iam-policy-no-statements-with-full-access - AWS Config

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

iam-policy-no-statements-with-full-access

Memeriksa apakah kebijakan AWS Identity and Access Management (IAM) yang Anda buat memberikan izin untuk semua tindakan pada sumber daya individual. AWS Aturannya adalah NON_COMPLIANT jika ada kebijakan IAM yang dikelola pelanggan yang mengizinkan akses penuh ke setidaknya 1 layanan. AWS

Konteks: Mengikuti prinsip hak istimewa terkecil, disarankan untuk membatasi tindakan yang diizinkan dalam kebijakan IAM Anda saat memberikan izin ke layanan. AWS Pendekatan ini membantu memastikan bahwa Anda hanya memberikan izin yang diperlukan dengan menentukan tindakan tepat yang diperlukan, menghindari penggunaan wildcard tidak terbatas untuk layanan, seperti. ec2:*

Dalam beberapa kasus, Anda mungkin ingin mengizinkan beberapa tindakan dengan awalan serupa, seperti DescribeFlowLogsdan DescribeAvailabilityZones. Dalam kasus ini, Anda dapat menambahkan wildcard akhiran ke awalan umum (misalnya,). ec2:Describe* Mengelompokkan tindakan terkait dapat membantu menghindari mencapai batas ukuran kebijakan IAM.

Aturan ini akan menampilkan COMPLIANT jika Anda menggunakan tindakan awalan dengan wildcard berakhiran (misalnya,). ec2:Describe* Aturan ini hanya akan mengembalikan NON_COMPLIANT jika Anda menggunakan wildcard yang tidak dibatasi (misalnya,). ec2:*

catatan

Aturan ini hanya mengevaluasi kebijakan yang dikelola pelanggan. Aturan ini TIDAK mengevaluasi kebijakan inline atau kebijakan AWS terkelola. Untuk informasi selengkapnya tentang perbedaannya, lihat Kebijakan terkelola dan kebijakan sebaris di Panduan Pengguna IAM.

Pengidentifikasi: IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS

Jenis Sumber Daya: AWS::IAM::Policy

Jenis pemicu: Perubahan konfigurasi

Wilayah AWS: Semua AWS wilayah yang didukung kecuali Asia Pasifik (Thailand), Timur Tengah (UEA), Asia Pasifik (Hyderabad), Asia Pasifik (Malaysia), Asia Pasifik (Melbourne), Meksiko (Tengah), Israel (Tel Aviv), Asia Pasifik (Taipei), Kanada Barat (Calgary), Eropa (Spanyol), Wilayah Eropa (Zurich)

Parameter:

excludePermissionBoundaryKebijakan (Opsional)
Jenis: boolean

Boolean flag untuk mengecualikan evaluasi kebijakan IAM yang digunakan sebagai batas izin. Jika disetel ke 'true', aturan tidak akan menyertakan batas izin dalam evaluasi. Jika tidak, semua kebijakan IAM dalam lingkup dievaluasi ketika nilai disetel ke 'false.' Nilai default adalah 'salah'.

AWS CloudFormation Template

Untuk membuat aturan AWS Config terkelola dengan AWS CloudFormation templat, lihatMembuat Aturan AWS Config Terkelola Dengan AWS CloudFormation Template.