Controlli di runtime per AMS Automated IAM Provisioning in AMS - Guida per l'utente avanzato di AMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli di runtime per AMS Automated IAM Provisioning in AMS

Automated IAM Provisioning sfrutta i controlli ed esegue controlli e convalide aggiuntivi rispetto alla policy limite di AMS. AWS Identity and Access Management Access Analyzer AMS ha definito i controlli e le convalide aggiuntivi sulla base delle migliori pratiche IAM, dell'esperienza di gestione del carico di lavoro dei clienti nel cloud e dell'esperienza collettiva di valutazione manuale AMS IAM.

È possibile visualizzare i risultati del controllo in fase di esecuzione delle politiche nell'output della richiesta di modifica (RFC). I risultati includono l'identificatore della risorsa, la posizione all'interno della and/or policy del ruolo che ha generato i risultati e un messaggio che illustra il controllo che l'entità o la risorsa IAM non è riuscita a superare. Questi risultati aiutano a creare policy funzionali e conformi alle migliori pratiche di sicurezza.

Nota

L'IAM Provisioning automatizzato tenta di specificare la posizione all'interno della definizione di entità o policy che non supera il controllo. A seconda del tipo, la posizione può includere il nome della risorsa o l'ARN o l'indice all'interno di un array. Ad esempio, una dichiarazione per aiutarti a modificare l'entità o la politica per un esito positivo.

Per un'esperienza fluida di AMS Automated IAM Provisioning, è consigliabile utilizzare l'opzione «validate only» per eseguire i controlli di convalida fino a quando non ci sono risultati dai controlli di convalida riportati negli output RFC. Se i controlli di convalida non riportano alcun risultato, scegli Crea copia dalla console AMS per creare rapidamente una copia della RFC esistente. Quando sei pronto per il provisioning, nella sezione Parametri, cambia il valore Validate only da a No, quindi procedi.

Questi sono i controlli in fase di esecuzione eseguiti da AMS Automated IAM Provisioning per garantire la sicurezza delle risorse IAM:

Nota

Per effettuare il provisioning delle policy IAM che contengono azioni negate da questi tipi di modifiche automatizzate, è necessario seguire il processo RFC Customer Security Risk Management (CSRM). Utilizza il seguente tipo di modifica: Deployment | Advanced stack components | Identity and Access Management (IAM) and Access Management (IAM) | Crea entità o policy (revisione richiesta) (ct-3dpd8mdd9jn1r).

Risultato Descrizione

È possibile accedere al ruolo da un account esterno che non rientra nella propria zona di fiducia.

Questo risultato si riferisce a un responsabile elencato nella politica sulla fiducia dei ruoli che non rientra nella zona di fiducia dell'utente. Una zona di fiducia è definita come l'account a cui viene creato il ruolo o l' AWS organizzazione a cui appartiene l'account. Un'entità che non appartiene all'account o alla stessa AWS organizzazione è un'entità esterna. Per risolvere il problema, controlla l'ID dell'account nell'account principale ARNs e assicurati che appartenga a te e che sia un account registrato da AMS.

Al ruolo può accedere un'entità esterna di proprietà di un account External_Account_ID che non è di proprietà dell'account proprietario del cliente AMS. Account_ID

Questo risultato viene generato se la policy di trust dei ruoli include un ARN principale con un ID account non di tua proprietà e un account integrato da AMS. Per risolvere questo problema, rimuovi qualsiasi principio di questo tipo dalla politica di fiducia dei ruoli.

L'ID utente canonico non è un principio supportato nella policy di fiducia IAM.

I principi canonici non IDs sono supportati nella policy di fiducia IAM. Per risolvere il problema, rimuovi qualsiasi principio di questo tipo dalla policy di fiducia dei ruoli.

È possibile accedere al ruolo tramite un'identità web esterna che non rientra nella propria zona di fiducia.

Questo risultato viene generato se la policy di trust del ruolo consente un provider di identità Web (IdP) esterno diverso da SAML IdP. Per risolvere questo problema, esamina la policy sulla fiducia dei ruoli e rimuovi le dichiarazioni che consentono l'operazione. sts:AssumeRoleWithWebIdentity

È possibile accedere al ruolo tramite la federazione SAML; tuttavia, il provider di identità SAML (IdP) fornito non esiste.

Questo risultato viene generato se la policy di attendibilità dei ruoli contiene un IdP SAML che non esiste nel tuo account. Per risolvere il problema, assicurati che tutti gli IdP SAML elencati siano presenti nel tuo account.

La policy contiene azioni privilegiate equivalenti all'accesso da amministratore o utente esperto. Valuta la possibilità di ridurre l'ambito delle autorizzazioni a un servizio, un'azione o una risorsa specifici. Se NotResourcevengono utilizzati elementi di policy avanzati come NotActiono, assicurati che non garantiscano un accesso maggiore di quello previsto, in particolare nelle istruzioni Allow.

La migliore pratica di sicurezza consiste nel AWS Identity and Access Management concedere solo le autorizzazioni necessarie per eseguire un'attività quando si impostano le autorizzazioni con le politiche IAM. A tale scopo, definisci le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegi minimi. Questo risultato viene generato quando l'automazione rileva che la politica concede autorizzazioni ampie e non rispetta il principio del privilegio minimo. Per risolvere il problema, rivedi e riduci le autorizzazioni.

L'informativa contiene azioni privilegiate per. Service_Name Valuta la possibilità di escludere queste azioni con una dichiarazione di rifiuto. Fai riferimento al riferimento alla politica dei confini nella documentazione AMS per un elenco di azioni privilegiate.

AMS ha identificato alcune azioni per un determinato servizio come rischiose e richiedono un'ulteriore revisione e accettazione del rischio da parte del team di sicurezza del cliente. Questo risultato viene generato quando l'automazione rileva la determinata politica che concede tali autorizzazioni. Per risolvere questo problema, nega queste azioni nella tua politica. Per un elenco di azioni, consulta la politica dei confini di AMS. Per i dettagli sulla politica dei confini di AMS, vedere. Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning

La dichiarazione consente l'accesso ai tipi di modifica RFC privilegiati: ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq e ct-17cj84y7632o6 per il servizio. Service_Name Valuta la possibilità di definire l'ambito delle autorizzazioni per tipi di modifica specifici o di escludere questi tipi di modifica con una dichiarazione di negazione.

Questo risultato viene generato se la policy concede le autorizzazioni per eseguire azioni relative a RFC utilizzando i tipi di modifica di Automated IAM Provisioning (). CTs CTs Sono soggetti all'accettazione del rischio e devono essere utilizzati solo tramite ruoli integrati. Quindi, non puoi concedere il permesso a questi. CTs Per risolvere questo problema, nega le azioni RFC che li utilizzano. CTs

L'informativa contiene azioni privilegiate che non rientrano nell'ambito delle risorse di servizio. Service_Name Valuta la possibilità di assegnare le azioni a risorse specifiche o di escludere le risorse con prefissi dello spazio dei nomi AMS. Se vengono utilizzati caratteri jolly, assicurati che limitino l'ambito alle tue risorse.

Questo risultato viene generato se la politica concede azioni privilegiate che non rientrano nell'ambito delle risorse del servizio specificato. Le wild card spesso creano politiche eccessivamente permissive che includono un'ampia gamma di risorse o azioni nell'ambito dell'autorizzazione. Per risolvere il problema, riduci l'ambito delle autorizzazioni alle risorse di tua proprietà o escludi le risorse che si trovano nel namespace AMS. Per un elenco dei prefissi dello spazio dei nomi AMS, consulta la politica dei limiti nella documentazione di AMS. Tieni presente che non tutti i prefissi si applicano a tutti i servizi. Per i dettagli sulla politica dei confini di AMS, vedere. Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning

ID account o Amazon Resource Name (ARN) non valido.

Questo risultato viene generato se un ARN o un ID account specificato nella policy o nella policy di attendibilità del ruolo non è valido. Per esaminare le risorse ARN valide relative ai servizi, consulta il Service Authorization Reference. Assicurati che l'ID dell'account sia un numero di 12 cifre e che l'account sia attivo in. AWS

L'uso della wildcard (*) per l'ID dell'account in ARN è limitato.

Questo risultato viene generato se nel campo ID account di un ARN viene specificata una wild card (*). Una wild card nel campo ID dell'account corrisponde a qualsiasi account e potenzialmente concede autorizzazioni involontarie alle risorse. Per risolvere il problema, sostituisci la wild card con un ID account specifico.

Account di risorse specificato non di proprietà dello stesso account Account_ID proprietario del cliente AMS.

Questo risultato viene generato se un ID account specificato nell'ARN di una risorsa non appartiene all'utente e non è gestito da AMS. Per risolvere questo problema, assicurati che tutte le risorse (come specificato dal relativo ARN nella policy) appartengano ai tuoi account gestiti da AMS.

Il nome del ruolo si trova nello spazio dei nomi con restrizioni AMS.

Questo risultato viene generato se si tenta di creare un ruolo con un nome che inizia con un prefisso riservato AMS. Per risolvere questo problema, utilizzate un nome per il ruolo specifico per il vostro caso d'uso. Per un elenco di prefissi riservati AMS, consulta Prefissi riservati AMS

Il nome della policy si trova nello spazio dei nomi con restrizioni AMS.

Questo risultato viene generato se si tenta di creare una policy con un nome che inizia con un prefisso riservato AMS. Per risolvere questo problema, utilizzate un nome per la policy specifico per il vostro caso d'uso. Per un elenco di prefissi riservati AMS, consulta Prefissi riservati AMS.

L'ID della risorsa nell'ARN si trova nello spazio dei nomi con restrizioni AMS.

Questo risultato viene generato se si tenta di creare una politica che conceda l'autorizzazione a risorse denominate presenti nello spazio dei nomi AMS. Per risolvere questo problema, assicurati di definire l'ambito delle autorizzazioni per le tue risorse o di negare le autorizzazioni alle risorse che si trovano nello spazio dei nomi AMS. Per ulteriori informazioni sugli spazi dei nomi AMS, consulta AMS Restricted namespaces.

Caso di variabile di policy non valido. Aggiorna la variabile a. Variable_Names

Questo risultato viene generato se si tenta di creare una policy che contenga una variabile di policy globale IAM nel caso errato. Per risolvere questo problema, utilizza la maiuscola/minuscola corretta per le variabili globali nella tua policy. Per un elenco di variabili globali, consulta AWS Global Condition Context keys. Per ulteriori informazioni sulle variabili di policy, consulta IAM policy elements: Variables and tags

L'istruzione contiene azioni privilegiate che non rientrano nell'ambito delle chiavi KMS. Valuta la possibilità di assegnare queste autorizzazioni a chiavi specifiche o di escludere le chiavi di proprietà di AMS.

Questo risultato viene generato se la policy contiene autorizzazioni che non rientrano nell'ambito di specifiche chiavi KMS di tua proprietà. Per risolvere questo problema, concedi l'autorizzazione a chiavi specifiche o escludi le chiavi di proprietà di AMS. Le chiavi di proprietà di AMS hanno set di alias specifici. Per un elenco degli alias chiave di proprietà di AMS, vedere. Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning

L'istruzione contiene azioni privilegiate che non rientrano nell'ambito degli alias delle chiavi KMS. Valuta la possibilità di assegnare queste autorizzazioni alle tue chiavi o alias oppure escludi gli alias chiave di proprietà di AMS.

Questo risultato viene generato se la policy contiene autorizzazioni che non rientrano nell'ambito di alias di chiavi KMS specifici di tua proprietà. Per risolvere questo problema, concedi l'autorizzazione a chiavi specifiche o escludi le chiavi di proprietà di AMS. Le chiavi di proprietà di AMS hanno set di alias specifici. Per un elenco degli alias chiave di proprietà di AMS, vedere. Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning

L'informativa contiene azioni privilegiate che non rientrano in modo adeguato nell'ambito delle chiavi KMS utilizzando il. kms:ResourceAliases condition Prendi in considerazione l'utilizzo di alias specifici insieme all'operatore di set appropriato per la chiave di condizione. Se vengono utilizzati caratteri jolly nei nomi degli alias, assicurati che limitino l'ambito a un set limitato di chiavi KMS.

Questo risultato viene generato se stai definendo l'ambito delle autorizzazioni per le tue chiavi KMS utilizzando le condizioni e non utilizzando gli alias kms:ResourceAliases per le tue chiavi KMS. Oppure, se la chiave di kms:ResourceAliases condizione ha un valore che include anche gli alias delle chiavi KMS di proprietà di AMS. Per risolvere questo problema, aggiorna la condizione in modo da limitare l'autorizzazione solo agli alias delle tue chiavi KMS o escludi gli alias per le chiavi KMS di proprietà di AMS. Per un elenco degli alias delle chiavi di proprietà di AMS, vedi. Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning

Al ruolo deve essere allegato customer_deny_policy. Includi l'ARN della policy nell'elenco delle policy gestite. ARNs

Questo risultato viene generato se il ruolo che si sta creando non è customer_deny_policy associato. Per risolvere il problema, includetelo customer_deny_policy nell' ARNs elenco delle policy gestite.

La politica AWS gestita è eccessivamente permissiva o concede autorizzazioni limitate dalla politica dei confini di AMS.

Questo risultato viene generato se il ManagedPolicyArnsvalore del ruolo contiene una politica gestita da AMS che fornisce l'accesso completo o a livello di amministratore al servizio pertinente. Per risolvere questo problema, esamina l'utilizzo della politica AWS gestita e utilizza una politica che fornisca l'autorizzazione di ripartizione dell'ambito o definisci una politica personalizzata che segua il principio del privilegio minimo.

La policy gestita dai clienti si trova in un namespace AMS limitato.

Questo risultato viene generato se al ruolo è associata una politica gestita dal cliente con il nome come prefisso nel AWS namespace. Per risolvere questo problema, rimuovi la policy dall'ManagedPolicyArnelenco per il ruolo.

La customer_deny_policy non può essere scollegata dal ruolo. Includi l'ARN della policy nell'elenco delle policy gestite. ARNs

Questo risultato viene generato se customer_deny_policy viene rimosso dal ruolo durante un aggiornamento. Per risolvere il problema, aggiungi il customer_deny_policy al ManagedPolicyArnscampo del ruolo e riprova.

Le politiche gestite dal cliente sono state fornite al di fuori del servizio AMS Change Management o senza previa convalida.

Questo risultato viene generato se una o più politiche gestite dai clienti esistenti ARNs sono associate a un ruolo e le politiche non vengono fornite tramite il servizio AMS Change Management (tramite una RFC). Ad esempio, Developer Mode o Direct Change Mode consentono ai clienti di fornire policy IAM senza una RFC. Per risolvere questo problema, rimuovi la policy gestita ARNs dal cliente dall'ManagedPolicyArnselenco per il ruolo.

Il numero di policy gestite fornite ARNs supera la policy allegata per quota di ruolo.

Questo risultato viene generato se il numero totale di policy gestite associate al ruolo supera la quota di policy per ruolo. Per ulteriori informazioni sulle quote IAM, consulta Quote IAM e AWS STS, requisiti dei nomi e limiti di caratteri. Utilizza queste informazioni per ridurre il numero di policy da associare al ruolo.

La dimensione della policy di trust ({trust_policy}) supera la quota di {size} relativa alle dimensioni della policy di assunzione del ruolo.

Questo risultato viene generato se la dimensione del documento relativo alla politica di assunzione del ruolo supera la quota relativa alla dimensione della policy. Per ulteriori informazioni sulle quote IAM, consulta Quote IAM e AWS STS, requisiti dei nomi e limiti di caratteri.

L'informativa contiene tutte le azioni mutative per Amazon S3. Valuta la possibilità di estendere queste autorizzazioni solo alle azioni obbligatorie. Se vengono utilizzate delle wild card, assicuratevi che coprano un insieme limitato di azioni mutative.

Questo risultato viene generato se la policy specificata concede tutte le autorizzazioni mutative di Amazon Simple Storage Service indipendentemente da una o più risorse. Per risolvere questo problema, includi solo le azioni mutative richieste di Amazon S3 sui tuoi bucket.

L'istruzione contiene azioni privilegiate che non sono consentite su nessun bucket in Amazon S3. Valuta la possibilità di aggiungere una dichiarazione che neghi queste azioni.

Questo risultato viene generato se la politica concede azioni privilegiate su qualsiasi bucket. Per un elenco delle azioni privilegiate, consulta Controllo dei limiti di autorizzazione AMS Automated IAM Provisioning Per risolvere questo problema, rimuovi o nega queste azioni nella tua politica.

L'informativa contiene azioni privilegiate che non rientrano nell'ambito dei tuoi bucket in Amazon S3. Valuta la possibilità di includere o escludere i bucket con prefissi dei namespace AMS. Se vengono utilizzate delle wild card, assicuratevi che corrispondano ai bucket all'interno dei vostri namespace.

Questo risultato viene generato se la policy concede ad Amazon S3 azioni che non rientrano solo nell'ambito dei tuoi bucket. Ciò si verifica spesso se si utilizzano delle wild card per specificare le risorse del bucket. Per risolvere questo problema, specifica i nomi dei bucket o quelli di ARNs cui sei proprietario o escludi i bucket con prefissi dello spazio dei nomi AMS.

L'informativa contiene azioni privilegiate che non rientrano nell'ambito dei tuoi bucket in Amazon S3. Valuta la possibilità di evitare l'uso di wild card (*) che coprono tutti i bucket dell'account.

Questo risultato viene generato se la policy concede ad Amazon S3 azioni che non rientrano nell'ambito del tuo bucket. Ciò si verifica spesso se si utilizzano delle wild card per specificare le risorse del bucket. Per risolvere questo problema, specifica i nomi dei bucket o quelli di ARNs cui sei proprietario o escludi i bucket con prefissi dello spazio dei nomi AMS.

L'istruzione contiene una wildcard di risorse valida per tutti i bucket Amazon S3, inclusi i bucket inesistenti e i bucket di cui non sei proprietario. Valuta la possibilità di definire l'ambito delle autorizzazioni utilizzando una condizione e una chiave di condizione. s3:ResourceAccount

Questo risultato viene generato se la policy concede l'autorizzazione ai bucket specificati utilizzando le wild card. L'uso delle wild card spesso rientra nell'ambito di applicazione dei bucket non esistenti o di cui non è proprietario. Per risolvere questo problema, usa condition e aws:ResourceAccount condition key per definire l'ambito dell'autorizzazione solo per i bucket all'interno dell'account corrente. Per ulteriori dettagli, consulta Limitare l'accesso ai bucket Amazon S3 di proprietà di account specifici. AWS

L'informativa contiene un elemento di NotResource policy, che può essere applicato a un gran numero di bucket, inclusi bucket inesistenti e bucket di cui non sei proprietario. Valuta la possibilità di definire l'ambito delle autorizzazioni utilizzando una condizione e una chiave di condizione. s3:ResourceAccount

Questo risultato viene generato se la policy utilizza l'elemento NotResources policy per specificare le risorse del bucket. L'utilizzo dell'NotResourceelemento potrebbe riguardare un gran numero di bucket, inclusi bucket inesistenti o non proprietari. Per risolvere questo problema, utilizza le condizioni e la chiave di aws:ResourceAccount condizione per limitare l'autorizzazione ai bucket solo all'interno dell'account corrente.

L'istruzione contiene azioni di Amazon S3 sui bucket Bucket_Name che non esistono, non appartengono all'account Account_ID o il nome contiene una wild card che potrebbe essere applicata a un gran numero di bucket, inclusi quelli inesistenti e quelli che non possiedi. Valuta la possibilità di definire l'ambito delle autorizzazioni utilizzando una condizione e la chiave di condizione s3:ResourceAccount

Questo risultato viene generato se la policy concede l'autorizzazione a bucket che non esistono, non sono di tua proprietà o contengono wild card nei nomi dei bucket che coprono un gran numero di bucket e l'accesso non è limitato solo all'account corrente. Per risolvere il problema, utilizza condition e aws:ResourceAccount condition key per definire l'ambito dell'autorizzazione solo per i bucket all'interno dell'account corrente.

L'istruzione contiene azioni di Amazon S3 su bucket Bucket_Name che non esistono, non sono di proprietà dell'account Account_ID oppure il nome contiene una wild card che potrebbe essere applicata a un gran numero di bucket, inclusi bucket inesistenti e bucket di cui non sei proprietario. L'accesso non è limitato all'utilizzo s3:ResourceAccount o all'account di risorse specificato nella condizione che non ti appartiene.

Questo risultato viene generato se la politica concede l'autorizzazione a bucket che non esistono, non sono di tua proprietà o contengono wild card nei nomi dei bucket che coprono un gran numero di bucket e l'accesso è limitato solo a un account specifico. Tuttavia, l'account specificato nella chiave di aws:ResourceAccount condizione non appartiene all'utente ed è gestito da AMS. Per risolvere questo problema, aggiorna la chiave aws:ResourceAccount condizionale e imposta l'ID dell'account appropriato che possiedi e che è gestito da AMS.

L'informativa contiene azioni privilegiate che non rientrano nell'ambito delle tue istanze per Amazon. EC2 Valuta la possibilità di assegnare le azioni a un'istanza specifica ARNs o di escludere le istanze che hanno la chiave Name tag con valore nei prefissi dello spazio dei nomi AMS. Se vengono utilizzate delle wild card, assicuratevi che corrispondano ai namespace di cui siete proprietari.

Questo risultato viene generato se la policy concede azioni privilegiate contro le EC2 istanze Amazon di proprietà di AMS. Le istanze AMS sono etichettate con la chiave Name tag con valori nello spazio dei nomi AMS. Per risolvere questo problema, specifica le tue risorse o escludi le istanze AMS con una condizione la cui aws:ResourceTag/Name chiave esclude i valori nello spazio dei nomi AMS utilizzando l'operatore StringNotLike

L'istruzione contiene azioni privilegiate che non rientrano nell'ambito delle risorse nell'archivio dei parametri. AWS Systems Manager Valuta la possibilità ARNs di specificare i parametri o di escludere i parametri con i prefissi dello spazio dei nomi AMS. Se vengono utilizzate delle wild card, assicuratevi che includano solo i vostri parametri.

Questo risultato viene generato se la politica concede autorizzazioni per parametri di cui non sei proprietario. Di solito si tratta di quando vengono utilizzate wild card o quando i parametri con prefissi dello spazio dei nomi AMS sono elencati tra le risorse di una dichiarazione politica. Per risolvere questo problema, specificate i parametri che rientrano nel vostro namespace o escludete i parametri AMS con un'istruzione deny.

L'informativa contiene azioni privilegiate contro le risorse in. AWS Systems Manager Valuta la possibilità di definire l'ambito delle autorizzazioni per azioni di sola lettura o azioni contro le tue risorse.

Questo risultato viene generato se la policy concede autorizzazioni diverse dall'archivio dei parametri o dalle azioni di sola lettura sulle risorse di Systems Manager. Per risolvere questo problema, riduci le autorizzazioni alle azioni di sola lettura o alla sola memorizzazione dei parametri.

L'istruzione contiene azioni privilegiate che non rientrano nell'Service_Nameambito di {message} di tua proprietà. Valuta la possibilità di assegnare queste autorizzazioni a tipi di risorse specifici, a seconda dei casi, o di escludere le risorse di proprietà di AMS. Se vengono utilizzate delle wild card, assicuratevi che corrispondano. Resources

Questo risultato viene generato se la politica consente azioni privilegiate che non sono concesse sulle risorse, in particolare per le risorse denominate. Per risolvere questo problema, esamina l'elenco delle risorse e verifica se riguardano solo le risorse che si trovano nel tuo spazio dei nomi. In alternativa, escludi le risorse che si trovano nello spazio dei nomi AMS.

L'istruzione contiene azioni di etichettatura di {Service_Name} che non sono limitate a valori specifici per la chiave Name tag. Prendi in considerazione la possibilità di definire l'ambito di queste azioni impostando la chiave di aws:RequestTag/Name condizione con i valori nel tuo spazio dei nomi o di limitare queste azioni impostando la chiave di aws:RequestTag/Name condizione con l'StringNotLikeoperatore con i valori nei prefissi dello spazio dei nomi AMS.

Questo risultato viene generato se la politica concede l'autorizzazione di etichettatura per un determinato servizio e l'autorizzazione non è limitata a chiavi/valori di tag specifici. Per definire quale chiave o valore può essere utilizzato nelle azioni dei tag, ad esempio, quando si richiede di eseguire le azioni, utilizza la condizione. aws:RequestTag/tag key Quindi, per risolvere questo problema, usa questa chiave condizionale per limitare la chiave o i valori nello spazio dei nomi. Oppure, nega il Name tag key (aws:RequestTag/Name) con valori nello spazio dei nomi AMS.

Errore interno durante la convalida della policy di fiducia dei ruoli IAM.

Questo risultato viene generato quando CT automation rileva un errore durante la convalida della policy di trust dei ruoli IAM tramite il servizio IAM Access Analyzer. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Errore interno durante la convalida della politica gestita dal cliente.

Questo risultato viene generato quando CT Automation rileva un errore durante la convalida della policy gestita dal cliente tramite il servizio IAM Access Analyzer. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Analizzatore di accesso non trovato in. Regione AWS Impossibile eseguire il controllo di anteprima dell'accesso per la politica di attendibilità dei ruoli.

Questo risultato viene generato quando la risorsa IAM Access Analyzer non viene trovata in. Regione AWS Contatta AMS Operations per risolvere i problemi e creare una risorsa IAM Access Analyzer nella regione AWS.

Policy di fiducia non valida per il ruolo Role_Name

Questo risultato viene generato quando il ruolo IAM fornito contiene una policy di fiducia non valida. Per risolvere, rivedi la politica di fiducia per verificare che sia valida.

IAM Access Analyzer ha riscontrato un errore interno. Impossibile creare l'anteprima di accesso per il ruolo Role_Name

Questo risultato viene generato quando l'automazione riscontra un errore durante la creazione di un'anteprima di accesso per un ruolo tramite IAM Access Analyzer. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Impossibile creare l'anteprima di accesso per la politica di attendibilità del ruolo Role_Name

Questo risultato viene generato quando l'automazione rileva un errore durante la creazione di un'anteprima di accesso per un ruolo tramite IAM Access Analyzer. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Errore interno durante la convalida dell'IdP SAML elencato.

Questo risultato viene generato quando l'automazione riscontra un errore durante la convalida del SAML IdPs fornito elencato nella policy di attendibilità dei ruoli. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Errore interno relativo alla convalida delle autorizzazioni. AWS Key Management Service

Questo risultato viene generato quando l'automazione riscontra un errore durante la convalida delle autorizzazioni AWS KMS chiave nella politica fornita. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Errore interno durante la convalida della politica gestita elencata. ARNs

Questo risultato viene generato quando l'automazione riscontra un errore durante la convalida della policy gestita elencata. ARNs Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Errore interno durante la convalida dell'allegato predefinito. customer_deny_policy

Questo risultato viene generato quando l'automazione riscontra un errore durante la convalida dell'associazione al customer_deny_policy ruolo. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Errore interno durante la convalida delle policy gestite relative al ruolo Role_Name

Questo risultato viene generato quando l'automazione rileva un errore durante la convalida della politica gestita per il ruolo. ARNs Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Errore interno durante la convalida Policy_name rispetto alla politica dei limiti definita dal cliente AWSManagedServicesIAMProvisionCustomerBoundaryPolicy

Questo risultato viene generato quando l'automazione rileva un errore durante la convalida della policy che contiene l'elenco di rifiuto personalizzato. Per risolvere il problema, invia nuovamente la RFC. Se l'errore persiste, contatta AMS Operations per risolvere l'errore.

Nell'account esiste una politica dei limiti definita dal cliente. AWSManagedServicesIAMProvisionCustomerBoundaryPolicy Tuttavia, la politica contiene istruzioni di autorizzazione che concedono autorizzazioni. La policy deve contenere solo dichiarazioni di rifiuto.

Questo risultato viene generato quando la politica che contiene l'elenco di rifiuto personalizzato include una dichiarazione che concede l'autorizzazione. Sebbene la lista di rifiuto personalizzata esista all'interno del tuo account come policy gestita da IAM, non può essere utilizzata per la gestione delle autorizzazioni. La policy deve contenere solo dichiarazioni di rifiuto che indicano che desideri che AMS Automated IAM Provisioning convalidi e neghi le azioni nelle policy IAM create da AMS Automated IAM Provisioning.

L'informativa contiene azioni privilegiate definite dall'organizzazione per. Service_Name Valuta la possibilità di escludere queste azioni con una dichiarazione di rifiuto. Fai riferimento alla politica indicata nel tuo account per fare riferimento all'elenco di azioni riservate.

Questo risultato viene generato quando l'automazione rileva qualsiasi azione nella politica definita nell'elenco di rifiuto personalizzato. Per risolvere il problema, rivedi l'informativa sulla politica e rimuovi tutte le azioni definite nell'elenco di rifiuto personalizzato o aggiungi una dichiarazione di rifiuto che neghi tali azioni.

Il ruolo deve essere allegato. POLICY_ARN Includi l'ARN della policy nell'elenco delle policy gestite. ARNs

Questo risultato viene generato se il ruolo che stai creando non è POLICY_ARN associato. Per risolvere il problema, includi il ruolo ManagedPolicyArnsnel campo del ruolo e riprova. POLICY_ARN

Non POLICY_ARN può essere distaccato dal ruolo. Includi l'ARN della policy nell'elenco delle policy gestite. ARNs

Questo risultato viene generato se POLICY_ARN viene rimosso dal ruolo durante un aggiornamento. Per risolvere il problema, aggiungi il POLICY_ARN al ManagedPolicyArnscampo del ruolo e riprova.