen finden Sie in der Referenz zur Grenzrichtlinie in der AMS-Dokumentation.

AMS hat bestimmte Maßnahmen für einen bestimmten Service als riskant eingestuft und bedürfen einer weiteren Risikoprüfung und Akzeptanz durch das Sicherheitsteam des Kunden. Dieses Ergebnis wird generiert, wenn die Automatisierung feststellt, dass die angegebene Richtlinie solche Berechtigungen gewährt. Um dieses Problem zu beheben, lehnen Sie diese Aktionen in Ihrer Richtlinie ab. Eine Liste der Aktionen finden Sie in der AMS-Grenzrichtlinie. Einzelheiten zur AMS-Grenzpolitik finden Sie unterGrenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS.

Die Anweisung gewährt Zugriff auf bevorzugte RFC-Änderungstypen: ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq und ct-17cj84y7632o6 für den Service. Service_Name Erwägen Sie, die Berechtigungen auf bestimmte Änderungstypen zu beschränken oder diese Änderungstypen mit einer Deny-Anweisung auszuschließen.

Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen zur Ausführung von RFC-bezogenen Aktionen unter Verwendung von Automated IAM Provisioning Change Types () gewährt. CTs Sie CTs unterliegen der Risikobereitschaft und dürfen nur im Rahmen integrierter Rollen verwendet werden. Sie können diesen also keine Genehmigung erteilen. CTs Um dieses Problem zu beheben, verweigern Sie RFC-Aktionen, die diese CTs verwenden.

Die Anweisung enthält privilegierte Aktionen, deren Ausführung nicht auf Ihre Ressourcen beschränkt ist. Service_Name Erwägen Sie, die Aktionen auf bestimmte Ressourcen zu beschränken oder Ressourcen mit AMS-Namespace-Präfixen auszuschließen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie den Geltungsbereich auf Ihre Ressourcen beschränken.

Dieses Ergebnis wird generiert, wenn die Richtlinie privilegierte Aktionen gewährt, die nicht auf Ihre Ressourcen des jeweiligen Dienstes beschränkt sind. Platzhalter führen häufig zu freizügigen Richtlinien, die eine breite Palette von Ressourcen oder Aktionen in den Geltungsbereich der Genehmigung einbeziehen. Um dieses Problem zu beheben, reduzieren Sie entweder den Umfang der Berechtigungen auf Ressourcen, die Sie besitzen, oder schließen Sie Ressourcen aus, die sich im AMS-Namespace befinden. Eine Liste der AMS-Namespace-Präfixe finden Sie in der AMS-Dokumentation zur Grenzrichtlinie. Beachten Sie, dass nicht alle Präfixe für alle Dienste gelten. Einzelheiten zur AMS-Grenzrichtlinie finden Sie unterGrenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS.

Ungültige Konto-ID oder Amazon-Ressourcenname (ARN).

Dieses Ergebnis wird generiert, wenn eine in der Richtlinie oder Rollenvertrauensrichtlinie angegebene ARN oder Konto-ID ungültig ist. Informationen zu den Ressourcen einer gültigen ARN-Ressource für Dienste finden Sie in der Service Authorization Reference. Vergewissern Sie sich, dass es sich bei der Konto-ID um eine 12-stellige Zahl handelt und dass das Konto in AWS aktiv ist.

Die Verwendung von Platzhaltern (*) für die Konto-ID in ARN ist eingeschränkt..

Dieser Befund wird generiert, wenn im Konto-ID-Feld eines ARN ein Platzhalter (*) angegeben wird. Ein Platzhalter in einem Konto-ID-Feld entspricht einem beliebigen Konto und gewährt möglicherweise unbeabsichtigt Zugriff auf Ressourcen. Um dieses Problem zu lösen, ersetzen Sie den Platzhalter durch eine bestimmte Konto-ID.

Das angegebene Ressourcenkonto gehört nicht demselben AMS-KundenkontoAccount_ID.

Dieser Befund wird generiert, wenn eine in einem Ressourcen-ARN angegebene Konto-ID Ihnen nicht gehört und nicht von AMS verwaltet wird. Um dieses Problem zu lösen, stellen Sie sicher, dass alle Ressourcen (wie in ihrem ARN in der Richtlinie angegeben) Ihren Konten gehören, die von AMS verwaltet werden.

Der Rollenname befindet sich im eingeschränkten AMS-Namespace.

Dieser Befund wird generiert, wenn Sie versuchen, eine Rolle mit einem Namen zu erstellen, der mit einem reservierten AMS-Präfix beginnt. Um dieses Problem zu lösen, verwenden Sie einen Namen für die Rolle, der für Ihren Anwendungsfall spezifisch ist. Eine Liste der reservierten AMS-Präfixe finden Sie unter Reservierte AMS-Präfixe

Der Richtlinienname befindet sich im eingeschränkten AMS-Namespace.

Dieses Ergebnis wird generiert, wenn Sie versuchen, eine Richtlinie mit einem Namen zu erstellen, der mit einem reservierten AMS-Präfix beginnt. Um dieses Problem zu beheben, verwenden Sie einen Namen für die Richtlinie, der für Ihren Anwendungsfall spezifisch ist. Eine Liste der reservierten AMS-Präfixe finden Sie unter Reservierte AMS-Präfixe.

Die Ressourcen-ID im ARN befindet sich im eingeschränkten AMS-Namespace.

Dieser Befund wird generiert, wenn Sie versuchen, eine Richtlinie zu erstellen, die Zugriff auf benannte Ressourcen gewährt, die sich im AMS-Namespace befinden. Um dieses Problem zu lösen, stellen Sie sicher, dass Sie die Berechtigungen auf Ihre Ressourcen beschränken oder Berechtigungen für Ressourcen verweigern, die sich im AMS-Namespace befinden. Weitere Informationen zu AMS-Namespaces finden Sie unter Eingeschränkte AMS-Namespaces.

Ungültige Groß- und Kleinschreibung der Richtlinienvariablen. Aktualisieren Sie die Variable aufVariable_Names.

Dieses Ergebnis wird generiert, wenn versucht wird, eine Richtlinie zu erstellen, die im falschen Fall eine globale IAM-Richtlinienvariable enthält. Um dieses Problem zu beheben, verwenden Sie die richtige Groß- und Kleinschreibung für globale Variablen in Ihrer Richtlinie. Eine Liste der globalen Variablen finden Sie unter Kontextschlüssel für AWS globale Bedingungen. Weitere Informationen zu den Richtlinienvariablen finden Sie unter IAM-Richtlinienelemente: Variablen und Tags

Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre KMS-Schlüssel beschränkt sind. Erwägen Sie, diese Berechtigungen auf bestimmte Schlüssel zu beschränken oder AMS-eigene Schlüssel auszuschließen.

Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen enthält, die nicht auf bestimmte KMS-Schlüssel beschränkt sind, die Sie besitzen. Um dieses Problem zu lösen, beschränken Sie die Berechtigungen auf bestimmte Schlüssel oder schließen Sie die Schlüssel aus, die sich im Besitz von AMS befinden. Schlüssel, die im Besitz von AMS sind, haben spezifische Alias-Sets. Eine Liste der Schlüsselaliase, die im Besitz von AMS sind, finden Sie unterGrenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS.

Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre KMS-Schlüsselaliase beschränkt sind. Erwägen Sie, diese Berechtigungen auf Ihre Schlüssel oder Aliase zu beschränken oder AMS-eigene Schlüsselaliase auszuschließen.

Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen enthält, die nicht auf bestimmte KMS-Schlüssel-Alias beschränkt sind, deren Eigentümer Sie sind. Um dieses Problem zu lösen, beschränken Sie die Berechtigungen auf bestimmte Schlüssel oder schließen Sie die Schlüssel aus, die sich im Besitz von AMS befinden. Schlüssel, die im Besitz von AMS sind, haben spezifische Alias-Sets. Eine Liste der Schlüsselaliase, die im Besitz von AMS sind, finden Sie unterGrenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS.

Die Anweisung enthält privilegierte Aktionen, die nicht ausreichend auf Ihre KMS-Schlüssel unter Verwendung von zugeschnitten sind. kms:ResourceAliases condition Erwägen Sie die Verwendung bestimmter Aliasnamen zusammen mit dem entsprechenden Set-Operator für den Bedingungsschlüssel. Wenn Platzhalter in den Aliasnamen verwendet werden, stellen Sie sicher, dass sie den Gültigkeitsbereich auf einen begrenzten Satz Ihrer KMS-Schlüssel beschränken.

Dieses Ergebnis wird generiert, wenn Sie den Geltungsbereich von Berechtigungen für Ihre KMS-Schlüssel anhand von Bedingungen und nicht anhand von kms:ResourceAliases Aliasnamen für Ihre KMS-Schlüssel einschränken. Oder wenn der kms:ResourceAliases Bedingungsschlüssel einen Wert hat, der auch AMS-eigene KMS-Schlüsselaliase enthält. Um dieses Problem zu lösen, aktualisieren Sie die Bedingung so, dass die Berechtigungen nur auf Aliase Ihrer KMS-Schlüssel beschränkt werden oder Aliase für AMS-eigene KMS-Schlüssel ausgeschlossen werden. Eine Liste der Schlüsselaliase, die sich im Besitz von AMS befinden, finden Sie unter. Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS

Der Rolle muss customer_deny_policy angehängt sein. Nehmen Sie den Richtlinien-ARN in die Liste der verwalteten Richtlinien auf ARNs.

Dieser Befund wird generiert, wenn der Rolle, die Sie erstellen, kein customer_deny_policy Link zugewiesen wurde. Um dieses Problem zu beheben, nehmen Sie die customer_deny_policy in die ARNs Liste der verwalteten Richtlinien auf.

Die AWS verwaltete Richtlinie ist übermäßig freizügig oder gewährt Berechtigungen, die durch die AMS-Grenzrichtlinie eingeschränkt sind.

Dieses Ergebnis wird generiert, wenn der ManagedPolicyArnsWert für die Rolle eine von AMS verwaltete Richtlinie enthält, die vollen Zugriff oder Zugriff auf Administratorebene auf den entsprechenden Dienst gewährt. Um dieses Problem zu lösen, überprüfen Sie die Verwendung der AWS verwalteten Richtlinie und verwenden Sie eine Richtlinie, die Zugriffsberechtigungen nach unten vorsieht, oder definieren Sie Ihre eigene Richtlinie, die dem Prinzip der geringsten Rechte folgt.

Die vom Kunden verwaltete Richtlinie befindet sich im eingeschränkten AMS-Namespace.

Dieses Ergebnis wird generiert, wenn der Rolle eine vom Kunden verwaltete Richtlinie zugewiesen wird, deren Name im AWS Namespace vorangestellt ist. Um dieses Problem zu beheben, entfernen Sie die Richtlinie aus der ManagedPolicyArnListe für die Rolle.

Die customer_deny_policy kann nicht von der Rolle getrennt werden. Nehmen Sie den Richtlinien-ARN in die Liste der verwalteten Richtlinien auf ARNs.

Dieses Ergebnis wird generiert, wenn der während eines Updates von der Rolle getrennt customer_deny_policy wird. Um dieses Problem zu beheben, fügen Sie dem customer_deny_policy ManagedPolicyArnsFeld der Rolle das hinzu und versuchen Sie es erneut.

Die vom Kunden verwalteten Richtlinien wurden außerhalb des AMS Change Management Services oder ohne vorherige Überprüfung bereitgestellt.

Dieses Ergebnis wird generiert, wenn einer Rolle eine oder mehrere bestehende, vom Kunden verwaltete Richtlinien zugeordnet ARNs sind und die Richtlinien nicht über den AMS Change Management-Service (über einen RFC) bereitgestellt werden. Der Entwicklermodus oder der Direktänderungsmodus ermöglichen es Kunden beispielsweise, IAM-Richtlinien ohne RFC bereitzustellen. Um dieses Problem zu lösen, entfernen Sie die vom Kunden verwaltete Richtlinie ARNs aus der ManagedPolicyArnsListe für die Rolle.

Die Anzahl der bereitgestellten verwalteten Richtlinien ARNs übersteigt das Kontingent der beigefügten Richtlinie pro Rolle.

Dieses Ergebnis wird generiert, wenn die Gesamtzahl der verwalteten Richtlinien, die der Rolle zugeordnet sind, das Kontingent für die Richtlinie pro Rolle überschreitet. Weitere Informationen zu IAM-Kontingenten finden Sie unter IAM- und AWS STS STS-Kontingente, Namensanforderungen und Zeichenbeschränkungen. Verwenden Sie diese Informationen, um die Anzahl der Richtlinien zu reduzieren, die Sie der Rolle zuordnen.

Die Größe der Vertrauensrichtlinie ({trust_policy}) übersteigt die angenommene Größenquote der Rollenrichtlinie von {size}.

Dieser Befund wird generiert, wenn die Größe des Dokuments mit der Richtlinie „Rolle übernehmen“ die Größenquote der Richtlinie überschreitet. Weitere Informationen zu IAM-Kontingenten finden Sie unter IAM- und AWS STS STS-Kontingente, Namensanforderungen und Zeichenbeschränkungen.

Die Erklärung enthält alle mutativen Aktionen für Amazon S3. Erwägen Sie, diese Berechtigungen nur auf die erforderlichen Aktionen auszudehnen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie nur eine begrenzte Anzahl von mutativen Aktionen umfassen.

Dieses Ergebnis wird generiert, wenn die angegebene Richtlinie allen Amazon Simple Storage Service mutative Berechtigungen unabhängig von einer oder mehreren Ressourcen gewährt. Um dieses Problem zu lösen, schließen Sie nur die erforderlichen mutativen Amazon S3 S3-Aktionen gegen Ihre Buckets ein.

Die Anweisung enthält privilegierte Aktionen, die für keinen Bucket in Amazon S3 zulässig sind. Erwägen Sie, eine Erklärung hinzuzufügen, die diese Aktionen ablehnt.

Dieses Ergebnis wird generiert, wenn die Richtlinie privilegierte Aktionen für einen beliebigen Bucket gewährt. Eine Liste der privilegierten Aktionen finden Sie unter Grenzüberprüfung für automatisierte IAM-Bereitstellungsberechtigungen von AMS So beheben Sie dieses Problem, entfernen oder verweigern Sie diese Aktionen in Ihrer Richtlinie.

Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre Buckets in Amazon S3 beschränkt sind. Erwägen Sie, Ihre Buckets mit AMS-Namespace-Präfixen einzubeziehen oder auszuschließen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie mit Buckets in Ihren Namespaces übereinstimmen.

Dieses Ergebnis wird generiert, wenn die Richtlinie Amazon S3-Aktionen gewährt, die nicht nur auf Ihre Buckets beschränkt sind. Dies ist häufig der Fall, wenn bei der Angabe von Bucket-Ressourcen Platzhalter verwendet werden. Um dieses Problem zu lösen, geben Sie Bucket-Namen an oder geben Sie an ARNs , dass Sie Eigentümer der Buckets sind, oder schließen Sie die Buckets mit AMS-Namespace-Präfixen aus.

Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre Buckets in Amazon S3 beschränkt sind. Erwägen Sie, die Verwendung von Platzhaltern (*) zu vermeiden, die alle Buckets im Konto betreffen.

Dieses Ergebnis wird generiert, wenn die Richtlinie Amazon S3-Aktionen gewährt, die nicht auf Ihren Bucket beschränkt sind. Dies ist häufig der Fall, wenn bei der Angabe von Bucket-Ressourcen Platzhalter verwendet werden. Um dieses Problem zu lösen, geben Sie Bucket-Namen an oder geben Sie an ARNs , dass Sie Eigentümer der Buckets sind, oder schließen Sie die Buckets mit AMS-Namespace-Präfixen aus.

Die Anweisung enthält einen Ressourcen-Platzhalter, der für alle Amazon S3-Buckets gilt, einschließlich nicht vorhandener Buckets und Buckets, die Sie nicht besitzen. Erwägen Sie, den Geltungsbereich der Berechtigungen mithilfe einer Bedingung und eines Bedingungsschlüssels festzulegen. s3:ResourceAccount

Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen für Buckets erteilt, die mit Platzhaltern angegeben wurden. Die Verwendung von Platzhaltern bringt häufig Buckets mit sich, die nicht existieren oder deren Besitzer nicht sind. Um dieses Problem zu lösen, verwenden Sie die Bedingung und den aws:ResourceAccount Bedingungsschlüssel, um die Berechtigungen nur auf Buckets innerhalb des aktuellen Kontos zu beschränken. Weitere Informationen finden Sie unter Beschränken des Zugriffs auf Amazon S3 S3-Buckets, die bestimmten AWS Konten gehören.

Die Erklärung enthält ein NotResource Richtlinienelement, das auf eine große Anzahl von Buckets beschränkt sein kann, einschließlich nicht vorhandener Buckets und Buckets, die Sie nicht besitzen. Erwägen Sie, den Geltungsbereich der Berechtigungen mithilfe einer Bedingung und eines Bedingungsschlüssels festzulegen. s3:ResourceAccount

Dieses Ergebnis wird generiert, wenn die Richtlinie das Policy-Element zur Angabe von NotResources Bucket-Ressourcen verwendet. Die Verwendung des NotResource Elements kann sich auf eine große Anzahl von Buckets erstrecken, einschließlich Buckets, die nicht existieren oder denen keine Besitzer gehören. Um dieses Problem zu lösen, verwenden Sie Bedingungen und den aws:ResourceAccount Bedingungsschlüssel, um die Berechtigungen auf Buckets nur innerhalb des aktuellen Kontos zu beschränken.

Die Erklärung enthält Amazon S3 S3-Aktionen für Buckets, Bucket_Name die entweder nicht existieren, nicht dem Konto gehören oder der Name einen Platzhalter enthältAccount_ID, der möglicherweise auf eine große Anzahl von Buckets beschränkt ist, einschließlich nicht vorhandener Buckets und Buckets, die Ihnen nicht gehören. Erwägen Sie, den Geltungsbereich der Berechtigungen mithilfe einer Bedingung und des Bedingungsschlüssels festzulegen s3:ResourceAccount

Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen für Buckets erteilt, die entweder nicht existieren, nicht Ihnen gehören oder die Platzhalter in den Bucket-Namen enthalten, die eine große Anzahl von Buckets abdecken, und der Zugriff nicht nur auf das aktuelle Konto beschränkt ist. Um dieses Problem zu lösen, verwenden Sie die Bedingung und den aws:ResourceAccount Bedingungsschlüssel, um die Berechtigungen nur auf Buckets innerhalb des Girokontos zu beschränken.

Die Kontoauszug enthält Amazon S3 S3-Aktionen für Buckets, Bucket_Name die entweder nicht existieren, nicht dem Konto gehörenAccount_ID, oder der Name enthält einen Platzhalter, der auf eine große Anzahl von Buckets beschränkt sein könnte, einschließlich nicht existierender Buckets und Buckets, die Ihnen nicht gehören. Der Zugriff ist nicht eingeschränkt, wenn Sie ein bestimmtes Ressourcenkonto verwendens3:ResourceAccount, sofern die Bedingung nicht Ihnen gehört.

Dieses Ergebnis wird generiert, wenn die Richtlinie Berechtigungen für Buckets erteilt, die entweder nicht existieren, nicht Ihnen gehören oder die Platzhalter in den Bucket-Namen haben, die eine große Anzahl von Buckets abdecken, und der Zugriff nur auf ein bestimmtes Konto beschränkt ist. Das im aws:ResourceAccount Bedingungsschlüssel angegebene Konto gehört Ihnen jedoch nicht und wird von AMS verwaltet. Um dieses Problem zu lösen, aktualisieren Sie den aws:ResourceAccount Bedingungsschlüssel und geben Sie die entsprechende Konto-ID ein, die Ihnen gehört und von AMS verwaltet wird.

Die Erklärung enthält privilegierte Aktionen, die nicht auf Ihre Instances für Amazon beschränkt sind. EC2 Erwägen Sie, die Aktionen auf bestimmte Instances zu beschränken ARNs oder Instances auszuschließen, die einen Name-Tag-Schlüssel mit einem Wert in AMS-Namespace-Präfixen haben. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie mit den Namespaces übereinstimmen, deren Eigentümer Sie sind.

Dieses Ergebnis wird generiert, wenn die Richtlinie privilegierte Aktionen gegen EC2 Amazon-Instances gewährt, die AMS besitzt. AMS-Instances werden mit dem Tag-Schlüssel Name mit Werten im AMS-Namespace gekennzeichnet. Um dieses Problem zu lösen, geben Sie Ihre Ressourcen an oder schließen Sie AMS-Instances mit einer Bedingung aus, die den aws:ResourceTag/Name Schlüssel enthält, der Werte im AMS-Namespace mithilfe des Operators ausschließt StringNotLike

Die Anweisung enthält privilegierte Aktionen, die nicht auf Ihre Ressourcen im Parameterspeicher beschränkt sind. AWS Systems Manager Erwägen Sie, Ihre Parameter anzugeben ARNs oder Parameter mit AMS-Namespace-Präfixen auszuschließen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie nur Ihre Parameter betreffen.

Dieser Befund wird generiert, wenn die Richtlinie Berechtigungen für Parameter gewährt, deren Eigentümer Sie nicht sind. Dies ist normalerweise der Fall, wenn Platzhalter verwendet werden oder Parameter mit AMS-Namespace-Präfixen in einer Richtlinienanweisung unter Ressourcen aufgeführt werden. Um dieses Problem zu lösen, geben Sie Parameter an, die sich in Ihrem Namespace befinden, oder schließen Sie AMS-Parameter mit einer Deny-Anweisung aus.

Die Anweisung enthält privilegierte Aktionen gegen Ressourcen in AWS Systems Manager. Erwägen Sie, die Berechtigungen auf nur lesbare Aktionen oder Aktionen gegen Ihre Ressourcen zu beschränken.

Dieses Ergebnis wird generiert, wenn die Richtlinie andere Berechtigungen als Parameterspeicher- oder schreibgeschützte Aktionen für Systems Manager-Ressourcen gewährt. Um dieses Problem zu beheben, reduzieren Sie die Berechtigungen auf schreibgeschützte Aktionen oder nur auf das Speichern von Parametern.

Die Anweisung enthält privilegierte Aktionen, die in Service_Name Ihrem Besitz nicht auf {message} beschränkt sind. Erwägen Sie, diese Berechtigungen gegebenenfalls auf bestimmte Ressourcentypen zu beschränken oder AMS-eigene Ressourcen auszuschließen. Wenn Platzhalter verwendet werden, stellen Sie sicher, dass sie übereinstimmen. Resources

Dieses Ergebnis wird generiert, wenn die Richtlinie privilegierte Aktionen zulässt, die nicht gegen Ihre Ressourcen gewährt werden, insbesondere für benannte Ressourcen. Um dieses Problem zu beheben, überprüfen Sie Ihre Ressourcenliste und prüfen Sie, ob sie sich nur auf Ressourcen beziehen, die sich in Ihrem Namespace befinden. Schließen Sie alternativ Ressourcen aus, die sich im AMS-Namespace befinden.

Die Anweisung enthält Tagging-Aktionen von {Service_Name}, die nicht auf bestimmte Werte für den Namen-Tag-Schlüssel beschränkt sind. Erwägen Sie, diese Aktionen einzuschränken, indem Sie den aws:RequestTag/Name Bedingungsschlüssel mit Werten in Ihrem Namespace festlegen, oder schränken Sie diese Aktionen ein, indem Sie den aws:RequestTag/Name Bedingungsschlüssel mit dem StringNotLike Operator mit Werten in den AMS-Namespace-Präfixen festlegen.

Dieses Ergebnis wird generiert, wenn die Richtlinie Tagging-Berechtigungen für einen bestimmten Dienst gewährt und die Berechtigung nicht auf bestimmte Tag-Schlüssel/Werte beschränkt ist. Verwenden Sie die Bedingung, um einzugrenzen, welcher Schlüssel oder Wert in Tag-Aktionen verwendet werden kann, z. B. wenn Sie eine Anfrage zur Ausführung der Aktionen stellen. aws:RequestTag/tag key Um dieses Problem zu lösen, verwenden Sie diesen Bedingungsschlüssel, um Schlüssel oder Werte in Ihrem Namespace einzuschränken. Oder verweigern Sie das Name Tag key (aws:RequestTag/Name) mit Werten im AMS-Namespace.

Interner Fehler bei der Überprüfung der Vertrauensrichtlinie für IAM-Rollen.

Dieses Ergebnis wird generiert, wenn CT Automation bei der Validierung der IAM-Rollenvertrauensrichtlinie durch den IAM Access Analyzer-Dienst auf einen Fehler stößt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Interner Fehler bei der Validierung der vom Kunden verwalteten Richtlinie.

Dieses Ergebnis wird generiert, wenn CT Automation bei der Ovalidierung der vom Kunden verwalteten Richtlinie über den IAM Access Analyzer-Service auf einen Fehler stößt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Access Analyzer wurde nicht gefunden inAWS-Region. Die Überprüfung der Zugriffsvorschau für die Rollenvertrauensrichtlinie konnte nicht durchgeführt werden.

Dieses Ergebnis wird generiert, wenn die IAM Access Analyzer-Ressource nicht in der AWS-Region gefunden wird. Wenden Sie sich an AMS Operations, um Fehler zu beheben und eine IAM Access Analyzer-Ressource in der AWS-Region zu erstellen.

Ungültige Vertrauensrichtlinie für die Rolle Role_Name

Dieses Ergebnis wird generiert, wenn die angegebene IAM-Rolle eine ungültige Vertrauensrichtlinie enthält. Um das Problem zu lösen, überprüfen Sie die Vertrauensrichtlinie, um sicherzustellen, dass sie gültig ist.

IAM Access Analyzer ist auf einen internen Fehler gestoßen. Die Zugriffsvorschau für die Rolle konnte nicht erstellt werden Role_Name

Dieses Ergebnis wird generiert, wenn bei der Automatisierung beim Erstellen einer Zugriffsvorschau für eine Rolle mit dem IAM Access Analyzer ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Die Zugriffsvorschau für die Vertrauensrichtlinie der Rolle konnte nicht erstellt werden Role_Name

Dieses Ergebnis wird generiert, wenn bei der Automatisierung beim Erstellen einer Zugriffsvorschau für eine Rolle mit dem IAM Access Analyzer ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Interner Fehler bei der Validierung des aufgelisteten SAML-IdP.

Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Validierung der bereitgestellten SAML, die in der Rollenvertrauensrichtlinie IdPs aufgeführt ist, ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Interner Fehler bei der Überprüfung der Berechtigungen gegen. AWS Key Management Service

Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Überprüfung der AWS KMS Schlüsselberechtigungen in der bereitgestellten Richtlinie ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Interner Fehler bei der Überprüfung der aufgelisteten verwalteten Richtlinie. ARNs

Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Überprüfung der aufgelisteten verwalteten Richtlinie ein Fehler auftritt. ARNs Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Interner Fehler bei der Überprüfung des Standardanhangscustomer_deny_policy.

Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Überprüfung, ob der an die Rolle angehängt customer_deny_policy ist, ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Interner Fehler bei der Überprüfung verwalteter Policy-Warnmeldungen für die Rolle Role_Name

Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Validierung der verwalteten Richtlinie ARNs für die Rolle ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Interner Fehler bei der Validierung Policy_name anhand der vom Kunden definierten Grenzrichtlinie AWSManagedServicesIAMProvisionCustomerBoundaryPolicy

Dieses Ergebnis wird generiert, wenn bei der Automatisierung bei der Überprüfung der Richtlinie, die Ihre benutzerdefinierte Sperrliste enthält, ein Fehler auftritt. Um dieses Problem zu beheben, reichen Sie den RFC erneut ein. Wenn der Fehler weiterhin besteht, wenden Sie sich an AMS Operations, um den Fehler zu beheben.

Für das Konto ist eine vom Kunden definierte Grenzrichtlinie AWSManagedServicesIAMProvisionCustomerBoundaryPolicy vorhanden. Die Richtlinie enthält jedoch Zulassungsanweisungen, die Berechtigungen gewähren. Die Richtlinie darf nur Verweigerungsanweisungen enthalten.

Dieses Ergebnis wird generiert, wenn die Richtlinie, die Ihre benutzerdefinierte Ablehnungsliste enthält, eine Erklärung enthält, die eine Genehmigung erteilt. Obwohl die benutzerdefinierte Ablehnungsliste in Ihrem Konto als IAM-verwaltete Richtlinie vorhanden ist, kann sie nicht für die Berechtigungsverwaltung verwendet werden. Die Richtlinie darf nur Ablehnungsaussagen enthalten, die darauf hinweisen, dass AMS Automated IAM Provisioning die Aktionen in Ihren IAM-Richtlinien, die AMS Automated IAM Provisioning erstellt, validieren und ablehnen soll.

Die Erklärung enthält privilegierte Aktionen, für die Ihre Organisation definiert hat. Service_Name Erwägen Sie, diese Aktionen mit einer Deny-Anweisung auszuschließen. Die Liste der eingeschränkten Aktionen finden Sie in der in Ihrem Konto angegebenen Richtlinie.

Dieses Ergebnis wird generiert, wenn die Automatisierung eine Aktion in Ihrer Richtlinie erkennt, die Sie in der benutzerdefinierten Ablehnungsliste definiert haben. Um das Problem zu beheben, überprüfen Sie Ihre Richtlinienerklärung und entfernen Sie alle Aktionen, die in Ihrer benutzerdefinierten Ablehnungsliste definiert sind, oder fügen Sie eine Ablehnungserklärung hinzu, die diese Aktionen ablehnt.

Die Rolle muss POLICY_ARN angehängt worden sein. Nehmen Sie den Richtlinien-ARN in die Liste der verwalteten Richtlinien auf ARNs.

Dieser Befund wird generiert, wenn der Rolle, die Sie erstellen, kein POLICY_ARN Link zugeordnet ist. Um dieses Problem zu beheben, fügen Sie das POLICY_ARN in das ManagedPolicyArnsFeld der Rolle ein und versuchen Sie es erneut.

Das POLICY_ARN kann nicht von der Rolle getrennt werden. Nehmen Sie den Richtlinien-ARN in die Liste der verwalteten Richtlinien auf ARNs.

Dieses Ergebnis wird generiert, wenn der während eines Updates von der Rolle getrennt POLICY_ARN wird. Um dieses Problem zu beheben, fügen Sie dem POLICY_ARN ManagedPolicyArnsFeld der Rolle das hinzu und versuchen Sie es erneut.