El tiempo de ejecución comprueba el aprovisionamiento automatizado de IAM en AMS - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

El tiempo de ejecución comprueba el aprovisionamiento automatizado de IAM en AMS

El aprovisionamiento automatizado de IAM aprovecha las comprobaciones y validaciones de la política de límites de AWS Identity and Access Management Access Analyzer AMS y realiza comprobaciones y validaciones adicionales en función de la misma. AMS definió las comprobaciones y validaciones adicionales en función de las mejores prácticas de IAM, la experiencia de gestionar la carga de trabajo de los clientes en la nube y la experiencia colectiva de evaluación manual de AMS IAM.

Puede ver los resultados de las comprobaciones de las políticas en tiempo de ejecución en el resultado de la solicitud de cambio (RFC). Los resultados incluyen el identificador del recurso, la ubicación dentro de la and/or política de roles que generó los hallazgos y un mensaje en el que se describe la comprobación que la entidad o el recurso de IAM no pudo superar. Estos hallazgos le ayudan a crear políticas que sean funcionales y se ajusten a las mejores prácticas de seguridad.

nota

El aprovisionamiento automatizado de IAM intenta ser específico en cuanto a la ubicación dentro de la definición de la entidad o política que no pasa la prueba. Según el tipo, la ubicación puede incluir el nombre del recurso, el ARN o el índice dentro de una matriz. Por ejemplo, una declaración que le ayude a ajustar la entidad o la política para obtener un resultado exitoso.

Para disfrutar de una experiencia de aprovisionamiento automatizado de IAM por parte de AMS sin problemas, se recomienda utilizar la opción «solo validar» para ejecutar las comprobaciones de validación hasta que no se detecten resultados de las comprobaciones de validación que figuran en los resultados de la RFC. Cuando las comprobaciones de validación no arrojen resultados, seleccione Crear copia desde la consola AMS para crear rápidamente una copia de la RFC existente. Cuando esté listo para aprovisionar, en la sección Parámetros, cambie el valor Validar solo de a No y, a continuación, continúe.

Estas son las comprobaciones en tiempo de ejecución que AMS Automated IAM Provisioning realiza para garantizar la seguridad de sus recursos de IAM:

nota

Para aprovisionar políticas de IAM que contengan acciones denegadas por estos tipos de cambios automatizados, debe seguir el proceso de gestión de riesgos de seguridad para los clientes (CSRM) de la RFC. Utilice el siguiente tipo de cambio: Implementación | Componentes de pila avanzados | Identity and Access Management (IAM) | Crear entidad o política (es necesario revisar) (ct-3dpd8mdd9jn1r).

Resultado Descripción

Se puede acceder al rol desde una cuenta externa que se encuentra fuera de su zona de confianza.

Este hallazgo se refiere a un elemento principal incluido en la política de confianza de roles que se encuentra fuera de su zona de confianza. Una zona de confianza se define como la cuenta en la que se crea el rol o la AWS organización a la que pertenece la cuenta. Una entidad que no pertenece a la cuenta ni a la misma AWS organización es una entidad externa. Para resolver este problema, revisa el identificador de la cuenta en el principal ARNs y asegúrate de que te pertenece y de que se trata de una cuenta integrada en AMS.

Puede acceder al rol una entidad externa propiedad de una cuenta External_Account_ID que no sea propiedad de la cuenta propiedad del cliente de AMS. Account_ID

Esta conclusión se genera si la política de confianza de roles incluye un ARN principal que tiene un identificador de cuenta que no es de tu propiedad y una cuenta incorporada de AMS. Para resolver este problema, elimina dicho principal de la política de confianza del rol.

El ID de usuario canónico no es un principio admitido en la política de confianza de IAM.

La política de confianza de IAM no admite IDs los principios canónicos. Para resolver el problema, elimine dicho principio de la política de confianza del rol.

Se puede acceder al rol mediante una identidad web externa que se encuentre fuera de su zona de confianza.

Este hallazgo se genera si la política de confianza de roles permite un proveedor de identidad web (IdP) externo distinto del IdP de SAML. Para resolver este problema, revise la política de confianza de roles y elimine las sentencias que permiten la operación. sts:AssumeRoleWithWebIdentity

Se puede acceder a la función a través de la federación de SAML; sin embargo, el proveedor de identidad (IdP) de SAML proporcionado no existe.

Este hallazgo se genera si la política de confianza de roles contiene un IdP de SAML que no existe en su cuenta. Para resolverlo, asegúrate de que todos los IDP de SAML listados existen en tu cuenta.

La política contiene acciones privilegiadas equivalentes al acceso de un administrador o de un usuario avanzado. Considere la posibilidad de reducir el alcance del permiso a un servicio, acción o recurso específicos. Si se utilizan elementos de política avanzados como NotActiono se NotResourceutilizan, asegúrese de que no concedan más acceso del previsto, especialmente en las instrucciones Allow.

Cuando se establecen permisos AWS Identity and Access Management con políticas de IAM, se recomienda conceder únicamente los permisos necesarios para realizar una tarea. Para ello, defina las acciones que se pueden llevar a cabo en recursos específicos en condiciones específicas, lo que también se conoce como permisos con privilegios mínimos. Esta conclusión se genera cuando la automatización detecta que la política concede amplios permisos y no se ajusta al principio del privilegio mínimo. Para resolver el problema, revise y reduzca los permisos.

La declaración contiene acciones privilegiadas paraService_Name. Considere excluir estas acciones con una declaración de rechazo. Consulte la referencia sobre la política de límites en la documentación de la AMS para obtener una lista de acciones privilegiadas.

AMS identificó determinadas acciones relacionadas con un servicio determinado como riesgosas y que el equipo de seguridad del cliente debía volver a estudiarlas y aceptarlas. Esta conclusión se genera cuando la automatización detecta la política determinada que concede dichos permisos. Para resolver este problema, deniega estas acciones en tu política. Para obtener una lista de acciones, consulte la política de límites de la AMS. Para obtener más información sobre la política de límites de AMS, consulteVerificación automática de límites de permisos de aprovisionamiento de IAM por AMS.

La declaración otorga acceso a los tipos de cambio de RFC privilegiados: ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq y ct-17cj84y7632o6 para el servicio. Service_Name Considere la posibilidad de establecer el alcance de los permisos para tipos de cambio específicos o excluya estos tipos de cambio con una sentencia de denegación.

Esta conclusión se genera si la política concede permisos para realizar acciones relacionadas con la RFC mediante los tipos de cambio del aprovisionamiento automatizado de IAM (). CTs CTs Están sujetos a la aceptación de riesgos y solo se deben utilizar para las funciones incorporadas. Por lo tanto, no puedes concederles permiso. CTs Para resolver este problema, deniegue las acciones de RFC al utilizarlas CTs.

La declaración contiene acciones privilegiadas que no se limitan a sus recursos de servicio. Service_Name Considere la posibilidad de limitar las acciones a recursos específicos o excluir los recursos con prefijos de espacio de nombres AMS. Si se utilizan caracteres comodín, asegúrese de que restrinjan el ámbito a sus recursos.

Esta conclusión se genera si la política concede acciones privilegiadas que no se limitan a los recursos del servicio en cuestión. Los comodines suelen crear políticas demasiado permisivas que incluyen un amplio conjunto de recursos o acciones en el ámbito de aplicación del permiso. Para resolver este problema, reduce el alcance de los permisos de los recursos de tu propiedad o excluye los recursos que se encuentran en el espacio de nombres AMS. Para obtener una lista de los prefijos de los espacios de nombres de AMS, consulte la política de límites en la documentación de AMS. Tenga en cuenta que no todos los prefijos se aplican a todos los servicios. Para obtener más información sobre la política de límites de AMS, consulteVerificación automática de límites de permisos de aprovisionamiento de IAM por AMS.

El identificador de cuenta o el nombre de recurso de Amazon (ARN) no son válidos.

Este hallazgo se genera si algún ARN o identificador de cuenta especificado en la política o la política de confianza de roles no es válido. Para revisar los recursos de un ARN de recurso válido para los servicios, consulte la Referencia de autorización de servicios. Asegúrese de que el ID de la cuenta sea un número de 12 dígitos y de que la cuenta esté activa en. AWS

El uso del comodín (*) como identificador de cuenta en el ARN está restringido.

Este resultado se genera si se especifica un comodín (*) en el campo de ID de cuenta de un ARN. Un comodín en el campo del identificador de una cuenta coincide con cualquier cuenta y podría conceder permisos involuntarios a los recursos. Para resolver este problema, sustituye el comodín por un identificador de cuenta específico.

La cuenta de recursos especificada no pertenece a la misma cuenta Account_ID propietaria del cliente de AMS.

Este hallazgo se genera si un identificador de cuenta especificado en el ARN de un recurso no le pertenece y AMS no lo administra. Para resolver este problema, asegúrese de que todos los recursos (tal como se especifica en su ARN en la política) pertenezcan a sus cuentas administradas por AMS.

El nombre de la función se encuentra en el espacio de nombres restringido de AMS.

Este resultado se genera si intenta crear un rol con un nombre que comience con un prefijo reservado de AMS. Para resolver este problema, utilice un nombre para el rol que sea específico para su caso de uso. Para obtener una lista de los prefijos reservados de AMS, consulte Prefijos reservados de AMS

El nombre de la política está en el espacio de nombres restringido de AMS.

Este resultado se genera si intenta crear una política con un nombre que comience con un prefijo reservado de AMS. Para resolver este problema, usa un nombre para la política que sea específico para tu caso de uso. Para obtener una lista de los prefijos reservados de AMS, consulte Prefijos reservados de AMS.

El ID de recurso del ARN se encuentra en el espacio de nombres restringido de AMS.

Este resultado se genera si se intenta crear una política que conceda permisos a los recursos con nombre asignado que se encuentran en el espacio de nombres AMS. Para resolver este problema, asegúrese de limitar los permisos a sus recursos o denegar los permisos a los recursos que se encuentran en el espacio de nombres AMS. Para obtener más información sobre los espacios de nombres de AMS, consulte Espacios de nombres restringidos de AMS.

Caso de variable de política no válido. Actualice la variable aVariable_Names.

Este resultado se genera si se intenta crear una política que contenga una variable de política global de IAM en el caso incorrecto. Para resolver este problema, utilice las mayúsculas y minúsculas correctas para las variables globales de su política. Para obtener una lista de variables globales, consulta las claves de contexto de las condiciones AWS globales. Para obtener más información sobre las variables de política, consulte Elementos de la política de IAM: variables y etiquetas

La declaración contiene acciones privilegiadas que no están sujetas a las claves de KMS. Considere la posibilidad de limitar estos permisos a claves específicas o excluir las claves propiedad de AMS.

Esta conclusión se genera si la política contiene permisos que no se limitan a claves de KMS específicas de su propiedad. Para resolver este problema, limita el permiso a claves específicas o excluye las claves que son propiedad de AMS. Las claves propiedad de AMS tienen conjuntos de alias específicos. Para obtener una lista de los alias de clave propiedad de AMS, consulteVerificación automática de límites de permisos de aprovisionamiento de IAM por AMS.

La declaración contiene acciones privilegiadas que no se limitan a los alias de las claves de KMS. Considere la posibilidad de limitar estos permisos a sus claves o alias, o excluya los alias de clave propiedad de AMS.

Esta conclusión se genera si la política contiene permisos que no están limitados a un alias de claves de KMS específico de su propiedad. Para resolver este problema, limita el permiso a claves específicas o excluye las claves que son propiedad de AMS. Las claves propiedad de AMS tienen conjuntos de alias específicos. Para obtener una lista de los alias de clave propiedad de AMS, consulteVerificación automática de límites de permisos de aprovisionamiento de IAM por AMS.

La declaración contiene acciones privilegiadas que no tienen un alcance adecuado para sus claves de KMS mediante el. kms:ResourceAliases condition Considere la posibilidad de utilizar nombres de alias específicos junto con el operador de conjunto adecuado para la clave de condición. Si se utilizan caracteres comodín en los nombres de los alias, asegúrese de restringir el ámbito a un conjunto limitado de claves de KMS.

Este resultado se genera si estás limitando los permisos de tus claves de KMS mediante condiciones y no limitándolos kms:ResourceAliases a los alias de tus claves de KMS. O bien, si la clave de kms:ResourceAliases condición tiene un valor que también incluye los alias de las claves de KMS propiedad de AMS. Para resolver este problema, actualiza la condición para limitar los permisos únicamente a los alias de tus claves de KMS o excluir los alias de las claves de KMS que son propiedad de AMS. Para obtener una lista de los alias de clave propiedad de AMS, consulte. Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS

El rol debe tener adjunto customer_deny_policy. Incluya el ARN de la política en la lista de políticas administradas. ARNs

Este resultado se genera si el rol que está creando no tiene el rol customer_deny_policy adjunto. Para resolver este problema, inclúyalo customer_deny_policy en la ARNs lista de políticas administradas.

La política AWS gestionada es demasiado permisiva o concede permisos restringidos por la política de límites de AMS.

Este resultado se genera si el ManagedPolicyArnsvalor de la función contiene alguna política gestionada por AMS que proporcione acceso total o de administrador al servicio correspondiente. Para resolver este problema, revise el uso de la política AWS administrada y utilice una política que otorgue permisos para reducir el alcance o defina su propia política que siga el principio del privilegio mínimo.

La política gestionada por el cliente se encuentra en un espacio de nombres de AMS restringido.

Esta conclusión se genera si se asocia a la función alguna política gestionada por el cliente con un nombre como prefijo en el AWS espacio de nombres. Para resolver este problema, elimine la política de la ManagedPolicyArnlista para el rol.

El customer_deny_policy no se puede separar del rol. Incluya el ARN de la política en la lista de políticas administradas. ARNs

Este resultado se genera si customer_deny_policy se separa del rol durante una actualización. Para resolver este problema, añada el customer_deny_policy ManagedPolicyArnscampo del rol e inténtelo de nuevo.

Las políticas gestionadas por el cliente se proporcionaron fuera del servicio AMS Change Management o sin validación previa.

Esta conclusión se genera si una o más políticas gestionadas por el cliente existentes ARNs están asociadas a un rol y las políticas no se aprovisionan a través del servicio de gestión de cambios de AMS (mediante una RFC). Por ejemplo, el modo de desarrollador o el modo de cambio directo permiten a los clientes aprovisionar políticas de IAM sin una RFC. Para resolver este problema, elimine la política gestionada por el cliente ARNs de la ManagedPolicyArnslista correspondiente al rol.

El número de políticas administradas proporcionadas ARNs supera la cuota de política adjunta por rol.

Este resultado se genera si el número total de políticas administradas asociadas al rol supera la cuota de política por rol. Para obtener más información sobre las cuotas de IAM, consulte las cuotas de IAM y AWS STS, los requisitos de nombres y los límites de caracteres. Utilice esta información para reducir la cantidad de políticas que asocia al rol.

El tamaño de la política de confianza ({trust_policy}) supera la cuota de tamaño de la política de rol asumido de {size}.

Este resultado se genera si el tamaño del documento de política que asume el rol supera la cuota de tamaño de la política. Para obtener más información sobre las cuotas de IAM, consulte las cuotas de IAM y AWS STS, los requisitos de nombres y los límites de caracteres.

La declaración contiene todas las acciones mutativas de Amazon S3. Considere limitar estos permisos únicamente a las acciones obligatorias. Si se utilizan caracteres comodín, asegúrese de que abarquen un conjunto limitado de acciones mutativas.

Esta conclusión se genera si la política en cuestión concede todos los permisos mutativos de Amazon Simple Storage Service, independientemente de uno o más recursos. Para resolver este problema, incluye solo las acciones mutativas de Amazon S3 obligatorias contra tus buckets.

La declaración contiene acciones privilegiadas que no están permitidas en ningún bucket de Amazon S3. Considere la posibilidad de añadir una declaración en la que se nieguen estas acciones.

Esta conclusión se genera si la política concede acciones privilegiadas en cualquier categoría. Para ver una lista de las acciones privilegiadas, consulta Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS Para resolver este hallazgo, eliminar o denegar estas acciones en tu política.

La declaración contiene acciones privilegiadas que no están dentro del ámbito de sus buckets en Amazon S3. Considere la posibilidad de incluir sus buckets o excluirlos con prefijos de espacio de nombres AMS. Si se utilizan caracteres comodín, asegúrate de que coincidan con los grupos de tus espacios de nombres.

Este hallazgo se genera si la política concede a Amazon S3 acciones que no se limitan únicamente a sus buckets. Esto suele ocurrir si se utilizan caracteres comodín al especificar los recursos del bucket. Para resolver este problema, especifique los nombres de los buckets o los ARNs que sean de su propiedad o excluya los buckets que tienen prefijos de espacio de nombres AMS.

La declaración contiene acciones privilegiadas que no están dentro del ámbito de sus buckets en Amazon S3. Considere la posibilidad de evitar el uso de caracteres comodín (*) que abarquen todos los segmentos de la cuenta.

Este hallazgo se genera si la política concede a Amazon S3 acciones que no están dentro del ámbito de su bucket. Esto suele ocurrir si se utilizan caracteres comodín al especificar los recursos del bucket. Para resolver este problema, especifique los nombres de los buckets o los ARNs que sean de su propiedad o excluya los buckets que tienen prefijos de espacio de nombres AMS.

La declaración contiene un comodín de recursos que se aplica a todos los buckets de Amazon S3, incluidos los buckets inexistentes y los buckets que no son de su propiedad. Considere la posibilidad de establecer el alcance de los permisos mediante una condición y una clave de condición. s3:ResourceAccount

Esta conclusión se genera si la política concede permisos a los grupos especificados mediante caracteres comodín. El uso de comodines suele incluir grupos inexistentes o no propietarios. Para resolver este problema, usa la condición y la clave de aws:ResourceAccount condición para limitar el permiso únicamente a los grupos de la cuenta corriente. Para obtener más información, consulte Limitar el acceso a los buckets de Amazon S3 propiedad de AWS cuentas específicas.

La declaración contiene un elemento de NotResource política, que puede abarcar un gran número de grupos, incluidos los que no existen y los que no son de su propiedad. Considere la posibilidad de establecer el alcance de los permisos mediante una condición y una clave de condición. s3:ResourceAccount

Esta conclusión se genera si la política utiliza el elemento de NotResources política para especificar los recursos del bucket. El uso del NotResource elemento puede abarcar una gran cantidad de grupos, incluidos los que no existen o que no son propietarios. Para resolver este problema, usa las condiciones y la clave de aws:ResourceAccount condición para limitar el permiso a los grupos únicamente dentro de la cuenta corriente.

La declaración contiene una acción de Amazon S3 en relación con grupos Bucket_Name que no existen, que no son propiedad de la cuenta Account_ID o el nombre contiene un comodín que puede estar limitado a un gran número de grupos, incluidos los que no existen y los que no son de su propiedad. Considere la posibilidad de establecer el alcance de los permisos mediante una condición y la clave de condición s3:ResourceAccount

Esta conclusión se genera si la política concede permiso a grupos que no existen, que no son de tu propiedad o que tienen caracteres comodín en los nombres de los grupos que cubren un gran número de grupos y el acceso no está limitado únicamente a la cuenta corriente. Para resolver este problema, usa la condición y la clave de aws:ResourceAccount condición para limitar el permiso únicamente a los grupos de la cuenta corriente.

La declaración contiene una acción de Amazon S3 en relación con grupos Bucket_Name que no existen o que no son propiedad de la cuentaAccount_ID, o el nombre contiene un comodín que puede estar limitado a un gran número de grupos, incluidos los que no existen y los que no son de su propiedad. El acceso no está restringido al uso s3:ResourceAccount de una cuenta de recursos específica en la condición de que no le pertenezca.

Esta conclusión se genera si la política concede permiso a grupos que no existen, que no son de tu propiedad o que tienen caracteres comodín en los nombres de los grupos que cubren un gran número de grupos y el acceso está limitado únicamente a una cuenta específica. Sin embargo, la cuenta especificada en la clave de aws:ResourceAccount condición no le pertenece y está gestionada por AMS. Para resolver este problema, actualice la clave de aws:ResourceAccount condición y establezca el identificador de cuenta adecuado que sea de su propiedad y que esté gestionado por AMS.

La declaración contiene acciones privilegiadas que no están dentro del ámbito de tus instancias para Amazon EC2. Considere la posibilidad de limitar las acciones a una instancia específica ARNs o excluir las instancias que tengan una clave de etiqueta con un valor en los prefijos de los espacios de nombres de AMS. Si se utilizan caracteres comodín, asegúrate de que coincidan con los espacios de nombres de tu propiedad.

Esta conclusión se genera si la política concede acciones privilegiadas contra las EC2 instancias de Amazon que son propiedad de AMS. Las instancias de AMS se etiquetan con la clave de la etiqueta de nombre con los valores del espacio de nombres de AMS. Para resolver este problema, especifique sus recursos o excluya las instancias de AMS con una condición que tenga la aws:ResourceTag/Name clave que excluya los valores del espacio de nombres de AMS mediante el operador StringNotLike

La declaración contiene acciones privilegiadas que no están relacionadas con los recursos del almacén de parámetros. AWS Systems Manager Considere la posibilidad ARNs de especificar sus parámetros o excluirlos con prefijos de espacio de nombres AMS. Si se utilizan caracteres comodín, asegúrese de que solo afecten a sus parámetros.

Este resultado se genera si la política concede permisos a parámetros que no son de su propiedad. Esto suele ocurrir cuando se utilizan caracteres comodín o cuando los parámetros con prefijos de espacio de nombres AMS aparecen en la sección de recursos de una declaración de política. Para resolver este problema, especifique los parámetros que estén dentro de su espacio de nombres o excluya los parámetros de AMS con una sentencia de rechazo.

La declaración contiene acciones privilegiadas contra los recursos de. AWS Systems Manager Considere la posibilidad de limitar los permisos a las acciones de solo lectura o a las acciones contra sus recursos.

Este hallazgo se genera si la política concede permisos distintos del almacén de parámetros o las acciones de solo lectura contra los recursos de Systems Manager. Para resolver este problema, reduzca los permisos para las acciones de solo lectura o para el almacén de parámetros únicamente.

La declaración contiene acciones privilegiadas que no se limitan a {message}, ya Service_Name que son tuyas. Considere la posibilidad de limitar estos permisos a tipos de recursos específicos, según proceda, o excluya los recursos propiedad de AMS. Si se utilizan comodines, asegúrese de que Resources coincidan.

Esta conclusión se genera si la política permite acciones privilegiadas que no se conceden con cargo a tus recursos, especialmente en el caso de los recursos con nombre asignado. Para resolver este problema, revisa tu lista de recursos y comprueba si solo se refieren a los recursos que se encuentran en tu espacio de nombres. Como alternativa, excluya los recursos que se encuentran en el espacio de nombres AMS.

La declaración contiene acciones de etiquetado de {Service_Name} que no se limitan a valores específicos para la clave de etiqueta de nombre. Considere la posibilidad de establecer el alcance de estas acciones configurando la clave de aws:RequestTag/Name condición con valores en su espacio de nombres o restrinja estas acciones configurando la clave de aws:RequestTag/Name condición con el StringNotLike operador con valores en los prefijos del espacio de nombres AMS.

Esta conclusión se genera si la política concede el permiso de etiquetado para un servicio determinado y el permiso no se limita a claves/valores de etiqueta específicos. Para determinar qué clave o valor se puede usar para etiquetar acciones, por ejemplo, al solicitar la realización de las acciones, usa la condición. aws:RequestTag/tag key Por lo tanto, para resolver esto, usa esta clave de condición para restringir la clave o los valores en tu espacio de nombres. O bien, deniegue la clave de Name etiqueta (aws:RequestTag/Name) con valores en el espacio de nombres AMS.

Error interno al validar la política de confianza de roles de IAM.

Este hallazgo se genera cuando CT Automation detecta un error al validar la política de confianza de los roles de IAM a través del servicio IAM Access Analyzer. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

Error interno al validar la política gestionada por el cliente.

Este hallazgo se genera cuando CT Automation detecta un error al validar la política gestionada por el cliente a través del servicio IAM Access Analyzer. Para resolver este problema, vuelva a enviar el RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

No se encuentra el analizador de acceso en. Región de AWS No se pudo realizar la comprobación previa del acceso a la política de confianza de roles.

Este hallazgo se genera cuando el recurso IAM Access Analyzer no se encuentra en el. Región de AWS Póngase en contacto con AMS Operations para solucionar problemas y crear el recurso IAM Access Analyzer en la región de AWS.

Política de confianza no válida para el rol Role_Name

Este hallazgo se genera cuando el rol de IAM proporcionado contiene una política de confianza no válida. Para resolverlo, revise la política de confianza para comprobar que es válida.

IAM Access Analyzer ha detectado un error interno. No se pudo crear la vista previa de acceso para el rol Role_Name

Este hallazgo se genera cuando la automatización detecta un error al crear una vista previa del acceso para un rol mediante el analizador de acceso de IAM. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

No se pudo crear una vista previa de acceso a la política de confianza del rol Role_Name

Este hallazgo se genera cuando la automatización detecta un error al crear una vista previa de acceso para un rol mediante el analizador de acceso de IAM. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

Error interno al validar el IDP de SAML listado.

Este hallazgo se genera cuando la automatización detecta un error al validar el SAML proporcionado que IdPs figura en la política de confianza del rol. Para resolver este problema, vuelve a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

Error interno al validar los permisos. AWS Key Management Service

Este hallazgo se genera cuando la automatización detecta un error al validar los permisos AWS KMS clave de la política proporcionada. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

Error interno al validar la política gestionada de la lista. ARNs

Este hallazgo se genera cuando la automatización detecta un error al validar la política gestionada de la lista. ARNs Para resolver este problema, vuelva a enviar el RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

Error interno al validar el adjunto predeterminadocustomer_deny_policy.

Este hallazgo se genera cuando la automatización detecta un error al validar que customer_deny_policy está asociado al rol. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

Error interno al validar los avisos de política gestionada para el rol Role_Name

Este hallazgo se genera cuando la automatización detecta un error al validar la política gestionada ARNs para el rol. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

Error interno al validar con arreglo a la política de límites Policy_name definida por el cliente AWSManagedServicesIAMProvisionCustomerBoundaryPolicy

Este hallazgo se genera cuando la automatización detecta un error al validar la política que contiene la lista de rechazados personalizada. Para resolver este problema, vuelve a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error.

La política de límites definida por el cliente AWSManagedServicesIAMProvisionCustomerBoundaryPolicy existe en la cuenta. Sin embargo, la política contiene declaraciones de autorización que otorgan permisos. La política solo debe contener declaraciones de rechazo.

Esta conclusión se genera cuando la política que contiene su lista de denegaciones personalizada incluye una declaración que concede el permiso. Aunque la lista de denegación personalizada existe en tu cuenta como una política gestionada por IAM, no se puede utilizar para la gestión de permisos. La política solo debe contener declaraciones de denegación que indiquen que usted desea que AMS Automated IAM Provisioning valide y deniegue las acciones de sus políticas de IAM creadas por AMS Automated IAM Provisioning.

La declaración contiene las acciones privilegiadas para las que ha definido su organización. Service_Name Considere la posibilidad de excluir estas acciones con una declaración de rechazo. Consulta la política indicada en tu cuenta para consultar la lista de acciones restringidas.

Este resultado se genera cuando la automatización detecta cualquier acción en tu política que hayas definido en la lista de denegaciones personalizada. Para resolver el problema, revisa tu declaración de política y elimina cualquier acción que esté definida en tu lista de denegación personalizada o añade una declaración de denegación que deniegue dichas acciones.

El rol debe estar POLICY_ARN asociado. Incluya el ARN de la política en la lista de políticas administradas. ARNs

Este resultado se genera si el rol que está creando no tiene el rol POLICY_ARN adjunto. Para resolver este problema, POLICY_ARN inclúyelo en el ManagedPolicyArnscampo del rol y vuelve a intentarlo.

No se POLICY_ARN puede separar del rol. Incluya el ARN de la política en la lista de políticas administradas. ARNs

Este resultado se genera si POLICY_ARN se separa del rol durante una actualización. Para resolver este problema, añada el POLICY_ARN ManagedPolicyArnscampo del rol e inténtelo de nuevo.