Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
iam-policy-no-statements-with-full-access
Memeriksa apakah kebijakan AWS Identity and Access Management (IAM) yang Anda buat memberikan izin untuk semua tindakan pada sumber daya individual. AWS Aturannya adalah NON_COMPLIANT jika ada kebijakan IAM yang dikelola pelanggan yang mengizinkan akses penuh ke setidaknya 1 layanan. AWS
Konteks: Mengikuti prinsip hak istimewa terkecil, disarankan untuk membatasi tindakan yang diizinkan dalam kebijakan IAM Anda saat memberikan izin ke layanan. AWS
Pendekatan ini membantu memastikan bahwa Anda hanya memberikan izin yang diperlukan dengan menentukan tindakan tepat yang diperlukan, menghindari penggunaan wildcard tidak terbatas untuk layanan, seperti. ec2:*
Dalam beberapa kasus, Anda mungkin ingin mengizinkan beberapa tindakan dengan awalan serupa, seperti DescribeFlowLogsdan DescribeAvailabilityZones. Dalam kasus ini, Anda dapat menambahkan wildcard akhiran ke awalan umum (misalnya,). ec2:Describe* Mengelompokkan tindakan terkait dapat membantu menghindari mencapai batas ukuran kebijakan IAM.
Aturan ini akan menampilkan COMPLIANT jika Anda menggunakan tindakan awalan dengan wildcard berakhiran (misalnya,). ec2:Describe* Aturan ini hanya akan mengembalikan NON_COMPLIANT jika Anda menggunakan wildcard yang tidak dibatasi (misalnya,). ec2:*
catatan
Aturan ini hanya mengevaluasi kebijakan yang dikelola pelanggan. Aturan ini TIDAK mengevaluasi kebijakan inline atau kebijakan AWS terkelola. Untuk informasi selengkapnya tentang perbedaannya, lihat Kebijakan terkelola dan kebijakan sebaris di Panduan Pengguna IAM.
Pengidentifikasi: IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS
Jenis Sumber Daya: AWS::IAM::Policy
Jenis pemicu: Perubahan konfigurasi
Wilayah AWS: Semua AWS wilayah yang didukung kecuali Asia Pasifik (Thailand), Timur Tengah (UEA), Asia Pasifik (Hyderabad), Asia Pasifik (Malaysia), Asia Pasifik (Melbourne), Meksiko (Tengah), Israel (Tel Aviv), Asia Pasifik (Taipei), Kanada Barat (Calgary), Eropa (Spanyol), Wilayah Eropa (Zurich)
Parameter:
- excludePermissionBoundaryKebijakan (Opsional)
- Jenis: boolean
-
Boolean flag untuk mengecualikan evaluasi kebijakan IAM yang digunakan sebagai batas izin. Jika disetel ke 'true', aturan tidak akan menyertakan batas izin dalam evaluasi. Jika tidak, semua kebijakan IAM dalam lingkup dievaluasi ketika nilai disetel ke 'false.' Nilai default adalah 'salah'.
AWS CloudFormation Template
Untuk membuat aturan AWS Config terkelola dengan AWS CloudFormation templat, lihatMembuat Aturan AWS Config Terkelola Dengan AWS CloudFormation Template.
