Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
iam-policy-no-statements-with-full-access
Vérifie si les politiques AWS Identity and Access Management (IAM) que vous créez accordent des autorisations à toutes les actions sur des ressources individuelles. AWS La règle est NON_COMPLIANT si une politique IAM gérée par le client autorise un accès complet à au moins un service. AWS
Contexte : conformément au principe du moindre privilège, il est recommandé de limiter les actions autorisées dans vos politiques IAM lorsque vous accordez des autorisations aux AWS
services. Cette approche permet de garantir que vous n'accordez que les autorisations nécessaires en spécifiant les actions exactes requises, évitant ainsi l'utilisation de caractères génériques illimités pour un service, tel que. ec2:*
Dans certains cas, vous souhaiterez peut-être autoriser plusieurs actions avec un préfixe similaire, tel que DescribeFlowLogset DescribeAvailabilityZones. Dans ces cas, vous pouvez ajouter un caractère générique suffixé au préfixe commun (par exemple,). ec2:Describe*
Le regroupement des actions associées peut aider à éviter d'atteindre les limites de taille des politiques IAM.
Cette règle renverra COMPLIANT si vous utilisez des actions préfixées avec un caractère générique suffixé (par exemple,). ec2:Describe*
Cette règle ne renverra NON_COMPLIANT que si vous utilisez des caractères génériques non restreints (par exemple,). ec2:*
Note
Cette règle évalue uniquement les politiques gérées par le client. Cette règle n'évalue PAS les politiques intégrées ou les politiques AWS gérées. Pour plus d'informations sur la différence, consultez les sections Politiques gérées et politiques intégrées dans le guide de l'utilisateur IAM.
Identificateur : IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS
Types de ressources : AWS::IAM::Policy
Type de déclencheur : changements de configuration
Région AWS: Toutes les AWS régions prises en charge sauf Asie-Pacifique (Thaïlande), Moyen-Orient (Émirats arabes unis), Asie-Pacifique (Hyderabad), Asie-Pacifique (Malaisie), Asie-Pacifique (Melbourne), Mexique (centre), Israël (Tel Aviv), Asie-Pacifique (Taipei), Canada Ouest (Calgary), Europe (Espagne), Europe (Zurich)
Paramètres :
- excludePermissionBoundaryPolitique (facultatif)
- Type : valeur booléenne
-
Indicateur booléen permettant d'exclure l'évaluation des politiques IAM utilisées comme limites d'autorisations. Si elle est définie sur « true », la règle n'inclura pas de limites d'autorisations dans l'évaluation. Sinon, toutes les politiques IAM concernées sont évaluées lorsque la valeur est définie sur « false ». La valeur par défaut est « false ».
AWS CloudFormation modèle
Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voirCréation de règles AWS Config gérées à l'aide AWS CloudFormation de modèles.