

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Déploiement de ressources IAM dans AMS Advanced
<a name="deploy-iam-resources"></a>

AMS déploie les ressources IAM dans votre application de zone d'atterrissage multi-comptes (MALZ) et dans vos comptes de zone d'atterrissage à compte unique (SALZ) de deux manières :
+ Provisionnement IAM automatisé : cette fonctionnalité d'AMS vous permet de soumettre, de créer, de mettre à jour ou de supprimer des types de modifications pour le provisionnement des rôles ou des politiques IAM, sans examen par l'opérateur, et avec des contrôles de validation IAM et AMS exécutés automatiquement.

  Cette fonctionnalité doit être explicitement activée avec le type de modification Management \$1 Managed account \$1 AMS Automated IAM Provisioning with read-write permissions \$1 [Enable (automatisation gérée) (ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html). Pour en savoir plus, veuillez consulter la section [Provisionnement IAM automatisé (AMS)](auto-iam-provisioning.md). Une fois le provisionnement IAM automatisé d'AMS activé, vous avez accès aux types de modification de création, de mise à jour et de suppression pour gérer vos ressources IAM.
+ type de modification IAM pour automatisation gérée : ce type de modification, Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 [Create entity or policy (managed automation) (ct-3dpd8mdd9jn1r)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html), nécessite un examen par un opérateur AMS, qui peut parfois prendre quelques jours si des clarifications sont nécessaires.

**Note**  
Quelle que soit la méthode utilisée, un rôle IAM est attribué au ou aux comptes concernés et, une fois le rôle configuré, vous devez l'intégrer dans votre solution de fédération.

# Provisionnement IAM automatisé (AMS)
<a name="auto-iam-provisioning"></a>

AWS Managed Services (AMS) prend en charge la validation et le provisionnement automatisés des ressources IAM, y compris les rôles et les politiques, à l'aide des demandes de modification (RFCs) et des nouveaux types de modification () d'AMS Advanced. CTs Auparavant, ces demandes étaient soumises à un processus semi-automatisé qui entraînait parfois de longs délais d'attente. Vous pouvez désormais utiliser AMS Automated IAM Provisioning pour provisionner des ressources IAM et obtenir des résultats beaucoup plus rapidement.

# Comment fonctionne le provisionnement IAM automatisé dans AMS
<a name="aip-how-works"></a>

Le provisionnement IAM automatisé repose sur des contrôles d'exécution automatisés permettant à IAM de valider les modifications apportées aux ressources IAM. Ces contrôles automatisés, effectués lorsque les types de modification Créer, Mettre à jour ou Supprimer sont exécutés, empêchent le déploiement de ressources IAM trop permissives ou présentant des modèles peu sécurisés sur votre compte. Cela vous permet d'adapter le niveau de rigueur des évaluations IAM à l'expertise de votre équipe. Nous recommandons aux équipes qui découvrent les services cloud et qui ont besoin de vérifications manuelles pour toutes les modifications des ressources IAM d'utiliser le type de modification existant nécessitant une révision : Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) [\$1 Create entity or policy (automation gérée), (](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html)ct-3dpd8mdd9jn1r). Les équipes ayant AWS l'expertise et le contrôle de leurs environnements peuvent utiliser le provisionnement IAM automatisé pour accélérer leurs déploiements. Vous pouvez utiliser cette fonctionnalité pour effectuer une validation par le biais de contrôles d'exécution automatisés ou pour effectuer la validation et le provisionnement des ressources IAM après une validation réussie.

**Important**  
AWS Managed Services a mis en œuvre de manière proactive une liste de [contrôles d'exécution](aip-runtime-checks.md) de validation qui empêchent la création de ressources ou de politiques IAM assorties de certaines autorisations et conditions. Pour une description de ces privilèges et conditions, consultez la section [Déploiement de ressources IAM dans AMS Advanced](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html). Les types de modifications automatisés [ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html) [et [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) permettent aux utilisateurs maîtrisant la gestion des ressources IAM de fournir des rôles et des politiques IAM autorisant des actions au-delà des privilèges de lecture seule.  
[https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) Cependant, les ressources ne peuvent pas suivre la norme de dénomination AMS et ne font pas partie de la pile AMS standard. AMS fournit le soutien opérationnel et de sécurité de ces ressources spécifiques dans la mesure du possible.  
Bien que les processus manuels et automatisés visent à respecter nos normes de sécurité, il est important de noter qu'il existe des différences dans les contrôles entre les deux. Le provisionnement automatisé permet une plus grande flexibilité dans la création et la mise à jour des rôles et des politiques ; ils ne sont donc pas identiques. Il est recommandé que votre organisation examine attentivement les [contrôles d'exécution](aip-runtime-checks.md) de validation répertoriés dans le guide de l'utilisateur AMS afin de s'assurer qu'ils correspondent aux attentes et aux exigences de votre organisation.

**Flux de validation**

![\[Flux de validation\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/Validation-Flow.png)


**Flux de validation et de provisionnement**

![\[Flux de validation et de provisionnement\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/Validation-and-Provisioning-Flow.png)


**Note**  
Cette fonctionnalité convient aux équipes expérimentées avec les ressources IAM, AWS et nous ne la recommandons pas aux équipes qui en sont à AWS leur première expérience. Le processus de validation automatique est conçu pour détecter la plupart des erreurs et permet aux équipes de vérifier rapidement les modifications apportées à l'IAM, lorsqu'elles comprennent les autorisations dont elles ont besoin. Pour utiliser les nouveaux types de modifications de manière sûre et efficace, nous vous recommandons de bien comprendre l' AWS IAM et les [contrôles d'exécution](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks.html) proposés par les types de modifications afin de déterminer s'ils conviennent à votre équipe. 

# Intégration à AMS Provisionnement IAM automatisé dans AMS
<a name="aip-onboarding"></a>

Pour utiliser les nouveaux types de modification, activez d'abord AMS Automated IAM Provisioning en soumettant une RFC en utilisant le type de modification suivant : Gestion \$1 Compte géré \$1 Provisionnement IAM automatisé AMS avec autorisations de lecture-écriture \$1 [Activer (automatisation gérée) (](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf). AWS exige que votre organisation suive un processus de gestion des risques liés à la sécurité des clients (CSRM) afin de garantir que l'utilisation de ces types de modifications est conforme à vos politiques organisationnelles. L'équipe AWS des opérations travaille avec vous pour obtenir l'approbation explicite de votre contact avec l'équipe de sécurité sous la forme d'une acceptation des risques dans le cadre de l'examen requis. Pour en savoir plus, consultez le processus de [gestion des risques clients (CSRM) de la RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-security.html).

Une fois que le RFC pour activer la fonctionnalité AMS Automated IAM Provisioning avec autorisations de lecture-écriture est réussi, AMS active les types de modification du provisionnement IAM automatisé AMS dans le compte utilisé pour soumettre le RFC d'activation. Pour vérifier qu'AMS Automated IAM Provisioning est activé sur un compte, vérifiez le rôle dans la console IAM. `AWSManagedServicesIAMProvisionAdminRole`

Dans le cadre de l'intégration, AMS fournit IAM Access Analyzer dans la même région AWS que le compte afin de tirer parti de sa fonctionnalité de prévisualisation des accès. IAM Access Analyzer aide à identifier les ressources de votre organisation et les comptes partagés avec une entité externe, valide les politiques IAM par rapport à la grammaire des politiques et aux meilleures pratiques, et génère des politiques IAM basées sur l'activité d'accès dans vos journaux. AWS CloudTrail Pour en savoir plus, consultez la section [Utilisation AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html).

Une fois intégré, il `AWSManagedServicesIAMProvisionAdminRole` est déployé sur les comptes activés. Si vous choisissez d'utiliser ce rôle par le biais de la fédération SAML, vous devez l'intégrer à votre solution de fédération. 

Dans le cadre de l'intégration, vous pouvez demander à mettre à jour la politique IAMProvision AdminRole de confiance AWSManaged des Services afin d'octroyer un autre ARN de rôle IAM à utiliser pour assumer ce rôle. AWS Security Token Service

# Utilisation du provisionnement IAM automatisé d'AMS dans AMS
<a name="aip-using"></a>

Vous pouvez créer RFCs avec les types de modifications AMS Automated IAM Provisioning suivants.

**Note**  
Seul le provisionnement basé sur les rôles et les politiques est pris en charge.  
Lors de la mise à jour des rôles, l'Update CT remplace la liste existante des noms de ressources Amazon des politiques gérées (ARNs) et le document de politique « assumer un rôle », par la liste fournie des politiques gérées ARNs et du document de politique « assumer un rôle » fournis. Lors d'une mise à jour partielle, par exemple, l'ajout ou la suppression d'un ARN dans la liste existante des politiques gérées ARNs, l'ajout ou la suppression de déclarations de politique individuelles dans le document de politique « assumer un rôle » n'est pas autorisé. De même, lors de la mise à jour des politiques, l'Update CT remplace le document de politique existant et ne permet pas d'ajouter ou de supprimer des déclarations de politique individuelles dans le document de politique existant.
Lorsque l'option « valider uniquement » est sélectionnée, les contrôles d'exécution sont effectués sans provisionner d'entité ou de politique IAM. Quels que soient les résultats, le statut de la RFC est « succès ». Le statut « réussite » indique une validation réussie par rapport à l'entité ou à la politique IAM fournie.
+ Déploiement \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Création d'une entité ou d'une politique (autorisations de lecture-écriture) (ct-1n9gfnog5x7fl)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html) : une nouvelle entité ou politique IAM est validée et provisionnée automatiquement.
+ Gestion \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Mettre à jour l'entité ou la politique (autorisations de lecture-écriture) (ct-1e0xmuy1diafq)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) : une entité ou une politique IAM existante est mise à jour et validée automatiquement.
+ Management \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Supprimer une entité ou une politique (autorisations de lecture-écriture) (ct-17cj84y7632o6)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) : une entité ou une politique IAM existante provisionnée à l'aide du type de création automatique d'entité ou de changement de politique est supprimée.

Vous ne pouvez appeler les trois précédents qu' CTs en utilisant un rôle IAM dédié :`AWSManagedServicesIAMProvisionAdminRole`. Ce rôle n'est disponible que dans les comptes qui ont été intégrés à la fonctionnalité à l'aide des autorisations de lecture/écriture Management \$1 Compte géré \$1 AMS Automated IAM Provisioning \$1 [Activer (automatisation gérée) (](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf).

**Important**  
Les types de modification Créer, Mettre à jour et Supprimer sont toujours visibles dans votre compte, mais ils ne sont pas activés par défaut. Si vous essayez de soumettre une RFC en utilisant l'un de ces types de modification sans activer au préalable la fonctionnalité AMS Automated IAM Provisioning, une erreur « non autorisée » s'affiche.

**Limites :**
+ Le Create CT peut vous permettre de créer un rôle ou une politique IAM avec l'autorisation de créer des AWS ressources. Cependant, AWS les ressources créées par ces rôles et politiques ne sont pas gérées par AMS. Il est recommandé de respecter le contrôle de votre organisation afin de limiter la création de tels rôles ou politiques.
+ L'Update CT ne peut pas modifier les rôles et les politiques IAM créés avec CFN Ingest, le mode Direct Change, le mode développeur ou, dans certains cas, via le manuel ou automatisé AMS Advanced existant. CTs
+ Le Delete CT ne peut pas supprimer les rôles ou les politiques existants qui ne sont pas créés avec l'AMS Automated IAM Provisioning Create CT.
+ La fonctionnalité AMS Automated IAM Provisioning avec autorisations de lecture-écriture n'est pas prise en charge dans les rôles en mode de changement direct. Cela signifie que vous ne pouvez pas attribuer ou mettre à jour des rôles et des politiques IAM avec des autorisations de lecture-écriture à l'aide de ces rôles.
+ Le provisionnement IAM automatisé AMS avec autorisations de lecture/écriture Les types de modification de création, de mise à jour et de suppression ne sont pas compatibles avec le connecteur. ServiceNow 

# Contrôles d'exécution pour le provisionnement IAM automatisé d'AMS dans AMS
<a name="aip-runtime-checks"></a>

Le provisionnement IAM automatisé tire parti des vérifications et effectue des AWS Identity and Access Management Access Analyzer vérifications et des validations supplémentaires par rapport à la politique de limites AMS. AMS a défini les contrôles et validations supplémentaires en fonction des meilleures pratiques IAM, de l'expérience d'exploitation de la charge de travail des clients dans le cloud et de l'expérience collective d'évaluation manuelle d'AMS IAM.

Vous pouvez consulter les résultats de la vérification de l'exécution des politiques dans le résultat de la demande de modification (RFC). Les résultats incluent l'identifiant de la ressource, son emplacement au sein de la and/or politique de rôle qui a généré les résultats et un message décrivant le contrôle que l'entité ou la ressource IAM n'a pas réussi. Ces résultats vous aident à créer des politiques fonctionnelles et conformes aux meilleures pratiques en matière de sécurité.

**Note**  
Le provisionnement IAM automatisé tente de préciser l'emplacement au sein de l'entité ou de la définition de politique qui ne passe pas le contrôle. Selon le type, l'emplacement peut inclure le nom ou l'ARN de la ressource, ou l'index d'un tableau. Par exemple, une déclaration pour vous aider à ajuster l'entité ou la politique en vue d'un résultat positif.

Pour une expérience fluide de provisionnement IAM automatisé AMS, il est recommandé d'utiliser l'option « valider uniquement » pour exécuter les contrôles de validation jusqu'à ce qu'aucun résultat ne soit trouvé lors des contrôles de validation signalés dans les sorties RFC. Lorsque les contrôles de validation ne signalent aucun résultat, choisissez **Create copy** from the AMS Console pour créer rapidement une copie de la RFC existante. Lorsque vous êtes prêt à effectuer le provisionnement, dans la section **Paramètres**, changez **la valeur Validation uniquement** de **Oui** à **Non**, puis continuez.

Voici les contrôles d'exécution effectués par AMS Automated IAM Provisioning pour garantir la sécurité de vos ressources IAM :

**Note**  
Pour configurer des politiques IAM contenant des actions refusées par ces types de modifications automatisées, vous devez suivre le processus de gestion des risques de sécurité des clients (CSRM) RFC. Utilisez le type de modification suivant : Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 Créer une entité ou une politique (automatisation gérée) (ct-3dpd8mdd9jn1r).
+ **Vérification et validation des politiques d'IAM Access Analyzer : voir également la référence de vérification** [des politiques d'Access Analyzer et la validation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html) d'[IAM Access](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) Analyzer.
+ **Vérifications de la politique des limites des autorisations AMS :** actions sur un ensemble de services refusées par défaut. Pour plus d'informations, consultez la section Vérification [des limites d'autorisation du provisionnement IAM automatisé](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Vérifications de la politique des limites des autorisations définies par le client :** actions restreintes supplémentaires sur un ensemble de services refusés. Pour plus d'informations, consultez la section Vérification [des limites d'autorisation du provisionnement IAM automatisé](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Contrôles personnalisés définis par AMS** : ils identifient diverses politiques ou modèles d'accès non sécurisés et trop permissifs au sein d'une entité ou d'une politique IAM demandée, et rejettent la demande si elle est trouvée. Pour plus d'informations, voir [Éléments de politique AWS JSON : Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).


| Résultat | Description | 
| --- | --- | 
| Le rôle est accessible à partir d'un compte externe situé en dehors de votre zone de confiance. | Ce résultat fait référence à un principal répertorié dans la politique de confiance des rôles qui se trouve en dehors de votre zone de confiance. Une zone de confiance est définie comme le compte dans lequel le rôle est créé ou l' AWS organisation à laquelle appartient le compte. Une entité qui n'appartient pas au compte ou à la même AWS organisation est une entité externe. Pour résoudre ce problème, vérifiez l'identifiant du compte indiqué sur le compte principal ARNs et assurez-vous qu'il vous appartient et qu'il s'agit d'un compte intégré à AMS. | 
| Le rôle est accessible à une entité externe détenue par un compte *External\$1Account\$1ID* qui n'appartient pas au compte propriétaire du client AMS. *Account\$1ID* | Ce résultat est généré si la politique de confiance dans les rôles inclut un ARN principal dont l'identifiant de compte ne vous appartient pas et un compte AMS intégré. Pour résoudre ce problème, supprimez un tel principal de la politique de confiance dans les rôles. | 
| L'ID utilisateur canonique n'est pas un principe pris en charge dans la politique de confiance IAM. | Les principes canoniques ne IDs sont pas pris en charge dans la politique de confiance IAM. Pour résoudre le problème, supprimez tout principe de ce type de la politique de confiance en matière de rôle. | 
| Le rôle est accessible via une identité Web externe située en dehors de votre zone de confiance. | Ce résultat est généré si la politique de confiance dans les rôles autorise un fournisseur d'identité Web (IdP) externe autre que l'IdP SAML. Pour résoudre ce problème, passez en revue la politique de confiance dans les rôles et supprimez les instructions qui autorisent l'`sts:AssumeRoleWithWebIdentity`opération. | 
| Le rôle est accessible via la fédération SAML ; toutefois, le fournisseur d'identité SAML (IdP) fourni n'existe pas. | Ce résultat est généré si la politique d'approbation des rôles contient un IdP SAML qui n'existe pas dans votre compte. Pour résoudre le problème, assurez-vous que tous les IdP SAML répertoriés existent dans votre compte. | 
| La politique contient des actions privilégiées équivalentes à l'accès d'un administrateur ou d'un utilisateur avancé. Envisagez de réduire la portée des autorisations à un service, une action ou une ressource spécifique. Si des éléments de stratégie avancés tels que **NotAction**ou **NotResource**sont utilisés, assurez-vous qu'ils n'accordent pas plus d'accès que prévu, en particulier dans les instructions **Allow**. | Il s'agit d'une bonne pratique de sécurité qui consiste Gestion des identités et des accès AWS à n'accorder que les autorisations requises pour effectuer une tâche lorsque vous définissez des autorisations à l'aide de politiques IAM. Pour ce faire, définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations du moindre privilège. Ce résultat est généré lorsque l'automatisation détecte que la politique accorde des autorisations étendues et ne respecte pas le principe du moindre privilège. Pour résoudre le problème, passez en revue et réduisez les autorisations. | 
| La déclaration contient des actions privilégiées pour*Service\$1Name*. Envisagez d'exclure ces actions par une déclaration de refus. Reportez-vous à la référence de politique des limites dans la documentation AMS pour obtenir une liste des actions privilégiées. | AMS a identifié certaines actions liées à un service donné comme risquées et nécessitant un examen plus approfondi des risques et leur acceptation par l'équipe de sécurité du client. Ce résultat est généré lorsque l'automatisation détecte la politique donnée accordant de telles autorisations. Pour résoudre ce problème, refusez ces actions dans votre politique. Pour une liste d'actions, reportez-vous à la politique de limites AMS. Pour plus de détails sur la politique de limites de l'AMS, voir[Vérification des limites des autorisations de provisionnement IAM automatisé AMS](aip-runtime-checks-perm-boundary.md).  | 
| [https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) *Service\$1Name* Envisagez d'étendre les autorisations à des types de modifications spécifiques ou d'exclure ces types de modifications par une déclaration de refus. | Ce résultat est généré si la politique accorde des autorisations pour effectuer des actions liées à la RFC à l'aide des types de modification du provisionnement IAM automatisé (). CTs Ils CTs sont soumis à l'acceptation des risques et ne doivent être utilisés que dans le cadre de rôles intégrés. Vous ne pouvez donc pas leur accorder d'autorisation CTs. Pour résoudre ce problème, refusez les actions RFC utilisant celles-ci CTs. | 
| La déclaration contient des actions privilégiées qui ne sont pas limitées à vos ressources de service*Service\$1Name*. Envisagez d'étendre les actions à des ressources spécifiques ou d'exclure des ressources avec des préfixes d'espace de noms AMS. Si des caractères génériques sont utilisés, assurez-vous qu'ils limitent la portée à vos ressources. | Ce résultat est généré si la politique accorde des actions privilégiées qui ne sont pas limitées à vos ressources du service donné. Les jokers créent souvent des politiques trop permissives qui intègrent un large éventail de ressources ou d'actions dans le champ d'application de l'autorisation. Pour résoudre ce problème, réduisez l'étendue des autorisations accordées aux ressources que vous possédez ou excluez les ressources qui se trouvent dans l'espace de noms AMS. Pour obtenir la liste des préfixes d'espaces de noms AMS, consultez la politique de limites dans la documentation AMS. Notez que tous les préfixes ne s'appliquent pas à tous les services. Pour plus de détails sur la politique de limites de l'AMS, voir[Vérification des limites des autorisations de provisionnement IAM automatisé AMS](aip-runtime-checks-perm-boundary.md). | 
| ID de compte ou nom de ressource Amazon (ARN) non valide. | Ce résultat est généré si un ARN ou un ID de compte spécifié dans la politique ou la politique de confiance des rôles n'est pas valide. Pour consulter les ressources de l'ARN de ressource valide pour les services, consultez la [référence d'autorisation des services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html). Assurez-vous que l'identifiant du compte est un numéro à 12 chiffres et que le compte est actif dans AWS. | 
| L'utilisation du caractère générique (\$1) pour l'identifiant de compte dans l'ARN est limitée. | Ce résultat est généré si un caractère générique (\$1) est spécifié dans le champ ID de compte d'un ARN. Un joker dans un champ d'identifiant de compte correspond à n'importe quel compte et accorde potentiellement des autorisations involontaires à des ressources. Pour résoudre ce problème, remplacez le joker par un identifiant de compte spécifique. | 
| Le compte de ressources spécifié n'appartient pas au même compte client AMS*Account\$1ID*. | Ce résultat est généré si un identifiant de compte spécifié dans un ARN de ressource ne vous appartient pas et n'est pas géré par AMS. Pour résoudre ce problème, assurez-vous que toutes les ressources (telles que spécifiées par leur ARN dans la politique) appartiennent à vos comptes gérés par AMS. | 
| Le nom du rôle se trouve dans l'espace de noms restreint AMS. | Ce résultat est généré si vous essayez de créer un rôle dont le nom commence par un préfixe réservé AMS. Pour résoudre ce problème, attribuez un nom au rôle spécifique à votre cas d'utilisation. Pour une liste des préfixes réservés AMS, voir Préfixes [réservés AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html) | 
| Le nom de la politique se trouve dans l'espace de noms restreint AMS. | Ce résultat est généré si vous essayez de créer une politique dont le nom commence par un préfixe réservé AMS. Pour résoudre ce problème, attribuez à la politique un nom spécifique à votre cas d'utilisation. Pour obtenir la liste des préfixes réservés AMS, consultez la section [Préfixes réservés AMS.](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html) | 
| L'ID de ressource dans l'ARN se trouve dans l'espace de noms restreint AMS. | Ce résultat est généré si vous essayez de créer une politique qui accorde l'autorisation aux ressources nommées qui se trouvent dans l'espace de noms AMS. Pour résoudre ce problème, assurez-vous d'étendre les autorisations à vos ressources ou de refuser les autorisations aux ressources qui se trouvent dans l'espace de noms AMS. Pour plus d'informations sur les espaces de noms AMS, consultez la section Espaces de [noms restreints AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-namespaces.html). | 
| Cas de variable de politique non valide. Mettez à jour la variable sur*Variable\$1Names*. | Ce résultat est généré si vous essayez de créer une politique contenant une variable de stratégie globale IAM dans le mauvais cas. Pour résoudre ce problème, utilisez le cas correct pour les variables globales dans votre politique. Pour obtenir la liste des variables globales, consultez la section [Clés contextuelles des conditions AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Pour plus d'informations sur les variables de stratégie, voir [Éléments de stratégie IAM : variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) | 
| L'instruction contient des actions privilégiées qui ne sont pas limitées à vos clés KMS. Envisagez d'étendre ces autorisations à des clés spécifiques ou d'exclure les clés détenues par AMS. | Ce résultat est généré si la politique contient des autorisations qui ne sont pas limitées à des clés KMS spécifiques que vous possédez. Pour résoudre ce problème, étendez l'autorisation à des clés spécifiques ou excluez les clés détenues par AMS. Les clés détenues par AMS ont des ensembles d'alias spécifiques. Pour obtenir la liste des alias de clés détenus par AMS, consultez[Vérification des limites des autorisations de provisionnement IAM automatisé AMS](aip-runtime-checks-perm-boundary.md). | 
| L'instruction contient des actions privilégiées qui ne sont pas limitées à vos alias de clés KMS. Envisagez d'étendre ces autorisations à vos clés ou alias, ou d'exclure les alias de clés appartenant à AMS. | Ce résultat est généré si la politique contient des autorisations qui ne sont pas limitées à un alias de clé KMS spécifique que vous possédez. Pour résoudre ce problème, étendez l'autorisation à des clés spécifiques ou excluez les clés détenues par AMS. Les clés détenues par AMS ont des ensembles d'alias spécifiques. Pour obtenir la liste des alias de clés détenus par AMS, consultez[Vérification des limites des autorisations de provisionnement IAM automatisé AMS](aip-runtime-checks-perm-boundary.md). | 
| L'instruction contient des actions privilégiées qui ne sont pas correctement limitées à vos clés KMS à l'aide du`kms:ResourceAliases condition`. Envisagez d'utiliser des noms d'alias spécifiques ainsi que l'opérateur set approprié pour la clé de condition. Si des caractères génériques sont utilisés dans les noms d'alias, assurez-vous qu'ils limitent la portée à un ensemble limité de vos clés KMS. | Ce résultat est généré si vous délimitez les autorisations relatives à vos clés KMS à l'aide de conditions et que vous ne les utilisez `kms:ResourceAliases` pas pour vous limiter aux alias de vos clés KMS. Ou, si la clé de `kms:ResourceAliases` condition a une valeur qui inclut également les alias des clés KMS appartenant à AMS. Pour résoudre ce problème, mettez à jour la condition afin de limiter l'autorisation aux alias de vos clés KMS ou d'exclure les alias des clés KMS détenues par AMS. Pour obtenir la liste des alias de clés détenus par AMS, consultez[Vérification des limites des autorisations de provisionnement IAM automatisé AMS](aip-runtime-checks-perm-boundary.md). | 
| Le rôle doit être associé à customer\$1deny\$1policy. Incluez l'ARN de la politique dans la liste des politiques gérées ARNs. | Ce résultat est généré si le rôle que vous créez n'est pas `customer_deny_policy` associé à ce rôle. Pour résoudre ce problème, incluez-les `customer_deny_policy` dans la ARNs liste des politiques gérées. | 
| La politique AWS gérée est trop permissive ou accorde des autorisations limitées par la politique de limites AMS. | Ce résultat est généré si la **ManagedPolicyArns**valeur du rôle contient une politique gérée par AMS qui fournit un accès complet ou de niveau administrateur au service concerné. Pour résoudre ce problème, passez en revue l'utilisation de la politique AWS gérée et utilisez une politique qui fournit des autorisations limitées ou définissez votre propre politique qui respecte le principe du moindre privilège. | 
| La politique gérée par le client se trouve dans un espace de noms AMS restreint. | Ce résultat est généré si une politique gérée par le client dont le nom est préfixé dans l'espace de AWS noms est attachée au rôle. Pour résoudre ce problème, supprimez la politique de la **ManagedPolicyArn**liste correspondant au rôle. | 
| Le customer\$1deny\$1policy ne peut pas être détaché du rôle. Incluez l'ARN de la politique dans la liste des politiques gérées ARNs. | Ce résultat est généré s'il `customer_deny_policy` est détaché du rôle lors d'une mise à jour. Pour résoudre ce problème, ajoutez `customer_deny_policy` le **ManagedPolicyArns**dans le champ du rôle et réessayez. | 
| Les politiques gérées par le client ont été mises en place en dehors du service AMS Change Management ou sans validation préalable. | Ce résultat est généré si une ou plusieurs politiques existantes gérées par le client ARNs sont associées à un rôle et que les politiques ne sont pas fournies via le service AMS Change Management (via une RFC). Par exemple, le mode développeur ou le mode changement direct permettent aux clients de mettre en place des politiques IAM sans RFC. Pour résoudre ce problème, supprimez la politique gérée par le client ARNs de la **ManagedPolicyArns**liste correspondant au rôle. | 
| Le nombre de politiques gérées fournies ARNs dépasse le quota de politiques attachées par rôle. | Ce résultat est généré si le nombre total de politiques gérées associées au rôle dépasse le quota de politiques par rôle. Pour plus d'informations sur les quotas IAM, consultez les rubriques Quotas [IAM et AWS STS, exigences relatives aux noms et limites de caractères](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). Utilisez ces informations pour réduire le nombre de politiques que vous associez au rôle. | 
| La taille de la politique de confiance (\$1trust\$1policy\$1) dépasse le quota de taille de la politique de rôle assumé de \$1size\$1. | Ce résultat est généré si la taille du document de politique d'acceptation du rôle dépasse le quota de taille de la politique. Pour plus d'informations sur les quotas IAM, consultez les rubriques Quotas [IAM et AWS STS, exigences relatives aux noms et limites de caractères](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). | 
| La déclaration contient toutes les actions mutatives pour Amazon S3. Envisagez de limiter ces autorisations aux actions requises uniquement. Si des caractères génériques sont utilisés, assurez-vous qu'ils ont une portée limitée d'actions mutatives. | Ce résultat est généré si la politique donnée accorde à toutes les autorisations mutatives d'Amazon Simple Storage Service, indépendamment d'une ou de plusieurs ressources. Pour résoudre ce problème, incluez uniquement les actions mutatives Amazon S3 requises contre vos buckets. | 
| La déclaration contient des actions privilégiées qui ne sont autorisées sur aucun compartiment dans Amazon S3. Envisagez d'ajouter une déclaration niant ces actions. | Ce résultat est généré si la politique accorde des actions privilégiées sur n'importe quel bucket. Pour obtenir la liste des actions privilégiées, voir [Vérification des limites des autorisations de provisionnement IAM automatisé AMS](aip-runtime-checks-perm-boundary.md) Pour résoudre ce problème, supprimez ou refusez ces actions dans votre politique. | 
| La déclaration contient des actions privilégiées qui ne sont pas limitées à vos compartiments dans Amazon S3. Envisagez d'inclure vos buckets ou d'exclure les buckets avec des préfixes d'espace de noms AMS. Si des caractères génériques sont utilisés, assurez-vous qu'ils correspondent aux compartiments de vos espaces de noms. | Ce résultat est généré si la politique autorise des actions Amazon S3 qui ne sont pas limitées à vos buckets uniquement. Cela se produit souvent si des caractères génériques sont utilisés lors de la spécification des ressources du bucket. Pour résoudre ce problème, spécifiez les noms des compartiments ou indiquez ARNs que vous êtes propriétaire ou excluez les compartiments dotés de préfixes d'espace de noms AMS. | 
| La déclaration contient des actions privilégiées qui ne sont pas limitées à vos compartiments dans Amazon S3. Pensez à éviter d'utiliser des caractères génériques (\$1) qui couvrent tous les compartiments du compte. | Ce résultat est généré si la politique autorise des actions Amazon S3 qui ne sont pas limitées à votre compartiment. Cela se produit souvent si des caractères génériques sont utilisés lors de la spécification des ressources du bucket. Pour résoudre ce problème, spécifiez les noms des compartiments ou indiquez ARNs que vous êtes propriétaire ou excluez les compartiments dotés de préfixes d'espace de noms AMS. | 
| La déclaration contient un caractère générique de ressource qui s'applique à tous les compartiments Amazon S3, y compris les compartiments inexistants et les compartiments dont vous n'êtes pas le propriétaire. Envisagez de définir la portée des autorisations à l'aide d'une condition et d'une clé de `s3:ResourceAccount` condition. | Ce résultat est généré si la politique autorise les compartiments spécifiés à l'aide de caractères génériques. L'utilisation de jokers ouvre souvent la porte à des compartiments inexistants ou non propriétaires. Pour résoudre ce problème, utilisez la condition et la clé de `aws:ResourceAccount` condition pour étendre l'autorisation aux compartiments du compte courant uniquement. Pour plus de détails, consultez [Limiter l'accès aux compartiments Amazon S3 détenus par des AWS comptes spécifiques](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/). | 
| La déclaration contient un élément de `NotResource` politique, qui peut être limité à un grand nombre de compartiments, y compris des compartiments inexistants et des compartiments dont vous n'êtes pas le propriétaire. Envisagez de définir la portée des autorisations à l'aide d'une condition et d'une clé de `s3:ResourceAccount` condition. | Ce résultat est généré si la politique utilise l'élément de `NotResources` stratégie pour spécifier les ressources du bucket. L'utilisation de l'`NotResource`élément peut couvrir un grand nombre de compartiments, y compris des compartiments inexistants ou non propriétaires. Pour résoudre ce problème, utilisez les conditions et la clé de `aws:ResourceAccount` condition pour étendre l'autorisation aux buckets uniquement au sein du compte courant. | 
| La déclaration contient une action Amazon S3 concernant des compartiments *Bucket\$1Name* qui n'existent pas, qui ne sont pas détenus par un compte *Account\$1ID* ou dont le nom contient un caractère générique susceptible d'être étendu à un grand nombre de compartiments, y compris des compartiments inexistants et des compartiments dont vous n'êtes pas le propriétaire. Envisagez de définir la portée des autorisations à l'aide d'une condition et d'une clé de `s3:ResourceAccount` condition | Ce résultat est généré si la politique accorde l'autorisation à des compartiments qui n'existent pas, ne vous appartiennent pas ou dont le nom contient des caractères génériques couvrant un grand nombre de compartiments et que l'accès n'est pas limité au compte courant uniquement. Pour résoudre ce problème, utilisez la condition et la clé de `aws:ResourceAccount` condition pour étendre l'autorisation aux compartiments du compte courant uniquement. | 
| La déclaration contient une action Amazon S3 concernant des compartiments *Bucket\$1Name* qui n'existent pas, qui ne sont pas détenus par compte *Account\$1ID* ou dont le nom contient un caractère générique susceptible d'être étendu à un grand nombre de compartiments, y compris des compartiments inexistants et des compartiments dont vous n'êtes pas le propriétaire. L'accès n'est pas restreint en utilisant `s3:ResourceAccount` ou en spécifiant le compte de ressources si la condition ne vous appartient pas. | Ce résultat est généré si la politique accorde l'autorisation à des compartiments qui n'existent pas, ne vous appartiennent pas ou dont le nom contient des caractères génériques couvrant un grand nombre de compartiments et que l'accès est limité à un compte spécifique uniquement. Cependant, le compte indiqué dans la clé de `aws:ResourceAccount` condition ne vous appartient pas et est géré par AMS. Pour résoudre ce problème, mettez à jour la clé de `aws:ResourceAccount` condition et définissez l'identifiant de compte approprié que vous possédez et qui est géré par AMS. | 
| La déclaration contient des actions privilégiées qui ne sont pas limitées à vos instances pour Amazon EC2. Envisagez d'étendre les actions à une instance spécifique ARNs ou d'exclure les instances dont la clé de balise Name contient une valeur dans les préfixes d'espace de noms AMS. Si des caractères génériques sont utilisés, assurez-vous qu'ils correspondent aux espaces de noms que vous possédez. | Ce résultat est généré si la politique accorde des actions privilégiées contre les instances Amazon EC2 détenues par AMS. Les instances AMS sont étiquetées avec la clé **Name** tag avec des valeurs dans l'espace de noms AMS. Pour résoudre ce problème, spécifiez vos ressources ou excluez les instances AMS avec une condition dont la `aws:ResourceTag/Name` clé exclut les valeurs de l'espace de noms AMS à l'aide de l'opérateur `StringNotLike` | 
| L'instruction contient des actions privilégiées qui ne sont pas limitées à vos ressources dans le magasin de AWS Systems Manager paramètres. Envisagez ARNs de spécifier vos paramètres ou d'exclure des paramètres à l'aide des préfixes d'espace de noms AMS. Si des caractères génériques sont utilisés, assurez-vous qu'ils ne concernent que vos paramètres. | Ce résultat est généré si la politique accorde des autorisations à des paramètres qui ne vous appartiennent pas. C'est généralement le cas lorsque des caractères génériques sont utilisés ou que des paramètres avec des préfixes d'espace de noms AMS sont répertoriés sous ressources dans une déclaration de politique. Pour résoudre ce problème, spécifiez les paramètres qui se trouvent dans votre espace de noms ou excluez les paramètres AMS avec une instruction deny. | 
| La déclaration contient des actions privilégiées contre les ressources de AWS Systems Manager. Envisagez de délimiter les autorisations pour lire uniquement les actions ou les actions portant sur vos ressources. | Ce résultat est généré si la politique accorde des autorisations autres que le magasin de paramètres ou des actions en lecture seule sur les ressources de Systems Manager. Pour résoudre ce problème, réduisez les autorisations relatives aux actions en lecture seule ou au stockage des paramètres uniquement. | 
| L'instruction contient des actions privilégiées qui ne sont pas limitées à \$1message\$1 dans la mesure où vous en *Service\$1Name* êtes propriétaire. Envisagez d'étendre ces autorisations à des types de ressources spécifiques, le cas échéant, ou d'exclure les ressources détenues par AMS. Si des jokers sont utilisés, assurez-vous qu'ils correspondent*Resources*. | Ce résultat est généré si la politique autorise des actions privilégiées qui ne sont pas accordées sur vos ressources, en particulier pour les ressources nommées. Pour résoudre ce problème, examinez votre liste de ressources et vérifiez si elle ne couvre que les ressources présentes dans votre espace de noms. Vous pouvez également exclure les ressources qui se trouvent dans l'espace de noms AMS. | 
| L'instruction contient des actions de balisage de \$1*Service\$1Name*\$1 qui ne sont pas limitées à des valeurs spécifiques pour la clé de balise Name. Envisagez de définir la portée de ces actions en définissant la clé de `aws:RequestTag/Name` condition avec les valeurs de votre espace de noms ou limitez ces actions en définissant la clé de `aws:RequestTag/Name` condition avec l'`StringNotLike`opérateur dont les valeurs se trouvent dans les préfixes de l'espace de noms AMS. | Ce résultat est généré si la politique accorde l'autorisation de balisage pour un service donné et que l'autorisation n'est pas limitée à des clés/valeurs de balise spécifiques. Pour déterminer quelle clé ou valeur peut être utilisée dans les actions de balise, par exemple, lorsque vous demandez d'effectuer les actions, utilisez la `aws:RequestTag/tag key` condition. Donc, pour résoudre ce problème, utilisez cette clé de condition pour restreindre la clé ou les valeurs dans votre espace de noms. Vous pouvez également refuser la `Name` balise key (`aws:RequestTag/Name`) avec des valeurs dans l'espace de noms AMS. | 
| Erreur interne lors de la validation de la politique de confiance des rôles IAM. | Ce résultat est généré lorsque CT Automation rencontre une erreur lors de la validation de la politique de confiance des rôles IAM via le service IAM Access Analyzer. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| Erreur interne lors de la validation de la politique gérée par le client. | Ce résultat est généré lorsque CT Automation rencontre une erreur lors de l'ovalidation de la politique gérée par le client via le service IAM Access Analyzer. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| L'analyseur d'accès est introuvable dans. *Région AWS* Impossible de vérifier l'aperçu des accès pour la politique de confiance des rôles. | Ce résultat est généré lorsque la ressource IAM Access Analyzer n'est pas trouvée dans le. Région AWS Contactez AMS Operations pour résoudre les problèmes et créer une ressource IAM Access Analyzer dans la région AWS. | 
| Politique de confiance non valide pour le rôle *Role\$1Name* | Ce résultat est généré lorsque le rôle IAM fourni contient une politique de confiance non valide. Pour résoudre le problème, passez en revue la politique de confiance afin de vérifier qu'elle est valide. | 
| IAM Access Analyzer a rencontré une erreur interne. Impossible de créer un aperçu des accès pour le rôle *Role\$1Name* | Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la création d'un aperçu des accès pour un rôle via l'analyseur d'accès IAM. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| Impossible de créer un aperçu de l'accès pour la politique de confiance du rôle *Role\$1Name* | Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la création d'un aperçu des accès pour un rôle via l'analyseur d'accès IAM. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| Erreur interne lors de la validation de l'IdP SAML répertorié. | Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation du SAML fourni IdPs répertorié dans la politique de confiance des rôles. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| Erreur interne lors de la validation des autorisations par rapport à AWS Key Management Service. | Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation des autorisations AWS KMS clés dans la politique fournie. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| Erreur interne lors de la validation de la politique ARNs gérée répertoriée. | Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation de la politique ARNs gérée répertoriée. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| Erreur interne lors de la validation de la `customer_deny_policy` pièce jointe par défaut. | Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation de `customer_deny_policy` l'attachement au rôle. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| Erreur interne lors de la validation des avertissements de politique gérés pour le rôle *Role\$1Name* | Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation de la politique gérée ARNs pour le rôle. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| Erreur interne lors de la validation par *Policy\$1name* rapport à la politique de limites définie par le client `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` | Ce résultat est généré lorsque l'automatisation rencontre une erreur lors de la validation de la politique qui contient votre liste de refus personnalisée. Pour résoudre ce problème, soumettez à nouveau la RFC. Si l'erreur persiste, contactez AMS Operations pour résoudre le problème. | 
| La politique de limites définie par le client `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` existe dans le compte. Cependant, la politique contient des instructions d'autorisation qui accordent des autorisations. La politique ne doit contenir que des déclarations de refus. | Ce résultat est généré lorsque la politique qui contient votre liste de refus personnalisée inclut une déclaration qui accorde l'autorisation. Bien que la liste de refus personnalisée existe dans votre compte en tant que politique gérée par IAM, elle ne peut pas être utilisée pour la gestion des autorisations. La politique ne doit contenir que des déclarations de refus indiquant que vous souhaitez qu'AMS Automated IAM Provisioning valide et refuse les actions créées par AMS Automated IAM Provisioning dans vos politiques IAM. | 
| La déclaration contient des actions privilégiées définies par votre organisation pour*Service\$1Name*. Envisagez d'exclure ces actions par une déclaration de refus. Reportez-vous à la politique indiquée dans votre compte pour consulter la liste restreinte d'actions. | Ce résultat est généré lorsque l'automatisation détecte une action dans votre politique que vous avez définie dans la liste de refus personnalisée. Pour résoudre le problème, passez en revue votre déclaration de politique et supprimez toutes les actions définies dans votre liste de refus personnalisée ou ajoutez une déclaration de refus refusant ces actions. | 
| Le rôle doit être *POLICY\$1ARN* attaché. Incluez l'ARN de la politique dans la liste des politiques gérées ARNs. | Ce résultat est généré si le rôle que vous créez n'est pas *POLICY\$1ARN* associé à ce rôle. Pour résoudre ce problème, incluez-le *POLICY\$1ARN* dans le **ManagedPolicyArns**champ du rôle et réessayez. | 
| Ils ne *POLICY\$1ARN* peuvent pas être détachés du rôle. Incluez l'ARN de la politique dans la liste des politiques gérées ARNs. | Ce résultat est généré s'il *POLICY\$1ARN* est détaché du rôle lors d'une mise à jour. Pour résoudre ce problème, ajoutez *POLICY\$1ARN* le **ManagedPolicyArns**dans le champ du rôle et réessayez. | 

# Vérification des limites des autorisations de provisionnement IAM automatisé AMS
<a name="aip-runtime-checks-perm-boundary"></a>

Les vérifications des limites d'autorisation AMS vous aident à respecter la politique de limite d'autorisation par défaut fournie par AMS. Cette politique est une liste d'actions refusées par AMS Automated IAM Provisioning. Les politiques de provisionnement qui contiennent ces actions restreintes nécessitent une acceptation explicite des risques supplémentaire. Téléchargez la politique ici : [boundary-policy.zip](samples/boundary-policy.zip).

Utilisez les vérifications de politique de limites d'autorisation définies par le client pour personnaliser les actions de refus au-delà des valeurs par défaut de la politique de limite d'autorisation AMS. Lorsque vous intégrez AMS Automated IAM Provisioning à l'aide du type de modification suivant : Gestion \$1 Compte géré \$1 AMS Automated IAM Provisioning avec autorisations de lecture-écriture \$1 [Activer (automatisation gérée) (ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html), vous pouvez inclure une liste d'actions de refus personnalisées qui spécifient des actions restreintes supplémentaires. 

Vous pouvez mettre à jour la liste des actions de refus à l'aide du type de modification : Gestion \$1 Compte géré \$1 Provisionnement IAM automatisé avec autorisations de lecture-écriture \$1 [Mettre à jour la liste de refus personnalisée (ct-2r9xvd3sdsic0](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html)). Vous devez utiliser le rôle IAM dédié `AWSManagedServicesIAMProvisionAdminRole` pour exécuter ce type de modification.

**Note**  
Vous devez fournir une liste complète des actions de refus pour chaque mise à jour. La liste précédente est remplacée par la nouvelle liste.
La liste des actions de refus ne doit contenir que les actions à refuser. Les actions d'autorisation ne sont pas prises en charge. 
La liste des actions de refus se trouve dans le compte sous la forme d'une politique gérée par IAM nommée`AWSManagedServicesIAMProvisionCustomerBoundaryPolicy`. La politique ne doit être attachée à aucun rôle.
Le terme *limite d'autorisation* utilisé pour désigner les actions refusées dans AMS Automated IAM Provisioning a une signification contextuelle différente de celle de la limite d'autorisation IAM. La limite d'autorisation IAM définit l'autorisation maximale qu'une politique peut accorder lors de l'exécution à une entité IAM. Pour plus d'informations sur les limites d'autorisation IAM, consultez la section [Types de politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*. La limite d'autorisation dans AMS Automated IAM Provisioning vous empêche de configurer une politique IAM contenant un certain ensemble d'autorisations, par exemple une liste d'actions refusées.

# Résolution des problèmes et des erreurs liés au provisionnement IAM automatisé d'AMS
<a name="aip-troubleshooting"></a>

Vous pouvez rencontrer des problèmes de trois manières lors de l'utilisation d'AMS Automated IAM Provisioning :
+ Erreurs RFC : elles peuvent se produire pour diverses raisons, par exemple une saisie incorrecte. Pour de plus amples informations, veuillez consulter [Résolution des erreurs RFC dans AMS](rfc-troubleshoot.md).
+ Erreurs SSM : elles peuvent se produire pour diverses raisons, par exemple un mauvais formatage. Pour plus d'informations, consultez la section [Résolution des problèmes liés à l'automatisation de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-troubleshooting.html).
+ Résultats des contrôles de validation : ils se produisent lorsque l'un des nombreux contrôles de validation exécutés par Automated IAM Provisioning détecte un problème. Pour obtenir la liste des contrôles de validation et des actions recommandées pour les corriger, consultez[Contrôles d'exécution pour le provisionnement IAM automatisé d'AMS dans AMS](aip-runtime-checks.md).