Riferimento per il controllo di convalida delle policy IAM
Puoi convalidare le policy utilizzando la convalida delle policy di AWS Identity and Access Management Access Analyzer. È possibile creare o modificare una policy utilizzando la AWS CLI, l'API AWS o l'editor di policy JSON nella console IAM. Sistema di analisi degli accessi IAM convalida la policy rispetto alla sintassi delle policy IAM e alle best practice AWS. È possibile visualizzare i risultati del controllo della convalida delle policy che includono avvisi di sicurezza, errori, avvisi generali e suggerimenti per la policy. Questi risultati forniscono suggerimenti utili che consentono di creare policy funzionali e conformi alle best practice per la sicurezza. L'elenco dei controlli di base delle policy forniti da Sistema di analisi degli accessi IAM è disponibile di seguito. L'esecuzione dei controlli di convalida delle policy non comporta costi aggiuntivi. Per ulteriori informazioni sulla convalida delle policy tramite l'apposito procedimento, consulta Convalidare le policy con Sistema di analisi degli accessi IAM.
Errore: account ARN non consentito
Codice del problema: ARN_ACCOUNT_NOT_ALLOWED
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."Risoluzione dell'errore
Rimuovi l'ID account dall'ARN della risorsa. Gli ARN delle risorse per alcuni servizi AWS non supportano la specifica di un ID account.
Ad esempio, Amazon S3 non supporta un ID account come namespace negli ARN del bucket. Il nome di un bucket Amazon S3 è univoco a livello globale e il namespace è condiviso da tutti gli account AWS. Per visualizzare tutti i tipi di risorse disponibili in Amazon S3, consulta Tipi di risorse definiti da Amazon S3 in Service Authorization Reference.
Termini correlati
Errore: regione ARN non consentita
Codice del problema: ARN_REGION_NOT_ALLOWED
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."Risoluzione dell'errore
Rimuovi la regione dall'ARN della risorsa. Gli ARN delle risorse per alcuni servizi AWS non supportano la specifica di una regione.
Ad esempio, IAM è un servizio globale. La parte della regione di un ARN della risorsa IAM viene sempre mantenuta vuota. Le risorse IAM sono globali, come oggi lo è un account AWSconto è oggi. Ad esempio, dopo aver effettuato l'accesso come utente IAM, puoi accedere ai servizi AWS in qualsiasi regione geografica.
Errore: mancata corrispondenza del tipo di dati
Codice del problema: DATA_TYPE_MISMATCH
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."Risoluzione dell'errore
Aggiorna il testo per utilizzare il tipo di dati supportato.
Ad esempio, la chiave di condizione globale di Version richiede un tipo di dati String. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
Termini correlati
Errore: chiavi duplicate con un diverso formato maiuscolo/minuscolo
Codice del problema: DUPLICATE_KEYS_WITH_DIFFERENT_CASE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."Risoluzione dell'errore
Esamina le chiavi di condizione simili all'interno dello stesso blocco di condizione e utilizza lo stesso formato maiuscolo/minuscolo per tutte le istanze.
Un blocco di condizione è il testo all'interno dell'elemento Condition di una istruzione della policy. I nomi delle chiavi di condizione non distinguono tra maiuscole e minuscole. La distinzione tra maiuscole e minuscole dei valori delle chiavi di condizione dipende dall'operatore di condizione utilizzato. Per ulteriori informazioni sul formato maiuscolo/minuscolo per le chiavi di condizione, consulta Elementi delle policy JSON IAM: Condition.
Termini correlati
Errore: operazione non valida
Codice del problema: INVALID_ACTION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"Risoluzione dell'errore
L'azione specificata non è valida. Ciò può verificarsi se si digita male il prefisso del servizio o il nome dell'operazione. Per alcuni problemi comuni, il controllo delle policy restituisce un'operazione suggerita.
Termini correlati
AWSPolicy gestite da con questo errore
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Le seguenti policy gestite da AWS includono operazioni non valide nelle relative istruzioni delle policy. Le operazioni non valide non influenzano le autorizzazioni concesse dalla policy. Quando utilizzi una policy gestita da AWS come riferimento per creare la tua policy gestita, AWS consiglia di rimuovere dalla policy le operazioni non valide.
Errore. account ARN non valido
Codice del problema: INVALID_ARN_ACCOUNT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."Risoluzione dell'errore
Aggiorna l'ID account nell'ARN della risorsa. Gli ID account sono numeri interi a 12 cifre. Per informazioni su come visualizzare il tuo ID account, consulta Ricerca del tuo ID account AWS.
Termini correlati
Errore: prefisso ARN non valido
Codice del problema: INVALID_ARN_PREFIX
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add the required prefix (arn) to the resource ARN."Risoluzione dell'errore
Gli ARN delle risorse AWS devono includere il prefisso arn: richiesto.
Termini correlati
Errore: regione ARN non valida
Codice del problema: INVALID_ARN_REGION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."Risoluzione dell'errore
Il tipo di risorsa non è supportato nella regione specificata. Per una tabella dei servizi AWS supportati in ciascuna regione, consulta la tabella delle regioni
Termini correlati
Errore: risorsa ARN non valida
Codice del problema: INVALID_ARN_RESOURCE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."Risoluzione dell'errore
L'ARN della risorsa deve corrispondere alle specifiche per i tipi di risorse noti. Per visualizzare il formato ARN previsto per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. Sceglie il nome del servizio per visualizzarne i tipi di risorse e i formati ARN.
Termini correlati
Errore: caso di servizio ARN non valido
Codice del problema: INVALID_ARN_SERVICE_CASE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid ARN service case: Update the service name {{service}} in the resource ARN to use all lowercase letters.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Update the service name {{service}} in the resource ARN to use all lowercase letters."Risoluzione dell'errore
Il servizio nell'ARN della risorsa deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
Termini correlati
Errore: tipo di dati di condizione non valido
Codice del problema: INVALID_CONDITION_DATA_TYPE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."Risoluzione dell'errore
Il valore nella coppia chiave-valore condizione deve corrispondere al tipo di dati della chiave di condizione e dell'operatore di condizione. Per visualizzare il tipo di dati della chiave di condizione per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. Scegli il nome del servizio per visualizzarne le chiavi di condizione.
Ad esempio, la chiave di condizione globale di CurrentTime supporta l'operatore di condizione Date. Se si specifica una stringa o un numero intero per il valore nel blocco di condizione, il tipo di dati non corrisponderà.
Termini correlati
Errore: formato della chiave di condizione non valido
Codice del problema: INVALID_CONDITION_KEY_FORMAT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key format is not valid. Use the format service:keyname."Risoluzione dell'errore
La chiave nella coppia chiave-valore condizione deve corrispondere alle specifiche del servizio. Per visualizzare le chiavi di condizione per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. Scegli il nome del servizio per visualizzarne le chiavi di condizione.
Termini correlati
Errore: booleano multiplo della condizione non valida
Codice del problema: INVALID_CONDITION_MULTIPLE_BOOLEAN
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."Risoluzione dell'errore
La chiave nella coppia chiave-valore della condizione prevede un singolo valore booleano. Quando si forniscono più valori booleani, la corrispondenza della condizione potrebbe non restituire i risultati previsti.
Per visualizzare le chiavi di condizione per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. Scegli il nome del servizio per visualizzarne le chiavi di condizione.
Errore: operatore di condizione non valido
Codice del problema: INVALID_CONDITION_OPERATOR
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."Risoluzione dell'errore
Aggiorna la condizione per utilizzare un operatore di condizione supportato.
Termini correlati
Errore: effetto non valido
Codice del problema: INVALID_EFFECT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."Risoluzione dell'errore
Aggiorna l'elemento Effect per utilizzare un effetto valido. I valori validi di Effect sono Allow e Deny.
Termini correlati
Errore: chiave di condizione globale non valida
Codice del problema: INVALID_GLOBAL_CONDITION_KEY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."Risoluzione dell'errore
Aggiorna la chiave di condizione nella coppia chiave-valore della condizione per utilizzare una chiave di condizione globale supportata.
Le chiavi di condizione globali sono chiavi di condizione con un prefisso aws:. I servizi AWS possono supportare chiavi di condizione globali o fornire chiavi specifiche del servizio che includono il prefisso del servizio. Ad esempio, le chiavi di condizione IAM includono il prefisso iam:. Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS e scegli il servizio di cui vuoi visualizzare le chiavi.
Termini correlati
Errore: partizione non valida
Codice del problema: INVALID_PARTITION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"Risoluzione dell'errore
Aggiorna l'ARN della risorsa per includere una partizione supportata. Se hai incluso una partizione supportata, il servizio o la risorsa potrebbe non supportare la partizione inclusa.
Una partizione è un gruppo di regioni AWS. Ogni account AWS ha l'ambito di una partizione. Nelle regioni classiche, utilizza la partizione aws. Nelle regioni della Cina, utilizza aws-cn.
Termini correlati
Errore: elemento della policy non valido
Codice del problema: INVALID_POLICY_ELEMENT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid policy element: The policy element {{element}} is not valid.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The policy element {{element}} is not valid."Risoluzione dell'errore
Aggiorna la policy per includere solo gli elementi della policy JSON supportati.
Termini correlati
Errore: formato principale non valido
Codice del problema: INVALID_PRINCIPAL_FORMAT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."Risoluzione dell'errore
Aggiorna il principale per utilizzare un formato di coppia chiave-valore supportato.
Puoi specificare un principale in una policy basata sulle risorse, ma non in una policy basata sulle identità.
Ad esempio, per definire l'accesso per tutti gli utenti in un account AWS utilizza nella policy il seguente principale:
"Principal": { "AWS": "123456789012" }Termini correlati
Errore: chiave principale non valida
Codice del problema: INVALID_PRINCIPAL_KEY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid principal key: The principal key {{principal-key}} is not valid.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The principal key {{principal-key}} is not valid."Risoluzione dell'errore
Aggiorna la chiave nella coppia chiave-valore del principale per utilizzare una chiave principale supportata. Le chiavi principali supportate sono le seguenti:
AWS
CanonicalUser
Federato
Servizio
Termini correlati
Errore: regione non valida
Codice del problema: INVALID_REGION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."Risoluzione dell'errore
Aggiorna il valore della coppia chiave-valore della condizione per includere una regione supportata. Per una tabella dei servizi AWS supportati in ciascuna regione, consulta la tabella delle regioni
Termini correlati
Errore: servizio non valido
Codice del problema: INVALID_SERVICE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid service: The service {{service}} does not exist. Use a valid service name.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The service {{service}} does not exist. Use a valid service name."Risoluzione dell'errore
Il prefisso del servizio nell'operazione o nella chiave di condizione deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
Termini correlati
Errore: chiave di condizione del servizio non valida
Codice del problema: INVALID_SERVICE_CONDITION_KEY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."Risoluzione dell'errore
Aggiorna la chiave nella coppia chiave-valore della condizione per utilizzare una chiave di condizione nota per il servizio. Le chiavi di condizione globali sono chiavi di condizione con un prefisso aws. I servizi AWS possono fornire chiavi specifiche del servizio che includono il prefisso del servizio. Per visualizzare il prefisso per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS.
Termini correlati
Errore: servizio non valido nell'operazione
Codice del problema: INVALID_SERVICE_IN_ACTION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"Risoluzione dell'errore
Il prefisso del servizio nell'operazione deve corrispondere alle specifiche (incluso il formato maiuscolo/minuscolo) per i prefissi del servizio. Per visualizzare il prefisso per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. Scegli il nome del servizio e individua il suo prefisso nella prima frase.
Termini correlati
Errore: variabile non valida per l'operatore
Codice del problema: INVALID_VARIABLE_FOR_OPERATOR
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Policy variables can only be used with String and ARN operators."Risoluzione dell'errore
Le variabili di policy possono essere utilizzate nell'elemento Resource e per confrontare stringhe nell'elemento Condition. Le condizioni supportano le variabili quando si utilizzano operatori stringa o operatori ARN. Gli operatori stringa includono StringEquals, StringLike e StringNotLike. Gli operatori ARN includono ArnEquals e ArnLike. Non è possibile utilizzare una variabile della policy con altri operatori, ad esempio Numeric, Date, Boolean, Binary, IP Address o Null.
Termini correlati
Errore: versione non valida
Codice del problema: INVALID_VERSION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid version: The version {{version}} is not valid. Use one of the following versions: {{versions}}
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The version {{version}} is not valid. Use one of the following versions: {{versions}}"Risoluzione dell'errore
L'elemento della policy Version specifica le regole sintattiche del linguaggio che devono essere utilizzate da AWS per elaborare una policy. Per utilizzare tutte le funzionalità della policy disponibili, includi il seguente elemento Version prima dell'elemento Statement in tutte le policy.
"Version": "2012-10-17"
Termini correlati
Errore: errore di sintassi JSON
Codice del problema: JSON_SYNTAX_ERROR
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."Risoluzione dell'errore
La policy include un errore di sintassi. Controlla la sintassi JSON.
Termini correlati
Errore: errore di sintassi JSON
Codice del problema: JSON_SYNTAX_ERROR
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Json syntax error: Fix the JSON syntax error.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Fix the JSON syntax error."Risoluzione dell'errore
La policy include un errore di sintassi. Controlla la sintassi JSON.
Termini correlati
Errore: operazione mancante
Codice del problema: MISSING_ACTION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing action: Add an Action or NotAction element to the policy statement.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add an Action or NotAction element to the policy statement."Risoluzione dell'errore
Le policy AWS JSON devono includere un elemento Action o NotAction.
Termini correlati
Errore: campo ARN mancante
Codice del problema: MISSING_ARN_FIELD
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"Risoluzione dell'errore
Tutti i campi nell'ARN della risorsa devono corrispondere alle specifiche per i tipi di risorse noti. Per visualizzare il formato ARN previsto per un servizio, consulta Operazioni, risorse e chiavi di condizione per i servizi AWS. Sceglie il nome del servizio per visualizzarne i tipi di risorse e i formati ARN.
Termini correlati
Errore: regione ARN mancante
Codice del problema: MISSING_ARN_REGION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing ARN Region: Add a Region to the {{service}} resource ARN.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a Region to the {{service}} resource ARN."Risoluzione dell'errore
Gli ARN delle risorse per la maggior parte dei servizi AWS richiedono di specificare una regione. Per una tabella dei servizi AWS supportati in ciascuna regione, consulta la tabella delle regioni
Termini correlati
Errore: effetto mancante
Codice del problema: MISSING_EFFECT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."Risoluzione dell'errore
Le policy JSON AWS devono includere un elemento Effect con un valore di Allow e Deny.
Termini correlati
Errore: principale mancante
Codice del problema: MISSING_PRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing principal: Add a Principal element to the policy statement.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a Principal element to the policy statement."Risoluzione dell'errore
Le policy basate sulle risorse devono includere un elemento Principal.
Ad esempio, per definire l'accesso per tutti gli utenti in un account AWS utilizza nella policy il seguente principale:
"Principal": { "AWS": "123456789012" }Termini correlati
Errore: qualificatore mancante
Codice del problema: MISSING_QUALIFIER
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing qualifier: The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."Risoluzione dell'errore
Nell'elemento Condition è possibile creare espressioni in cui utilizzare operatori condizionali ("uguale a", "minore di" e così via) per confrontare le chiavi e i valori della policy rispetto alle chiavi e ai valori del contesto della richiesta. Per le richieste che includono più valori per una singola chiave, è necessario racchiudere le condizioni tra parentesi come un array ("Key2":["Value2A", "Value2B"]). È inoltre necessario utilizzare gli operatori su set ForAllValues o ForAnyValue con l'operatori di condizione StringLike. Questi qualificatori aggiungono funzionalità di operazione set all'operatore della condizione, in modo che sia possibile testare più valori di richieste con più valori di condizione.
Termini correlati
AWSPolicy gestite da con questo errore
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Le seguenti policy gestite da AWS includono un qualificatore mancante per le chiavi di condizione nelle istruzioni delle policy. Quando si utilizza la policy gestita da AWS come riferimento per creare una policy gestita dal cliente, AWSconsiglia di aggiungere i qualificatori di chiavi di condizione ForAllValues o ForAnyValue per il tuo elemento Condition.
Errore: risorsa mancante
Codice del problema: MISSING_RESOURCE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing resource: Add a Resource or NotResource element to the policy statement.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a Resource or NotResource element to the policy statement."Risoluzione dell'errore
Tutte le policy, ad eccezione delle policy di attendibilità dei ruoli, devono includere un elemento Resource o NotResource.
Termini correlati
Errore: istruzione mancante
Codice del problema: MISSING_STATEMENT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing statement: Add a statement to the policy
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a statement to the policy"Risoluzione dell'errore
Una policy JSON deve includere un'istruzione.
Termini correlati
Errore: null con if esiste
Codice del problema: NULL_WITH_IF_EXISTS
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."Risoluzione dell'errore
È possibile aggiungere IfExists alla fine di qualsiasi nome dell'operatore di condizione ad eccezione dell'operatore di condizione Null. Utilizza un operatore di condizione Null per verificare se una chiave di condizione è presente al momento dell'autorizzazione. Utilizza ...ifExists per dichiarare che "Se la chiave di policy è presente nel contesto della richiesta, la chiave deve essere elaborata come specificato nella policy. Se la chiave non è presente, l'elemento della condizione viene valutato come "true".
Termini correlati
Errore: carattere jolly dell'operazione con errore di sintassi SCP
Codice del problema: SCP_SYNTAX_ERROR_ACTION_WILDCARD
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."Risoluzione dell'errore
Le policy di controllo dei servizi (SCP) AWS Organizations che specificano i valori negli elementi Action o NotAction. Tuttavia, questi valori possono includere caratteri jolly (*) solo alla fine della stringa. Ciò significa che puoi specificare iam:Get* ma non iam:*role.
Per specificare più operazioni, AWS consiglia di elencarle singolarmente.
Termini correlati
Errore: principale dell'errore di sintassi SCP
Codice del problema: SCP_SYNTAX_ERROR_PRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."Risoluzione dell'errore
Le policy di controllo dei servizi (SCP) AWS Organizations non supportano gli elementi Principal o NotPrincipal.
Puoi specificare l'Amazon Resource Name (ARN) utilizzando la chiave di condizione globale aws:PrincipalArn nell'elemento Condition.
Termini correlati
Errore: sid univoci richiesti
Codice del problema: UNIQUE_SIDS_REQUIRED
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."Risoluzione dell'errore
Per alcuni tipi di policy , gli ID delle istruzioni devono essere univoci. L'elemento Sid (ID istruzione) consente di immettere un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore ID di istruzione a ogni istruzione in una matrice di istruzioni utilizzando l'elemento SID. Nei servizi che consentono di specificare un elemento ID, ad esempio SQS e SNS, il valore Sid è semplicemente un ID secondario dell'ID del documento di policy. Ad esempio, in IAM il valore Sid deve essere univoco all'interno di una policy JSON.
Termini correlati
Errore: operazione non supportata nella policy
Codice del problema: UNSUPPORTED_ACTION_IN_POLICY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Risoluzione dell'errore
Alcune operazioni non sono supportate nell'elemento Action nella policy basata su risorse collegato a un tipo di risorsa diverso. Ad esempi, le operazioni AWS Key Management Service non sono supportate nelle policy bucket di Amazon S3. Specificare un'operazione supportata dal tipo di risorsa collegato alla policy basata su risorse.
Termini correlati
Errore: combinazione di elementi non supportata
Codice del problema: UNSUPPORTED_ELEMENT_COMBINATION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported element combination: The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements."Risoluzione dell'errore
Alcune combinazioni di elementi delle policy JSON non possono essere utilizzate insieme. Ad esempio, non è possibile utilizzare Action e NotAction nella stessa dichiarazione di policy. Altre coppie che si escludono reciprocamente sono Principal/NotPrincipal e Resource/NotResource.
Termini correlati
Errore: chiave di condizione globale non supportata
Codice del problema: UNSUPPORTED_GLOBAL_CONDITION_KEY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."Risoluzione dell'errore
AWS non supporta l'utilizzo della chiave di condizione globale specificata. A seconda del tuo caso d'uso, puoi utilizzare le chiavi di condizione globali aws:PrincipalArn o aws:SourceArn. Ad esempio, invece di aws:ARN utilizza aws:PrincipalArn per confrontare l'Amazon Resource Name (ARN del principale che ha effettuato la richiesta con l'ARN specificato nella policy. In alternativa, utilizza la chiave di condizione globale aws:SourceArn per confrontare l'Amazon Resource Name (ARN) della risorsa che effettua una richiesta da servizio a servizio con l'ARN specificato nella policy.
Termini correlati
Errore: principale non supportato
Codice del problema: UNSUPPORTED_PRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported principal: The policy type {{policy_type}} does not support the Principal element. Remove the Principal element.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The policy type {{policy_type}} does not support the Principal element. Remove the Principal element."Risoluzione dell'errore
L'elemento Principal specifica il principale a cui è consentito o rifiutato l'accesso a una risorsa. Non è possibile utilizzare l'elemento Principal in una policy basata sull'identità IAM. Puoi usarlo nelle policy di attendibilità per i ruoli IAM e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa. Ad esempio, puoi integrare le policy in un bucket Amazon S3 o una chiave KMS AWS.
Termini correlati
Errore: ARN della risorsa non supportata nella policy
Codice del problema: UNSUPPORTED_RESOURCE_ARN_IN_POLICY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Risoluzione dell'errore
Alcuni ARN delle risorse non sono supportati nell'elemento Resource della policy basata sulle risorse quando la policy è collegata a un tipo di risorsa diverso. Ad esempio, gli ARN AWS KMS non sono supportati nell'elemento Resource per le policy bucket Amazon S3. Specificare un ARN della risorsa supportato da un tipo di risorsa collegato alla policy basata sulle risorse.
Termini correlati
Errore: sid non supportato
Codice del problema: UNSUPPORTED_SID
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"Risoluzione dell'errore
L'elemento Sid supporta lettere maiuscole, lettere minuscole e numeri.
Termini correlati
Errore: carattere jolly non supportato nel principale
Codice del problema: UNSUPPORTED_WILDCARD_IN_PRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."Risoluzione dell'errore
La struttura dell'elemento Principal supporta l'utilizzo di una coppia chiave-valore. Il valore del principale specificato nella policy include un carattere jolly (*). Non è possibile includere un carattere jolly con la chiave del principale specificata. Ad esempio, quando specifichi gli utenti in un elemento Principal, non è possibile utilizzare un carattere jolly che indica "tutti gli utenti". Assegna un nome a uno o più utenti specifici. Allo stesso modo, quando si specifica una sessione con assunzione di ruolo, non è possibile utilizzare un carattere jolly (*) per indicare "tutte le sessioni". È necessario assegnare un nome a una sessione specifica. Non è possibile utilizzare un carattere jolly per associare parte di un nome o di un ARN.
Per risolvere questo risultato, rimuovi il carattere jolly e fornisci un principale più specifico.
Termini correlati
Errore: parentesi mancante nella variabile
Codice del problema: MISSING_BRACE_IN_VARIABLE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."Risoluzione dell'errore
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso $ seguito da una coppia di parentesi graffe ({ }). All'interno dei caratteri ${ }, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy.
Per risolvere questo risultato, aggiungi la parentesi graffa mancante per assicurarti che sia presente il set completo di parentesi graffe di apertura e chiusura.
Termini correlati
Errore: virgoletta mancante nella variabile
Codice del problema: MISSING_QUOTE_IN_VARIABLE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."Risoluzione dell'errore
Quando aggiungi una variabile alla policy, puoi specificare un valore di default per la variabile. Se non è presente una variabile,AWS utilizza il testo di default fornito.
Per aggiungere un valore di default a una variabile, racchiudi il valore di default tra virgolette singole (' ') e separa il testo della variabile e il valore di default con una virgola e uno spazio (, ).
Ad esempio, se un principale è contrassegnato con team=yellow, possono accedere al bucket Amazon S3 amzn-s3-demo-bucket con il nomeamzn-s3-demo-bucket-yellow. Una policy con questa risorsa potrebbe consentire ai membri del team di accedere alle proprie risorse, ma non a quelle di altri team. Per gli utenti senza tag dei team, puoi impostare un valore di default di company-wide. Questi utenti possono accedere solo al bucket amzn-s3-demo-bucket-company-wide, dove possono visualizzare informazioni generali, come le istruzioni per entrare a far parte di un team.
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"Termini correlati
Errore: spazio non supportato nella variabile
Codice del problema: UNSUPPORTED_SPACE_IN_VARIABLE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "A space is not supported within the policy variable text. Remove the space."Risoluzione dell'errore
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso $ seguito da una coppia di parentesi graffe ({ }). All'interno dei caratteri ${ }, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy. Sebbene sia possibile includere uno spazio quando si specifica una variabile di default, non è possibile includere uno spazio nel nome della variabile.
Termini correlati
Errore: variabile vuota
Codice del problema: EMPTY_VARIABLE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."Risoluzione dell'errore
La struttura delle variabili delle policy supporta l'utilizzo di un prefisso $ seguito da una coppia di parentesi graffe ({ }). All'interno dei caratteri ${ }, includi il nome del valore ricavato dalla richiesta da utilizzare nella policy.
Termini correlati
Errore: variabile non supportata nell'elemento
Codice del problema: VARIABLE_UNSUPPORTED_IN_ELEMENT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."Risoluzione dell'errore
Le variabili di policy possono essere utilizzate nell'elemento Resource e per confrontare stringhe nell'elemento Condition.
Termini correlati
Errore: variabile non supportata nella versione
Codice del problema: VARIABLE_UNSUPPORTED_IN_VERSION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."Risoluzione dell'errore
Per usare le variabili di policy, è necessario che l'elemento Version sia incluso in una istruzione e impostato su una versione che supporti le variabili di policy. Le variabili sono state introdotte a partire dalla versione 2012-10-17. Le versioni precedenti del linguaggio di policy non supportano le variabili. Se non imposti la Version su 2012-10-17 o una versione successiva, le variabili come ${aws:username} nella policy vengono trattate come stringhe letterali.
Un elemento di policy Version è diverso da una versione di policy. L'elemento di policy Version viene utilizzato all'interno di una policy e definisce la versione del linguaggio di policy. Una versione della policy viene creata quando si modifica una policy gestita dal cliente in IAM. La policy modificata non viene sovrascritta a quella precedente. IAM crea invece una nuova versione della policy gestita.
Termini correlati
Errore: indirizzo IP privato
Codice del problema: PRIVATE_IP_ADDRESS
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."Risoluzione dell'errore
La chiave di condizione globale aws:SourceIp funziona solo per intervalli di indirizzi IP pubblici. Questo errore viene visualizzato quando la policy consente solo indirizzi IP privati. In questo caso, la condizione non corrisponderà mai.
Errore: NotIpAddress privato
Codice del problema: PRIVATE_NOT_IP_ADDRESS
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."Risoluzione dell'errore
La chiave di condizione globale aws:SourceIp funziona solo per intervalli di indirizzi IP pubblici. Questo errore viene visualizzato quando si utilizza l'operatore di condizione NotIpAddress e sono riportati solo gli indirizzi IP privati. In questo caso, la condizione corrispondere sempre ed è inefficace.
Errore: la dimensione della policy supera la quota della SCP
Codice del problema: POLICY_SIZE_EXCEEDS_SCP_QUOTA
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."Risoluzione dell'errore
Le policy di controllo dei servizi (SCP) AWS Organizations che specificano i valori negli elementi Action o NotAction. Tuttavia, questi valori possono includere caratteri jolly (*) solo alla fine della stringa. Ciò significa che puoi specificare iam:Get* ma non iam:*role.
Per specificare più operazioni, AWS consiglia di elencarle singolarmente.
Termini correlati
Errore: formato principale del servizio non valido
Codice del problema: INVALID_SERVICE_PRINCIPAL_FORMAT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."Risoluzione dell'errore
Il valore nella coppia chiave-valore della condizione deve corrispondere a un formato di principale di servizio definito.
Un'entità servizio è un identificatore che viene utilizzato per concedere autorizzazioni a un servizio. Puoi specificare un principale di servizio nell'elemento Principal o come valore per alcune chiavi di condizione globali e chiavi specifiche del servizio. Il principale del servizio è definito da ciascun servizio.
L'identificatore di un principale del servizio include il nome del servizio ed è solitamente nel formato seguente con tutte le lettere minuscole:
service-name.amazonaws.com
Alcune chiavi specifiche del servizio possono utilizzare un formato diverso per i principali di servizio. Ad esempio, la chiave di condizione kms:ViaService richiede il seguente formato per i principali del servizio con tutte le lettere minuscole:
service-name.AWS_region.amazonaws.com
Termini correlati
Errore: chiave di tag mancante nella condizione
Codice del problema: MISSING_TAG_KEY_IN_CONDITION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."Risoluzione dell'errore
Per controllare gli accessi in base ai tag, devi fornire informazioni sui tag nell'elemento condizione di una policy.
Ad esempio, per controllare l'accesso alle risorse AWS, si include la chiave di condizione aws:ResourceTag. Questa chiave richiede il formato aws:ResourceTag/. Per specificare la chiave di tag tag-keyowner e il valore del tag JaneDoe In una condizione, utilizza il seguente formato:
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}Termini correlati
Errore: formato vpc non valido
Codice del problema: INVALID_VPC_FORMAT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."Risoluzione dell'errore
La chiave di condizione aws:SourceVpc deve utilizzare il prefisso vpc- seguito da 8 o 17 caratteri alfanumerici, ad esempio vpc-11223344556677889 o vpc-12345678.
Termini correlati
Errore: formato vpce non valido
Codice del problema: INVALID_VPCE_FORMAT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."Risoluzione dell'errore
La chiave di condizione aws:SourceVpce deve utilizzare il prefisso vpce- seguito da 8 o 17 caratteri alfanumerici, ad esempio vpce-11223344556677889 o vpce-12345678.
Termini correlati
Errore: principale federato non supportato
Codice del problema: FEDERATED_PRINCIPAL_NOT_SUPPORTED
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."Risoluzione dell'errore
L'elemento Principal utilizza i principali federati per le policy di attendibilità collegate ai ruoli IAM per fornire l'accesso tramite la federazione delle identità. Le policy di identità e altre policy basate sulle risorse non supportano un provider di identità federato nell'elemento Principal. Ad esempio, non puoi utilizzare un principale SAML in una policy bucket Amazon S3. Modifica l'elemento Principal con un tipo di principale supportato.
Termini correlati
Errore: operazione non supportata per la chiave di
Codice del problema: UNSUPPORTED_ACTION_FOR_CONDITION_KEY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."Risoluzione dell'errore
Assicurati che la chiave di condizione sia nell'elemento Condition della dichiarazione di policy si applichi a tutte le operazioni nell'elemento Action. Per garantire che le operazioni specificate siano effettivamente consentite o rifiutate dalla policy, è necessario spostare le operazioni non supportate in una dichiarazione diversa senza la chiave di condizione.
Nota
Se l'elemento Action ha operazioni con caratteri jolly, Sistema di analisi degli accessi IAM non le valuta per questo errore.
Termini correlati
Errore: operazione non supportata nella policy
Codice del problema: UNSUPPORTED_ACTION_IN_POLICY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Risoluzione dell'errore
Alcune operazioni non sono supportate nell'elemento Action nella policy basata su risorse collegato a un tipo di risorsa diverso. Ad esempi, le operazioni AWS Key Management Service non sono supportate nelle policy bucket di Amazon S3. Specificare un'operazione supportata dal tipo di risorsa collegato alla policy basata su risorse.
Termini correlati
Errore: ARN della risorsa non supportata nella policy
Codice del problema: UNSUPPORTED_RESOURCE_ARN_IN_POLICY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Risoluzione dell'errore
Alcuni ARN delle risorse non sono supportati nell'elemento Resource della policy basata sulle risorse quando la policy è collegata a un tipo di risorsa diverso. Ad esempio, gli ARN AWS KMS non sono supportati nell'elemento Resource per le policy bucket Amazon S3. Specificare un ARN della risorsa supportato da un tipo di risorsa collegato alla policy basata sulle risorse.
Termini correlati
Errore: chiave di condizione non supportata per il principale del servizio
Codice del problema: UNSUPPORTED_CONDITION_KEY_FOR_SERVICE_PRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."Risoluzione dell'errore
Puoi specificare Servizi AWS nell'elemento Principal di una policy basata sulle risorse che utilizza un principale del servizio, che è un identificatore del servizio. Non è possibile utilizzare alcune chiavi di condizione con determinati principali del servizio. Ad esempio, non puoi utilizzare la chiave di condizione aws:PrincipalOrgID con il principale del servizio cloudfront.amazonaws.com. È necessario rimuovere le chiavi di condizione che non si applicano al principale del servizio nell'elemento Principal.
Termini correlati
Errore: errore di sintassi notprincipal della policy di attendibilità del ruolo
Codice del problema: ROLE_TRUST_POLICY_SYNTAX_ERROR_NOTPRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."Risoluzione dell'errore
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo IAM. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Le politiche di attendibilità dei ruoli non supportano NotPrincipal. Aggiornare la policy per utilizzare un elemento Principal.
Termini correlati
Errore: carattere jolly della policy di attendibilità del ruolo non supportato nel principale
Codice del problema: ROLE_TRUST_POLICY_UNSUPPORTED_WILDCARD_IN_PRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."Risoluzione dell'errore
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo IAM. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. L'elemento Principal della policy di attendibilità del ruolo non supporta "Principal:" "*". Sostituisci il jolly con un valore principale valido.
Termini correlati
Error: errore di sintassi resource della policy di attendibilità del ruolo
Codice del problema: ROLE_TRUST_POLICY_SYNTAX_ERROR_RESOURCE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."Risoluzione dell'errore
Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo IAM. Le policy di attendibilità definiscono quali entità principali (account, utenti, ruoli e utenti federati) possono assumere il ruolo. Le politiche di attendibilità del ruolo si applicano al ruolo a cui sono associate. Non puoi specificare un elemento Resource o NotResource in una policy di attendibilità del ruolo. Rimozione dell'elemento Resource o NotResource.
Errore: il tipo non corrisponde all'intervallo IP
Codice del problema: TYPE_MISMATCH_IP_RANGE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."Risoluzione dell'errore
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione dell'indirizzo IP, in un formato CIDR.
Termini correlati
Errore: operazione mancante per la chiave di condizione
Codice del problema: MISSING_ACTION_FOR_CONDITION_KEY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."Risoluzione dell'errore
La chiave della condizione nell'elemento Condition della dichiarazione di policy non viene valutata a meno che l'operazione specificata non sia inclusa nell'elemento Action. Per garantire che le chiavi di condizione specificate siano effettivamente consentite o rifiutate dalla policy, aggiungi l'operazione all'elemento Action.
Termini correlati
Errore: sintassi del principale federato non valida nella policy di attendibilità dei ruoli
Codice del problema: INVALID_FEDERATED_PRINCIPAL_SYNTAX_IN_ROLE_TRUST_POLICY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."Risoluzione dell'errore
Il valore principale specifica un pricipale federato che non corrisponde al formato previsto. Aggiorna il formato del principale federato con un nome di dominio valido o un ARN di metadati SAML.
Termini correlati
Errore: operazione non corrispondente per il principale
Codice del problema: MISMATCHED_ACTION_FOR_PRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."Risoluzione dell'errore
L'operazione specificata nell'elemento Action della dichiarazione di policy non è valida con il principale specificato nell'elemento Principal. Ad esempio, non puoi utilizzare un principale provider SAML con l'operazione sts:AssumeRoleWithWebIdentity. È necessario utilizzare un provider principale SAML con l'operazione sts:AssumeRoleWithSAML oppure utilizzare un principale del fornitore OIDC con l'operazione sts:AssumeRoleWithWebIdentity.
Termini correlati
Errore: operazione mancante per la policy di attendibilità dei ruoli ovunque
Codice del problema: MISSING_ACTION_FOR_ROLES_ANYWHERE_TRUST_POLICY
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."Risoluzione dell'errore
Affinché IAM Roles Anywhere sia in grado di assumere un ruolo e fornire credenziali AWS temporanee, il ruolo deve considerare attendibile il principale del servizio IAM Roles Anywhere. Il principale del servizio IAM Roles Anywhere richiede le autorizzazioni sts:AssumeRole, sts:SetSourceIdentity e sts:TagSession per assumere un ruolo. Se manca una delle autorizzazioni, va aggiunta alla policy.
Termini correlati
Errore: la dimensione della policy supera la quota della RCP
Codice del problema: POLICY_SIZE_EXCEEDS_RCP_QUOTA
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."Risoluzione dell'errore
Le policy di controllo delle risorse (RCP) AWS Organizations supportano la specifica dei valori nell'elemento Action. Tuttavia, questi valori possono includere caratteri jolly (*) solo alla fine della stringa. Ciò significa che puoi specificare s3:Get* ma non s3:*Object.
Per specificare più operazioni, AWS consiglia di elencarle singolarmente.
Termini correlati
Errore: principale dell'errore di sintassi RCP
Codice del problema: RCP_SYNTAX_ERROR_PRINCIPAL
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."Risoluzione dell'errore
Le politiche di controllo delle risorse (RCP) di AWS Organizations supportano solo la specifica di tutti i principali ("*") nell'elemento Principal. L'elemento NotPrincipal non è supportato per le RCP.
Termini correlati
Errore: autorizzazione con errore di sintassi RCP
Codice del problema: RCP_SYNTAX_ERROR_ALLOW
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."Risoluzione dell'errore
Le policy di controllo delle risorse (RCP) di AWS Organizations supportano solo la specifica di tutti i principali ("*") nell'elemento Principal e tutte le risorse ("*") nell'elemento Resource. L'elemento Condition con un effetto di Allow non è supportato per le RCP.
Termini correlati
Errore: errore di sintassi RCP NotAction
Codice del problema: RCP_SYNTAX_ERROR_NOTACTION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."Risoluzione dell'errore
Le policy di controllo delle risorse (RCP) AWS Organizations non supportano l'elemento NotAction. Utilizza l'elemento Action.
Termini correlati
Errore: errore di sintassi RCP action
Codice del problema: RCP_SYNTAX_ERROR_ACTION
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."Risoluzione dell'errore
Le policy di controllo delle risorse (RCP) di AWS Organizations supportano solo la specifica di prefissi di servizio selezionati nell'elemento Action.
Termini correlati
Errore: account ARN mancante
Codice del problema: MISSING_ARN_ACCOUNT
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing ARN account: The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id."Risoluzione dell'errore
Include l'ID account nell'ARN della risorsa. Gli ID account sono numeri interi a 12 cifre. Per informazioni su come visualizzare il tuo ID account, consulta Ricerca del tuo ID account AWS.
Termini correlati
Errore: valore della chiave kms non valido
Codice del problema: INVALID_KMS_KEY_VALUE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid kms key value: The {{key}} condition key value must be valid a KMS key ARN.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{key}} condition key value must be valid a KMS key ARN."Risoluzione dell'errore
Un nome della risorsa Amazon (ARN) AWS KMS key è un identificatore univoco e completamente qualificato per una chiave KMS. Un ARN della chiave include l'Account AWS, la Regione e l'ID chiave. L'ARN di una chiave segue questo formato:
arn:aws:kms:region:account-id:key/key-id
Termini correlati
Errore: utilizzo della variabile troppo permissivo
Codice del problema: VARIABLE_USAGE_TOO_PERMISSIVE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Variable usage too permissive: Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters.The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters.""findingDetails": "The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.""findingDetails": "Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon."Risoluzione dell'errore
Esistono tre possibili messaggi di esito relativi a questo errore.
-
Per il primo messaggio di errore, modifica l'utilizzo della variabile di policy in modo che sia più specifico. Aggiungi almeno 6 caratteri consecutivi prima della variabile di policy per ridurre l'ambito delle autorizzazioni. Ad esempio, invece di
${aws:username}, puoi utilizzareprefix-${aws:username}omyapp-${aws:username}. Ciò garantisce che la variabile di policy non conceda un accesso eccessivamente ampio. -
Per il secondo messaggio di errore, rimuovi la variabile di policy dalla chiave di condizione specificata. Le variabili di policy possono fungere da jolly efficaci e non ne è consentito l'utilizzo con chiavi di condizione sensibili per motivi di sicurezza. In alternativa, utilizza valori statici specifici o valuta la possibilità di ristrutturare la policy per utilizzare chiavi di condizione non sensibili che supportano le variabili di policy.
-
Per il terzo messaggio di errore, modifica l'utilizzo della variabile di policy
aws:userIDin modo che sia più restrittivo. Posiziona la variabile di policy sul lato destro dei due punti (dopo l'ID account) o usala come unico carattere alla sinistra dei due punti. Ad esempio, utilizzaAIDACKCEVSQ6C2EXAMPLE:${aws:userid}o${aws:userid}:*anziché${aws:userid}.
Termini correlati
Errore: utilizzo di carattere jolly troppo permissivo
Codice del problema: WILDCARD_USAGE_TOO_PERMISSIVE
Tipo di esito: ERROR
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Wildcard usage too permissive: Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters.The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters.""findingDetails": "The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.""findingDetails": "Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon."Risoluzione dell'errore
Esistono tre possibili messaggi di esito relativi a questo errore.
-
Per il primo messaggio di errore, rendi più specifico l'utilizzo dei caratteri jolly aggiungendo almeno 6 caratteri consecutivi prima del carattere jolly. Ad esempio, invece di
*, puoi utilizzareprefix-*oprefix-*-suffix. Ciò riduce l'ambito della condizione e segue il principio del privilegio minimo. -
Per il secondo messaggio di errore, rimuovi il carattere jolly dalla chiave di condizione specificata. I caratteri jolly non sono consentiti con le chiavi di condizione sensibili per motivi di sicurezza. Sostituisci i caratteri jolly con valori specifici che corrispondono allo schema di accesso desiderato oppure valuta la possibilità di utilizzare una chiave di condizione diversa, non sensibile, che supporti i caratteri jolly.
-
Per il terzo messaggio di errore, modifica l'utilizzo del carattere jolly
aws:userIDin modo che sia più restrittivo. Posiziona il carattere jolly alla destra dei due punti (dopo l'ID account) o usalo come unico carattere alla sinistra dei due punti. Ad esempio, utilizzaAIDACKCEVSQ6C2EXAMPLE:*o*:*anziché*.
Termini correlati
Avviso generale: creazione di SLR con NotResource
Codice del problema: CREATE_SLR_WITH_NOT_RESOURCE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole concede l'autorizzazione per creare un ruolo IAM che consente a un servizio AWS di eseguire operazioni per tuo conto. L'uso di iam:CreateServiceLinkedRole in una policy con l'elemento NotResource può consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource.
Avviso generale: creazione di SLR con stella nell'operazione e in NotResource
Codice del problema: CREATE_SLR_WITH_STAR_IN_ACTION_AND_NOT_RESOURCE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole concede l'autorizzazione per creare un ruolo IAM che consente a un servizio AWS di eseguire operazioni per tuo conto. Le policy con un carattere jolly (*) nella Action che includono l'elemento NotResource possono consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource.
Avviso generale: creazione di SLR con NotAction e NotResource
Codice del problema: CREATE_SLR_WITH_NOT_ACTION_AND_NOT_RESOURCE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole concede l'autorizzazione per creare un ruolo IAM che consente a un servizio AWS di eseguire operazioni per tuo conto. L'uso dell'elemento NotAction con l'elemento NotResource può consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse. AWS consiglia invece di riscrivere la policy per consentire iam:CreateServiceLinkedRole su un elemento limitato di ARN nell'elemento Resource. È inoltre possibile aggiungere iam:CreateServiceLinkedRole all'elemento NotAction.
Avviso generale: creazione di SLR con stella nella risorsa
Codice del problema: CREATE_SLR_WITH_STAR_IN_RESOURCE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole concede l'autorizzazione per creare un ruolo IAM che consente a un servizio AWS di eseguire operazioni per tuo conto. L'uso di iam:CreateServiceLinkedRole in una policy con un carattere jolly (*) l'elemento Resource può consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource.
AWSPolicy gestite da con questo avviso generale
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Alcuni di questi casi d'uso riguardano utenti esperti all'interno del tuo account. Le seguenti policy gestite da AWS forniscono l'accesso degli utenti avanzati e concedono le autorizzazioni per creare ruoli collegati ai servizi per qualsiasi servizio AWS. AWS consiglia di collegare le seguenti policy gestite da AWS solo alle identità IAM considerate dagli utenti esperti.
AWSOrganizationsServiceTrustPolicy
: questa policy gestita da AWS fornisce le autorizzazioni per l'utilizzo da parte del ruolo collegato ai servizi AWS Organizations. Questo ruolo consente a Organizations di creare ulteriori ruoli collegati ai servizi per altri servizi nell'organizzazione AWS.
Avviso generale: creazione di SLR con stella nell'operazione e nella risorsa
Codice del problema: CREATE_SLR_WITH_STAR_IN_ACTION_AND_RESOURCE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole concede l'autorizzazione per creare un ruolo IAM che consente a un servizio AWS di eseguire operazioni per tuo conto. Le policy con un carattere jolly (*) negli elementi Action e Resource possono consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse. In questo modo puoi creare un ruolo collegato ai servizi quando specifichi "Action": "*", "Action": "iam:*" oppure "Action": "iam:Create*". AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource.
AWSPolicy gestite da con questo avviso generale
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Alcuni di questi casi d'uso sono destinati agli amministratori del tuo account. Le seguenti policy gestite da AWS forniscono l'accesso degli amministratori e concedono le autorizzazioni per creare ruoli collegati ai servizi per qualsiasi servizio AWS. AWS consiglia di collegare le seguenti policy gestite da AWS solo alle identità IAM considerate dagli utenti esperti.
Avviso generale: creazione di SLR con stella nella risorsa e in NotAction
Codice del problema: CREATE_SLR_WITH_STAR_IN_RESOURCE_AND_NOT_ACTION
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso generale
L'operazione iam:CreateServiceLinkedRole concede l'autorizzazione per creare un ruolo IAM che consente a un servizio AWS di eseguire operazioni per tuo conto. L'uso dell'elemento NotAction in una policy con un carattere jolly (*) nell'elemento Resource può consentire la creazione di ruoli collegati ai servizi non intenzionali per più risorse. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource. È inoltre possibile aggiungere iam:CreateServiceLinkedRole all'elemento NotAction.
Avviso generale: chiave di condizione globale obsoleta
Codice del problema: DEPRECATED_GLOBAL_CONDITION_KEY
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."Risoluzione dell'avviso generale
La policy include una chiave di condizione globale obsoleta. Aggiorna la chiave di condizione nella coppia chiave-valore della condizione per utilizzare una chiave di condizione globale supportata.
Avviso generale: valore data non valido
Codice del problema: INVALID_DATE_VALUE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."Risoluzione dell'avviso generale
Il tempo Unix Epoch descrive un punto nel tempo trascorso dal 1 gennaio 1970, meno i secondi intercalari. Il tempo Epoch potrebbe non risolversi al momento preciso che ci si aspetta. AWS consiglia di utilizzare lo standard W3C per i formati di data e ora. Ad esempio, è possibile specificare una data completa, ad esempio AAAA-MM-GG (1997-07-16), oppure aggiungere l'ora al secondo, ad esempio AAAA-MM-GGTHH:MM:SSTZD (1997-07-16T 19:20:30 + 01:00).
Avviso generale: riferimento al ruolo non valido
Codice del problema: INVALID_ROLE_REFERENCE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."Risoluzione dell'avviso generale
AWS consiglia di specificare l'Amazon Resource Name (ARN) per un ruolo IAM anziché il suo ID principale. Quando IAM salva la policy, trasformerà l'ARN nell'ID principale per il ruolo esistente. AWS include una precauzione di sicurezza. Se qualcuno elimina e crea nuovamente il ruolo, avrà un nuovo ID e la policy non corrisponderà all'ID del nuovo ruolo.
Avviso generale: riferimento utente non valido
Codice del problema: INVALID_USER_REFERENCE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."Risoluzione dell'avviso generale
AWS consiglia di specificare l'Amazon Resource Name (ARN) per un utente IAM anziché il suo ID principale. Quando IAM salva la policy, trasformerà l'ARN nell'ID principale per l'utente esistente. AWS include una precauzione di sicurezza. Se qualcuno elimina e crea nuovamente l'utente, avrà un nuovo ID e la policy non corrisponderà all'ID del nuovo utente.
Avviso generale: versione mancante
Codice del problema: MISSING_VERSION
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."Risoluzione dell'avviso generale
AWS consiglia di includere il parametro Version facoltativo nella policy. Se non includi un elemento Versione, per impostazione predefinita il valore viene impostato su 2012-10-17, ma le funzionalità più recenti, come le variabili di policy, non funzioneranno con la policy. Ad esempio, le variabili tipo ${aws:username} non saranno riconosciute come variabili e verranno trattate come stringhe letterali nella policy.
Avviso generale: sid univoci consigliati
Codice del problema: UNIQUE_SIDS_RECOMMENDED
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."Risoluzione dell'avviso generale
AWS consiglia di utilizzare ID istruzione univoci. L'elemento Sid (ID istruzione) consente di immettere un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore ID di istruzione a ogni istruzione in una matrice di istruzioni utilizzando l'elemento SID.
Termini correlati
Avviso generale: carattere jolly senza operatore like
Codice del problema: WILDCARD_WITHOUT_LIKE_OPERATOR
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."Risoluzione dell'avviso generale
La struttura dell'elemento Condition richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. Quando specifichi un valore di condizione che utilizza un carattere jolly (*,?) , devi utilizzare la versione Likedell'operatore di condizione. Ad esempio, anziché l'operatore di condizione stringa StringEquals, utilizza StringLike.
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}AWSPolicy gestite da con questo avviso generale
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Le seguenti policy gestite da AWS includono caratteri jolly nel loro valore di condizione senza un operatore di condizione che include Like per la corrispondenza dei modelli. Quando si utilizza la policy gestita da AWS gestita come riferimento per creare una policy gestita dal cliente, AWSconsiglia di utilizzare un operatore di condizione che supporti la corrispondenza dei modelli con caratteri jolly (*,?) , ad esempio StringLike.
Avviso generale: la dimensione della policy supera la quota delle policy di identità
Codice del problema: POLICY_SIZE_EXCEEDS_IDENTITY_POLICY_QUOTA
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."Risoluzione dell'avviso generale
Puoi collegare fino a 10 policy gestite a un'identità IAM (utente, gruppo di utenti o ruolo). Tuttavia, le dimensioni di ciascuna policy gestita non possono superare la quota di default i 6.144 caratteri. IAM non calcola gli spazi vuoti per determinare le dimensioni di una policy rispetto a tali limiti. Le quote, anche definite come limiti in AWS, costituiscono il valore massimo per le risorse, le azioni e gli elementi nell'account AWS.
Inoltre, puoi aggiungere a un'identità IAM tutte le policy in linea desiderate. Tuttavia, la dimensione della somma di tutte le policy in linea per identità non può superare la quota specificata.
Se la policy è maggiore della quota, è possibile organizzare la policy in più istruzioni e raggruppare le istruzioni in più policy.
Termini correlati
AWSPolicy gestite da con questo avviso generale
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Le seguenti policy gestite da AWS concedono autorizzazioni per le operazioni in molti servizi AWS e superare la dimensione massima delle policy. Quando si utilizza la policy gestita da AWS come riferimento per creare la policy gestita, è necessario suddividerla in più policy.
Avviso generale: la dimensione della policy supera la quota delle policy delle risorse
Codice del problema: POLICY_SIZE_EXCEEDS_RESOURCE_POLICY_QUOTA
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."Risoluzione dell'avviso generale
Le policy basate sulle risorse sono documenti di policy JSON che colleghi a una risorsa, come ad esempio un bucket Amazon S3. Queste policy concedono all'entità principale specificata l'autorizzazione per eseguire operazioni specifiche sulla risorsa e definiscono le condizioni in cui ciò si applica. La dimensione delle policy basate sulle risorse non può superare la quota impostata per quella risorsa. Le quote, anche definite come limiti in AWS, costituiscono il valore massimo per le risorse, le azioni e gli elementi nell'account AWS.
Se la policy è maggiore della quota, è possibile organizzare la policy in più istruzioni e raggruppare le istruzioni in più policy.
Termini correlati
Avviso generale: mancata corrispondenza del tipo
Codice del problema: TYPE_MISMATCH
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione supportato.
Ad esempio, la chiave di condizione globale di aws:MultiFactorAuthPresent richiede un operatore di condizione con il tipo di dati Boolean. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
Termini correlati
Avviso generale: booleano con mancata corrispondenza del tipo
Codice del problema: TYPE_MISMATCH_BOOLEAN
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare un tipo di dati dell'operatore condizione booleano, ad esempio true o false.
Ad esempio, la chiave di condizione globale di aws:MultiFactorAuthPresent richiede un operatore di condizione con il tipo di dati Boolean. Se specifichi una data o un numero intero, il tipo di dati non corrisponderà.
Termini correlati
Avviso generale: data della mancata corrispondenza del tipo
Codice del problema: TYPE_MISMATCH_DATE
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione data, in un formato data ora YYYY-MM-DD o altro ISO 8601.
Termini correlati
Avviso generale: numero della mancata corrispondenza del tipo
Codice del problema: TYPE_MISMATCH_NUMBER
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione numerico.
Termini correlati
Avviso generale: stringa della mancata corrispondenza del tipo
Codice del problema: TYPE_MISMATCH_STRING
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."Risoluzione dell'avviso generale
Aggiorna il testo per utilizzare il tipo di dati dell'operatore di condizione stringa.
Termini correlati
Avviso generale: si consigliano repository e ramo github specifici
Codice del problema: SPECIFIC_GITHUB_REPO_AND_BRANCH_RECOMMENDED
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."Risoluzione dell'avviso generale
Se utilizzi GitHub come IdP OIDC, è consigliabile limitare le entità che possono assumere il ruolo associato all'IdP IAM. Quando includi un'istruzione di Condition in una policy di attendibilità, puoi limitare il ruolo a una specifica organizzazione, repository o ramo di GitHub. Puoi utilizzare la chiave della condizione token.actions.githubusercontent.com:sub per limitare l'accesso. Ti consigliamo di limitare la condizione a un insieme specifico di repository o rami. Se non utilizzi un jolly (*) in token.actions.githubusercontent.com:sub, le operazioni GitHub di organizzazioni o repository al di fuori del tuo controllo sono in grado di assumere ruoli associati all'IdP GitHub IAM nel tuo account AWS.
Termini correlati
Avviso generale: la dimensione della policy supera la quota delle policy di attendibilità del ruolo
Codice del problema: POLICY_SIZE_EXCEEDS_ROLE_TRUST_POLICY_QUOTA
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."Risoluzione dell'avviso generale
IAM e AWS STS hanno quote che limitano la dimensione delle policy di attendibilità del ruolo. I caratteri nella policy di attendibilità del ruolo, esclusi gli spazi bianchi, superano il numero massimo di caratteri. È consigliabile richiedere un aumento della quota della policy di attendibilità del ruolo utilizzando Service Quotas o AWS Support Center Console.
Termini correlati
Avviso generale: a RCP manca la chiave della condizione principale correlata
Codice del problema: RCP_MISSING_RELATED_PRINCIPAL_CONDITION_KEY
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."Risoluzione dell'avviso generale
Le policy di controllo delle risorse (RCP) di AWS Organizations possono influire su ruoli IAM, utenti e principali Servizio AWS. Per evitare un impatto involontario sui servizi che agiscono per tuo conto utilizzando un principale di servizio, aggiungi la seguente istruzione al tuo elemento Condition.
"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}
Termini correlati
Avviso generale: a RCP manca la chiave di condizione del principale del servizio correlata
Codice del problema: RCP_MISSING_RELATED_SERVICE_PRINCIPAL_CONDITION_KEY
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."Risoluzione dell'avviso generale
Le policy di controllo delle risorse (RCP) di AWS Organizations possono influire su ruoli IAM, utenti e principali Servizio AWS. Per evitare un impatto involontario sui principali, aggiungi la seguente istruzione al tuo elemento Condition:
"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}
Termini correlati
Avviso generale: a RCP manca il controllo null della chiave di condizione del servizio
Codice del problema: RCP_MISSING_SERVICE_CONDITION_KEY_NULL_CHECK
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."Risoluzione dell'avviso generale
Le policy di controllo delle risorse (RCP) di AWS Organizations possono influire su ruoli IAM, utenti e principali Servizio AWS. Per evitare un impatto involontario sui servizi che agiscono per tuo conto utilizzando un principale di servizio, aggiungi le seguenti istruzioni al tuo elemento Condition ogni volta che viene utilizzata la chiave specificata:
"Null": { "aws:SourceAccount": "false"}
oppure
"Null": { "aws:SourceArn": "false"}
Termini correlati
Avviso generale: utilizza la chiave di condizione solo con i servizi supportati
Codice del problema: USE_CONDITION_KEY_ONLY_WITH_SUPPORTED_SERVICES
Tipo di esito: GENERAL_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Use condition key only with supported services: The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.Risoluzione dell'avviso generale
Consulta la documentazione di AWS per identificare quali Servizi AWS supportano questa chiave di condizione. Se alcuni servizi della tua policy non supportano la chiave di condizione, modifica l'ambito della chiave di condizione della policy in modo che includa solo i Servizi AWS che la supportano.
Termini correlati
Avviso di sicurezza: chiave di condizione non attendibile
Codice del problema: UNTRUSTWORTHY_CONDITION_KEY
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Untrustworthy condition key: The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller."Risoluzione dell'avviso di sicurezza
Non utilizzare questa chiave di condizione per il controllo degli accessi. Il chiamante può potenzialmente manipolare o falsificare il valore della chiave, determinando un rischio per la sicurezza.
Termini correlati
Avviso di sicurezza: Consenti con NotPrincipal
Codice del problema: ALLOW_WITH_NOT_PRINCIPAL
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."Risoluzione dell'avviso di sicurezza
L'uso di "Effect": "Allow" con NotPrincipal può essere eccessivamente permissivo. Ad esempio, questo può concedere autorizzazioni a principali anonimi. AWS consiglia di specificare i principali che necessitano l'accesso utilizzando l'elemento Principal. In alternativa, è possibile consentire un accesso ampio e quindi aggiungere un'altra istruzione che utilizza l'elemento NotPrincipal con “Effect”: “Deny”.
Avviso di sicurezza: ForAllValues con chiave a valore singolo
Codice del problema: FORALLVALUES_WITH_SINGLE_VALUED_KEY
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."Risoluzione dell'avviso di sicurezza
AWS consiglia di utilizzare ForAllValues solo con condizioni multivalore. L'operatore impostato ForAllValues verifica se il valore di ogni membro del set di richieste è un sottoinsieme del set di chiavi di condizione. La condizione restituisce true se ogni valore delle chiavi nella richiesta corrisponde ad almeno un valore nella policy. Restituisce true anche se non ci sono chiavi nella richiesta o se i valori delle chiavi si riducono a un set di dati nullo, ad esempio una stringa vuota.
Per sapere se una condizione supporta un valore singolo o più valori, rivedi la pagina Operazioni, risorse e chiavi di condizione per il servizio. Le chiavi di condizione con il prefisso del tipo di dati ArrayOf sono chiavi di condizione multivalore. Ad esempio, Amazon SES supporta chiavi con valori singoli (String) e il tipo di dati multivalore ArrayOfString.
Avviso di sicurezza: invio del ruolo con NotResource
Codice del problema: PASS_ROLE_WITH_NOT_RESOURCE
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso di sicurezza
Per configurare più servizi AWS, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole a un'identità (utente, gruppo di utenti o ruolo). L'uso di iam:PassRole in una policy con l'elemento NotResource può consentire ai principali di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService.
Avviso di sicurezza: invio del ruolo con stella in operazione e NotResource
Codice del problema: PASS_ROLE_WITH_STAR_IN_ACTION_AND_NOT_RESOURCE
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso di sicurezza
Per configurare più servizi AWS, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole a un'identità (utente, gruppo di utenti o ruolo). Le policy con un carattere jolly (*) nell'Action e che includono nell'elemento NotResource può consentire ai principali di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService.
Avviso di sicurezza: invio del ruolo con NotAction e NotResource
Codice del problema: PASS_ROLE_WITH_NOT_ACTION_AND_NOT_RESOURCE
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."Risoluzione dell'avviso di sicurezza
Per configurare più servizi AWS, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole a un'identità (utente, gruppo di utenti o ruolo). L'uso dell'elemento NotAction e la visualizzazione di risorse nell'elemento NotResource possono consentire ai principali di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService.
Avviso di sicurezza: invio del ruolo con stella in risorsa
Codice del problema: PASS_ROLE_WITH_STAR_IN_RESOURCE
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Risoluzione dell'avviso di sicurezza
Per configurare più servizi AWS, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole a un'identità (utente, gruppo di utenti o ruolo). Le policy che consentono iam:PassRole e che includono un carattere jolly (*) nell'elemento Resource può consentire ai principali di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService.
Alcuni servizi AWS includono il rispettivo namespace del servizio nel nome del loro ruolo. Questo controllo delle policy tiene conto di queste convenzioni durante l'analisi della policy per generare i risultati. Ad esempio, il seguente ARN della risorsa potrebbe non generare un risultato:
arn:aws:iam::*:role/Service*AWSPolicy gestite da con questo avviso di sicurezza
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Uno di questi casi d'uso riguarda gli amministratori all'interno del tuo account. Le seguenti policy gestite da AWS forniscono l'accesso degli amministratori e concedono le autorizzazioni per inviare qualsiasi ruolo IAM a qualsiasi servizio. AWS consiglia di collegare le seguenti policy gestite da AWS solo alle identità IAM considerate dagli amministratori.
Le seguenti policy gestite da AWS includono le autorizzazioni per iam:PassRole con un carattere jolly (*) nella risorsa e stanno per essere dichiarate obsoleti. Per ciascuna di queste policy, abbiamo aggiornato le istruzioni sulle autorizzazioni, ad esempio suggerendo una nuova policy gestita da AWS che supporta il caso d'uso. Per visualizzare le alternative a queste policy, consulta per guide relative a ogni servizio.
AWSElasticBeanstalkFullAccess
AWSElasticBeanstalkService
AWSLambdaFullAccess
AWSLambdaReadOnlyAccess
AWSOpsWorksFullAccess
AWSOpsWorksRole
AWSDataPipelineRole
AmazonDynamoDBFullAccesswithDataPipeline
AmazonElasticMapReduceFullAccess
AmazonDynamoDBFullAccesswithDataPipeline
AmazonEC2ContainerServiceFullAccess
Le seguenti policy gestite da AWS forniscono autorizzazioni solo per i ruoli collegati ai servizi, che consentono ai servizi AWS per eseguire operazioni per tuo conto. Non puoi collegare queste policy alle identità IAM.
Avviso di sicurezza: invio del ruolo con stella in azione e risorsa
Codice del problema: PASS_ROLE_WITH_STAR_IN_ACTION_AND_RESOURCE
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Risoluzione dell'avviso di sicurezza
Per configurare più servizi AWS, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole a un'identità (utente, gruppo di utenti o ruolo). Le policy con un carattere jolly (*) negli elementi Action e Resource possono consentire ai principali di accedere a un numero maggiore di servizi o funzionalità rispetto a quello previsto. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService.
AWSPolicy gestite da con questo avviso di sicurezza
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Alcuni di questi casi d'uso sono destinati agli amministratori del tuo account. Le seguenti policy gestite da AWS forniscono l'accesso da amministratore e concedono le autorizzazioni per inviare qualsiasi ruolo IAM a qualsiasi servizio AWS. AWS consiglia di collegare le seguenti policy gestite da AWSsolo alle identità IAM considerate amministratori.
Avviso di sicurezza: invio del ruolo con stella in risorsa e NotAction
Codice del problema: PASS_ROLE_WITH_STAR_IN_RESOURCE_AND_NOT_ACTION
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Risoluzione dell'avviso di sicurezza
Per configurare più servizi AWS, è necessario passare un ruolo IAM al servizio. Per consentire questo è necessario concedere l'autorizzazione iam:PassRole a un'identità (utente, gruppo di utenti o ruolo). L'uso dell'elemento NotAction in una policy con un carattere jolly (*) nell'elemento Resource può consentire ai principali di accedere a più servizi o funzionalità di quanto previsto. AWS consiglia invece di specificare gli ARN consentiti nell'elemento Resource. Inoltre, è possibile ridurre le autorizzazioni per un singolo servizio utilizzando la chiave di condizione iam:PassedToService.
Avviso di sicurezza: chiavi di condizione abbinate mancanti
Codice del problema: MISSING_PAIRED_CONDITION_KEYS
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."Risoluzione dell'avviso di sicurezza
Alcune chiavi di condizione sono più sicure se abbinate ad altre chiavi di condizione correlate. AWS consiglia di includere le chiavi di condizione correlate nello stesso blocco di condizione della chiave di condizione esistente. Ciò rende più sicure le autorizzazioni concesse tramite la policy.
Ad esempio, è possibile utilizzare la chiave di condizione aws:VpcSourceIp per confrontare l'indirizzo IP da cui è stata effettuata una richiesta con l'indirizzo IP specificato nella policy. AWS consiglia di aggiungere la chiave di condizione aws:SourceVPC correlata. Controlla se la richiesta proviene dal VPC specificato nella policy e l'indirizzo IP specificato.
Termini correlati
Avviso di sicurezza: Rifiuta con chiave di condizione tag non supportata per il servizio
Codice del problema: DENY_WITH_UNSUPPORTED_TAG_CONDITION_KEY_FOR_SERVICE
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."Risoluzione dell'avviso di sicurezza
L'uso di chiavi di condizione dei tag non supportate nell'elemento Condition di una policy con "Effect": "Deny" può essere eccessivamente permissivo, perché la condizione viene ignorata per quel servizio. AWS consiglia di rimuovere le operazioni di servizio che non supportano la chiave di condizione e di creare un'altra istruzione per negare l'accesso a risorse specifiche per tali azioni.
Se utilizzi la chiave di condizione aws:ResourceTag e non è supportata da un'operazione di servizio, la chiave non viene inclusa nel contesto della richiesta. In questo caso, la condizione nell'istruzione Deny restituisce sempre false e l'operazione non viene mai negata. Ciò accade anche se la risorsa è taggata correttamente.
Quando un servizio supporta la chiave di condizione aws:ResourceTag, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come controllo degli accessi basato su attributi (ABAC). I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il controllo degli accessi basato su risorse (RBAC).
Nota
Alcuni servizi consentono il supporto per la chiave di condizione aws:ResourceTag per un sottoinsieme di risorse e operazioni. Sistema di analisi degli accessi IAM restituisce risultati per le operazioni di servizio non supportate. Ad esempio, Amazon S3 supporta aws:ResourceTag per un sottoinsieme delle relative risorse. Per visualizzare tutti i tipi di risorse disponibili in Amazon S3 che supportano la chiave di condizione aws:ResourceTag, consulta Tipi di risorse definiti da Amazon S3 in Service Authorization Reference.
Ad esempio, supponiamo che tu desideri rifiutare l'accesso per rimuovere tag da risorse specifiche che sono taggate con la coppia chiave-valore status=Confidential. Assumiamo inoltre che AWS Lambda consenta di aggiungere e rimuovere tag sulle risorse, ma non supporta la chiave di condizione aws:ResourceTag. Per rifiutare le operazioni di eliminazione per AWS App Mesh e AWS Backup se questo tag è presente, utilizza la chiave di condizione aws:ResourceTag. Per Lambda, utilizza una convenzione di denominazione delle risorse che include il prefisso "Confidential". Quindi includi un'istruzione separata che impedisca l'eliminazione delle risorse con tale convenzione di denominazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyDeleteSupported", "Effect": "Deny", "Action": [ "appmesh:DeleteMesh", "backup:DeleteBackupPlan" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/status": "Confidential" } } }, { "Sid": "DenyDeleteUnsupported", "Effect": "Deny", "Action": "lambda:DeleteFunction", "Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*" } ] }
avvertimento
Non utilizzare la versione ...IfExists dell'operatore di condizione come soluzione alternativa per questo risultato. Questo significa "Rifiuta l'operazione se la chiave è presente nel contesto della richiesta e i valori corrispondono. Altrimenti, rifiuta l'operazione". Nell'esempio precedente, inclusa l'operazione lambda:DeleteFunction nell'istruzione DenyDeleteSupported con l'operatore StringEqualsIfExists rifiuta sempre sempre l'operazione. Per tale operazione, la chiave non è presente nel contesto e ogni tentativo di eliminare tale tipo di risorsa viene negato, indipendentemente dal fatto che la risorsa sia taggata o meno.
Termini correlati
Avviso di sicurezza: Rifiuta NotAction con chiave di condizione tag non supportata per il servizio
Codice del problema: DENY_NOTACTION_WITH_UNSUPPORTED_TAG_CONDITION_KEY_FOR_SERVICE
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Risoluzione dell'avviso di sicurezza
L'uso delle chiavi di condizione dei tag nell'elemento Condition di una policy con l'elemento NotAction e "Effect": "Deny" può essere eccessivamente permissivo. La condizione viene ignorata per le operazioni di servizio che non supportano la chiave di condizione. AWS consiglia di riscrivere la logica per negare un elenco di operazioni.
Se utilizzi la chiave di condizione aws:ResourceTag con NotAction, tutte le operazioni di servizio nuove o esistenti che non supportano la chiave non vengono rifiutate. AWS consiglia di elencare esplicitamente le operazioni che si desidera negare. Sistema di analisi degli accessi IAM restituisce una ricerca separata per le operazioni elencate che non supportano la chiave di condizione aws:ResourceTag. Per ulteriori informazioni, consulta Avviso di sicurezza: Rifiuta con chiave di condizione tag non supportata per il servizio.
Quando un servizio supporta la chiave di condizione aws:ResourceTag, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come controllo degli accessi basato su attributi (ABAC). I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il controllo degli accessi basato su risorse (RBAC).
Termini correlati
Avviso di sicurezza: limita l'accesso al principale del servizio
Codice del problema: RESTRICT_ACCESS_TO_SERVICE_PRINCIPAL
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."Risoluzione dell'avviso di sicurezza
Puoi specificare Servizi AWS nell'elemento Principal di una policy basata sulle risorse che utilizza un principale del servizio, che è un identificatore del servizio. Quando concedi l'accesso a un principale del servizio per agire per conto tuo, limita l'accesso. Puoi impedire le policy eccessivamente permissive utilizzando le chiavi di condizione aws:SourceArn, aws:SourceAccount, aws:SourceOrgID o aws:SourceOrgPaths per limitare l'accesso a una risorsa specifica, ad esempio una risorsa ARN, Account AWS, ID organizzazione o percorsi di organizzazione. La limitazione dell'accesso consente di prevenire un problema di sicurezza chiamato problema del "confused deputy".
Termini correlati
Avviso di sicurezza: chiavi di condizione mancante per il principale oidc
Codice del problema: MISSING_CONDITION_KEY_FOR_OIDC_PRINCIPAL
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."Risoluzione dell'avviso di sicurezza
L'utilizzo di un principale Open ID Connect senza una condizione può essere eccessivamente permissivo. Aggiungi chiavi di condizione con un prefisso che corrisponda ai principali OIDC federati per assicurarti che solo il provider di identità previsto assuma il ruolo.
Termini correlati
Avviso di sicurezza: chiavi di condizione repository github mancanti
Codice del problema: MISSING_GITHUB_REPO_CONDITION_KEY
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."Risoluzione dell'avviso di sicurezza
Se utilizzi GitHub come IdP OIDC, è consigliabile limitare le entità che possono assumere il ruolo associato all'IdP IAM. Quando includi un'istruzione di Condition in una policy di attendibilità, puoi limitare il ruolo a una specifica organizzazione, repository o ramo di GitHub. Puoi utilizzare la chiave della condizione token.actions.githubusercontent.com:sub per limitare l'accesso. Ti consigliamo di limitare la condizione a un insieme specifico di repository o rami. Se non includi questa condizione, le operazioni GitHub di organizzazioni o repository al di fuori del tuo controllo sono in grado di assumere ruoli associati all'IdP GitHub IAM nel tuo account AWS.
Termini correlati
Avviso di sicurezza: operatore simile a una stringa con chiavi di condizione ARN
Codice del problema: STRING_LIKE_OPERATOR_WITH_ARN_CONDITION_KEYS
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."Risoluzione dell'avviso di sicurezza
AWS consiglia di utilizzare operatori ARN anziché gli operatori di stringa quando si confrontano gli ARN per garantire una limitazione degli accessi adeguata basata sui valori delle condizioni degli ARN. Aggiorna l'operatore StringLike con l'operatore ArnLike del tuo elemento Condition ogni volta che viene utilizzata la chiave specificata.
Queste policy gestite da AWS sono eccezioni a questo avviso di sicurezza:
Termini correlati
Avviso di sicurezza: ForAnyValue con tipo di attestazione del pubblico
Codice del problema: FORANYVALUE_WITH_AUDIENCE_CLAIM_TYPE
Tipo di esito: SECURITY_WARNING
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
ForAnyValue with audience claim type: Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:."Risoluzione dell'avviso di sicurezza
AWS consiglia di non utilizzare l'operatore di insieme ForAnyValue con chiavi di contesto a valore singolo. Utilizza gli operatori di insieme solo con le chiavi della condizione multivalore. Rimuovi l'operatore di insieme ForAnyValue.
Termini correlati
Suggerimento: operazione array vuota
Codice del problema: EMPTY_ARRAY_ACTION
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."Risoluzione del suggerimento
Le istruzioni devono includere un elemento Action o NotAction che include un insieme di azioni. Quando l'elemento è vuoto, l'istruzione della policy non fornisce autorizzazioni. Specifica le operazioni nell'elemento Action.
Suggerimento: condizione array vuota
Codice del problema: EMPTY_ARRAY_CONDITION
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."Risoluzione del suggerimento
La struttura dell'elemento Condition facoltativa richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. Quando il valore della condizione è vuoto, la condizione restituisce true e l'istruzione della policy non fornisce autorizzazioni. Specifica un valore di condizione.
Suggerimento: ForAllValues per condizione array vuota
Codice del problema: EMPTY_ARRAY_CONDITION_FORALLVALUES
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Risoluzione del suggerimento
La struttura dell'elemento Condition richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. L'operatore impostato ForAllValues verifica se il valore di ogni membro del set di richieste è un sottoinsieme del set di chiavi di condizione.
Quando si utilizza ForAllValues con una chiave di condizione vuota, la condizione corrisponde solo se non ci sono chiavi nella richiesta. AWS consiglia, se si desidera verificare se un contesto di richiesta è vuoto, di utilizzare invece l'operatore di condizione Null.
Suggerimento: ForAnyValue per condizione array vuota
Codice del problema: EMPTY_ARRAY_CONDITION_FORANYVALUE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."Risoluzione del suggerimento
La struttura dell'elemento Condition richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore. L'operatore impostato ForAnyValues verifica se almeno un membro del set di valori di richiesta è corrispondente ad almeno un membro del set di valori delle chiavi di condizione.
Quando utilizzi ForAnyValues con una chiave di condizione vuota, la condizione non corrisponde mai. Ciò significa che l'istruzione non ha alcun effetto sulla policy. AWS consiglia di riscrivere la condizione.
Suggerimento: IfExists di condizione array vuota
Codice del problema: EMPTY_ARRAY_CONDITION_IFEXISTS
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Risoluzione del suggerimento
Il suffisso ...IfExists modifica un operatore di condizione. Ciò significa che se la chiave di policy è presente nel contesto della richiesta, la chiave deve essere elaborata come specificato nella policy. Se la chiave non è presente, l'elemento della condizione viene valutato come true (VERO).
Quando si utilizza ...IfExists con una chiave di condizione vuota, la condizione corrisponde solo se non ci sono chiavi nella richiesta. AWS consiglia, se si desidera verificare se un contesto di richiesta è vuoto, di utilizzare invece l'operatore di condizione Null.
Suggerimento: principale array vuoto
Codice del problema: EMPTY_ARRAY_PRINCIPAL
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Risoluzione del suggerimento
È necessario utilizzare l'elemento Principal o NotPrincipal nelle policy di attendibilità per i ruoli IAM e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa.
Quando si fornisce un array vuoto nell'elemento Principal dell'istruzione, l'istruzione non avrà alcun effetto sulla policy. AWS consiglia di specificare i principali che devono avere accesso alla risorsa.
Suggerimento: risorsa array vuota
Codice del problema: EMPTY_ARRAY_RESOURCE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."Risoluzione del suggerimento
Le istruzioni devono includere un elemento Resource o un elemento NotResource.
Quando si fornisce un array vuoto nell'elemento della risorsa di un'istruzione, l'istruzione non ha alcun effetto sulla policy. AWS consiglia di specificare gli Amazon Resource Name (ARN) per le risorse.
Suggerimento: condizione oggetto vuota
Codice del problema: EMPTY_OBJECT_CONDITION
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."Risoluzione del suggerimento
La struttura dell'elemento Condition richiede l'utilizzo di un operatore di condizione e di una coppia chiave-valore.
Quando si specifica un oggetto vuoto nell'elemento di condizione di un'istruzione, l'istruzione non ha alcun effetto sulla policy. Rimuovi l'elemento facoltativo o specifica le condizioni.
Suggerimento: principale oggetto vuoto
Codice del problema: EMPTY_OBJECT_PRINCIPAL
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Risoluzione del suggerimento
È necessario utilizzare l'elemento Principal o NotPrincipal nelle policy di attendibilità per i ruoli IAM e nelle policy basate sulle risorse. Le policy basate su risorse sono policy che vengono incorporate direttamente in una risorsa.
Quando si fornisce un oggetto vuoto nell'elemento Principal nell'istruzione, l'istruzione non ha alcun effetto sulla policy. AWS consiglia di specificare i principali che devono avere accesso alla risorsa.
Suggerimento: valore sid vuoto
Codice del problema: EMPTY_SID_VALUE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Empty Sid value: Add a value to the empty string in the Sid element.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Add a value to the empty string in the Sid element."Risoluzione del suggerimento
L'elemento Sid (ID istruzione) facoltativo consente di immettere un identificatore fornito per l'istruzione della policy. Puoi assegnare un valore Sid a ogni istruzione in un array di istruzioni. Se scegli di utilizzare l'elemento Sid, devi fornire un valore di stringa.
Termini correlati
Suggerimento: equivalente a null false
Codice del problema: EQUIVALENT_TO_NULL_FALSE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Equivalent to null false: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition."Risoluzione del suggerimento
Sostituisci la chiave della condizione corrente con la chiave consigliata impostata su false. Questa modifica migliora la chiarezza delle policy e garantisce una valutazione delle condizioni più affidabile. Aggiorna il blocco delle condizioni per utilizzare {recommendedKey}: false al posto dell'attuale combinazione chiave-operatore.
Termini correlati
Suggerimento: equivalente a null true
Codice del problema: EQUIVALENT_TO_NULL_TRUE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Equivalent to null true: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition."Risoluzione del suggerimento
Sostituisci la chiave della condizione corrente con la chiave consigliata impostata su true. Questa modifica migliora la chiarezza delle policy e garantisce una valutazione delle condizioni più affidabile. Aggiorna il blocco delle condizioni per utilizzare {recommendedKey}: true al posto dell'attuale combinazione chiave-operatore.
Termini correlati
Suggerimento: migliora l'intervallo IP
Codice del problema: IMPROVE_IP_RANGE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."Risoluzione del suggerimento
Le condizioni dell'indirizzo IP devono essere nel formato CIDR standard, ad esempio 203.0.113.0/24 o 2001:DB8:1234:5678::/64. Quando si includono bit diversi da zero dopo i bit mascherati, questi non vengono considerati per la condizione. AWS consiglia di utilizzare il nuovo indirizzo incluso nel messaggio.
Suggerimento: null con qualificatore
Codice del problema: NULL_WITH_QUALIFIER
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."Risoluzione del suggerimento
Nell'elemento Condition è possibile creare espressioni in cui utilizzare operatori condizionali ("uguale a", "minore di" e così via) per confrontare le chiavi e i valori della policy rispetto alle chiavi e ai valori del contesto della richiesta. Per le richieste che includono più valori per una singola chiave di condizione, è necessario utilizzare gli operatori su set ForAllValues o ForAnyValue.
Quando si utilizza l'operatore di condizione Null con ForAllValues, l'istruzione restituisce sempre true. Quando si utilizza l'operatore di condizione Null con ForAnyValue, l'istruzione restituisce sempre false. AWS consiglia di utilizzare l'operatore di condizione StringLike con questi operatori su set.
Termini correlati
Suggerimento: sottoinsieme di indirizzi IP privati
Codice del problema: PRIVATE_IP_ADDRESS_SUBSET
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Risoluzione del suggerimento
La chiave di condizione globale aws:SourceIp funziona solo per intervalli di indirizzi IP pubblici.
Se il tuo elemento Condition include un mix di indirizzi IP privati e pubblici, l'istruzione potrebbe non avere l'effetto desiderato. Non puoi specificare indirizzi IP privati utilizzando aws:VpcSourceIP.
Nota
La chiave di condizione globale aws:VpcSourceIP corrisponde solo se la richiesta proviene dall'indirizzo IP specificato e passa attraverso un endpoint VPC.
Suggerimento: sottoinsieme NotIpAddress privato
Codice del problema: PRIVATE_NOT_IP_ADDRESS_SUBSET
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Risoluzione del suggerimento
La chiave di condizione globale aws:SourceIp funziona solo per intervalli di indirizzi IP pubblici.
Se il tuo elemento Condition include l'operatore di condizione NotIpAddress e un mix di indirizzi IP privati e pubblici, l'istruzione potrebbe non avere l'effetto desiderato. Ogni indirizzo IP pubblico non specificato nella policy corrisponderà. Nessun indirizzo IP privato corrisponderà. Per ottenere questo effetto, puoi usare NotIpAddress con aws:VpcSourceIP e specificare gli indirizzi IP privati che non devono corrispondere.
Suggerimento: azione ridondante
Codice del problema: REDUNDANT_ACTION
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."Risoluzione del suggerimento
Quando si utilizzano caratteri jolly (*) nell'elemento Action, è possibile includere autorizzazioni ridondanti. AWS consiglia di rivedere la policy e di includere solo le autorizzazioni necessarie. In questo modo è possibile rimuovere le operazioni ridondanti.
Ad esempio, le operazioni riportate di seguito includono due volte l'operazione iam:GetCredentialReport.
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],In questo esempio, le autorizzazioni sono definite per ogni operazione IAM che inizia con Get o List. Quando IAM aggiunge ulteriori operazioni get o list, questa policy le consentirà. Potresti voler consentire tutte queste azioni di sola lettura. L'operazione iam:GetCredentialReport è già inclusa come parte di iam:Get*. Per rimuovere le autorizzazioni duplicate, puoi rimuovere iam:GetCredentialReport.
Quando tutti i contenuti di un'operazione sono ridondanti, viene visualizzato un risultato per questo controllo delle policy. In questo esempio, se l'elemento includeva iam:*CredentialReport, non è considerato ridondante. Ciò include iam:GetCredentialReport, che è ridondante, e iam:GenerateCredentialReport, che non lo è. La rimozione di iam:Get* o iam:*CredentialReport modificherebbe le autorizzazioni della policy.
AWSPolicy gestite da con questo suggerimento
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Le operazioni ridondanti non influenzano le autorizzazioni concesse dalla policy. Quando utilizzi una policy gestita da AWS come riferimento per creare la tua policy gestita, AWS consiglia di rimuovere dalla policy le operazioni ridondanti.
Suggerimento: valore condizione ridondante num
Codice del problema: REDUNDANT_CONDITION_VALUE_NUM
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."Risoluzione del suggerimento
Quando si utilizzano operatori di condizioni numeriche per valori simili in una chiave di condizione, è possibile creare una sovrapposizione che si traduce in autorizzazioni ridondanti.
Ad esempio, il seguente elemento Condition include più condizioni aws:MultiFactorAuthAge che hanno una sovrapposizione di età di 1200 secondi.
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}In questo esempio, le autorizzazioni vengono definite se l'autenticazione a più fattori (MFA) è stata completata meno di 3600 secondi (1 ora) fa. È possibile rimuovere il valore 2700 ridondante.
Suggerimento: risorsa ridondante
Codice del problema: REDUNDANT_RESOURCE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"Risoluzione del suggerimento
Quando usi i caratteri jolly (*) in Amazon Resource Name (ARN), puoi creare autorizzazioni per le risorse ridondanti.
Ad esempio, il seguente elemento Resource include più ARN con autorizzazioni ridondanti.
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],In questo esempio, le autorizzazioni sono definite per qualsiasi ruolo con un nome che inizia con jane. È possibile rimuovere gli ARN jane-admin e jane-s3only ridondanti senza modificare le autorizzazioni risultanti. Questo rende la policy dinamica. Definirà le autorizzazioni per tutti i ruoli futuri che iniziano con jane. Se l'intenzione della policy è consentire l'accesso a un numero statico di ruoli, rimuovere l'ultimo ARN ed elencare solo gli ARN da definire.
AWSPolicy gestite da con questo suggerimento
L'opzione Policy gestite da AWS consente di iniziare a utilizzare AWS assegnando le autorizzazioni in base a casi d'uso AWS generali.
Le operazioni ridondanti non influenzano le autorizzazioni concesse dalla policy. Quando utilizzi una policy gestita da AWS come riferimento per creare la policy gestita dal cliente, AWS consiglia di rimuovere dalla policy le operazioni ridondanti.
Suggerimento: istruzione ridondante
Codice del problema: REDUNDANT_STATEMENT
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."Risoluzione del suggerimento
L'elemento Statement è l'elemento principale per una policy. Questa elemento è obbligatorio. L'elemento Statement può contenere una singola istruzione o una matrice di singole istruzioni.
Quando si include la stessa istruzione più di una volta in una policy lunga, le istruzioni sono ridondanti. È possibile rimuovere una delle istruzioni senza influire sulle autorizzazioni concesse dalla policy. Quando un utente modifica una policy, potrebbe modificare una delle istruzioni senza aggiornare il duplicato. Ciò potrebbe comportare un numero di autorizzazioni maggiore del previsto.
Suggerimento: carattere jolly nel nome del servizio
Codice del problema: WILDCARD_IN_SERVICE_NAME
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."Risoluzione del suggerimento
Quando si include il nome di un servizio AWS in una policy, AWS consiglia di non includere i caratteri jolly (*, ?). Ciò potrebbe aggiungere autorizzazioni per servizi futuri non previsti. Ad esempio, ci sono più di una dozzina di servizi AWS con la parola *code* nel loro nome.
"Resource": "arn:aws:*code*::111122223333:*"Suggerimento: consenti con chiave di condizione tag non supportata per il servizio
Codice del problema: ALLOW_WITH_UNSUPPORTED_TAG_CONDITION_KEY_FOR_SERVICE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."Risoluzione del suggerimento
L'uso delle chiavi di condizione dei tag non supportate nell'elemento Condition di una policy con "Effect": "Allow" non influisce sulle autorizzazioni concesse dalla policy, poiché la condizione viene ignorata per tale operazione di servizio. AWS consiglia di rimuovere le operazioni per i servizi che non supportano la chiave di condizione e di creare un'altra istruzione per consentire l'accesso a risorse specifiche in tale servizio.
Se utilizzi la chiave di condizione aws:ResourceTag e non è supportata da un'operazione di servizio, la chiave non viene inclusa nel contesto della richiesta. In questo caso, la condizione nell'istruzione Allow restituisce sempre false e l'operazione non viene mai rifiutata. Ciò accade anche se la risorsa è taggata correttamente.
Quando un servizio supporta la chiave di condizione aws:ResourceTag, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come controllo degli accessi basato su attributi (ABAC). I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il controllo degli accessi basato su risorse (RBAC).
Nota
Alcuni servizi consentono il supporto per la chiave di condizione aws:ResourceTag per un sottoinsieme di risorse e operazioni. Sistema di analisi degli accessi IAM restituisce risultati per le operazioni di servizio non supportate. Ad esempio, Amazon S3 supporta aws:ResourceTag per un sottoinsieme delle relative risorse. Per visualizzare tutti i tipi di risorse disponibili in Amazon S3 che supportano la chiave di condizione aws:ResourceTag, consulta Tipi di risorse definiti da Amazon S3 in Service Authorization Reference.
Ad esempio, supponiamo che tu desideri consentire ai membri del team di visualizzare i dettagli per le risorse specifiche che sono taggate con la coppia chiave-valore team=BumbleBee. Assumiamo inoltre che AWS Lambda consenta di aggiungere tag alle risorse, ma che non supporta la chiave di condizione aws:ResourceTag. Per consentire le operazioni di eliminazione per AWS App Mesh e AWS Backup se questo tag è presente, utilizza la chiave di condizione aws:ResourceTag. Per Lambda, utilizza una convenzione di denominazione delle risorse che include il nome del team come prefisso. Quindi includi un'istruzione separata che consenta la visualizzazione delle risorse con tale convenzione di denominazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewSupported", "Effect": "Allow", "Action": [ "appmesh:DescribeMesh", "backup:GetBackupPlan" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/team": "BumbleBee" } } }, { "Sid": "AllowViewUnsupported", "Effect": "Allow", "Action": "lambda:GetFunction", "Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*" } ] }
avvertimento
Non utilizzare la Not versione dell'operatore di condizione con "Effect": "Allow" come soluzione alternativa per questo risultato. Questi operatori di condizione forniscono la corrispondenza negata. Ciò significa che dopo che la condizione è stata valutata, il risultato viene negato. Nell'esempio precedente, che include l'operazione lambda:GetFunction nell'istruzione AllowViewSupported con l'operatore StringNotEquals consente sempre l'operazione, indipendentemente dal fatto che la risorsa sia taggata o meno.
Non utilizzare la versione ...IfExists dell'operatore di condizione come soluzione alternativa per questo risultato. Questo significa "Consenti l'operazione se la chiave è presente nel contesto della richiesta e i valori corrispondono. Altrimenti, autorizza l'operazione." Nell'esempio precedente, inclusa l'operazione lambda:GetFunction nell'istruzione AllowViewSupported con l'operatore StringEqualsIfExists consente sempre l'operazione. Per tale operazione, la chiave non è presente nel contesto e ogni tentativo di visualizzare tale tipo di risorsa viene negato, indipendentemente dal fatto che la risorsa sia taggata o meno.
Termini correlati
Suggerimento: consenti NotAction con chiave di condizione tag non supportata per il servizio
Codice del problema: ALLOW_NOTACTION_WITH_UNSUPPORTED_TAG_CONDITION_KEY_FOR_SERVICE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Risoluzione del suggerimento
L'uso delle chiavi di condizione dei tag non supportate nell'elemento Condition di una policy con l'elemento NotAction e "Effect": "Allow" non influisce sulle autorizzazioni concesse dai policy. La condizione viene ignorata per le operazioni di servizio che non supportano la chiave di condizione. AWS consiglia di riscrivere la logica per consentire un elenco di operazioni.
Se utilizzi la chiave di condizione aws:ResourceTag con NotAction, tutte le operazioni di servizio nuove o esistenti che non supportano la chiave non vengono rifiutate. AWS consiglia di elencare esplicitamente le operazioni che si desidera consentire. Sistema di analisi degli accessi AWS IAM restituisce una ricerca separata per le operazioni elencate che non supportano la chiave di condizione aws:ResourceTag. Per ulteriori informazioni, consulta Suggerimento: consenti con chiave di condizione tag non supportata per il servizio.
Quando un servizio supporta la chiave di condizione aws:ResourceTag, è possibile utilizzare i tag per controllare l'accesso alle risorse del servizio. Questo è noto come controllo degli accessi basato su attributi (ABAC). I servizi che non supportano queste chiavi richiedono il controllo dell'accesso alle risorse tramite il controllo degli accessi basato su risorse (RBAC).
Termini correlati
Suggerimento: chiave di condizione consigliata per il principale del servizio
Codice del problema: RECOMMENDED_CONDITION_KEY_FOR_SERVICE_PRINCIPAL
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."Risoluzione del suggerimento
Puoi specificare Servizi AWS nell'elemento Principal di una policy basata sulle risorse che utilizza un principale del servizio, che è un identificatore del servizio. Quando si concede l'accesso ai principali del servizio, è consigliabile utilizzare le chiavi di condizione aws:SourceArn, aws:SourceAccount, aws:SourceOrgID o aws:SourceOrgPaths anziché altre chiavi di condizione, come aws:Referer. Questo aiuta a prevenire un problema di sicurezza chiamato problema del "confused deputy".
Termini correlati
Suggerimento: chiave di condizione irrilevante nella policy
Codice del problema: IRRELEVANT_CONDITION_KEY_IN_POLICY
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."Risoluzione del suggerimento
Alcune chiavi di condizione non sono rilevanti per le policy basate sulle risorse. Ad esempio, la chiave di condizione s3:ResourceAccount non è rilevante per la polocy basata sulle risorse collegata a un tipo di risorsa bucket Amazon S3 o a un punto di accesso Amazon S3.
Puoi utilizzare la chiave di condizione nella policy basata sulle identità per controllare l'accesso alla risorsa.
Termini correlati
Suggerimento: chiave ridondante a causa della presenza di un carattere jolly
Codice del problema: REDUNDANT_KEY_DUE_TO_WILDCARD_IN_CONDITION
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Redundant key due to wildcard in condition: The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition."Risoluzione del suggerimento
Rimuovi la chiave di condizione ridondante dalla policy. La chiave viene sempre corrisposta a causa dello schema dei caratteri jolly, il che la rende superflua. Semplifica il blocco delle condizioni rimuovendo questa chiave pur mantenendo le stesse autorizzazioni effettive.
Termini correlati
Suggerimento: principale ridondante nella policy di attendibilità del ruolo
Codice del problema: REDUNDANT_PRINCIPAL_IN_ROLE_TRUST_POLICY
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."Risoluzione del suggerimento
Se si specifica sia un principale con ruolo assunto che il suo ruolo padre nell'elemento Principal di una policy, non consente o nega autorizzazioni diverse. Ad esempio, è ridondante se si specifica l'elemento Principal utilizzando il seguente formato:
"Principal": { "AWS": [ "arn:aws:iam::AWS-account-ID:role/rolename", "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname" ]
Si consiglia di rimuovere il principale del ruolo assunto.
Termini correlati
Suggerimento: istruzione ridondante a causa della presenza di un carattere jolly
Codice del problema: REDUNDANT_STATEMENT_DUE_TO_WILDCARD_IN_CONDITION
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Redundant statement due to wildcard in condition: The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition.
Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition."Risoluzione del suggerimento
Rimuovi la chiave di condizione che non corrisponde a nessun valore. Questa chiave crea una condizione irraggiungibile che non sarà mai soddisfatta, rendendola ridondante. Pulisci la tua policy rimuovendo questa chiave per migliorare la leggibilità e le prestazioni.
Termini correlati
Suggerimento: conferma il tipo di attestazione del pubblico
Codice del problema: CONFIRM_AUDIENCE_CLAIM_TYPE
Tipo di esito: SUGGESTION
Dettagli degli esiti
Nella Console di gestione AWS, il risultato per questo controllo include il seguente messaggio:
Confirm audience claim type: The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier.Nelle chiamate programmatiche alla AWS CLI o all'API AWS, il risultato per questo controllo include il seguente messaggio:
"findingDetails": "The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier."Risoluzione del suggerimento
La chiave di attestazione aud (destinatario) è un identificatore univoco per l'app rilasciato durante la registrazione dell'app con IdP. Identifica i destinatari del token Web JSON. Le attestazioni del pubblico possono essere multivalore o a valore singolo. Se l'attestazione è multivalore, utilizza un'operatore di condizione ForAllValues o ForAnyValue. Se l'attestazione ha un valore singolo, non utilizzare un operatore di condizione.
Termini correlati
