Contrôles d'exécution pour le provisionnement IAM automatisé d'AMS dans AMS - Guide de l'utilisateur avancé d'AMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles d'exécution pour le provisionnement IAM automatisé d'AMS dans AMS

Le provisionnement IAM automatisé tire parti des vérifications et effectue des AWS Identity and Access Management Access Analyzer vérifications et des validations supplémentaires par rapport à la politique de limites AMS. AMS a défini les contrôles et validations supplémentaires en fonction des meilleures pratiques IAM, de l'expérience d'exploitation de la charge de travail des clients dans le cloud et de l'expérience collective d'évaluation manuelle d'AMS IAM.

Vous pouvez consulter les résultats de la vérification de l'exécution des politiques dans le résultat de la demande de modification (RFC). Les résultats incluent l'identifiant de la ressource, son emplacement au sein de la and/or politique de rôle qui a généré les résultats et un message décrivant le contrôle que l'entité ou la ressource IAM n'a pas réussi. Ces résultats vous aident à créer des politiques fonctionnelles et conformes aux meilleures pratiques en matière de sécurité.

Note

Le provisionnement IAM automatisé tente de préciser l'emplacement au sein de l'entité ou de la définition de politique qui ne passe pas le contrôle. Selon le type, l'emplacement peut inclure le nom ou l'ARN de la ressource, ou l'index d'un tableau. Par exemple, une déclaration pour vous aider à ajuster l'entité ou la politique en vue d'un résultat positif.

Pour une expérience fluide de provisionnement IAM automatisé AMS, il est recommandé d'utiliser l'option « valider uniquement » pour exécuter les contrôles de validation jusqu'à ce qu'aucun résultat ne soit trouvé lors des contrôles de validation signalés dans les sorties RFC. Lorsque les contrôles de validation ne signalent aucun résultat, choisissez Create copy from the AMS Console pour créer rapidement une copie de la RFC existante. Lorsque vous êtes prêt à effectuer le provisionnement, dans la section Paramètres, changez la valeur Validation uniquement de Oui à Non, puis continuez.

Voici les contrôles d'exécution effectués par AMS Automated IAM Provisioning pour garantir la sécurité de vos ressources IAM :

Note

Pour configurer des politiques IAM contenant des actions refusées par ces types de modifications automatisées, vous devez suivre le processus de gestion des risques de sécurité des clients (CSRM) RFC. Utilisez le type de modification suivant : Deployment | Advanced stack components | Identity and Access Management (IAM) | Créer une entité ou une politique (révision requise) (ct-3dpd8mdd9jn1r).

Résultat Description

Le rôle est accessible à partir d'un compte externe situé en dehors de votre zone de confiance.

Ce résultat fait référence à un principal répertorié dans la politique de confiance des rôles qui se trouve en dehors de votre zone de confiance. Une zone de confiance est définie comme le compte dans lequel le rôle est créé ou l' AWS organisation à laquelle appartient le compte. Une entité qui n'appartient pas au compte ou à la même AWS organisation est une entité externe. Pour résoudre ce problème, vérifiez l'identifiant du compte indiqué sur le compte principal ARNs et assurez-vous qu'il vous appartient et qu'il s'agit d'un compte intégré à AMS.

Le rôle est accessible à une entité externe détenue par un compte External_Account_ID qui n'appartient pas au compte propriétaire du client AMS. Account_ID

Ce résultat est généré si la politique de confiance dans les rôles inclut un ARN principal dont l'identifiant de compte ne vous appartient pas et un compte AMS intégré. Pour résoudre ce problème, supprimez un tel principal de la politique de confiance dans les rôles.

L'ID utilisateur canonique n'est pas un principe pris en charge dans la politique de confiance IAM.

Les principes canoniques ne IDs sont pas pris en charge dans la politique de confiance IAM. Pour résoudre le problème, supprimez tout principe de ce type de la politique de confiance en matière de rôle.

Le rôle est accessible via une identité Web externe située en dehors de votre zone de confiance.

Ce résultat est généré si la politique de confiance dans les rôles autorise un fournisseur d'identité Web (IdP) externe autre que l'IdP SAML. Pour résoudre ce problème, passez en revue la politique de confiance dans les rôles et supprimez les instructions qui autorisent l'sts:AssumeRoleWithWebIdentityopération.

Le rôle est accessible via la fédération SAML ; toutefois, le fournisseur d'identité SAML (IdP) fourni n'existe pas.

Ce résultat est généré si la politique d'approbation des rôles contient un IdP SAML qui n'existe pas dans votre compte. Pour résoudre le problème, assurez-vous que tous les IdP SAML répertoriés existent dans votre compte.

La politique contient des actions privilégiées équivalentes à l'accès d'un administrateur ou d'un utilisateur avancé. Envisagez de réduire la portée des autorisations à un service, une action ou une ressource spécifique. Si des éléments de stratégie avancés tels que NotActionou NotResourcesont utilisés, assurez-vous qu'ils n'accordent pas plus d'accès que prévu, en particulier dans les instructions Allow.

Il s'agit d'une bonne pratique de sécurité qui consiste Gestion des identités et des accès AWS à n'accorder que les autorisations requises pour effectuer une tâche lorsque vous définissez des autorisations à l'aide de politiques IAM. Pour ce faire, définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations du moindre privilège. Ce résultat est généré lorsque l'automatisation détecte que la politique accorde des autorisations étendues et ne respecte pas le principe du moindre privilège. Pour résoudre le problème, passez en revue et réduisez les autorisations.

La déclaration contient des actions privilégiées pourService_Name. Envisagez d'exclure ces actions par une déclaration de refus. Reportez-vous à la référence de politique des limites dans la documentation AMS pour obtenir une liste des actions privilégiées.

AMS a identifié certaines actions liées à un service donné comme risquées et nécessitant un examen plus approfondi des risques et leur acceptation par l'équipe de sécurité du client. Ce résultat est généré lorsque l'automatisation détecte la politique donnée accordant de telles autorisations. Pour résoudre ce problème, refusez ces actions dans votre politique. Pour une liste d'actions, reportez-vous à la politique de limites AMS. Pour plus de détails sur la politique de limites de l'AMS, voirVérification des limites des autorisations de provisionnement IAM automatisé AMS.

La déclaration donne accès aux types de modification RFC privilégiés : ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq et ct-17cj84y7632o6 pour le service. Service_Name Envisagez d'étendre les autorisations à des types de modifications spécifiques ou d'exclure ces types de modifications par une déclaration de refus.

Ce résultat est généré si la politique accorde des autorisations pour effectuer des actions liées à la RFC à l'aide des types de modification du provisionnement IAM automatisé (). CTs Ils CTs sont soumis à l'acceptation des risques et ne doivent être utilisés que dans le cadre de rôles intégrés. Vous ne pouvez donc pas leur accorder d'autorisation CTs. Pour résoudre ce problème, refusez les actions RFC utilisant celles-ci CTs.

La déclaration contient des actions privilégiées qui ne sont pas limitées à vos ressources de serviceService_Name. Envisagez d'étendre les actions à des ressources spécifiques ou d'exclure des ressources avec des préfixes d'espace de noms AMS. Si des caractères génériques sont utilisés, assurez-vous qu'ils limitent la portée à vos ressources.

Ce résultat est généré si la politique accorde des actions privilégiées qui ne sont pas limitées à vos ressources du service donné. Les jokers créent souvent des politiques trop permissives qui intègrent un large éventail de ressources ou d'actions dans le champ d'application de l'autorisation. Pour résoudre ce problème, réduisez l'étendue des autorisations accordées aux ressources que vous possédez ou excluez les ressources qui se trouvent dans l'espace de noms AMS. Pour obtenir la liste des préfixes d'espaces de noms AMS, consultez la politique de limites dans la documentation AMS. Notez que tous les préfixes ne s'appliquent pas à tous les services. Pour plus de détails sur la politique de limites de l'AMS, voirVérification des limites des autorisations de provisionnement IAM automatisé AMS.

ID de compte ou nom de ressource Amazon (ARN) non valide.

Ce résultat est généré si un ARN ou un ID de compte spécifié dans la politique ou la politique de confiance des rôles n'est pas valide. Pour consulter les ressources de l'ARN de ressource valide pour les services, consultez la référence d'autorisation des services. Assurez-vous que l'identifiant du compte est un numéro à 12 chiffres et que le compte est actif dans AWS.

L'utilisation du caractère générique (*) pour l'identifiant de compte dans l'ARN est limitée.

Ce résultat est généré si un caractère générique (*) est spécifié dans le champ ID de compte d'un ARN. Un joker dans un champ d'identifiant de compte correspond à n'importe quel compte et accorde potentiellement des autorisations involontaires à des ressources. Pour résoudre ce problème, remplacez le joker par un identifiant de compte spécifique.

Le compte de ressources spécifié n'appartient pas au même compte client AMSAccount_ID.

Ce résultat est généré si un identifiant de compte spécifié dans un ARN de ressource ne vous appartient pas et n'est pas géré par AMS. Pour résoudre ce problème, assurez-vous que toutes les ressources (telles que spécifiées par leur ARN dans la politique) appartiennent à vos comptes gérés par AMS.

Le nom du rôle se trouve dans l'espace de noms restreint AMS.

Ce résultat est généré si vous essayez de créer un rôle dont le nom commence par un préfixe réservé AMS. Pour résoudre ce problème, attribuez un nom au rôle spécifique à votre cas d'utilisation. Pour une liste des préfixes réservés AMS, voir Préfixes réservés AMS

Le nom de la politique se trouve dans l'espace de noms restreint AMS.

Ce résultat est généré si vous essayez de créer une politique dont le nom commence par un préfixe réservé AMS. Pour résoudre ce problème, attribuez à la politique un nom spécifique à votre cas d'utilisation. Pour obtenir la liste des préfixes réservés AMS, consultez la section Préfixes réservés AMS.

L'ID de ressource dans l'ARN se trouve dans l'espace de noms restreint AMS.

Ce résultat est généré si vous essayez de créer une politique qui accorde l'autorisation aux ressources nommées qui se trouvent dans l'espace de noms AMS. Pour résoudre ce problème, assurez-vous d'étendre les autorisations à vos ressources ou de refuser les autorisations aux ressources qui se trouvent dans l'espace de noms AMS. Pour plus d'informations sur les espaces de noms AMS, consultez la section Espaces de noms restreints AMS.

Cas de variable de politique non valide. Mettez à jour la variable surVariable_Names.

Ce résultat est généré si vous essayez de créer une politique contenant une variable de stratégie globale IAM dans le mauvais cas. Pour résoudre ce problème, utilisez le cas correct pour les variables globales dans votre politique. Pour obtenir la liste des variables globales, consultez la section Clés contextuelles des conditions AWS globales. Pour plus d'informations sur les variables de stratégie, voir Éléments de stratégie IAM : variables et balises

L'instruction contient des actions privilégiées qui ne sont pas limitées à vos clés KMS. Envisagez d'étendre ces autorisations à des clés spécifiques ou d'exclure les clés détenues par AMS.

Ce résultat est généré si la politique contient des autorisations qui ne sont pas limitées à des clés KMS spécifiques que vous possédez. Pour résoudre ce problème, étendez l'autorisation à des clés spécifiques ou excluez les clés détenues par AMS. Les clés détenues par AMS ont des ensembles d'alias spécifiques. Pour obtenir la liste des alias de clés détenus par AMS, consultezVérification des limites des autorisations de provisionnement IAM automatisé AMS.

L'instruction contient des actions privilégiées qui ne sont pas limitées à vos alias de clés KMS. Envisagez d'étendre ces autorisations à vos clés ou alias, ou d'exclure les alias de clés appartenant à AMS.

Ce résultat est généré si la politique contient des autorisations qui ne sont pas limitées à un alias de clé KMS spécifique que vous possédez. Pour résoudre ce problème, étendez l'autorisation à des clés spécifiques ou excluez les clés détenues par AMS. Les clés détenues par AMS ont des ensembles d'alias spécifiques. Pour obtenir la liste des alias de clés détenus par AMS, consultezVérification des limites des autorisations de provisionnement IAM automatisé AMS.

L'instruction contient des actions privilégiées qui ne sont pas correctement limitées à vos clés KMS à l'aide dukms:ResourceAliases condition. Envisagez d'utiliser des noms d'alias spécifiques ainsi que l'opérateur set approprié pour la clé de condition. Si des caractères génériques sont utilisés dans les noms d'alias, assurez-vous qu'ils limitent la portée à un ensemble limité de vos clés KMS.

Ce résultat est généré si vous délimitez les autorisations relatives à vos clés KMS à l'aide de conditions et que vous ne les utilisez kms:ResourceAliases pas pour vous limiter aux alias de vos clés KMS. Ou, si la clé de kms:ResourceAliases condition a une valeur qui inclut également les alias des clés KMS appartenant à AMS. Pour résoudre ce problème, mettez à jour la condition afin de limiter l'autorisation uniquement aux alias de vos clés KMS ou d'exclure les alias des clés KMS détenues par AMS. Pour obtenir la liste des alias de clés détenus par AMS, consultezVérification des limites des autorisations de provisionnement IAM automatisé AMS.

Le rôle doit être associé à customer_deny_policy. Incluez l'ARN de la politique dans la liste des politiques gérées ARNs.

Ce résultat est généré si le rôle que vous créez n'est pas customer_deny_policy associé. Pour résoudre ce problème, incluez-les customer_deny_policy dans la ARNs liste des politiques gérées.

La politique AWS gérée est trop permissive ou accorde des autorisations limitées par la politique de limites AMS.

Ce résultat est généré si la ManagedPolicyArnsvaleur du rôle contient une politique gérée par AMS qui fournit un accès complet ou de niveau administrateur au service concerné. Pour résoudre ce problème, passez en revue l'utilisation de la politique AWS gérée et utilisez une politique qui fournit des autorisations limitées ou définissez votre propre politique qui respecte le principe du moindre privilège.

La politique gérée par le client se trouve dans un espace de noms AMS restreint.

Ce résultat est généré si une politique gérée par le client dont le nom est préfixé dans l'espace de AWS noms est attachée au rôle. Pour résoudre ce problème, supprimez la politique de la ManagedPolicyArnliste correspondant au rôle.

Le customer_deny_policy ne peut pas être détaché du rôle. Incluez l'ARN de la politique dans la liste des politiques gérées ARNs.

Ce résultat est généré s'il customer_deny_policy est détaché du rôle lors d'une mise à jour. Pour résoudre ce problème, ajoutez customer_deny_policy le ManagedPolicyArnsdans le champ du rôle et réessayez.

Les politiques gérées par le client ont été mises en place en dehors du service AMS Change Management ou sans validation préalable.

Ce résultat est généré si une ou plusieurs politiques existantes gérées par le client ARNs sont associées à un rôle et que les politiques ne sont pas fournies via le service AMS Change Management (via une RFC). Par exemple, le mode développeur ou le mode changement direct permettent aux clients de mettre en place des politiques IAM sans RFC. Pour résoudre ce problème, supprimez la politique gérée par le client ARNs de la ManagedPolicyArnsliste correspondant au rôle.

Le nombre de politiques gérées fournies ARNs dépasse le quota de politiques attachées par rôle.

Ce résultat est généré si le nombre total de politiques gérées associées au rôle dépasse le quota de politiques par rôle. Pour plus d'informations sur les quotas IAM, consultez les rubriques Quotas IAM et AWS STS, exigences relatives aux noms et limites de caractères. Utilisez ces informations pour réduire le nombre de politiques que vous associez au rôle.

La taille de la politique de confiance ({trust_policy}) dépasse le quota de taille de la politique de rôle assumé de {size}.

Ce résultat est généré si la taille du document de politique d'acceptation du rôle dépasse le quota de taille de la politique. Pour plus d'informations sur les quotas IAM, consultez les rubriques Quotas IAM et AWS STS, exigences relatives aux noms et limites de caractères.

La déclaration contient toutes les actions mutatives pour Amazon S3. Envisagez de limiter ces autorisations aux actions requises uniquement. Si des caractères génériques sont utilisés, assurez-vous qu'ils ont une portée limitée d'actions mutatives.

Ce résultat est généré si la politique donnée accorde à toutes les autorisations mutatives d'Amazon Simple Storage Service, indépendamment d'une ou de plusieurs ressources. Pour résoudre ce problème, incluez uniquement les actions mutatives Amazon S3 requises contre vos buckets.

La déclaration contient des actions privilégiées qui ne sont autorisées sur aucun compartiment dans Amazon S3. Envisagez d'ajouter une déclaration niant ces actions.

Ce résultat est généré si la politique accorde des actions privilégiées sur n'importe quel bucket. Pour obtenir la liste des actions privilégiées, voir Vérification des limites des autorisations de provisionnement IAM automatisé AMS Pour résoudre ce problème, supprimez ou refusez ces actions dans votre politique.

La déclaration contient des actions privilégiées qui ne sont pas limitées à vos compartiments dans Amazon S3. Envisagez d'inclure vos buckets ou d'exclure les buckets avec des préfixes d'espace de noms AMS. Si des caractères génériques sont utilisés, assurez-vous qu'ils correspondent aux compartiments de vos espaces de noms.

Ce résultat est généré si la politique autorise des actions Amazon S3 qui ne sont pas limitées à vos compartiments uniquement. Cela se produit souvent si des caractères génériques sont utilisés lors de la spécification des ressources du bucket. Pour résoudre ce problème, spécifiez les noms des compartiments ou indiquez ARNs que vous êtes propriétaire ou excluez les compartiments dotés de préfixes d'espace de noms AMS.

La déclaration contient des actions privilégiées qui ne sont pas limitées à vos compartiments dans Amazon S3. Pensez à éviter d'utiliser des caractères génériques (*) qui couvrent tous les compartiments du compte.

Ce résultat est généré si la politique autorise des actions Amazon S3 qui ne sont pas limitées à votre compartiment. Cela se produit souvent si des caractères génériques sont utilisés lors de la spécification des ressources du bucket. Pour résoudre ce problème, spécifiez les noms des compartiments ou indiquez ARNs que vous êtes propriétaire ou excluez les compartiments dotés de préfixes d'espace de noms AMS.

La déclaration contient un caractère générique de ressource qui s'applique à tous les compartiments Amazon S3, y compris les compartiments inexistants et les compartiments dont vous n'êtes pas le propriétaire. Envisagez de définir la portée des autorisations à l'aide d'une condition et d'une clé de s3:ResourceAccount condition.

Ce résultat est généré si la politique autorise les compartiments spécifiés à l'aide de caractères génériques. L'utilisation de jokers ouvre souvent la porte à des compartiments inexistants ou non propriétaires. Pour résoudre ce problème, utilisez la condition et la clé de aws:ResourceAccount condition pour étendre l'autorisation aux compartiments du compte courant uniquement. Pour plus de détails, consultez Limiter l'accès aux compartiments Amazon S3 détenus par des AWS comptes spécifiques.

La déclaration contient un élément de NotResource politique, qui peut être limité à un grand nombre de compartiments, y compris des compartiments inexistants et des compartiments dont vous n'êtes pas le propriétaire. Envisagez de définir la portée des autorisations à l'aide d'une condition et d'une clé de s3:ResourceAccount condition.

Ce résultat est généré si la politique utilise l'élément de NotResources stratégie pour spécifier les ressources du bucket. L'utilisation de l'NotResourceélément peut couvrir un grand nombre de compartiments, y compris des compartiments inexistants ou non propriétaires. Pour résoudre ce problème, utilisez les conditions et la clé de aws:ResourceAccount condition pour étendre l'autorisation aux buckets uniquement au sein du compte courant.

La déclaration contient une action Amazon S3 concernant des compartiments Bucket_Name qui n'existent pas, qui ne sont pas détenus par un compte Account_ID ou dont le nom contient un caractère générique susceptible d'être étendu à un grand nombre de compartiments, y compris des compartiments inexistants et des compartiments dont vous n'êtes pas le propriétaire. Envisagez de définir la portée des autorisations à l'aide d'une condition et d'une clé de s3:ResourceAccount condition

Ce résultat est généré si la politique accorde l'autorisation à des compartiments qui n'existent pas, ne vous appartiennent pas ou dont le nom contient des caractères génériques couvrant un grand nombre de compartiments et que l'accès n'est pas limité au compte courant uniquement. Pour résoudre ce problème, utilisez la condition et la clé de aws:ResourceAccount condition pour étendre l'autorisation aux compartiments du compte courant uniquement.

La déclaration contient une action Amazon S3 concernant des compartiments Bucket_Name qui n'existent pas, qui ne sont pas détenus par compte Account_ID ou dont le nom contient un caractère générique susceptible d'être étendu à un grand nombre de compartiments, y compris des compartiments inexistants et des compartiments dont vous n'êtes pas le propriétaire. L'accès n'est pas restreint en utilisant s3:ResourceAccount ou en spécifiant le compte de ressources si la condition ne vous appartient pas.

Ce résultat est généré si la politique accorde l'autorisation à des compartiments qui n'existent pas, ne vous appartiennent pas ou dont le nom contient des caractères génériques couvrant un grand nombre de compartiments et que l'accès est limité à un compte spécifique uniquement. Cependant, le compte indiqué dans la clé de aws:ResourceAccount condition ne vous appartient pas et est géré par AMS. Pour résoudre ce problème, mettez à jour la clé de aws:ResourceAccount condition et définissez l'identifiant de compte approprié que vous possédez et qui est géré par AMS.

La déclaration contient des actions privilégiées qui ne sont pas limitées à vos instances pour Amazon EC2. Envisagez d'étendre les actions à une instance spécifique ARNs ou d'exclure les instances dont la clé de balise Name contient une valeur dans les préfixes d'espace de noms AMS. Si des caractères génériques sont utilisés, assurez-vous qu'ils correspondent aux espaces de noms que vous possédez.

Ce résultat est généré si la politique accorde des actions privilégiées contre les EC2 instances Amazon détenues par AMS. Les instances AMS sont étiquetées avec la clé Name tag avec des valeurs dans l'espace de noms AMS. Pour résoudre ce problème, spécifiez vos ressources ou excluez les instances AMS avec une condition dont la aws:ResourceTag/Name clé exclut les valeurs de l'espace de noms AMS à l'aide de l'opérateur StringNotLike

L'instruction contient des actions privilégiées qui ne sont pas limitées à vos ressources dans le magasin de AWS Systems Manager paramètres. Envisagez ARNs de spécifier vos paramètres ou d'exclure des paramètres avec des préfixes d'espace de noms AMS. Si des caractères génériques sont utilisés, assurez-vous qu'ils ne concernent que vos paramètres.

Ce résultat est généré si la politique accorde des autorisations à des paramètres qui ne vous appartiennent pas. C'est généralement le cas lorsque des caractères génériques sont utilisés ou que des paramètres avec des préfixes d'espace de noms AMS sont répertoriés sous ressources dans une déclaration de politique. Pour résoudre ce problème, spécifiez les paramètres qui se trouvent dans votre espace de noms ou excluez les paramètres AMS avec une instruction deny.

La déclaration contient des actions privilégiées contre les ressources de AWS Systems Manager. Envisagez de délimiter les autorisations pour lire uniquement les actions ou les actions portant sur vos ressources.

Ce résultat est généré si la politique accorde des autorisations autres que le magasin de paramètres ou des actions en lecture seule sur les ressources de Systems Manager. Pour résoudre ce problème, réduisez les autorisations relatives aux actions en lecture seule ou au stockage des paramètres uniquement.

L'instruction contient des actions privilégiées qui ne sont pas limitées à {message} dans la mesure où vous en Service_Name êtes propriétaire. Envisagez d'étendre ces autorisations à des types de ressources spécifiques, le cas échéant, ou d'exclure les ressources détenues par AMS. Si des jokers sont utilisés, assurez-vous qu'ils correspondentResources.

Ce résultat est généré si la politique autorise des actions privilégiées qui ne sont pas accordées sur vos ressources, en particulier pour les ressources nommées. Pour résoudre ce problème, examinez votre liste de ressources et vérifiez si elle ne couvre que les ressources présentes dans votre espace de noms. Vous pouvez également exclure les ressources qui se trouvent dans l'espace de noms AMS.

L'instruction contient des actions de balisage de {Service_Name} qui ne sont pas limitées à des valeurs spécifiques pour la clé de balise Name. Envisagez de définir la portée de ces actions en définissant la clé de aws:RequestTag/Name condition avec les valeurs de votre espace de noms ou limitez ces actions en définissant la clé de aws:RequestTag/Name condition avec l'StringNotLikeopérateur dont les valeurs se trouvent dans les préfixes de l'espace de noms AMS.

Ce résultat est généré si la politique accorde l'autorisation de balisage pour un service donné et que l'autorisation n'est pas limitée à des clés/valeurs de balise spécifiques. Pour déterminer quelle clé ou valeur peut être utilisée dans les actions de balise, par exemple, lorsque vous demandez d'effectuer les actions, utilisez la aws:RequestTag/tag key condition. Donc, pour résoudre ce problème, utilisez cette clé de condition pour restreindre la clé ou les valeurs dans votre espace de noms. Vous pouvez également refuser la Name balise key (aws:RequestTag/Name) avec des valeurs dans l'espace de noms AMS.

Erreur interne lors de la validation de la politique de confiance des rôles IAM.

Ce résultat est généré lorsque CT Automation rencontre une erreur lors de la validation de la politique de confiance des rôles IAM via le service IAM Access Analyzer. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

Erreur interne lors de la validation de la politique gérée par le client.

Ce résultat est généré lorsque CT Automation rencontre une erreur lors de l'ovalidation de la politique gérée par le client via le service IAM Access Analyzer. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

L'analyseur d'accès est introuvable dans. Région AWS Impossible de vérifier l'aperçu des accès pour la politique de confiance des rôles.

Ce résultat est généré lorsque la ressource IAM Access Analyzer n'est pas trouvée dans le. Région AWS Contactez AMS Operations pour résoudre les problèmes et créer une ressource IAM Access Analyzer dans la région AWS.

Politique de confiance non valide pour le rôle Role_Name

Ce résultat est généré lorsque le rôle IAM fourni contient une politique de confiance non valide. Pour résoudre le problème, passez en revue la politique de confiance afin de vérifier qu'elle est valide.

IAM Access Analyzer a rencontré une erreur interne. Impossible de créer un aperçu des accès pour le rôle Role_Name

Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la création d'un aperçu des accès pour un rôle via l'analyseur d'accès IAM. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

Impossible de créer un aperçu de l'accès pour la politique de confiance du rôle Role_Name

Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la création d'un aperçu des accès pour un rôle via l'analyseur d'accès IAM. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

Erreur interne lors de la validation de l'IdP SAML répertorié.

Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation du SAML fourni IdPs répertorié dans la politique de confiance des rôles. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

Erreur interne lors de la validation des autorisations par rapport à AWS Key Management Service.

Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation des autorisations AWS KMS clés dans la politique fournie. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

Erreur interne lors de la validation de la politique ARNs gérée répertoriée.

Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation de la politique ARNs gérée répertoriée. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

Erreur interne lors de la validation de la customer_deny_policy pièce jointe par défaut.

Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation de customer_deny_policy l'attachement au rôle. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

Erreur interne lors de la validation des avertissements de politique gérés pour le rôle Role_Name

Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation de la politique gérée ARNs pour le rôle. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

Erreur interne lors de la validation par Policy_name rapport à la politique de limites définie par le client AWSManagedServicesIAMProvisionCustomerBoundaryPolicy

Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation de la politique qui contient votre liste de refus personnalisée. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème.

La politique de limites définie par le client AWSManagedServicesIAMProvisionCustomerBoundaryPolicy existe dans le compte. Cependant, la politique contient des instructions d'autorisation qui accordent des autorisations. La politique ne doit contenir que des déclarations de refus.

Ce résultat est généré lorsque la politique qui contient votre liste de refus personnalisée inclut une déclaration qui accorde l'autorisation. Bien que la liste de refus personnalisée existe dans votre compte en tant que politique gérée par IAM, elle ne peut pas être utilisée pour la gestion des autorisations. La politique ne doit contenir que des déclarations de refus indiquant que vous souhaitez qu'AMS Automated IAM Provisioning valide et refuse les actions créées par AMS Automated IAM Provisioning dans vos politiques IAM.

La déclaration contient des actions privilégiées définies par votre organisation pourService_Name. Envisagez d'exclure ces actions par une déclaration de refus. Reportez-vous à la politique indiquée dans votre compte pour consulter la liste restreinte d'actions.

Ce résultat est généré lorsque l'automatisation détecte une action dans votre politique que vous avez définie dans la liste de refus personnalisée. Pour résoudre le problème, passez en revue votre déclaration de politique et supprimez toutes les actions définies dans votre liste de refus personnalisée ou ajoutez une déclaration de refus refusant ces actions.

Le rôle doit être POLICY_ARN attaché. Incluez l'ARN de la politique dans la liste des politiques gérées ARNs.

Ce résultat est généré si le rôle que vous créez n'est pas POLICY_ARN associé à ce rôle. Pour résoudre ce problème, incluez-le POLICY_ARN dans le ManagedPolicyArnschamp du rôle et réessayez.

Ils ne POLICY_ARN peuvent pas être détachés du rôle. Incluez l'ARN de la politique dans la liste des politiques gérées ARNs.

Ce résultat est généré s'il POLICY_ARN est détaché du rôle lors d'une mise à jour. Pour résoudre ce problème, ajoutez POLICY_ARN le ManagedPolicyArnsdans le champ du rôle et réessayez.