Pemeriksaan runtime untuk Penyediaan IAM Otomatis AMS di AMS - Panduan Pengguna Tingkat Lanjut AMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemeriksaan runtime untuk Penyediaan IAM Otomatis AMS di AMS

Penyediaan IAM Otomatis memanfaatkan pemeriksaan dari AWS Identity and Access Management Access Analyzer, dan melakukan pemeriksaan dan validasi tambahan terhadap kebijakan batas AMS. AMS mendefinisikan pemeriksaan dan validasi tambahan berdasarkan praktik terbaik IAM, pengalaman mengoperasikan beban kerja pelanggan di cloud, dan pengalaman evaluasi manual AMS IAM kolektif.

Anda dapat melihat temuan pemeriksaan waktu proses kebijakan dalam output request for change (RFC). Temuan termasuk pengidentifikasi sumber daya, lokasi dalam and/or kebijakan peran yang menghasilkan temuan, dan pesan yang menguraikan pemeriksaan bahwa entitas atau sumber daya IAM gagal lulus. Temuan ini membantu Anda membuat kebijakan yang fungsional dan sesuai dengan praktik terbaik keamanan.

catatan

Penyediaan IAM Otomatis mencoba untuk spesifik tentang lokasi dalam entitas atau definisi kebijakan yang gagal lulus pemeriksaan. Bergantung pada jenisnya, lokasi mungkin menyertakan nama sumber daya atau ARN, atau indeks dalam array. Misalnya, pernyataan untuk membantu Anda menyesuaikan entitas atau kebijakan untuk hasil yang sukses.

Untuk pengalaman Penyediaan IAM Otomatis AMS yang lancar, adalah praktik terbaik untuk menggunakan opsi “validasi saja” untuk menjalankan pemeriksaan validasi hingga tidak ada temuan dari pemeriksaan validasi yang dilaporkan dalam output RFC. Saat pemeriksaan validasi melaporkan tidak ada temuan, pilih Buat salinan dari Konsol AMS untuk membuat salinan RFC yang ada dengan cepat. Saat Anda siap untuk menyediakan, di bagian Parameter, alihkan nilai Validasi saja dari Ya ke Tidak, lalu lanjutkan.

Ini adalah pemeriksaan run-time yang dilakukan oleh Penyediaan IAM Otomatis AMS untuk memastikan bahwa sumber daya IAM Anda aman:

catatan

Untuk menyediakan kebijakan IAM yang berisi tindakan yang ditolak oleh jenis perubahan otomatis ini, Anda harus mengikuti proses manajemen risiko keamanan pelanggan (CSRM) RFC. Gunakan jenis perubahan berikut: Deployment | Komponen tumpukan lanjutan | Identity and Access Management (IAM) | Buat entitas atau kebijakan (diperlukan tinjauan) (ct-3dpd8mdd9jn1r).

  • Pemeriksaan dan validasi kebijakan IAM Access Analyzer: Lihat juga referensi pemeriksaan kebijakan Access Analyzer dan validasi kebijakan IAM Access Analyzer.

  • Pemeriksaan kebijakan batas izin AMS: Tindakan pada serangkaian layanan yang ditolak secara default. Untuk informasi selengkapnya, lihat Pemeriksaan batas izin Penyediaan IAM Otomatis.

  • Pemeriksaan kebijakan batas izin yang ditentukan pelanggan: Tindakan terbatas tambahan pada serangkaian layanan yang ditolak. Untuk informasi selengkapnya, lihat Pemeriksaan batas izin Penyediaan IAM Otomatis.

  • Pemeriksaan kustom yang ditentukan AMS: Pemeriksaan yang mengidentifikasi berbagai kebijakan atau pola akses yang tidak aman dan terlalu permisif dalam entitas atau kebijakan IAM yang diminta, dan menolak permintaan jika ditemukan. Untuk selengkapnya, lihat Elemen kebijakan AWS JSON: Principal.

Temuan Deskripsi

Peran tersebut dapat diakses dari akun eksternal yang berada di luar zona kepercayaan Anda.

Temuan ini mengacu pada prinsip yang tercantum dalam kebijakan kepercayaan peran yang berada di luar zona kepercayaan Anda. Zona kepercayaan didefinisikan sebagai akun tempat peran dibuat atau AWS organisasi tempat akun tersebut berada. Entitas yang bukan milik akun atau AWS Organisasi yang sama adalah entitas eksternal. Untuk menyelesaikan temuan ini, tinjau ID akun di prinsipal ARNs dan pastikan bahwa ID tersebut milik Anda dan merupakan akun bawaan AMS.

Peran tersebut dapat diakses oleh entitas eksternal yang dimiliki oleh akun External_Account_ID yang tidak dimiliki oleh akun pemilik pelanggan AMS. Account_ID

Temuan ini dihasilkan jika kebijakan kepercayaan peran menyertakan ARN utama yang memiliki ID akun yang tidak dimiliki oleh Anda dan akun bawaan AMS. Untuk mengatasi temuan ini, hapus prinsipal tersebut dari kebijakan kepercayaan peran.

ID pengguna kanonik bukan prinsip yang didukung dalam kebijakan kepercayaan IAM.

Prinsipal kanonik tidak IDs didukung dalam kebijakan kepercayaan IAM. Untuk menyelesaikan temuan, hapus prinsipal tersebut dari kebijakan kepercayaan peran.

Peran tersebut dapat diakses oleh identitas web eksternal yang berada di luar zona kepercayaan Anda.

Temuan ini dihasilkan jika kebijakan kepercayaan peran memungkinkan penyedia identitas Web eksternal (iDP) selain SAMP iDP. Untuk mengatasi temuan ini, tinjau kebijakan kepercayaan peran dan hapus pernyataan yang memungkinkan sts:AssumeRoleWithWebIdentity operasi.

Peran tersebut dapat diakses melalui federasi SAMP; namun, penyedia identitas SAMP (IDP) yang disediakan tidak ada.

Temuan ini dihasilkan jika kebijakan kepercayaan peran berisi SAMP IDP yang tidak ada di akun Anda. Untuk menyelesaikannya, pastikan Anda semua IDP SAMP yang terdaftar ada di akun Anda.

Kebijakan berisi tindakan istimewa yang setara dengan administrator atau akses pengguna daya. Pertimbangkan untuk mengurangi ruang lingkup izin ke layanan, tindakan, atau sumber daya tertentu. Jika elemen kebijakan lanjutan seperti NotActionatau NotResourcedigunakan, pastikan bahwa mereka tidak memberikan akses lebih dari yang Anda inginkan, terutama dalam pernyataan Izinkan.

Ini adalah praktik keamanan terbaik AWS Identity and Access Management untuk hanya memberikan izin yang diperlukan untuk melakukan tugas saat Anda menetapkan izin dengan kebijakan IAM. Lakukan ini dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, juga dikenal sebagai izin hak istimewa paling sedikit. Temuan ini dihasilkan ketika otomatisasi mendeteksi kebijakan memberikan izin luas dan tidak mematuhi prinsip hak istimewa yang paling rendah. Untuk menyelesaikan temuan, tinjau dan kurangi izin.

Pernyataan berisi tindakan istimewa untukService_Name. Pertimbangkan untuk mengecualikan tindakan ini dengan pernyataan penolakan. Lihat referensi kebijakan batas dalam dokumentasi AMS untuk daftar tindakan istimewa.

AMS mengidentifikasi tindakan tertentu untuk layanan tertentu sebagai berisiko dan memerlukan peninjauan dan penerimaan risiko lebih lanjut oleh tim keamanan pelanggan. Temuan ini dihasilkan ketika otomatisasi mendeteksi kebijakan yang diberikan yang memberikan izin tersebut. Untuk mengatasi temuan ini, tolak tindakan ini dalam kebijakan Anda. Untuk daftar tindakan, lihat kebijakan batas AMS. Untuk detail tentang kebijakan batas AMS, lihat. Pemeriksaan batas izin Penyediaan IAM Otomatis AMS

Pernyataan memberikan akses ke RFC Change Types yang memiliki hak istimewa: ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq, dan ct-17cj84y7632o6 untuk layanan. Service_Name Pertimbangkan untuk mencakup izin untuk jenis perubahan tertentu atau mengecualikan jenis perubahan ini dengan pernyataan penolakan.

Temuan ini dihasilkan jika kebijakan memberikan izin untuk melakukan tindakan terkait RFC menggunakan jenis perubahan Penyediaan IAM Otomatis (). CTs CTs Ini tunduk pada penerimaan risiko dan hanya boleh digunakan melalui peran onboard. Jadi, Anda tidak bisa memberikan izin untuk ini CTs. Untuk mengatasi temuan ini, tolak tindakan RFC menggunakan ini CTs.

Pernyataan berisi tindakan istimewa yang tidak mencakup sumber daya Anda untuk layanan. Service_Name Pertimbangkan untuk melingkupi tindakan ke sumber daya tertentu atau mengecualikan sumber daya dengan awalan namespace AMS. Jika wildcard digunakan, pastikan mereka membatasi ruang lingkup sumber daya Anda.

Temuan ini dihasilkan jika kebijakan memberikan tindakan istimewa yang tidak mencakup sumber daya Anda dari layanan yang diberikan. Kartu liar sering membuat kebijakan yang terlalu permisif yang membawa serangkaian sumber daya atau tindakan yang luas ke dalam ruang lingkup izin. Untuk mengatasi temuan ini, kurangi cakupan izin ke sumber daya yang Anda miliki atau kecualikan sumber daya yang ada di namespace AMS. Untuk daftar awalan namespace AMS, lihat kebijakan batas dalam dokumentasi AMS. Perhatikan bahwa tidak semua awalan berlaku untuk semua layanan. Untuk detail tentang kebijakan batas AMS, lihat. Pemeriksaan batas izin Penyediaan IAM Otomatis AMS

Id akun atau Nama Sumber Daya Amazon (ARN) tidak valid.

Temuan ini dihasilkan jika ada ARN atau ID akun yang ditentukan dalam kebijakan atau kebijakan kepercayaan peran tidak valid. Untuk meninjau sumber daya ARN yang valid untuk layanan, lihat Referensi Otorisasi Layanan. Pastikan bahwa ID akun adalah nomor 12 digit dan akun tersebut aktif. AWS

Penggunaan wildcard (*) untuk id akun di ARN dibatasi..

Temuan ini dihasilkan jika kartu liar (*) ditentukan di bidang ID akun ARN. Kartu liar di bidang ID akun cocok dengan akun apa pun dan berpotensi memberikan izin yang tidak diinginkan ke sumber daya. Untuk mengatasi ini, ganti kartu liar dengan ID akun tertentu.

Akun sumber daya tertentu yang tidak dimiliki oleh akun Account_ID pemilik pelanggan AMS yang sama.

Temuan ini dihasilkan jika ID akun yang ditentukan dalam ARN sumber daya bukan milik Anda dan tidak dikelola oleh AMS. Untuk mengatasi hal ini, pastikan bahwa semua sumber daya (sebagaimana ditentukan oleh ARN mereka dalam kebijakan) milik akun Anda yang dikelola oleh AMS.

Nama peran ada di namespace terbatas AMS.

Temuan ini dihasilkan jika Anda mencoba membuat peran dengan nama yang dimulai dengan awalan cadangan AMS. Untuk mengatasi hal ini, gunakan nama untuk peran yang khusus untuk kasus penggunaan Anda. Untuk daftar awalan cadangan AMS, lihat awalan cadangan AMS

Nama kebijakan ada di namespace terbatas AMS.

Temuan ini dihasilkan jika Anda mencoba membuat kebijakan dengan nama yang dimulai dengan awalan cadangan AMS. Untuk mengatasi hal ini, gunakan nama untuk kebijakan yang khusus untuk kasus penggunaan Anda. Untuk daftar awalan cadangan AMS, lihat awalan cadangan AMS.

ID sumber daya di ARN berada di namespace terbatas AMS.

Temuan ini dihasilkan jika Anda mencoba membuat kebijakan yang memberikan izin ke sumber daya bernama yang ada di namespace AMS. Untuk mengatasinya, pastikan Anda mencakupkan izin ke sumber daya Anda atau menolak izin ke sumber daya yang ada di namespace AMS. Untuk informasi selengkapnya tentang ruang nama AMS, lihat ruang nama yang dibatasi AMS.

Kasus variabel kebijakan tidak valid. Perbarui variabel keVariable_Names.

Temuan ini dihasilkan jika mencoba membuat kebijakan yang berisi variabel kebijakan global IAM dalam kasus yang salah. Untuk mengatasi hal ini, gunakan kasus yang benar untuk variabel global dalam kebijakan Anda. Untuk daftar variabel global, lihat kunci konteks kondisi AWS global. Untuk informasi selengkapnya tentang variabel kebijakan, lihat elemen kebijakan IAM: Variabel dan tag

Pernyataan berisi tindakan istimewa yang tidak dicakup ke kunci KMS Anda. Pertimbangkan untuk mencantumkan izin ini ke kunci tertentu atau mengecualikan kunci yang dimiliki AMS.

Temuan ini dihasilkan jika kebijakan berisi izin yang tidak dicakup ke kunci KMS tertentu yang Anda miliki. Untuk mengatasinya, lingkup izin ke kunci tertentu atau kecualikan kunci yang dimiliki AMS. Kunci yang dimiliki AMS memiliki set alias tertentu. Untuk daftar alias kunci yang dimiliki AMS, lihatPemeriksaan batas izin Penyediaan IAM Otomatis AMS.

Pernyataan berisi tindakan istimewa yang tidak dicakup ke alias kunci KMS Anda. Pertimbangkan untuk mencantumkan izin ini ke kunci atau alias Anda, atau kecualikan alias kunci milik AMS.

Temuan ini dihasilkan jika kebijakan berisi izin yang tidak tercakup ke alias kunci KMS tertentu yang Anda miliki. Untuk mengatasinya, lingkup izin ke kunci tertentu atau kecualikan kunci yang dimiliki AMS. Kunci yang dimiliki AMS memiliki set alias tertentu. Untuk daftar alias kunci yang dimiliki AMS, lihatPemeriksaan batas izin Penyediaan IAM Otomatis AMS.

Pernyataan berisi tindakan istimewa yang tidak tercakup secara memadai ke kunci KMS Anda menggunakan. kms:ResourceAliases condition Pertimbangkan untuk menggunakan nama alias tertentu bersama dengan operator set yang sesuai untuk kunci kondisi. Jika wildcard digunakan dalam nama alias pastikan mereka membatasi ruang lingkup ke set terbatas kunci KMS Anda.

Temuan ini dihasilkan jika Anda melingkupi izin ke kunci KMS Anda menggunakan kondisi dan tidak menggunakan kms:ResourceAliases untuk menutupi alias untuk kunci KMS Anda. Atau, jika kunci kms:ResourceAliases kondisi memiliki nilai yang juga menyertakan alias kunci KMS milik AMS. Untuk mengatasinya, perbarui kondisi untuk mengurangi izin hanya ke alias kunci KMS Anda atau kecualikan alias untuk kunci KMS milik AMS. Untuk daftar alias kunci yang dimiliki AMS, lihatPemeriksaan batas izin Penyediaan IAM Otomatis AMS.

Peran harus memiliki customer_deny_policy terlampir. Sertakan kebijakan ARN dalam daftar kebijakan yang dikelola. ARNs

Temuan ini dihasilkan jika peran yang Anda buat tidak customer_deny_policy melekat padanya. Untuk mengatasi hal ini, sertakan customer_deny_policy dalam ARNs daftar kebijakan terkelola.

Kebijakan AWS terkelola terlalu permisif atau memberikan izin yang dibatasi oleh kebijakan batas AMS.

Temuan ini dihasilkan jika ManagedPolicyArnsnilai untuk peran berisi kebijakan terkelola AMS yang menyediakan akses penuh atau tingkat administrator ke layanan yang relevan. Untuk mengatasi hal ini, tinjau penggunaan kebijakan AWS terkelola dan gunakan kebijakan yang memberikan izin ruang lingkup atau tentukan kebijakan Anda sendiri yang mengikuti prinsip hak istimewa paling sedikit.

Kebijakan terkelola pelanggan berada di namespace AMS terbatas.

Temuan ini dihasilkan jika ada kebijakan yang dikelola pelanggan dengan nama yang diawali di AWS namespace dilampirkan ke peran. Untuk mengatasinya, hapus kebijakan dari ManagedPolicyArndaftar peran tersebut.

Customer_deny_policy tidak dapat dilepaskan dari peran. Sertakan kebijakan ARN dalam daftar kebijakan yang dikelola. ARNs

Temuan ini dihasilkan jika terlepas dari peran selama pembaruan. customer_deny_policy Untuk mengatasi ini, tambahkan customer_deny_policy ke ManagedPolicyArnsbidang peran dan coba lagi.

Kebijakan yang dikelola pelanggan disediakan di luar layanan AMS Change Management atau tanpa validasi sebelumnya.

Temuan ini dihasilkan jika satu atau lebih kebijakan yang dikelola pelanggan ARNs yang ada dilampirkan pada suatu peran dan kebijakan tidak disediakan melalui layanan AMS Change Management (melalui RFC). Misalnya, Mode Pengembang atau Mode Perubahan Langsung memungkinkan pelanggan untuk menyediakan kebijakan IAM tanpa RFC. Untuk mengatasi hal ini, hapus kebijakan terkelola pelanggan ARNs dari ManagedPolicyArnsdaftar peran tersebut.

Jumlah kebijakan terkelola yang diberikan ARNs melebihi kebijakan terlampir per kuota peran.

Temuan ini dihasilkan jika jumlah total kebijakan terkelola yang melekat pada peran melebihi kuota kebijakan per peran. Untuk informasi selengkapnya tentang kuota IAM, lihat kuota IAM dan AWS STS, persyaratan nama, dan batas karakter. Gunakan informasi ini untuk mengurangi jumlah kebijakan yang Anda lampirkan pada peran tersebut.

Ukuran kebijakan kepercayaan ({trust_policy}) melebihi kuota ukuran kebijakan peran dari {size}.

Temuan ini dihasilkan jika ukuran dokumen kebijakan peran asumsi melebihi kuota ukuran kebijakan. Untuk informasi selengkapnya tentang kuota IAM, lihat kuota IAM dan AWS STS, persyaratan nama, dan batas karakter.

Pernyataan berisi semua tindakan mutatif untuk Amazon S3. Pertimbangkan untuk melingkupi izin ini hanya untuk tindakan yang diperlukan. Jika kartu liar digunakan, pastikan mereka mencakup serangkaian tindakan mutatif yang terbatas.

Temuan ini dihasilkan jika kebijakan yang diberikan memberikan semua izin mutatif Amazon Simple Storage Service terlepas dari satu atau beberapa sumber daya. Untuk mengatasinya, sertakan hanya tindakan mutatif Amazon S3 yang diperlukan terhadap bucket Anda.

Pernyataan berisi tindakan istimewa yang tidak diizinkan terhadap bucket apa pun di Amazon S3. Pertimbangkan untuk menambahkan pernyataan yang menyangkal tindakan ini.

Temuan ini dihasilkan jika kebijakan memberikan tindakan istimewa pada ember apa pun. Untuk daftar tindakan istimewa, lihat Pemeriksaan batas izin Penyediaan IAM Otomatis AMS Untuk menyelesaikan temuan ini, hapus, atau tolak tindakan ini dalam kebijakan Anda.

Pernyataan berisi tindakan istimewa yang tidak dicakup ke bucket Anda di Amazon S3. Pertimbangkan untuk menyertakan bucket Anda atau mengecualikan bucket dengan awalan namespace AMS. Jika kartu liar digunakan, pastikan kartu tersebut cocok dengan ember di ruang nama Anda.

Temuan ini dihasilkan jika kebijakan memberikan tindakan Amazon S3 yang tidak tercakup ke bucket Anda saja. Ini sering terjadi jika kartu liar digunakan saat menentukan sumber daya bucket. Untuk mengatasinya, tentukan nama bucket atau ARNs yang Anda miliki atau kecualikan bucket yang memiliki awalan namespace AMS.

Pernyataan berisi tindakan istimewa yang tidak dicakup ke bucket Anda di Amazon S3. Pertimbangkan untuk menghindari penggunaan kartu liar (*) yang mencakup semua ember di akun.

Temuan ini dihasilkan jika kebijakan memberikan tindakan Amazon S3 yang tidak tercakup dalam bucket Anda. Ini sering terjadi jika kartu liar digunakan saat menentukan sumber daya bucket. Untuk mengatasinya, tentukan nama bucket atau ARNs yang Anda miliki atau kecualikan bucket yang memiliki awalan namespace AMS.

Pernyataan berisi wildcard sumber daya yang dicakup ke semua bucket Amazon S3, termasuk bucket dan bucket yang tidak ada yang tidak Anda miliki. Pertimbangkan untuk melingkupi izin menggunakan kunci kondisi dan s3:ResourceAccount kondisi.

Temuan ini dihasilkan jika kebijakan memberikan izin ke ember yang ditentukan menggunakan kartu liar. Penggunaan kartu liar sering kali membawa ember yang tidak ada atau non-pemilik dalam ruang lingkup. Untuk mengatasi hal ini, gunakan kondisi dan kunci aws:ResourceAccount kondisi untuk cakupan izin ke bucket dalam akun saat ini saja. Untuk detail selengkapnya, lihat Batasi akses ke bucket Amazon S3 yang dimiliki oleh akun tertentu. AWS

Pernyataan berisi elemen NotResource kebijakan, yang dapat dicakup ke sejumlah besar ember, termasuk ember dan ember yang tidak ada yang tidak Anda miliki. Pertimbangkan untuk melingkupi izin menggunakan kunci kondisi dan s3:ResourceAccount kondisi.

Temuan ini dihasilkan jika kebijakan menggunakan elemen NotResources kebijakan untuk menentukan sumber daya bucket. Penggunaan NotResource elemen mungkin mencakup sejumlah besar ember, termasuk ember yang tidak ada atau non-pemilik. Untuk mengatasi hal ini, gunakan kondisi dan kunci aws:ResourceAccount kondisi untuk cakupan izin ke bucket hanya dalam akun saat ini.

Pernyataan berisi tindakan Amazon S3 ke bucket Bucket_Name yang tidak ada, tidak dimiliki oleh akunAccount_ID, atau nama berisi kartu liar yang mungkin dicakup ke sejumlah besar ember, termasuk ember dan ember yang tidak ada yang tidak Anda miliki. Pertimbangkan untuk melingkupi izin menggunakan kondisi dan kunci kondisi s3:ResourceAccount

Temuan ini dihasilkan jika kebijakan memberikan izin ke ember yang tidak ada, tidak dimiliki oleh Anda, atau memiliki kartu liar dalam nama ember yang mencakup sejumlah besar ember dan akses tidak dicakup ke akun saat ini saja. Untuk mengatasi hal ini, gunakan kondisi dan kunci aws:ResourceAccount kondisi untuk cakupan izin ke bucket dalam akun saat ini saja.

Pernyataan berisi tindakan Amazon S3 ke bucket Bucket_Name yang tidak ada, tidak dimiliki oleh akunAccount_ID, atau namanya berisi kartu liar yang mungkin dicakup ke sejumlah besar ember, termasuk ember dan ember yang tidak ada yang tidak Anda miliki. Akses tidak dibatasi menggunakan s3:ResourceAccount atau akun sumber daya tertentu dalam kondisi bukan milik Anda.

Temuan ini dihasilkan jika kebijakan memberikan izin ke ember yang tidak ada, tidak dimiliki oleh Anda, atau memiliki kartu liar dalam nama ember yang mencakup sejumlah besar ember dan akses hanya dicakup ke akun tertentu. Namun, akun yang ditentukan dalam kunci aws:ResourceAccount kondisi bukan milik Anda dan dikelola oleh AMS. Untuk mengatasinya, perbarui kunci aws:ResourceAccount kondisi dan atur ID akun yang sesuai yang Anda miliki dan dikelola oleh AMS.

Pernyataan berisi tindakan istimewa yang tidak tercakup pada instans Anda untuk Amazon. EC2 Pertimbangkan untuk melingkupi tindakan ke instance tertentu ARNs atau mengecualikan instance yang memiliki kunci tag Nama dengan nilai di awalan namespace AMS. Jika kartu liar digunakan, pastikan mereka cocok dengan ruang nama yang Anda miliki.

Temuan ini dihasilkan jika kebijakan memberikan tindakan istimewa terhadap EC2 instans Amazon yang dimiliki AMS. Instance AMS ditandai dengan kunci tag Nama dengan nilai di namespace AMS. Untuk mengatasi hal ini, tentukan resource Anda atau kecualikan instance AMS dengan kondisi yang memiliki aws:ResourceTag/Name kunci yang mengecualikan nilai dalam namespace AMS menggunakan operator StringNotLike

Pernyataan berisi tindakan istimewa yang tidak dicakup ke sumber daya Anda di AWS Systems Manager penyimpanan parameter. Pertimbangkan untuk menentukan ARNs parameter Anda atau mengecualikan parameter dengan awalan namespace AMS. Jika kartu liar digunakan, pastikan mereka hanya mencakup parameter Anda.

Temuan ini dihasilkan jika kebijakan memberikan izin ke parameter yang tidak Anda miliki. Ini biasanya ketika kartu liar digunakan atau parameter dengan awalan namespace AMS terdaftar di bawah sumber daya dalam pernyataan kebijakan. Untuk mengatasinya, tentukan parameter yang ada di dalam namespace Anda atau kecualikan parameter AMS dengan pernyataan penolakan.

Pernyataan berisi tindakan istimewa terhadap sumber daya di AWS Systems Manager. Pertimbangkan untuk mencantumkan izin untuk hanya membaca tindakan atau tindakan terhadap sumber daya Anda.

Temuan ini dihasilkan jika kebijakan memberikan izin selain penyimpanan parameter atau tindakan hanya-baca terhadap sumber daya Systems Manager. Untuk mengatasi temuan ini, kurangi izin untuk tindakan hanya-baca atau penyimpanan parameter saja.

Pernyataan berisi tindakan istimewa yang tidak dicakup ke {message} Service_Name yang Anda miliki. Pertimbangkan untuk mencakup izin ini ke jenis sumber daya tertentu sebagaimana mestinya atau mengecualikan sumber daya yang dimiliki AMS. Jika kartu liar digunakan, pastikan mereka cocokResources.

Temuan ini dihasilkan jika kebijakan mengizinkan tindakan istimewa yang tidak diberikan terhadap sumber daya Anda, terutama untuk sumber daya bernama. Untuk mengatasi temuan ini, tinjau daftar sumber daya Anda dan lihat apakah daftar tersebut hanya mencakup sumber daya yang ada di ruang nama Anda. Atau kecualikan sumber daya yang ada di namespace AMS.

Pernyataan berisi tindakan penandaan {Service_Name} yang tidak dicakup ke nilai tertentu untuk kunci tag Nama. Pertimbangkan untuk mencatat tindakan ini dengan menyetel kunci aws:RequestTag/Name kondisi dengan nilai di namespace Anda atau batasi tindakan ini dengan menyetel kunci aws:RequestTag/Name kondisi dengan StringNotLike operator dengan nilai di awalan namespace AMS.

Temuan ini dihasilkan jika kebijakan memberikan izin penandaan untuk layanan tertentu dan izin tidak dicakup ke kunci/nilai tag tertentu. Untuk melihat kunci atau nilai apa yang dapat digunakan dalam tindakan tag, misalnya, saat membuat permintaan untuk melakukan tindakan, gunakan aws:RequestTag/tag key kondisi. Jadi, untuk mengatasinya, gunakan kunci kondisi ini untuk membatasi kunci atau nilai di ruang nama Anda. Atau, tolak kunci Name tag (aws:RequestTag/Name) dengan nilai di namespace AMS.

Kesalahan internal memvalidasi kebijakan kepercayaan peran IAM.

Temuan ini dihasilkan ketika otomatisasi CT mengalami kesalahan dalam melakukan validasi pada kebijakan kepercayaan peran IAM melalui layanan IAM Access Analyzer. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Kesalahan internal memvalidasi kebijakan terkelola pelanggan.

Temuan ini dihasilkan ketika otomatisasi CT mengalami kesalahan saat melakukan pembatalan pada kebijakan yang dikelola pelanggan melalui layanan IAM Access Analyzer. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Access analyzer tidak ditemukan diWilayah AWS. Tidak dapat melakukan pemeriksaan pratinjau akses untuk kebijakan kepercayaan peran.

Temuan ini dihasilkan ketika sumber daya IAM Access Analyzer tidak ditemukan di file. Wilayah AWS Hubungi Operasi AMS untuk memecahkan masalah dan membuat sumber daya IAM Access Analyzer di Wilayah AWS.

Kebijakan kepercayaan yang tidak valid untuk peran Role_Name

Temuan ini dihasilkan bila diberikan peran IAM berisi kebijakan kepercayaan yang tidak valid. Untuk menyelesaikan meninjau kebijakan kepercayaan untuk memverifikasi bahwa itu valid.

IAM Access Analyzer mengalami kesalahan internal. Gagal membuat pratinjau akses untuk peran Role_Name

Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat membuat pratinjau akses untuk peran melalui IAM Access Analyzer. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Gagal membuat pratinjau akses untuk kebijakan kepercayaan peran Role_Name

Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat membuat pratinjau akses untuk peran melalui IAM Access Analyzer. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Kesalahan internal memvalidasi SAMP iDP yang terdaftar.

Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat memvalidasi SAMP yang disediakan yang IdPs tercantum dalam kebijakan kepercayaan peran. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Kesalahan internal memvalidasi izin terhadap. AWS Key Management Service

Temuan ini dihasilkan saat otomatisasi mengalami kesalahan saat memvalidasi izin AWS KMS utama dalam kebijakan yang disediakan. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Kesalahan internal memvalidasi kebijakan ARNs terkelola yang terdaftar.

Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat memvalidasi kebijakan terkelola yang terdaftar. ARNs Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Kesalahan internal memvalidasi customer_deny_policy lampiran default.

Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat memvalidasi bahwa customer_deny_policy itu melekat pada peran. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Kesalahan internal memvalidasi argumen kebijakan terkelola untuk peran tersebut Role_Name

Temuan ini dihasilkan ketika otomatisasi menemukan kesalahan saat memvalidasi kebijakan terkelola ARNs untuk peran tersebut. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Kesalahan internal memvalidasi Policy_name terhadap kebijakan batas yang ditentukan pelanggan AWSManagedServicesIAMProvisionCustomerBoundaryPolicy

Temuan ini dihasilkan ketika otomatisasi mengalami kesalahan saat memvalidasi kebijakan yang membuat daftar penolakan kustom Anda. Untuk mengatasi ini, kirim ulang RFC. Jika kesalahan berlanjut, hubungi Operasi AMS untuk memecahkan masalah kesalahan.

Kebijakan batas yang ditentukan pelanggan AWSManagedServicesIAMProvisionCustomerBoundaryPolicy ada di akun. Namun, kebijakan tersebut berisi pernyataan allow yang memberikan izin. Kebijakan hanya boleh berisi pernyataan penolakan.

Temuan ini dihasilkan ketika kebijakan yang berisi daftar penolakan kustom Anda menyertakan pernyataan yang memberikan izin. Meskipun daftar penolakan kustom ada di dalam akun Anda sebagai kebijakan yang dikelola IAM, itu tidak dapat digunakan untuk manajemen izin. Kebijakan hanya boleh berisi pernyataan penolakan yang menunjukkan bahwa Anda ingin Penyediaan IAM Otomatis AMS memvalidasi dan menolak tindakan tersebut dalam kebijakan IAM Anda yang dibuat oleh Penyediaan IAM Otomatis AMS.

Pernyataan berisi tindakan istimewa yang ditentukan oleh organisasi Anda untukService_Name. Pertimbangkan untuk mengecualikan tindakan ini dengan pernyataan penolakan. Lihat kebijakan yang disebutkan di akun Anda untuk referensi ke daftar tindakan yang dibatasi.

Temuan ini dihasilkan ketika otomatisasi mendeteksi tindakan apa pun dalam kebijakan Anda yang Anda tetapkan dalam daftar penolakan khusus. Untuk menyelesaikan temuan, tinjau pernyataan kebijakan Anda dan hapus tindakan apa pun yang ditentukan dalam daftar penolakan kustom Anda atau tambahkan pernyataan penolakan yang menyangkal tindakan tersebut.

Peran itu harus POLICY_ARN melekat. Sertakan kebijakan ARN dalam daftar kebijakan yang dikelola. ARNs

Temuan ini dihasilkan jika peran yang Anda buat tidak POLICY_ARN melekat padanya. Untuk mengatasi ini, sertakan POLICY_ARN di ManagedPolicyArnsbidang peran dan coba lagi.

Tidak POLICY_ARN bisa terlepas dari peran. Sertakan kebijakan ARN dalam daftar kebijakan yang dikelola. ARNs

Temuan ini dihasilkan jika terlepas dari peran selama pembaruan. POLICY_ARN Untuk mengatasi ini, tambahkan POLICY_ARN ke ManagedPolicyArnsbidang peran dan coba lagi.