Verificações de tempo de execução do provisionamento automatizado de IAM do AMS no AMS - Guia do usuário avançado do AMS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verificações de tempo de execução do provisionamento automatizado de IAM do AMS no AMS

O provisionamento automatizado do IAM aproveita as verificações e executa AWS Identity and Access Management Access Analyzer verificações e validações adicionais em relação à política de limites do AMS. O AMS definiu as verificações e validações adicionais com base nas melhores práticas do IAM, na experiência de operar a carga de trabalho do cliente na nuvem e na experiência coletiva de avaliação manual do AMS IAM.

Você pode visualizar os resultados da verificação em tempo de execução da política na saída da solicitação de alteração (RFC). As descobertas incluem o identificador do recurso, a localização na and/or política de função que gerou as descobertas e uma mensagem descrevendo a verificação de que a entidade ou o recurso do IAM não foram aprovados. Essas descobertas ajudam você a criar políticas que sejam funcionais e estejam em conformidade com as melhores práticas de segurança.

nota

O provisionamento automatizado do IAM tenta ser específico sobre o local dentro da definição de entidade ou política que não passa na verificação. Dependendo do tipo, o local pode incluir o nome ou o ARN do recurso ou o índice em uma matriz. Por exemplo, uma declaração para ajudá-lo a ajustar a entidade ou política para obter um resultado bem-sucedido.

Para uma experiência tranquila de provisionamento automatizado de IAM do AMS, é uma prática recomendada usar a opção “somente validar” para executar as verificações de validação até que não haja nenhuma descoberta das verificações de validação relatadas nas saídas da RFC. Quando as verificações de validação não relatarem nenhuma descoberta, escolha Criar cópia no console AMS para criar rapidamente uma cópia da RFC existente. Quando você estiver pronto para provisionar, na seção Parâmetros, alterne o valor Validar somente de Sim para Não e continue.

Estas são as verificações em tempo de execução que o AMS Automated IAM Provisioning executa para garantir que seus recursos do IAM estejam seguros:

nota

Para provisionar políticas do IAM que contêm ações negadas por esses tipos de alteração automatizada, você deve seguir o processo de gerenciamento de riscos de segurança do cliente (CSRM) da RFC. Use o seguinte tipo de alteração: Implantação | Componentes avançados da pilha | Identity and Access Management (IAM) | Criar entidade ou política (revisão obrigatória) (ct-3dpd8mdd9jn1r).

Descoberta Descrição

A função pode ser acessada de uma conta externa que esteja fora da sua zona de confiança.

Essa descoberta se refere a um principal listado na política de confiança da função que está fora da sua zona de confiança. Uma zona de confiança é definida como a conta na qual a função está sendo criada ou a AWS organização à qual a conta pertence. Uma entidade que não pertence à conta ou à mesma AWS organização é uma entidade externa. Para resolver a descoberta, revise o ID da conta principal ARNs e certifique-se de que ela pertence a você e é uma conta integrada do AMS.

A função pode ser acessada por uma entidade externa de propriedade de uma conta External_Account_ID que não pertence à conta de propriedade do cliente do AMS. Account_ID

Essa descoberta é gerada se a política de confiança da função incluir um ARN principal que tenha um ID de conta que não seja de sua propriedade e uma conta integrada do AMS. Para resolver essa descoberta, remova qualquer princípio desse tipo da política de confiança da função.

O ID de usuário canônico não é um princípio aceito na política de confiança do IAM.

Os princípios canônicos não IDs são compatíveis com a política de confiança do IAM. Para resolver a descoberta, remova qualquer princípio desse tipo da política de confiança da função.

A função pode ser acessada por uma identidade externa da Web que esteja fora da sua zona de confiança.

Essa descoberta é gerada se a política de confiança da função permitir um provedor externo de identidade da Web (IdP) diferente do SAML IdP. Para resolver essa descoberta, revise a política de confiança da função e remova as declarações que permitem a sts:AssumeRoleWithWebIdentity operação.

A função pode ser acessada por meio da federação SAML; no entanto, o provedor de identidade SAML (IdP) fornecido não existe.

Essa descoberta é gerada se a política de confiança da função contiver SAML IdP que não existe em sua conta. Para resolver, certifique-se de que todo o IdP SAML listado exista em sua conta.

A política contém ações privilegiadas equivalentes ao acesso de administrador ou usuário avançado. Considere reduzir o escopo da permissão a um serviço, ação ou recurso específico. Se elementos de política avançada, como NotActionou NotResourceforem usados, certifique-se de que eles não estejam concedendo mais acesso do que o pretendido, especialmente nas declarações Permitir.

É uma boa prática de segurança AWS Identity and Access Management conceder somente as permissões necessárias para realizar uma tarefa ao definir permissões com políticas do IAM. Faça isso definindo as ações que podem ser tomadas em recursos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Essa descoberta é gerada quando a automação detecta que a política concede amplas permissões e não segue o princípio do menor privilégio. Para resolver a descoberta, revise e reduza as permissões.

A declaração contém ações privilegiadas paraService_Name. Considere excluir essas ações com uma declaração de negação. Consulte a referência da política de limites na documentação do AMS para obter uma lista de ações privilegiadas.

A AMS identificou certas ações de um determinado serviço como arriscadas e exigem uma análise e aceitação adicionais dos riscos pela equipe de segurança do cliente. Essa descoberta é gerada quando a automação detecta a política fornecida que concede tais permissões. Para resolver essa descoberta, negue essas ações em sua política. Para obter uma lista de ações, consulte a política de limites do AMS. Para obter detalhes sobre a política de limites do AMS, consulteVerificação automatizada do limite de permissão do AMS Automated IAM Provisioning.

A declaração concede acesso a tipos de alteração de RFC privilegiados: ct-1n9gfnog5x7fl, ct-1e0xmuy1diafq e ct-17cj84y7632o6 para serviço. Service_Name Considere definir o escopo das permissões para tipos de alteração específicos ou excluir esses tipos de alteração com uma declaração de negação.

Essa descoberta é gerada se a política conceder permissões para realizar ações relacionadas à RFC usando tipos de alteração do Automated IAM Provisioning (). CTs Eles CTs estão sujeitos à aceitação de riscos e só devem ser usados por meio de funções integradas. Então, você não pode conceder permissão a eles CTs. Para resolver essa descoberta, negue ações de RFC usando essas CTs.

A declaração contém ações privilegiadas que não têm como escopo seus recursos de serviço. Service_Name Considere definir o escopo das ações para recursos específicos ou excluir recursos com prefixos de namespace do AMS. Se forem usados curingas, assegure-se de que eles restrinjam o escopo aos seus recursos.

Essa descoberta é gerada se a política conceder ações privilegiadas que não têm como escopo os recursos do determinado serviço. Os curingas geralmente criam políticas excessivamente permissivas que trazem um amplo conjunto de recursos ou ações para o escopo da permissão. Para resolver a descoberta, reduza o escopo das permissões para os recursos que você possui ou exclua os recursos que estão no namespace do AMS. Para obter uma lista dos prefixos de namespace do AMS, consulte a política de limites na documentação do AMS. Observe que nem todos os prefixos se aplicam a todos os serviços. Para obter detalhes sobre a política de limites do AMS, consulteVerificação automatizada do limite de permissão do AMS Automated IAM Provisioning.

ID de conta ou nome de recurso da Amazon (ARN) inválido.

Essa descoberta é gerada se qualquer ARN ou ID de conta especificado na política ou na política de confiança da função for inválido. Para analisar os recursos válidos do ARN de recursos para serviços, consulte a Referência de autorização de serviço. Verifique se o ID da conta é um número de 12 dígitos e se a conta está ativa em. AWS

O uso do caractere curinga (*) para o ID da conta no ARN é restrito.

Essa descoberta é gerada se um curinga (*) for especificado no campo ID da conta de um ARN. Um curinga em um campo de ID da conta corresponde a qualquer conta e potencialmente concede permissão não intencional aos recursos. Para resolver isso, substitua o curinga por um ID de conta específico.

Conta de recurso especificada que não pertence à mesma conta Account_ID proprietária do cliente do AMS.

Essa descoberta é gerada se um ID de conta especificado em um ARN de recurso não pertencer a você e não for gerenciado pelo AMS. Para resolver isso, certifique-se de que todos os recursos (conforme especificado pelo ARN na política) pertençam às suas contas gerenciadas pelo AMS.

O nome da função está no namespace restrito do AMS.

Essa descoberta é gerada se você tentar criar uma função com um nome que comece com um prefixo reservado do AMS. Para resolver isso, use um nome para a função que seja específico para seu caso de uso. Para obter uma lista dos prefixos reservados do AMS, consulte Prefixos reservados do AMS

O nome da política está no namespace restrito do AMS.

Essa descoberta é gerada se você tentar criar uma política com um nome que comece com um prefixo reservado do AMS. Para resolver isso, use um nome para a política que seja específico para seu caso de uso. Para obter uma lista dos prefixos reservados do AMS, consulte Prefixos reservados do AMS.

O ID do recurso no ARN está no namespace restrito do AMS.

Essa descoberta é gerada se você tentar criar uma política que conceda permissão aos recursos nomeados que estão no namespace do AMS. Para resolver isso, assegure-se de definir o escopo das permissões para seus recursos ou negar permissões para recursos que estão no namespace AMS. Para obter mais informações sobre namespaces do AMS, consulte Espaços de nomes restritos do AMS.

Caso de variável de política inválido. Atualize a variável paraVariable_Names.

Essa descoberta é gerada se você tentar criar uma política que contenha uma variável de política global do IAM no caso incorreto. Para resolver isso, use as maiúsculas e minúsculas corretas para variáveis globais em sua política. Para obter uma lista de variáveis globais, consulte chaves de contexto de condição AWS global. Para obter mais informações sobre as variáveis de política, consulte Elementos de política do IAM: Variáveis e tags

A declaração contém ações privilegiadas que não têm como escopo suas chaves KMS. Considere definir o escopo dessas permissões para chaves específicas ou excluir as chaves de propriedade do AMS.

Essa descoberta será gerada se a política contiver permissões que não tenham como escopo as chaves KMS específicas de sua propriedade. Para resolver isso, defina o escopo da permissão para chaves específicas ou exclua as chaves que são de propriedade do AMS. As chaves de propriedade do AMS têm conjuntos de aliases específicos. Para obter uma lista de aliases de chave de propriedade do AMS, consulteVerificação automatizada do limite de permissão do AMS Automated IAM Provisioning.

A declaração contém ações privilegiadas que não têm como escopo os aliases de suas chaves KMS. Considere definir o escopo dessas permissões para suas chaves ou aliases, ou excluir aliases de chave de propriedade da AMS.

Essa descoberta será gerada se a política contiver permissões que não tenham como escopo um alias de chaves KMS específico que você possui. Para resolver isso, defina o escopo da permissão para chaves específicas ou exclua as chaves que são de propriedade do AMS. As chaves de propriedade do AMS têm conjuntos de aliases específicos. Para obter uma lista de aliases de chave de propriedade do AMS, consulteVerificação automatizada do limite de permissão do AMS Automated IAM Provisioning.

A declaração contém ações privilegiadas que não têm um escopo adequado para suas chaves KMS usando o. kms:ResourceAliases condition Considere usar nomes de alias específicos junto com o operador de conjunto apropriado para a chave de condição. Se forem usados curingas nos nomes de alias, assegure-se de que eles restrinjam o escopo a um conjunto limitado de suas chaves KMS.

Essa descoberta é gerada se você estiver definindo o escopo das permissões para suas chaves KMS usando condições e não usando o kms:ResourceAliases escopo de aliases para suas chaves KMS. Ou, se a chave de kms:ResourceAliases condição tiver um valor que também inclua aliases de chaves KMS de propriedade do AMS. Para resolver isso, atualize a condição para restringir a permissão somente para aliases de suas chaves KMS ou excluir aliases para chaves KMS de propriedade do AMS. Para obter uma lista de aliases de chave de propriedade do AMS, consulteVerificação automatizada do limite de permissão do AMS Automated IAM Provisioning.

A função deve ter customer_deny_policy anexada. Inclua o ARN da política na lista de políticas gerenciadas. ARNs

Essa descoberta é gerada se a função que você está criando não tiver o customer_deny_policy anexo a ela. Para resolver isso, inclua o customer_deny_policy na ARNs lista de políticas gerenciadas.

A política AWS gerenciada é excessivamente permissiva ou concede permissões restritas pela política de limites do AMS.

Essa descoberta é gerada se o ManagedPolicyArnsvalor da função contiver alguma política gerenciada pelo AMS que forneça acesso total ou em nível de administrador ao serviço relevante. Para resolver isso, revise o uso da política AWS gerenciada e use uma política que forneça permissão de redução de escopo ou defina sua própria política que siga o princípio do menor privilégio.

A política gerenciada pelo cliente está em um namespace restrito do AMS.

Essa descoberta é gerada se alguma política gerenciada pelo cliente com nome prefixado no AWS namespace for anexada à função. Para resolver isso, remova a política da ManagedPolicyArnlista da função.

A customer_deny_policy não pode ser separada da função. Inclua o ARN da política na lista de políticas gerenciadas. ARNs

Essa descoberta é gerada se o customer_deny_policy for separado da função durante uma atualização. Para resolver isso, adicione o customer_deny_policy ao ManagedPolicyArnscampo da função e tente novamente.

As políticas gerenciadas pelo cliente foram provisionadas fora do serviço AMS Change Management ou sem validação prévia.

Essa descoberta é gerada se uma ou mais políticas existentes gerenciadas pelo cliente ARNs estiverem vinculadas a uma função e as políticas não forem provisionadas por meio do serviço AMS Change Management (por meio de uma RFC). Por exemplo, o Modo Desenvolvedor ou o Modo de Alteração Direta permitem que os clientes provisionem políticas do IAM sem um RFC. Para resolver isso, remova a política gerenciada pelo cliente ARNs da ManagedPolicyArnslista da função.

A contagem de políticas gerenciadas fornecidas ARNs excede a cota da política anexada por função.

Essa descoberta é gerada se o número total de políticas gerenciadas anexadas à função exceder a cota de política por função. Para obter mais informações sobre cotas do IAM, consulte cotas do IAM e AWS STS, requisitos de nome e limites de caracteres. Use essas informações para reduzir o número de políticas que você atribui à função.

O tamanho da política de confiança ({trust_policy}) excede a cota de tamanho da política de assumir funções de {size}.

Essa descoberta é gerada se o tamanho do documento de política de assumir função exceder a cota de tamanho da política. Para obter mais informações sobre cotas do IAM, consulte cotas do IAM e AWS STS, requisitos de nome e limites de caracteres.

A declaração contém todas as ações mutativas do Amazon S3. Considere definir o escopo dessas permissões somente para as ações necessárias. Se forem usados curingas, certifique-se de que eles abrangem um conjunto limitado de ações mutativas.

Essa descoberta é gerada se a política dada conceder a todas as permissões mutativas do Amazon Simple Storage Service, independentemente de um ou mais recursos. Para resolver isso, inclua somente as ações mutativas necessárias do Amazon S3 em seus buckets.

A declaração contém ações privilegiadas que não são permitidas em nenhum bucket no Amazon S3. Considere adicionar uma declaração negando essas ações.

Essa descoberta é gerada se a política conceder ações privilegiadas em qualquer bucket. Para obter uma lista de ações privilegiadas, consulte Verificação automatizada do limite de permissão do AMS Automated IAM Provisioning Para resolver essa descoberta, remover ou negar essas ações em sua política.

A declaração contém ações privilegiadas que não têm como escopo seus buckets no Amazon S3. Considere incluir seus buckets ou excluir buckets com prefixos de namespace do AMS. Se forem usados curingas, certifique-se de que eles correspondam aos buckets em seus namespaces.

Essa descoberta é gerada se a política conceder ao Amazon S3 ações que não têm como escopo somente seus buckets. Isso geralmente ocorre quando caracteres curingas são usados ao especificar recursos do bucket. Para resolver isso, especifique os nomes dos buckets ou ARNs se você possui ou exclui os buckets que têm prefixos de namespace AMS.

A declaração contém ações privilegiadas que não têm como escopo seus buckets no Amazon S3. Considere evitar o uso de curingas (*) que abrangem todos os compartimentos da conta.

Essa descoberta é gerada se a política conceder ao Amazon S3 ações que não têm como escopo o seu bucket. Isso geralmente ocorre quando caracteres curingas são usados ao especificar recursos do bucket. Para resolver isso, especifique os nomes dos buckets ou ARNs se você possui ou exclui os buckets que têm prefixos de namespace AMS.

A declaração contém um caractere curinga de recursos que tem como escopo todos os buckets do Amazon S3, incluindo buckets inexistentes e buckets que você não possui. Considere definir o escopo das permissões usando uma condição e uma chave de s3:ResourceAccount condição.

Essa descoberta é gerada se a política conceder permissão aos compartimentos especificados usando curingas. O uso de curingas geralmente coloca baldes inexistentes ou não proprietários no escopo. Para resolver isso, use a condição e a chave de aws:ResourceAccount condição para definir o escopo da permissão para buckets somente na conta atual. Para obter mais detalhes, consulte Limitar o acesso aos buckets do Amazon S3 pertencentes a contas específicas. AWS

A declaração contém um elemento de NotResource política, que pode ter como escopo um grande número de compartimentos, incluindo compartimentos inexistentes e compartimentos que você não possui. Considere definir o escopo das permissões usando uma condição e uma chave de s3:ResourceAccount condição.

Essa descoberta é gerada se a política utilizar o elemento de NotResources política para especificar os recursos do bucket. O uso do NotResource elemento pode abranger um grande número de compartimentos, incluindo compartimentos inexistentes ou não proprietários. Para resolver isso, use condições e a chave de aws:ResourceAccount condição para definir o escopo da permissão para buckets somente na conta atual.

A declaração contém a ação do Amazon S3 para buckets Bucket_Name que não existem, não são de propriedade da conta Account_ID ou o nome contém um curinga que pode ter como escopo um grande número de buckets, incluindo buckets inexistentes e buckets que você não possui. Considere definir o escopo das permissões usando uma condição e a chave de s3:ResourceAccount condição

Essa descoberta é gerada se a política conceder permissão a compartimentos que não existem, não são de sua propriedade ou têm curingas nos nomes dos compartimentos que abrangem um grande número de compartimentos e o acesso não tem como escopo somente a conta atual. Para resolver isso, use a condição e a chave de aws:ResourceAccount condição para definir o escopo da permissão para buckets somente na conta atual.

A declaração contém a ação do Amazon S3 para buckets Bucket_Name que não existem, não são de propriedade da contaAccount_ID, ou o nome contém um curinga que pode ter como escopo um grande número de buckets, incluindo buckets inexistentes e buckets que você não possui. O acesso não é restrito por uso s3:ResourceAccount ou conta de recurso especificada na condição de não pertencer a você.

Essa descoberta é gerada se a política conceder permissão a compartimentos que não existem, não são de sua propriedade ou têm curingas nos nomes dos compartimentos que abrangem um grande número de compartimentos e o acesso é limitado somente a uma conta específica. No entanto, a conta especificada na chave de aws:ResourceAccount condição não pertence a você e é gerenciada pelo AMS. Para resolver isso, atualize a chave de aws:ResourceAccount condição e defina a ID de conta apropriada que você possui e é gerenciada pelo AMS.

A declaração contém ações privilegiadas que não têm como escopo suas instâncias da Amazon. EC2 Considere definir o escopo das ações para uma instância específica ARNs ou excluir instâncias que tenham a chave de tag de nome com valor nos prefixos de namespace do AMS. Se forem usados curingas, verifique se eles correspondem aos namespaces que você possui.

Essa descoberta é gerada se a política conceder ações privilegiadas contra EC2 instâncias da Amazon que o AMS possui. As instâncias do AMS são marcadas com a chave Name tag com valores no namespace AMS. Para resolver isso, especifique seus recursos ou exclua instâncias do AMS com uma condição que tenha a aws:ResourceTag/Name chave que exclui valores no namespace do AMS usando o operador StringNotLike

A declaração contém ações privilegiadas que não têm como escopo seus recursos no repositório de AWS Systems Manager parâmetros. Considere especificar ARNs seus parâmetros ou excluir parâmetros com prefixos de namespace do AMS. Se forem usados curingas, certifique-se de que eles definem apenas seus parâmetros.

Essa descoberta é gerada se a política conceder permissões a parâmetros que você não possui. Geralmente, isso ocorre quando curingas são usados ou parâmetros com prefixos de namespace AMS são listados em recursos em uma declaração de política. Para resolver isso, especifique os parâmetros que estão dentro do seu namespace ou exclua os parâmetros do AMS com uma instrução de negação.

A declaração contém ações privilegiadas contra recursos em AWS Systems Manager. Considere definir o escopo das permissões para somente ler ações ou ações em relação aos seus recursos.

Essa descoberta é gerada se a política conceder permissões diferentes do armazenamento de parâmetros ou ações somente de leitura em relação aos recursos do Systems Manager. Para resolver essa descoberta, reduza as permissões para ações somente para leitura ou somente para armazenamento de parâmetros.

A declaração contém ações privilegiadas que não têm como escopo {message} Service_Name que você possui. Considere definir o escopo dessas permissões para tipos de recursos específicos, conforme apropriado, ou excluir recursos de propriedade do AMS. Se forem usados curingas, verifique se eles correspondemResources.

Essa descoberta é gerada se a política permitir ações privilegiadas que não são concedidas contra seus recursos, especialmente para recursos nomeados. Para resolver essa descoberta, revise sua lista de recursos e veja se eles abrangem apenas os recursos que estão em seu namespace. Como alternativa, exclua os recursos que estão no namespace AMS.

A declaração contém ações de marcação de {Service_Name} que não têm como escopo valores específicos para a chave da tag Name. Considere definir o escopo dessas ações definindo a chave de aws:RequestTag/Name condição com valores em seu namespace ou restrinja essas ações definindo a chave de aws:RequestTag/Name condição com o StringNotLike operador com valores nos prefixos de namespace do AMS.

Essa descoberta é gerada se a política conceder permissão de marcação para determinado serviço e a permissão não tiver como escopo chaves/valores de tag específicos. Para definir qual chave ou valor pode ser usado em ações de tag, por exemplo, ao fazer uma solicitação para realizar as ações, use a aws:RequestTag/tag key condição. Portanto, para resolver isso, use essa chave de condição para restringir a chave ou os valores no seu namespace. Ou negue a Name tag key (aws:RequestTag/Name) com valores no namespace AMS.

Erro interno ao validar a política de confiança da função do IAM.

Essa descoberta é gerada quando a automação de CT encontra um erro ao realizar a validação na política de confiança da função do IAM por meio do serviço IAM Access Analyzer. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Erro interno ao validar a política gerenciada pelo cliente.

Essa descoberta é gerada quando a automação de CT encontra um erro ao realizar a ovalidação na política gerenciada pelo cliente por meio do serviço IAM Access Analyzer. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Analisador de acesso não encontrado emRegião da AWS. Não é possível realizar a verificação prévia de acesso à política de confiança da função.

Essa descoberta é gerada quando o recurso IAM Access Analyzer não é encontrado no Região da AWS. Entre em contato com o AMS Operations para solucionar problemas e criar o recurso IAM Access Analyzer na região da AWS.

Política de confiança inválida para a função Role_Name

Essa descoberta é gerada quando a função do IAM é fornecida com uma política de confiança inválida. Para resolver, revise a política de confiança para verificar se ela é válida.

O IAM Access Analyzer encontrou um erro interno. Falha ao criar uma visualização prévia de acesso para a função Role_Name

Essa descoberta é gerada quando a automação encontra um erro ao criar uma visualização prévia de acesso para uma função por meio do IAM Access Analyzer. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Falha ao criar uma visualização prévia de acesso para a política de confiança da função Role_Name

Essa descoberta é gerada quando a automação encontra um erro ao criar uma visualização prévia de acesso para uma função por meio do IAM Access Analyzer. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Erro interno ao validar o SAML IdP listado.

Essa descoberta é gerada quando a automação encontra um erro ao validar o SAML fornecido IdPs listado na política de confiança da função. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Erro interno ao validar permissões em relação AWS Key Management Service ao.

Essa descoberta é gerada quando a automação encontra um erro ao validar as AWS KMS principais permissões na política fornecida. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Erro interno ao validar a política ARNs gerenciada listada.

Essa descoberta é gerada quando a automação encontra um erro ao validar a política gerenciada listada. ARNs Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Erro interno ao validar o customer_deny_policy anexo padrão.

Essa descoberta é gerada quando a automação encontra um erro ao validar se o customer_deny_policy está vinculado à função. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Erro interno ao validar alertas de política gerenciada para a função Role_Name

Essa descoberta é gerada quando a automação encontra um erro ao validar a política gerenciada ARNs para a função. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

Erro interno de validação em Policy_name relação à política de limites definida pelo cliente AWSManagedServicesIAMProvisionCustomerBoundaryPolicy

Essa descoberta é gerada quando a automação encontra um erro ao validar a política que contém sua lista de negação personalizada. Para resolver isso, reenvie o RFC. Se o erro persistir, entre em contato com o AMS Operations para solucionar o erro.

A política de limites definida pelo cliente AWSManagedServicesIAMProvisionCustomerBoundaryPolicy existe na conta. No entanto, a política contém declarações de permissão que concedem permissões. A política deve conter apenas declarações de negação.

Essa descoberta é gerada quando a política que contém sua lista de negação personalizada inclui uma declaração que concede permissão. Embora a lista de negação personalizada exista em sua conta como uma política gerenciada pelo IAM, ela não pode ser usada para gerenciamento de permissões. A política deve conter apenas declarações de negação que indiquem que você deseja que o AMS Automated IAM Provisioning valide e negue as ações em suas políticas do IAM que o AMS Automated IAM Provisioning cria.

A declaração contém ações privilegiadas definidas por sua organização paraService_Name. Considere excluir essas ações com uma declaração de negação. Consulte a política mencionada em sua conta para ver a lista restrita de ações.

Essa descoberta é gerada quando a automação detecta qualquer ação em sua política que você definiu na lista de negação personalizada. Para resolver a descoberta, revise sua declaração de política e remova todas as ações definidas em sua lista de negação personalizada ou adicione uma declaração de negação que negue essas ações.

A função deve ter sido POLICY_ARN anexada. Inclua o ARN da política na lista de políticas gerenciadas. ARNs

Essa descoberta é gerada se a função que você está criando não estiver POLICY_ARN associada a ela. Para resolver isso, inclua o POLICY_ARN no ManagedPolicyArnscampo da função e tente novamente.

Eles não POLICY_ARN podem ser separados da função. Inclua o ARN da política na lista de políticas gerenciadas. ARNs

Essa descoberta é gerada se o POLICY_ARN for separado da função durante uma atualização. Para resolver isso, adicione o POLICY_ARN ao ManagedPolicyArnscampo da função e tente novamente.