AMS에서 AMS 자동 IAM 프로비저닝에 대한 런타임 확인 - AMS 고급 사용 설명서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AMS에서 AMS 자동 IAM 프로비저닝에 대한 런타임 확인

자동 IAM 프로비저닝은 AMS 경계 정책의 검사를 활용하고 AMS 경계 정책에 대해 추가 검사 및 검증을 AWS Identity and Access Management Access Analyzer수행합니다. AMS는 IAM 모범 사례, 클라우드에서 고객 워크로드 운영 경험, 집합 AMS IAM 수동 평가 경험을 기반으로 추가 확인 및 검증을 정의했습니다.

변경 요청(RFC) 출력에서 정책 런타임 검사 결과를 볼 수 있습니다. 조사 결과에는 리소스 식별자, 조사 결과를 생성한 역할 및/또는 정책 내 위치, IAM 엔터티 또는 리소스가 통과하지 못했는지 확인하는 메시지가 포함됩니다. 이러한 결과는 제대로 작동하고 보안 모범 사례를 준수하는 정책을 작성하는 데 도움이 됩니다.

참고

자동 IAM 프로비저닝은 검사를 통과하지 못하는 엔터티 또는 정책 정의 내의 위치에 대해 특정하려고 시도합니다. 유형에 따라 위치에 리소스 이름이나 ARN 또는 배열 내의 인덱스가 포함될 수 있습니다. 예를 들어, 성공적인 결과를 위해 엔터티 또는 정책을 조정하는 데 도움이 되는 문입니다.

원활한 AMS 자동 IAM 프로비저닝 환경을 위해 RFC 출력에 보고된 검증 검사 결과가 없을 때까지 “검증 전용” 옵션을 사용하여 검증 검사를 실행하는 것이 좋습니다. 검증 검사에서 결과가 보고되지 않으면 AMS 콘솔에서 복사본 생성을 선택하여 기존 RFC의 복사본을 빠르게 생성합니다. 프로비저닝할 준비가 되면 파라미터 섹션에서 유효성 검사 전용 값을 에서 아니요로 전환한 다음 계속 진행합니다.

다음은 IAM 리소스가 안전한지 확인하기 위해 AMS 자동 IAM 프로비저닝이 수행하는 런타임 검사입니다.

참고

이러한 자동 변경 유형에서 거부한 작업이 포함된 IAM 정책을 프로비저닝하려면 RFC 고객 보안 위험 관리(CSRM) 프로세스를 따라야 합니다. 배포 | 고급 스택 구성 요소 | Identity and Access Management(IAM) | 개체 또는 정책 생성(검토 필요)(ct-3dpd8mdd9jn1r) 변경 유형을 사용합니다.

조사 결과 설명

신뢰 영역 외부에 있는 외부 계정에서 역할에 액세스할 수 있습니다.

이 결과는 신뢰 영역 외부에 있는 역할 신뢰 정책에 나열된 보안 주체를 나타냅니다. 신뢰 영역은 역할이 생성되는 계정 또는 계정이 속한 AWS 조직으로 정의됩니다. 계정 또는 동일한 AWS 조직에 속하지 않는 엔터티는 외부 엔터티입니다. 조사 결과를 해결하려면 보안 주체 ARNs의 계정 ID를 검토하고 해당 ID가 사용자에게 속하고 AMS 온보딩 계정인지 확인합니다.

역할은 AMS 고객 소유 계정 Account_ID가 소유하지 않은 계정 External_Account_ID가 소유한 외부 엔터티에서 액세스할 수 있습니다.

이 결과는 역할 신뢰 정책에 사용자가 소유하지 않은 계정 ID가 있는 보안 주체 ARN과 AMS 온보딩 계정이 포함된 경우 생성됩니다. 이 결과를 해결하려면 역할 신뢰 정책에서 해당 보안 주체를 제거합니다.

정식 사용자 ID는 IAM 신뢰 정책에서 지원되는 보안 주체가 아닙니다.

정식 보안 주체 IDs는 IAM 신뢰 정책에서 지원되지 않습니다. 조사 결과를 해결하려면 역할 신뢰 정책에서 해당 보안 주체를 제거합니다.

신뢰 영역 외부에 있는 외부 웹 자격 증명에서 역할에 액세스할 수 있습니다.

이 결과는 역할 신뢰 정책이 SAML IdP 이외의 외부 웹 자격 증명 공급자(IdP)를 허용하는 경우 생성됩니다. 이 결과를 해결하려면 역할 신뢰 정책을 검토하고 sts:AssumeRoleWithWebIdentity 작업을 허용하는 문을 제거합니다.

역할은 SAML 페더레이션을 통해 액세스할 수 있지만 제공된 SAML ID 제공업체(IdP)는 존재하지 않습니다.

이 결과는 역할 신뢰 정책에 계정에 없는 SAML IdP가 포함된 경우 생성됩니다. 문제를 해결하려면 나열된 모든 SAML IdP가 계정에 있어야 합니다.

정책에는 관리자 또는 고급 사용자 액세스와 동등한 권한이 있는 작업이 포함되어 있습니다. 권한 범위를 특정 서비스, 작업 또는 리소스로 줄이는 것이 좋습니다. NotAction 또는 NotResource와 같은 고급 정책 요소를 사용하는 경우 특히 Allow 문에서 의도한 것보다 더 많은 액세스 권한을 부여하지 않는지 확인합니다.

IAM 정책 AWS Identity and Access Management 으로 권한을 설정할 때 작업을 수행하는 데 필요한 권한만 부여하는 것이의 모범 보안 사례입니다. 최소 권한 권한이라고도 하는 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의하여이 작업을 수행합니다. 이 결과는 자동화가 정책을 감지하여 광범위한 권한을 부여하고 최소 권한 원칙을 준수하지 않을 때 생성됩니다. 조사 결과를 해결하려면 권한을 검토하고 줄입니다.

문에는 Service_Name에 대한 권한이 있는 작업이 포함되어 있습니다. 거부 문을 사용하여 이러한 작업을 제외하는 것이 좋습니다. 권한 있는 작업 목록은 AMS 설명서의 경계 정책 참조를 참조하세요.

AMS는 특정 서비스에 대한 특정 작업을 위험한 것으로 식별했으며 고객 보안 팀의 추가 위험 검토 및 수락이 필요합니다. 이 결과는 자동화가 해당 권한을 부여하는 지정된 정책을 감지할 때 생성됩니다. 이 결과를 해결하려면 정책에서 이러한 작업을 거부합니다. 작업 목록은 AMS 경계 정책을 참조하세요. AMS 경계 정책에 대한 자세한 내용은 섹션을 참조하세요AMS 자동 IAM 프로비저닝 권한 경계 확인.

문은 Service_Name에 대한 권한 있는 RFC 변경 유형인 ct-1n9gfnog5x7fl, ct-1e0xmuy1diafqct-17cj84y7632o6에 대한 액세스 권한을 부여합니다. 권한 범위를 특정 변경 유형으로 조정하거나 거부 문을 사용하여 이러한 변경 유형을 제외하는 것이 좋습니다.

이 결과는 정책이 자동 IAM 프로비저닝 변경 유형(CTs)을 사용하여 RFC 관련 작업을 수행할 수 있는 권한을 부여하는 경우에 생성됩니다. CTs는 위험 승인을 받아야 하며 온보딩된 역할을 통해서만 사용해야 합니다. 따라서 이러한 CTs에는 권한을 부여할 수 없습니다. 이 결과를 해결하려면 이러한 CTs.

문에는 Service_Name 서비스에 대한 리소스로 범위가 지정되지 않은 권한이 있는 작업이 포함되어 있습니다. 작업을 특정 리소스로 범위를 조정하거나 AMS 네임스페이스 접두사가 있는 리소스를 제외하는 것이 좋습니다. 와일드카드를 사용하는 경우 범위를 리소스로 제한해야 합니다.

이 결과는 정책이 지정된 서비스의 리소스로 범위가 지정되지 않은 권한 있는 작업을 부여하는 경우에 생성됩니다. 와일드카드는 광범위한 리소스 또는 작업을 권한 범위로 가져오는 지나치게 허용적인 정책을 생성하는 경우가 많습니다. 조사 결과를 해결하려면 소유한 리소스에 대한 권한 범위를 줄이거나 AMS 네임스페이스에 있는 리소스를 제외합니다. AMS 네임스페이스 접두사 목록은 AMS 설명서의 경계 정책을 참조하세요. 모든 접두사가 모든 서비스에 적용되는 것은 아닙니다. AMS 경계 정책에 대한 자세한 내용은 섹션을 참조하세요AMS 자동 IAM 프로비저닝 권한 경계 확인.

잘못된 계정 ID 또는 Amazon 리소스 이름(ARN).

이 결과는 정책 또는 역할 신뢰 정책에 지정된 ARN 또는 계정 ID가 유효하지 않은 경우 생성됩니다. 서비스에 대한 유효한 리소스 ARN의 리소스를 검토하려면 서비스 승인 참조를 참조하세요. 계정 ID가 12자리 숫자이고 계정이 활성 상태인지 확인합니다 AWS.

ARN의 계정 ID에 와일드카드(*)를 사용하는 것은 제한됩니다.

이 결과는 ARN의 계정 ID 필드에 와일드카드(*)가 지정된 경우 생성됩니다. 계정 ID 필드의 와일드카드는 모든 계정과 일치하며 잠재적으로 리소스에 의도하지 않은 권한을 부여합니다. 이 문제를 해결하려면 와일드카드를 특정 계정 ID로 바꿉니다.

동일한 AMS 고객 소유 Account_ID가 소유하지 않은 지정된 리소스 계정입니다.

이 결과는 리소스 ARN에 지정된 계정 ID가 사용자에게 속하지 않고 AMS에서 관리하지 않는 경우에 생성됩니다. 이 문제를 해결하려면 모든 리소스(정책에서 ARN으로 지정됨)가 AMS에서 관리하는 계정에 속하는지 확인합니다.

역할 이름은 AMS 제한 네임스페이스에 있습니다.

이 결과는 AMS 예약 접두사로 시작하는 이름으로 역할을 생성하려고 할 때 생성됩니다. 이 문제를 해결하려면 사용 사례에 맞는 역할 이름을 사용합니다. AMS 예약 접두사 목록은 AMS 예약 접두사를 참조하세요.

정책 이름은 AMS 제한 네임스페이스에 있습니다.

이 결과는 AMS 예약 접두사로 시작하는 이름으로 정책을 생성하려고 할 때 생성됩니다. 이 문제를 해결하려면 사용 사례에 맞는 정책의 이름을 사용합니다. AMS 예약 접두사 목록은 AMS 예약 접두사를 참조하세요.

ARN의 리소스 ID는 AMS 제한 네임스페이스에 있습니다.

이 결과는 AMS 네임스페이스에 있는 명명된 리소스에 권한을 부여하는 정책을 생성하려고 할 때 생성됩니다. 이 문제를 해결하려면 리소스에 대한 권한의 범위를 지정하거나 AMS 네임스페이스에 있는 리소스에 대한 권한을 거부해야 합니다. AMS 네임스페이스에 대한 자세한 내용은 AMS 제한된 네임스페이스를 참조하세요.

정책 변수 대/소문자가 잘못되었습니다. 변수를 Variable_Names로 업데이트합니다.

이 결과는 잘못된 경우 IAM 글로벌 정책 변수가 포함된 정책을 생성하려고 할 때 생성됩니다. 이 문제를 해결하려면 정책의 글로벌 변수에 올바른 사례를 사용합니다. 전역 변수 목록은 AWS 전역 조건 컨텍스트 키를 참조하세요. 정책 변수에 대한 자세한 내용은 IAM 정책 요소: 변수 및 태그를 참조하세요.

문에는 KMS 키로 범위가 지정되지 않은 권한이 있는 작업이 포함되어 있습니다. 이러한 권한을 특정 키로 조정하거나 AMS 소유 키를 제외하는 것이 좋습니다.

이 결과는 정책에 소유한 특정 KMS 키로 범위가 지정되지 않은 권한이 포함된 경우 생성됩니다. 이 문제를 해결하려면 권한 범위를 특정 키로 지정하거나 AMS 소유의 키를 제외합니다. AMS 소유 키에는 특정 별칭 세트가 있습니다. AMS 소유 키 별칭 목록은 섹션을 참조하세요AMS 자동 IAM 프로비저닝 권한 경계 확인.

문에는 KMS 키 별칭으로 범위가 지정되지 않은 권한이 있는 작업이 포함되어 있습니다. 이러한 권한을 키 또는 별칭으로 조정하거나 AMS 소유 키 별칭을 제외하는 것이 좋습니다.

이 결과는 소유한 특정 KMS 키 별칭으로 범위가 지정되지 않은 권한이 정책에 포함된 경우 생성됩니다. 이 문제를 해결하려면 권한 범위를 특정 키로 지정하거나 AMS 소유의 키를 제외합니다. AMS 소유 키에는 특정 별칭 세트가 있습니다. AMS 소유 키 별칭 목록은 섹션을 참조하세요AMS 자동 IAM 프로비저닝 권한 경계 확인.

문에는를 사용하여 KMS 키로 범위가 적절하게 지정되지 않은 권한이 있는 작업이 포함되어 있습니다kms:ResourceAliases condition. 조건 키에 적절한 집합 연산자와 함께 특정 별칭 이름을 사용하는 것이 좋습니다. 별칭 이름에 와일드카드를 사용하는 경우 범위를 제한된 KMS 키 세트로 제한해야 합니다.

이 결과는 조건을 사용하고를 사용하여 KMS 키의 별칭으로 범위를 좁히지 않고 KMS 키에 대한 권한을 조정kms:ResourceAliases하는 경우에 생성됩니다. 또는 kms:ResourceAliases 조건 키에 AMS 소유 KMS 키 별칭도 포함하는 값이 있는 경우. 이 문제를 해결하려면 KMS 키의 별칭으로만 권한 범위를 좁히거나 AMS 소유 KMS 키의 별칭을 제외하도록 조건을 업데이트합니다. AMS 소유 키 별칭 목록은 섹션을 참조하세요AMS 자동 IAM 프로비저닝 권한 경계 확인.

역할에 customer_deny_policy가 연결되어 있어야 합니다. 관리형 정책 ARN 목록에 정책 ARNs 포함합니다.

이 결과는 생성 중인 역할에이 customer_deny_policy 연결되어 있지 않은 경우 생성됩니다. 이 문제를 해결하려면 관리형 정책 ARNs 목록에 customer_deny_policy를 포함합니다.

AWS 관리형 정책은 지나치게 허용적이거나 AMS 경계 정책에 의해 제한된 권한을 부여합니다.

이 결과는 역할의 ManagedPolicyArns 값에 관련 서비스에 대한 전체 또는 관리자 수준 액세스를 제공하는 AMS 관리형 정책이 포함된 경우 생성됩니다. 이를 해결하려면 AWS 관리형 정책의 사용을 검토하고 범위 축소 권한을 제공하는 정책을 사용하거나 최소 권한 원칙을 따르는 자체 정책을 정의합니다.

고객 관리형 정책은 제한된 AMS 네임스페이스에 있습니다.

이 결과는 AWS 네임스페이스에 이름이 접두사로 지정된 고객 관리형 정책이 역할에 연결된 경우 생성됩니다. 이 문제를 해결하려면 역할의 ManagedPolicyArn 목록에서 정책을 제거합니다.

customer_deny_policy는 역할에서 분리할 수 없습니다. 관리형 정책 ARN 목록에 정책 ARNs 포함합니다.

이 결과는 업데이트 중에 customer_deny_policy가 역할에서 분리된 경우 생성됩니다. 이 문제를 해결하려면 역할의 customer_deny_policy ManagedPolicyArns 필드에를 추가하고 다시 시도하세요.

고객 관리형 정책은 AMS Change Management 서비스 외부 또는 사전 검증 없이 프로비저닝되었습니다.

이 결과는 하나 이상의 기존 고객 관리형 정책 ARNs이 역할에 연결되어 있고 정책이 AMS Change Management 서비스(RFC를 통해)를 통해 프로비저닝되지 않은 경우 생성됩니다. 예를 들어 개발자 모드 또는 직접 변경 모드를 사용하면 고객이 RFC 없이 IAM 정책을 프로비저닝할 수 있습니다. 이 문제를 해결하려면 역할의 ManagedPolicyArns 목록에서 고객 관리형 정책 ARNs을 제거합니다.

제공된 관리형 정책 ARNs 초과합니다.

이 결과는 역할에 연결된 총 관리형 정책 수가 역할 할당량당 정책을 초과하는 경우 생성됩니다. IAM 할당량에 대한 자세한 내용은 IAM 및 AWS STS 할당량, 이름 요구 사항 및 문자 제한을 참조하세요. 이 정보를 사용하여 역할에 연결하는 정책 수를 줄입니다.

신뢰 정책 크기({trust_policy})가 {size}의 수임 역할 정책 크기 할당량을 초과합니다.

이 결과는 역할 수임 정책 문서의 크기가 정책 크기 할당량을 초과하는 경우 생성됩니다. IAM 할당량에 대한 자세한 내용은 IAM 및 AWS STS 할당량, 이름 요구 사항 및 문자 제한을 참조하세요.

문에는 Amazon S3에 대한 모든 변형 작업이 포함되어 있습니다. 이러한 권한을 필요한 작업으로만 조정하는 것이 좋습니다. 와일드카드를 사용하는 경우 제한된 변형 작업 집합의 범위를 지정해야 합니다.

이 결과는 지정된 정책이 하나 이상의 리소스에 관계없이 모든 Amazon Simple Storage Service 변형 권한을 부여하는 경우 생성됩니다. 이 문제를 해결하려면 버킷에 대해 필요한 Amazon S3 변형 작업만 포함합니다.

문에는 Amazon S3의 버킷에 대해 허용되지 않는 권한이 있는 작업이 포함되어 있습니다. 이러한 작업을 거부하는 문을 추가하는 것이 좋습니다.

이 결과는 정책이 버킷에 대한 권한 있는 작업을 부여하는 경우에 생성됩니다. 권한 있는 작업 목록은 정책에서이 결과 AMS 자동 IAM 프로비저닝 권한 경계 확인 해결, 제거 또는 거부를 참조하세요.

문에는 Amazon S3의 버킷으로 범위가 지정되지 않은 권한이 있는 작업이 포함되어 있습니다. 버킷을 포함하거나 AMS 네임스페이스 접두사가 있는 버킷을 제외하는 것이 좋습니다. 와일드카드를 사용하는 경우 네임스페이스 내의 버킷과 일치하는지 확인합니다.

이 결과는 정책이 버킷에만 범위가 지정되지 않은 Amazon S3 작업을 부여하는 경우에 생성됩니다. 이는 버킷 리소스를 지정할 때 와일드카드를 사용하는 경우에 자주 발생합니다. 이 문제를 해결하려면 소유한 버킷 이름 또는 ARNs 지정하거나 AMS 네임스페이스 접두사가 있는 버킷을 제외합니다.

문에는 Amazon S3의 버킷으로 범위가 지정되지 않은 권한이 있는 작업이 포함되어 있습니다. 계정의 모든 버킷 범위를 지정하는 와일드카드(*)를 사용하지 않는 것이 좋습니다.

이 결과는 정책이 버킷으로 범위가 지정되지 않은 Amazon S3 작업을 부여하는 경우에 생성됩니다. 이는 버킷 리소스를 지정할 때 와일드카드를 사용하는 경우에 자주 발생합니다. 이 문제를 해결하려면 소유한 버킷 이름 또는 ARNs 지정하거나 AMS 네임스페이스 접두사가 있는 버킷을 제외합니다.

문에는 존재하지 않는 버킷 및 소유하지 않은 버킷을 포함하여 모든 Amazon S3 버킷으로 범위가 지정된 리소스 와일드카드가 포함되어 있습니다. 조건 및 s3:ResourceAccount 조건 키를 사용하여 권한 범위를 조정하는 것이 좋습니다.

이 결과는 정책이 와일드카드를 사용하여 지정된 버킷에 권한을 부여하는 경우 생성됩니다. 와일드카드를 사용하면 기존에 존재하지 않거나 소유하지 않은 버킷의 범위가 지정되는 경우가 많습니다. 이 문제를 해결하려면 조건과 aws:ResourceAccount 조건 키를 사용하여 현재 계정 내의 버킷에만 권한 범위를 지정합니다. 자세한 내용은 특정 AWS 계정이 소유한 Amazon S3 버킷에 대한 액세스 제한을 참조하세요.

문에는 NotResource 정책 요소가 포함되어 있으며,이 요소는 존재하지 않는 버킷과 소유하지 않은 버킷을 포함하여 많은 수의 버킷으로 범위가 지정될 수 있습니다. 조건 및 s3:ResourceAccount 조건 키를 사용하여 권한 범위를 조정하는 것이 좋습니다.

이 결과는 정책이 NotResources 정책 요소를 활용하여 버킷 리소스를 지정하는 경우 생성됩니다. NotResource 요소를 사용하면 존재하지 않거나 소유하지 않은 버킷을 포함하여 많은 수의 버킷의 범위가 지정될 수 있습니다. 이 문제를 해결하려면 조건과 aws:ResourceAccount 조건 키를 사용하여 현재 계정 내의 버킷에만 권한 범위를 지정합니다.

문에는 존재하지 않거나 계정 Account_ID가 소유하지 않은 버킷 Bucket_Name에 대한 Amazon S3 작업이 포함되어 있거나, 이름에 존재하지 않는 버킷 및 소유하지 않은 버킷을 포함하여 많은 수의 버킷으로 범위가 지정될 수 있는 와일드카드가 포함되어 있습니다. 조건 및 조건 s3:ResourceAccount 키를 사용하여 권한 범위 조정 고려

이 결과는 정책이 존재하지 않거나, 사용자가 소유하지 않거나, 많은 수의 버킷을 포함하는 버킷 이름에 와일드카드가 있고 액세스 범위가 현재 계정으로만 지정되지 않은 버킷에 권한을 부여하는 경우에 생성됩니다. 이 문제를 해결하려면 조건과 aws:ResourceAccount 조건 키를 사용하여 현재 계정 내의 버킷에만 권한 범위를 지정합니다.

문에는 존재하지 않거나 Account_ID가 소유하지 않은 버킷 Bucket_Name에 대한 Amazon S3 작업이 포함되어 있거나, 이름에 존재하지 않는 버킷 및 소유하지 않은 버킷을 포함하여 많은 수의 버킷으로 범위가 지정될 수 있는 와일드카드가 포함되어 있습니다. 조건에서 s3:ResourceAccount 또는 지정된 리소스 계정을 사용하여 액세스를 제한하지 않으며, 이는 사용자에게 속하지 않습니다.

이 결과는 정책이 존재하지 않거나, 사용자가 소유하지 않거나, 많은 수의 버킷을 포함하는 버킷 이름에 와일드카드가 있고 액세스 범위가 특정 계정으로만 지정된 버킷에 권한을 부여하는 경우에 생성됩니다. 그러나 aws:ResourceAccount 조건 키에 지정된 계정은 사용자에게 속하지 않으며 AMS에서 관리합니다. 이 문제를 해결하려면 aws:ResourceAccount 조건 키를 업데이트하고 소유하며 AMS에서 관리하는 적절한 계정 ID를 설정합니다.

문에는 Amazon EC2용 인스턴스로 범위가 지정되지 않은 권한이 있는 작업이 포함되어 있습니다. 작업을 특정 인스턴스 ARNs으로 범위를 조정하거나 AMS 네임스페이스 접두사에 값이 있는 이름 태그 키가 있는 인스턴스를 제외하는 것이 좋습니다. 와일드카드를 사용하는 경우 소유한 네임스페이스와 일치하는지 확인합니다.

이 결과는 정책이 AMS가 소유한 Amazon EC2 인스턴스에 대한 권한 있는 작업을 부여하는 경우에 생성됩니다. AMS 인스턴스에는 AMS 네임스페이스의 값이 있는 이름 태그 키로 태그가 지정됩니다. 이 문제를 해결하려면 리소스를 지정하거나 StringNotLike 연산자를 사용하여 AMS 네임스페이스의 값을 제외하는 aws:ResourceTag/Name 키가 있는 조건으로 AMS 인스턴스를 제외합니다.

문에는 AWS Systems Manager 파라미터 스토어의 리소스로 범위가 지정되지 않은 권한이 있는 작업이 포함되어 있습니다. 파라미터의 ARNs을 지정하거나 AMS 네임스페이스 접두사가 있는 파라미터를 제외하는 것이 좋습니다. 와일드카드를 사용하는 경우 파라미터의 범위만 지정해야 합니다.

이 결과는 정책이 소유하지 않은 파라미터에 권한을 부여하는 경우 생성됩니다. 이는 일반적으로 와일드카드를 사용하거나 AMS 네임스페이스 접두사가 있는 파라미터가 정책 설명의 리소스 아래에 나열되는 경우입니다. 이 문제를 해결하려면 네임스페이스 내에 있는 파라미터를 지정하거나 거부 문으로 AMS 파라미터를 제외합니다.

문에는의 리소스에 대한 권한이 있는 작업이 포함되어 있습니다 AWS Systems Manager. 리소스에 대한 작업만 읽을 수 있도록 권한 범위를 조정하는 것이 좋습니다.

이 결과는 정책이 Systems Manager 리소스에 대한 파라미터 스토어 또는 읽기 전용 작업 이외의 권한을 부여하는 경우 생성됩니다. 이 결과를 해결하려면 읽기 전용 작업 또는 파라미터 스토어에 대한 권한만 줄입니다.

문에는 소유한 Service_Name{message}로 범위가 지정되지 않은 권한이 있는 작업이 포함되어 있습니다. 이러한 권한을 특정 리소스 유형으로 적절하게 조정하거나 AMS 소유 리소스를 제외하는 것이 좋습니다. 와일드카드를 사용하는 경우 리소스와 일치하는지 확인합니다.

이 결과는 정책이 리소스, 특히 명명된 리소스에 대해 부여되지 않은 권한 있는 작업을 허용하는 경우 생성됩니다. 이 결과를 해결하려면 리소스 목록을 검토하고 네임스페이스에 있는 리소스의 범위만 지정되는지 확인합니다. 또는 AMS 네임스페이스에 있는 리소스를 제외합니다.

문에는 이름 태그 키의 특정 값으로 범위가 지정되지 않은 {Service_Name}의 태그 지정 작업이 포함되어 있습니다. 네임스페이스의 값으로 aws:RequestTag/Name 조건 키를 설정하여 이러한 작업의 범위를 조정하거나 AMS 네임스페이스 접두사에 값이 있는 StringNotLike 연산자로 aws:RequestTag/Name 조건 키를 설정하여 이러한 작업을 제한하는 것이 좋습니다.

이 결과는 정책이 지정된 서비스에 대한 태그 지정 권한을 부여하고 권한이 특정 태그 키/값으로 범위가 지정되지 않은 경우에 생성됩니다. 예를 들어 작업 수행을 요청할 때 태그 작업에 사용할 수 있는 키 또는 값의 범위를 좁히려면 aws:RequestTag/tag key 조건을 사용합니다. 따라서이 문제를 해결하려면이 조건 키를 사용하여 이름 공간의 키 또는 값을 제한합니다. 또는 AMS 네임스페이스의 값이 있는 Name 태그 키(aws:RequestTag/Name)를 거부합니다.

IAM 역할 신뢰 정책을 검증하는 동안 내부 오류가 발생했습니다.

이 결과는 CT 자동화에서 IAM Access Analyzer 서비스를 통해 IAM 역할 신뢰 정책에 대한 검증을 수행하는 동안 오류가 발생할 때 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

고객 관리형 정책을 검증하는 동안 내부 오류가 발생했습니다.

이 결과는 CT 자동화에서 IAM Access Analyzer 서비스를 통해 고객 관리형 정책에 대해 타원형화를 수행하는 동안 오류가 발생할 때 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

액세스 분석기를에서 찾을 수 없습니다AWS 리전. 역할 신뢰 정책에 대한 액세스 미리 보기 검사를 수행할 수 없습니다.

이 결과는에서 IAM Access Analyzer 리소스를 찾을 수 없을 때 생성됩니다 AWS 리전. AMS Operations에 문의하여 AWS 리전에서 IAM Access Analyzer 리소스 문제를 해결하고 생성합니다.

Role_Name 역할에 대한 잘못된 신뢰 정책

이 결과는 IAM 역할에 잘못된 신뢰 정책이 포함된 경우 생성됩니다. 문제를 해결하려면 신뢰 정책을 검토하여 유효한지 확인합니다.

IAM Access Analyzer에서 내부 오류가 발생했습니다. Role_Name 역할에 대한 액세스 미리 보기를 생성하지 못했습니다.

이 결과는 IAM Access Analyzer를 통해 역할에 대한 액세스 미리 보기를 생성하는 동안 자동화에서 오류가 발생할 때 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

Role_Name 역할의 신뢰 정책에 대한 액세스 미리 보기를 생성하지 못했습니다.

이 결과는 IAM Access Analyzer를 통해 역할에 대한 액세스 미리 보기를 생성하는 동안 자동화에서 오류가 발생할 때 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

나열된 SAML IdP를 검증하는 동안 내부 오류가 발생했습니다.

이 결과는 역할 신뢰 정책에 나열된 제공된 SAML IdPs를 검증하는 동안 자동화에 오류가 발생하면 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

권한을 검증하는 동안 내부 오류가 발생했습니다 AWS Key Management Service.

이 결과는 제공된 정책에서 AWS KMS 키 권한을 검증하는 동안 자동화에 오류가 발생하면 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

나열된 관리형 정책 ARNs 검증하는 동안 내부 오류가 발생했습니다.

이 결과는 나열된 관리형 정책 ARNs을 검증하는 동안 자동화에 오류가 발생하면 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

기본 customer_deny_policy 연결을 검증하는 동안 내부 오류가 발생했습니다.

이 결과는가 역할에 customer_deny_policy 연결되어 있는지 확인하는 동안 자동화에 오류가 발생하면 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

Role_Name 역할에 대한 관리형 정책 ARN을 검증하는 내부 오류

이 결과는 역할에 대한 관리형 정책 ARNs을 검증하는 동안 자동화에 오류가 발생하면 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

Policy_name을 고객 정의 경계 정책에 대해 검증하는 내부 오류 AWSManagedServicesIAMProvisionCustomerBoundaryPolicy

이 결과는 사용자 지정 거부 목록을 포함하는 정책을 검증하는 동안 자동화에 오류가 발생하면 생성됩니다. 이 문제를 해결하려면 RFC를 다시 제출하십시오. 오류가 지속되면 AMS Operations에 문의하여 오류를 해결합니다.

고객 정의 경계 정책이 계정에 AWSManagedServicesIAMProvisionCustomerBoundaryPolicy 있습니다. 그러나 정책에는 권한을 부여하는 허용 문이 포함되어 있습니다. 정책에는 거부 문만 포함되어야 합니다.

이 결과는 사용자 지정 거부 목록이 포함된 정책에 권한을 부여하는 문이 포함된 경우 생성됩니다. 사용자 지정 거부 목록은 계정 내에 IAM 관리형 정책으로 존재하지만 권한 관리에 사용할 수 없습니다. 정책에는 AMS 자동 IAM 프로비저닝이 생성한 IAM 정책에서 해당 작업을 검증하고 거부하도록 하려는 거부 문만 포함되어야 합니다.

문에는 조직에서 Service_Name에 대해 정의한 권한이 있는 작업이 포함되어 있습니다. 거부 문과 함께 이러한 작업을 제외하는 것이 좋습니다. 제한된 작업 목록을 참조하려면 계정에서 라는 정책을 참조하세요.

이 결과는 자동화가 사용자 지정 거부 목록에 정의한 정책에서 작업을 감지할 때 생성됩니다. 조사 결과를 해결하려면 정책 설명을 검토하고 사용자 지정 거부 목록에 정의된 작업을 제거하거나 해당 작업을 거부하는 거부 설명을 추가합니다.

역할에는 POLICY_ARN이 연결되어 있어야 합니다. 관리형 정책 ARN 목록에 정책 ARNs 포함합니다.

생성 중인 역할에 POLICY_ARN이 연결되어 있지 않은 경우이 결과가 생성됩니다. 이 문제를 해결하려면 역할의 ManagedPolicyArns 필드에 POLICY_ARN을 포함하고 다시 시도하세요.

POLICY_ARN은 역할에서 분리할 수 없습니다. 관리형 정책 ARN 목록에 정책 ARNs 포함합니다.

이 결과는 업데이트 중에 POLICY_ARN이 역할에서 분리된 경우 생성됩니다. 이 문제를 해결하려면 역할의 ManagedPolicyArns 필드에 POLICY_ARN을 추가하고 다시 시도하세요.