AMS 自動化 IAM 佈建的執行期檢查

您可以從信任區域以外的外部帳戶存取角色。

此調查結果是指在您信任區域以外的角色信任政策中列出的委託人。信任區域定義為建立角色的帳戶，或帳戶所屬 AWS 的組織。不屬於帳戶或相同 AWS Organization 的實體是外部實體。若要解決調查結果，請檢閱委託人 ARNs中的帳戶 ID，並確保他們屬於您，並且是 AMS 加入的帳戶。

角色可由帳戶 External_Account_ID 所擁有的外部實體存取，而該外部實體並非 AMS 客戶擁有的帳戶 Account_ID 所擁有。

如果角色信任政策包含的主體 ARN 具有您未擁有的帳戶 ID 和 AMS 加入帳戶，則會產生此調查結果。若要解決此問題清單，請從角色信任政策中移除任何這類委託人。

正式使用者 ID 不是 IAM 信任政策中支援的主體。

IAM 信任政策不支援正式主體 IDs。若要解決問題清單，請從角色信任政策中移除任何這類委託人。

角色可由信任區域以外的外部 Web 身分存取。

如果角色信任政策允許 SAML IdP 以外的外部 Web 身分提供者 (IdP)，則會產生此調查結果。若要解決此問題清單，請檢閱角色信任政策，並移除允許 sts:AssumeRoleWithWebIdentity操作的陳述式。

角色可透過 SAML 聯合存取；不過，提供的 SAML 身分提供者 (IdP) 不存在。

如果角色信任政策包含您帳戶中不存在的 SAML IdP，就會產生此調查結果。若要解決此問題，請確定您的帳戶中存在所有列出的 SAML IdP。

政策包含相當於管理員或進階使用者存取的特權動作。考慮將許可範圍縮減為特定服務、動作或資源。如果使用 NotAction 或 NotResource 等進階政策元素，請確保它們不會授予比您預期更多的存取權，尤其是在允許陳述式中。

在 中，最佳安全實務是在使用 IAM 政策設定許可時，僅 AWS Identity and Access Management 授予執行任務所需的許可。透過定義可在特定條件下對特定資源採取的動作來執行此操作，也稱為最低權限許可。當自動化偵測到政策授予廣泛的許可，且不遵循最低權限原則時，就會產生此調查結果。若要解決問題清單，請檢閱並減少許可。

陳述式包含 Service_Name 的特權動作。考慮使用拒絕陳述式排除這些動作。如需特殊權限動作清單，請參閱 AMS 文件中的邊界政策參考。

AMS 將特定服務的特定動作識別為具有風險，並需要客戶安全團隊進一步的風險審查和接受。當自動化偵測到授予此類許可的指定政策時，就會產生此調查結果。若要解決此問題清單，請在政策中拒絕這些動作。如需動作清單，請參閱 AMS 界限政策。如需 AMS 界限政策的詳細資訊，請參閱 AMS 自動化 IAM 佈建許可界限檢查。

陳述式會授予對 Service_Name 的特權 RFC 變更類型的存取權：ct-1n9gfnog5x7fl、ct-1e0xmuy1diafq 和 ct-17cj84y7632o6。考慮將許可範圍限定為特定變更類型，或使用拒絕陳述式排除這些變更類型。

如果政策授予使用自動 IAM 佈建變更類型 (CTs許可，則會產生此調查結果。CTs 必須接受風險，且只能透過加入的角色使用。因此，您無法授予這些 CTs許可。若要解決此問題清單，請使用這些 CTs 拒絕 RFC 動作。

陳述式包含不在 Service_Name 資源範圍內的特權動作。考慮將動作範圍限定為特定資源，或使用 AMS 命名空間字首排除資源。如果使用萬用字元，請確保它們將範圍限制為您的資源。

如果政策授予不在指定服務資源範圍內的特權動作，則會產生此調查結果。萬用字元通常會建立過於寬鬆的政策，將廣泛的資源或動作帶入許可的範圍。若要解決問題清單，請減少您擁有之資源的許可範圍，或排除 AMS 命名空間中的資源。如需 AMS 命名空間字首的清單，請參閱 AMS 文件中的邊界政策。請注意，並非所有字首都適用於所有 服務。如需 AMS 界限政策的詳細資訊，請參閱 AMS 自動化 IAM 佈建許可界限檢查。

無效的帳戶 ID 或 Amazon Resource Name (ARN)。

如果政策或角色信任政策中指定的任何 ARN 或帳戶 ID 無效，就會產生此調查結果。若要檢閱服務的有效資源 ARN 的資源，請參閱服務授權參考。請確定帳戶 ID 是 12 位數的號碼，且帳戶處於作用中狀態 AWS。

在 ARN 中對帳戶 ID 使用萬用字元 (*) 受到限制。

如果在 ARN 的帳戶 ID 欄位中指定萬用字元 (*)，則會產生此調查結果。帳戶 ID 欄位中的萬用字元符合任何帳戶，並可能授予資源意外的許可。若要解決此問題，請以特定帳戶 ID 取代萬用字元。

指定的資源帳戶不是由擁有 Account_ID 的相同 AMS 客戶擁有。

如果資源 ARN 中指定的帳戶 ID 不屬於您，且不是由 AMS 管理，則會產生此調查結果。若要解決此問題，請確定所有資源 （如政策中的 ARN 所指定） 都屬於由 AMS 管理的帳戶。

角色名稱位於 AMS 限制的命名空間中。

如果您嘗試建立名稱開頭為 AMS 預留字首的角色，就會產生此調查結果。若要解決此問題，請針對您的使用案例特有的角色使用名稱。如需 AMS 預留字首清單，請參閱 AMS 預留字首

政策名稱位於 AMS 限制的命名空間中。

如果您嘗試建立名稱開頭為 AMS 預留字首的政策，就會產生此調查結果。若要解決此問題，請針對您的使用案例特定的政策使用名稱。如需 AMS 預留字首清單，請參閱 AMS 預留字首。

ARN 中的資源 ID 位於 AMS 限制的命名空間中。

如果您嘗試建立將許可授予 AMS 命名空間中具名資源的政策，就會產生此調查結果。若要解決此問題，請務必將許可範圍限定為資源，或拒絕許可範圍限定為 AMS 命名空間中的資源。如需 AMS 命名空間的詳細資訊，請參閱 AMS 限制命名空間。

無效的政策變數案例。將變數更新為 Variable_Names。

如果嘗試在不正確的情況下建立包含 IAM 全域政策變數的政策，則會產生此調查結果。若要解決此問題，請針對政策中的全域變數使用正確的大小寫。如需全域變數的清單，請參閱AWS 全域條件內容索引鍵。如需政策變數的詳細資訊，請參閱 IAM 政策元素：變數和標籤

陳述式包含不在 KMS 金鑰範圍內的特權動作。請考慮將這些許可範圍限定為特定金鑰，或排除 AMS 擁有的金鑰。

如果政策包含的許可範圍不限於您擁有的特定 KMS 金鑰，則會產生此調查結果。若要解決此問題，請將許可範圍限定為特定金鑰，或排除 AMS 擁有的金鑰。AMS 擁有的金鑰具有特定的別名集。如需 AMS 擁有的金鑰別名清單，請參閱 AMS 自動化 IAM 佈建許可界限檢查。

陳述式包含不在 KMS 金鑰別名範圍內的特權動作。請考慮將這些許可限定為您的金鑰或別名，或排除 AMS 擁有的金鑰別名。

如果政策包含的許可範圍不限於您擁有的特定 KMS 金鑰別名，則會產生此調查結果。若要解決此問題，請將許可範圍限定為特定金鑰，或排除 AMS 擁有的金鑰。AMS 擁有的金鑰具有特定的別名集。如需 AMS 擁有的金鑰別名清單，請參閱 AMS 自動化 IAM 佈建許可界限檢查。

陳述式包含權限動作，這些動作並未使用 充分限定 KMS 金鑰的範圍kms:ResourceAliases condition。請考慮使用特定別名名稱，以及條件索引鍵的適當集合運算子。如果在別名名稱中使用萬用字元，請確保它們將範圍限制為一組有限的 KMS 金鑰。

如果您使用 條件來限定 KMS 金鑰的許可範圍，而不是使用 來縮小 KMS 金鑰的別名範圍kms:ResourceAliases，則會產生此調查結果。或者，如果kms:ResourceAliases條件金鑰的值也包含 AMS 擁有的 KMS 金鑰別名。若要解決此問題，請將 條件更新為僅縮小 KMS 金鑰別名的許可範圍，或排除 AMS 擁有 KMS 金鑰的別名。如需 AMS 擁有的金鑰別名清單，請參閱 AMS 自動化 IAM 佈建許可界限檢查。

角色必須連接 customer_deny_policy。在受管政策 ARN 清單中包含政策 ARNs。

如果您建立的角色未customer_deny_policy連接 ，則會產生此調查結果。若要解決此問題，customer_deny_policy請在受管政策 ARNs清單中包含 。

AWS 受管政策過於寬鬆，或授予受 AMS 界限政策限制的許可。

如果角色的 ManagedPolicyArns 值包含任何可提供相關服務完整或管理員層級存取權的 AMS 受管政策，就會產生此調查結果。若要解決此問題，請檢閱 AWS 受管政策的使用，並使用提供縮小範圍許可的政策，或定義遵循最低權限原則的自有政策。

客戶受管政策位於受限的 AMS 命名空間中。

如果命名 AWS 空間中名稱字首為 的任何客戶受管政策連接到角色，則會產生此調查結果。若要解決此問題，請從角色的 ManagedPolicyArn 清單中移除政策。

customer_deny_policy 無法從角色分離。在受管政策 ARN 清單中包含政策 ARNs。

如果在更新期間從角色分離customer_deny_policy，則會產生此調查結果。若要解決此問題，請將 customer_deny_policy 新增至角色的 ManagedPolicyArns 欄位，然後再試一次。

客戶受管政策是在 AMS 變更管理服務之外佈建，或未經事先驗證。

如果一個或多個現有的客戶受管政策 ARNs 連接到角色，且政策不是透過 AMS 變更管理服務 （透過 RFC) 佈建，則會產生此調查結果。例如，開發人員模式或直接變更模式可讓客戶在沒有 RFC 的情況下佈建 IAM 政策。若要解決此問題，請從角色的 ManagedPolicyArns 清單中移除客戶受管政策 ARNs。

提供的受管政策 ARNs 計數超過每個角色配額連接的政策。

如果連接到角色的受管政策總數超過每個角色配額的政策，就會產生此調查結果。如需 IAM 配額的詳細資訊，請參閱 IAM 和 AWS STS 配額、名稱要求和字元限制。使用此資訊來減少您連接到角色的政策數量。

信任政策大小 ({trust_policy}) 超過擔任角色政策大小的 {size} 配額。

如果擔任角色政策文件的大小超過政策大小配額，就會產生此調查結果。如需 IAM 配額的詳細資訊，請參閱 IAM 和 AWS STS 配額、名稱要求和字元限制。

陳述式包含 Amazon S3 的所有變動動作。考慮僅將這些許可範圍限定為必要的動作。如果使用萬用字元，請確保它們限制一組可變動作。

如果指定的政策授予所有 Amazon Simple Storage Service 變動許可，無論一或多個資源為何，都會產生此調查結果。若要解決此問題，請僅針對儲存貯體包含必要的 Amazon S3 變動動作。

陳述式包含 Amazon S3 中任何儲存貯體不允許的特權動作。考慮新增拒絕這些動作的陳述式。

如果政策授予任何儲存貯體的特權動作，就會產生此調查結果。如需特殊權限動作的清單，請參閱AMS 自動化 IAM 佈建許可界限檢查在政策中解析此調查結果、移除或拒絕這些動作。

陳述式包含不在 Amazon S3 中儲存貯體範圍內的特權動作。請考慮包含您的儲存貯體，或使用 AMS 命名空間字首排除儲存貯體。如果使用萬用字元，請確定它們符合您命名空間中的儲存貯體。

如果政策僅授予 Amazon S3 動作，且該動作範圍不限於您的儲存貯體，則會產生此調查結果。如果指定儲存貯體資源時使用萬用字元，通常會發生這種情況。若要解決此問題，請指定您擁有的儲存貯體名稱或 ARNs，或排除具有 AMS 命名空間字首的儲存貯體。

陳述式包含不在 Amazon S3 中儲存貯體範圍內的特權動作。考慮避免使用範圍限制帳戶中所有儲存貯體的萬用字元 (*)。

如果政策授予 Amazon S3 動作，且該動作範圍不限於您的儲存貯體，則會產生此調查結果。如果指定儲存貯體資源時使用萬用字元，通常會發生這種情況。若要解決此問題，請指定您擁有的儲存貯體名稱或 ARNs，或排除具有 AMS 命名空間字首的儲存貯體。

陳述式包含的資源萬用字元範圍適用於所有 Amazon S3 儲存貯體，包括不存在的儲存貯體和您未擁有 的儲存貯體。考慮使用條件和s3:ResourceAccount條件索引鍵來限定許可範圍。

如果政策將許可授予使用萬用字元指定的儲存貯體，則會產生此調查結果。使用萬用字元通常會導致範圍內的不存在或非擁有者儲存貯體。若要解決此問題，請使用 條件和 aws:ResourceAccount條件索引鍵，將許可範圍限定為目前帳戶中的儲存貯體。如需詳細資訊，請參閱限制存取特定 AWS 帳戶擁有的 Amazon S3 儲存貯體。

陳述式包含NotResource政策元素，範圍可能涵蓋大量儲存貯體，包括不存在的儲存貯體和您未擁有的儲存貯體。考慮使用條件和s3:ResourceAccount條件索引鍵來限定許可範圍。

如果政策使用NotResources政策元素來指定儲存貯體資源，就會產生此調查結果。元素的使用範圍NotResource可能很大，包括不存在或非擁有者儲存貯體。若要解決此問題，請使用條件和aws:ResourceAccount條件索引鍵，將許可範圍限定為目前帳戶中的儲存貯體。

陳述式包含儲存貯體 Bucket_Name 的 Amazon S3 動作，這些儲存貯體不存在、帳戶 Account_ID 不擁有，或名稱包含範圍可能涵蓋大量儲存貯體的萬用字元，包括不存在的儲存貯體和您未擁有的儲存貯體。考慮使用 條件和 s3:ResourceAccount條件索引鍵來限定許可範圍

如果政策將許可授予不存在、不屬於您擁有的儲存貯體，或儲存貯體名稱中有涵蓋大量儲存貯體的萬用字元，且存取範圍不限於目前帳戶，則會產生此調查結果。若要解決此問題，請使用 條件和 aws:ResourceAccount條件索引鍵，將許可範圍限定為目前帳戶中的儲存貯體。

陳述式包含儲存貯體 Bucket_Name 的 Amazon S3 動作，這些儲存貯體不存在、帳戶 Account_ID 未擁有，或名稱包含的萬用字元範圍可能涵蓋大量儲存貯體，包括不存在的儲存貯體和您未擁有的儲存貯體。在 條件中使用 s3:ResourceAccount 或指定的資源帳戶不會限制存取。

如果政策將許可授予不存在、非您擁有的儲存貯體，或儲存貯體名稱中有涵蓋大量儲存貯體的萬用字元，且存取範圍僅限於特定帳戶，則會產生此調查結果。不過，aws:ResourceAccount條件索引鍵中指定的帳戶不屬於您，並由 AMS 管理。若要解決此問題，請更新aws:ResourceAccount條件金鑰，並設定您擁有並由 AMS 管理的適當帳戶 ID。

陳述式包含不在 Amazon EC2 執行個體範圍內的特權動作。請考慮將動作範圍限定為特定執行個體 ARNs，或排除具有 AMS 命名空間字首中值之名稱標籤索引鍵的執行個體。如果使用萬用字元，請確保它們符合您擁有的命名空間。

如果政策針對 AMS 擁有的 Amazon EC2 執行個體授予特權動作，則會產生此調查結果。AMS 執行個體會使用 AMS 命名空間中值的名稱標籤索引鍵進行標記。若要解決此問題，請使用 StringNotLike運算子指定您的資源或排除具有 aws:ResourceTag/Name索引鍵的 AMS 執行個體，該索引鍵會排除 AMS 命名空間中的值

陳述式包含不在 AWS Systems Manager 參數存放區資源範圍內的特權動作。請考慮指定參數ARNs，或使用 AMS 命名空間字首排除參數。如果使用萬用字元，請確保它們僅限定您的參數範圍。

如果政策將許可授予您未擁有的參數，則會產生此調查結果。這通常是在使用萬用字元時，或者具有 AMS 命名空間字首的參數會列在政策陳述式中的資源下。若要解決此問題，請指定命名空間內的參數，或使用拒絕陳述式排除 AMS 參數。

陳述式包含對 資源的特權動作 AWS Systems Manager。考慮限定許可範圍，以僅針對您的資源讀取動作或動作。

如果政策針對 Systems Manager 資源授予參數存放區或唯讀動作以外的許可，則會產生此調查結果。若要解決此問題清單，請將許可降低為僅唯讀動作或參數存放區。

陳述式包含的權限動作範圍不在您所擁有 Service_Name 的 {message} 範圍內。考慮將這些許可限定為適當的特定資源類型，或排除 AMS 擁有的資源。如果使用萬用字元，請確保它們符合資源。

如果政策允許未針對您的資源授予的特權動作，特別是針對具名資源，則會產生此調查結果。若要解決此問題清單，請檢閱您的資源清單，並查看它們是否僅範圍位於您的命名空間中的資源。或者，排除 AMS 命名空間中的資源。

陳述式包含 {Service_Name} 的標記動作，其範圍不限於名稱標籤索引鍵的特定值。請考慮使用命名空間中的值設定aws:RequestTag/Name條件索引鍵來定義這些動作的範圍，或使用 AMS 命名空間字首中的值來設定StringNotLike條件aws:RequestTag/Name索引鍵來限制這些動作。

如果政策授予指定服務的標記許可，且許可範圍不限於規格標籤索引鍵/值，則會產生此調查結果。若要縮小標籤動作中可使用的索引鍵或值的範圍，例如，在請求執行動作時，請使用 aws:RequestTag/tag key條件。因此，若要解決此問題，請使用此條件索引鍵來限制名稱空間中的索引鍵或值。或者，使用 AMS 命名空間中的值拒絕Name標籤索引鍵 (aws:RequestTag/Name)。

驗證 IAM 角色信任政策時發生內部錯誤。

當 CT 自動化透過 IAM Access Analyzer 服務對 IAM 角色信任政策執行驗證時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

驗證客戶受管政策時發生內部錯誤。

當 CT 自動化透過 IAM Access Analyzer 服務對客戶受管政策執行驗證時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

在 中找不到存取分析器AWS 區域。無法執行角色信任政策的存取預覽檢查。

在 中找不到 IAM Access Analyzer 資源時，會產生此調查結果 AWS 區域。請聯絡 AMS Operations，在 AWS 區域中疑難排解和建立 IAM Access Analyzer 資源。

角色 Role_Name 的無效信任政策

當提供的 IAM 角色包含無效的信任政策時，會產生此調查結果。若要解決此問題，請檢閱信任政策以確認其有效。

IAM Access Analyzer 遇到內部錯誤。無法建立角色 Role_Name 的存取預覽

當自動化透過 IAM Access Analyzer 建立角色的存取預覽時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

無法為角色 Role_Name 的信任政策建立存取預覽

當自動化透過 IAM Access Analyzer 建立角色的存取預覽時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

驗證列出的 SAML IdP 時發生內部錯誤。

當自動化在驗證角色信任政策中列出的所提供 SAML IdPs時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

驗證 許可時發生內部錯誤 AWS Key Management Service。

當自動化在驗證所提供政策中的 AWS KMS 金鑰許可時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

驗證列出的受管政策 ARNs內部錯誤。

當自動化在驗證列出的受管政策 ARNs 時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

驗證預設customer_deny_policy附件時發生內部錯誤。

當自動化在驗證 customer_deny_policy 是否連接到角色時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

驗證角色 Role_Name 的受管政策出現的內部錯誤

當自動化在驗證角色的受管政策 ARNs時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

針對客戶定義的界限政策驗證 Policy_name 時發生內部錯誤 AWSManagedServicesIAMProvisionCustomerBoundaryPolicy

當自動化在驗證包含自訂拒絕清單的政策時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。

帳戶中AWSManagedServicesIAMProvisionCustomerBoundaryPolicy存在客戶定義的界限政策。不過，政策包含允許授予許可的陳述式。政策只能包含拒絕陳述式。

當包含自訂拒絕清單的政策包含授予許可的陳述式時，就會產生此調查結果。雖然自訂拒絕清單存在於您的帳戶中做為 IAM 受管政策，但無法用於許可管理。政策只能包含拒絕陳述式，指出您希望 AMS Automated IAM Provisioning 在 AMS Automated IAM Provisioning 建立的 IAM 政策中驗證和拒絕這些動作。

陳述式包含您的組織為 Service_Name 定義的特權動作。考慮使用拒絕陳述式排除這些動作。請參閱您帳戶中名為 的政策，以參考限制的動作清單。

當自動化偵測到您在自訂拒絕清單中定義的政策中的任何動作時，就會產生此調查結果。若要解決調查結果，請檢閱您的政策陳述式，並移除自訂拒絕清單中定義的任何動作，或新增拒絕這些動作的拒絕陳述式。

角色必須連接 POLICY_ARN。在受管政策 ARN 清單中包含政策 ARNs。

如果您建立的角色未連接 POLICY_ARN，就會產生此調查結果。若要解決此問題，請在角色的 ManagedPolicyArns 欄位中包含 POLICY_ARN，然後再試一次。

POLICY_ARN 無法從角色分離。在受管政策 ARN 清單中包含政策 ARNs。

如果在更新期間將 POLICY_ARN 從角色分離，則會產生此調查結果。若要解決此問題，請將 POLICY_ARN 新增至角色的 ManagedPolicyArns 欄位，然後再試一次。