

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 AMS Advanced 中部署 IAM 資源
<a name="deploy-iam-resources"></a>

AMS 會以兩種方式在您的多帳戶登陸區域 (MALZ) 應用程式和單一帳戶登陸區域 (SALZ) 帳戶中部署 IAM 資源：
+ 自動化 IAM 佈建：AMS 中的此功能可讓您為 IAM 角色或政策佈建提交建立、更新或刪除變更類型，無需操作員檢閱，且會自動執行 IAM 和 AMS 驗證檢查。

  必須使用 管理 \$1 受管帳戶 \$1 AMS 自動化 IAM 佈建與讀寫許可 \$1 [啟用 （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) 變更類型 (ct-1706xvvk6j9hf) 明確啟用此功能。如需詳細資訊，請參閱 [自動化 IAM 佈建 AMS](auto-iam-provisioning.md)。啟用 AMS 自動化 IAM 佈建後，您可以存取建立、更新和刪除變更類型來管理您的 IAM 資源。
+ 受管自動化 IAM 變更類型：此變更類型、部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 [建立實體或政策 （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html) (ct-3dpd8mdd9jn1r)，需要 AMS 運算子檢閱，如果需要釐清，有時可能需要幾天的時間才能完成。

**注意**  
無論使用哪種方法，IAM 角色都會佈建至相關帳戶，而且在佈建角色之後，您必須在聯合解決方案中加入該角色。

# 自動化 IAM 佈建 AMS
<a name="auto-iam-provisioning"></a>

AWS Managed Services (AMS) 支援 IAM 資源的自動化驗證和佈建，包括使用 AMS Advanced 變更請求 (RFCs) 和新變更類型 CTs) 的角色和政策。先前，這些請求經過半自動化程序，有時會導致長時間等待。現在，您可以使用 AMS 自動化 IAM 佈建來佈建 IAM 資源，並更快地取得結果。

# AMS 中的自動化 IAM 佈建如何運作
<a name="aip-how-works"></a>

自動化 IAM 佈建依賴 IAM 的自動執行期檢查來驗證 IAM 資源的變更。這些自動化檢查會在執行建立、更新或刪除變更類型時執行，防止過度允許或具有不安全模式的 IAM 資源部署到您的帳戶。這可讓您將 IAM 檢閱中的嚴格程度與團隊的專業知識進行比對。我們建議初次使用雲端服務且需要手動檢查所有 IAM 資源變更的團隊使用現有審核所需的變更類型：部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 [建立實體或政策 （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html)，(ct-3dpd8mdd9jn1r)。具備 AWS 專業知識並控制其環境的團隊可以使用自動化 IAM 佈建來加速部署。您可以使用此功能透過自動執行時間檢查執行驗證，或在驗證成功後執行 IAM 資源的驗證和佈建。

**重要**  
AWS Managed Services 已主動實作驗證[執行期檢查](aip-runtime-checks.md)的清單，以防止建立具有特定許可和條件的 IAM 資源或政策。如需這些權限和條件的說明，請參閱在 [AMS Advanced 中部署 IAM 資源](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html)。自動化變更類型 [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)、[ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) 和 [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html)，可讓熟練管理 IAM 資源的使用者佈建 IAM 角色和政策，允許超出唯讀權限的動作。  
此外，您可以使用透過自動變更類型 [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)、[ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) 和 [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) 建立的角色來建立新的資源。不過，資源無法遵循 AMS 命名標準，也不是標準 AMS 堆疊的一部分。AMS 會盡最大努力提供這些特定資源的操作和安全性支援。  
雖然手動和自動化程序都旨在維護我們的安全標準，但請務必注意兩者之間的檢查存在差異。自動化佈建可讓您更靈活地建立和更新角色和政策；因此，它們並不相同。建議您的組織仔細檢閱 AMS 使用者指南中列出的驗證[執行期檢查](aip-runtime-checks.md)，以確保它們符合您組織的期望和要求。

**驗證流程**

![\[驗證流程\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/Validation-Flow.png)


**驗證和佈建流程**

![\[驗證和佈建流程\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/userguide/images/Validation-and-Provisioning-Flow.png)


**注意**  
此功能適用於具有 AWS 和 IAM 資源經驗的團隊，我們不建議新加入的團隊使用此功能 AWS。自動化驗證程序旨在捕捉大多數錯誤，並有助於團隊在了解所需的許可時快速檢閱 IAM 的變更。若要安全有效地使用新的變更類型，建議您充分了解 AWS IAM，以及變更類型提供的[執行時間檢查](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks.html)，以判斷它們是否適合您的團隊。

# 在 AMS 中加入 AMS 自動化 IAM 佈建
<a name="aip-onboarding"></a>

若要使用新的變更類型，請先使用下列變更類型提交 RFC 來啟用 AMS 自動化 IAM 佈建：管理 \$1 受管帳戶 \$1 AMS 具有讀寫許可的自動 IAM 佈建 \$1 [啟用 （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (ct-1706xvk6j9hf)。 AWS 需要您的組織通過客戶安全風險管理 (CSRM) 程序，以確保這些變更類型的使用符合您的組織政策。 AWS 作為必要審核的一部分，營運團隊會與您合作，以風險接受的形式取得安全團隊聯絡人的明確核准。若要進一步了解，請參閱 [RFC 客戶風險管理 (CSRM) 程序](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-security.html)。

在啟用具有讀寫許可的 AMS 自動化 IAM 佈建功能的 RFC 成功之後，AMS 會在用來提交啟用 RFC 的帳戶中啟用 AMS 自動化 IAM 佈建變更類型。若要確認帳戶已開啟 AMS 自動化 IAM 佈建，請檢查 IAM 主控台是否有`AWSManagedServicesIAMProvisionAdminRole`角色。

在加入過程中，AMS 會在帳戶的相同 AWS 區域中佈建 IAM Access Analyzer，以利用其存取預覽功能。IAM Access Analyzer 可協助識別組織和帳戶中與外部實體共用的資源、根據政策文法和最佳實務驗證 IAM 政策，並根據 AWS CloudTrail 日誌中的存取活動產生 IAM 政策。若要進一步了解，請參閱[使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 。

加入後， `AWSManagedServicesIAMProvisionAdminRole`會部署到已啟用的帳戶。如果您選擇透過 SAML 聯合使用此角色，則必須將該角色加入聯合解決方案。

在加入過程中，您可以請求更新 AWSManagedServicesIAMProvisionAdminRole 的信任政策，以授予另一個 IAM 角色 ARN 來擔任此角色 AWS Security Token Service。

# 在 AMS 中使用 AMS 自動化 IAM 佈建
<a name="aip-using"></a>

您可以使用下列 AMS 自動化 IAM 佈建變更類型建立 RFCs。

**注意**  
僅支援對角色和政策進行佈建。  
更新角色時，更新 CT 會使用提供的受管政策 ARNs 和「擔任角色」政策文件，取代現有的受管政策 Amazon 資源名稱 (ARNs) 和「擔任角色」政策文件清單。在部分更新中，例如，不允許在現有受管政策 ARN 清單中新增或移除 ARNs、新增或移除個別政策陳述式至「擔任角色」政策文件。同樣地，更新政策時，更新 CT 會取代現有的政策文件，不允許在現有的政策文件中新增或移除個別政策陳述式。
選取「僅驗證」選項時，執行時間檢查時不會佈建任何 IAM 實體或政策。無論問題清單為何，RFC 狀態都是「成功」。「成功」狀態表示成功驗證提供的 IAM 實體或政策。
+ 部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 [建立實體或政策 （讀寫許可）](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)(ct-1n9gfnog5x7fl)：會自動驗證和佈建新的 IAM 實體或政策。
+ 管理 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 [更新實體或政策 （讀寫許可）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html)(ct-1e0xmuy1diafq)：會自動更新和驗證現有的 IAM 實體或政策。
+ 管理 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 [刪除實體或政策 （讀寫許可）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html)(ct-17cj84y7632o6)：刪除使用自動建立實體或政策變更類型佈建的現有 IAM 實體或政策。

您只能使用專用 IAM 角色呼叫上述三個 CTs：`AWSManagedServicesIAMProvisionAdminRole`。此角色僅適用於已使用 管理 \$1 受管帳戶 \$1 AMS 自動化 IAM 佈建讀寫許可 \$1 [啟用 （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (ct-1706xvk6j9hf) 加入功能的帳戶。

**重要**  
建立、更新和刪除變更類型一律會顯示在您的帳戶中，但預設不會開啟。如果您嘗試使用這些變更類型之一提交 RFC，但未先啟用 AMS 自動化 IAM 佈建功能，則會顯示「未授權」錯誤。

**限制：**
+ 建立 CT 可能允許您建立具有建立 AWS 資源許可的 IAM 角色或政策。不過，這些角色和政策建立 AWS 的資源並非由 AMS 管理。最佳實務是遵循您的組織控制，以限制此類角色或政策的建立。
+ 更新 CT 無法修改使用 CFN 擷取、直接變更模式、開發人員模式建立的 IAM 角色和政策，或在某些情況下透過現有的 AMS 進階手動或自動 CTsIAM 角色和政策。
+ 刪除 CT 無法刪除未使用 AMS Automated IAM Provisioning Create CT 建立的現有角色或政策。
+ 直接變更模式角色不支援具有讀寫許可的 AMS 自動化 IAM 佈建功能。這表示您無法使用這些角色佈建或更新具有讀寫許可的 IAM 角色和政策。
+ 具有讀寫許可的 AMS 自動化 IAM 佈建建立、更新和刪除變更類型與 ServiceNow 連接器不相容。

# AMS 自動化 IAM 佈建的執行期檢查
<a name="aip-runtime-checks"></a>

自動化 IAM 佈建會利用來自 的檢查 AWS Identity and Access Management Access Analyzer，並根據 AMS 界限政策執行額外的檢查和驗證。AMS 根據 IAM 最佳實務定義了額外的檢查和驗證、體驗在雲端中操作客戶工作負載，以及集體 AMS IAM 手動評估體驗。

您可以在變更請求 (RFC) 輸出中檢視政策執行期檢查問題清單。調查結果包括資源識別符、產生調查結果的角色和/或政策內的位置，以及概述 IAM 實體或資源無法通過檢查的訊息。這些調查結果可協助您撰寫功能正常且符合安全最佳實務的政策。

**注意**  
自動化 IAM 佈建會嘗試特定實體或政策定義中無法通過檢查的位置。根據類型，位置可能包含資源名稱或 ARN，或陣列中的索引。例如，協助您調整實體或政策以獲得成功結果的陳述式。

為了獲得順暢的 AMS 自動化 IAM 佈建體驗，最佳實務是使用「僅限驗證」選項來執行驗證檢查，直到 RFC 輸出中報告的驗證檢查中沒有問題清單為止。當驗證檢查回報沒有問題清單時，請選擇從 AMS 主控台**建立複本**，以快速建立現有 RFC 的副本。當您準備好佈建時，請在**參數**區段中，將**僅驗證**值從**是**切換為**否**，然後繼續。

以下是 AMS Automated IAM Provisioning 執行以確保 IAM 資源安全的執行期檢查：

**注意**  
若要佈建包含這些自動變更類型拒絕之動作的 IAM 政策，您必須遵循 RFC 客戶安全風險管理 (CSRM) 程序。使用下列變更類型：部署 \$1 進階堆疊元件 \$1 Identity and Access Management (IAM) \$1 建立實體或政策 （受管自動化） (ct-3dpd8mdd9jn1r)。
+ **IAM Access Analyzer 政策檢查和驗證：**另請參閱 [Access Analyzer 政策檢查參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)和 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **AMS 許可界限政策檢查：**預設拒絕的一組服務上的動作。如需詳細資訊，請參閱[自動 IAM 佈建許可界限檢查](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html)。
+ **客戶定義的許可界限政策檢查：**一組遭拒服務的其他限制動作。如需詳細資訊，請參閱[自動 IAM 佈建許可界限檢查](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html)。
+ **AMS 定義的自訂檢查**：在請求的 IAM 實體或政策中識別各種不安全和過度寬鬆政策或存取模式的檢查，並在找到請求時拒絕請求。如需詳細資訊，請參閱 [AWS JSON 政策元素：主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。


| 問題清單 | Description | 
| --- | --- | 
| 您可以從信任區域以外的外部帳戶存取角色。 | 此調查結果是指在您信任區域以外的角色信任政策中列出的委託人。信任區域定義為建立角色的帳戶，或帳戶所屬 AWS 的組織。不屬於帳戶或相同 AWS Organization 的實體是外部實體。若要解決問題清單，請檢閱委託人 ARNs中的帳戶 ID，並確保他們屬於您，並且是 AMS 加入的帳戶。 | 
| 角色可由帳戶 *External\$1Account\$1ID* 所擁有的外部實體存取，而該外部實體並非 AMS 客戶擁有的帳戶 *Account\$1ID* 所擁有。 | 如果角色信任政策包含的主體 ARN 具有您未擁有的帳戶 ID 和 AMS 加入帳戶，則會產生此調查結果。若要解決此問題清單，請從角色信任政策中移除任何這類委託人。 | 
| 正式使用者 ID 不是 IAM 信任政策中支援的委託人。 | IAM 信任政策不支援正式主體 IDs。若要解決調查結果，請從角色信任政策中移除任何這類委託人。 | 
| 角色可由信任區域以外的外部 Web 身分存取。 | 如果角色信任政策允許 SAML IdP 以外的外部 Web 身分提供者 (IdP)，則會產生此調查結果。若要解決此問題清單，請檢閱角色信任政策，並移除允許 `sts:AssumeRoleWithWebIdentity`操作的陳述式。 | 
| 角色可透過 SAML 聯合存取；不過，提供的 SAML 身分提供者 (IdP) 不存在。 | 如果角色信任政策包含帳戶中不存在的 SAML IdP，則會產生此調查結果。若要解決此問題，請確定您的帳戶中存在所有列出的 SAML IdP。 | 
| 政策包含相當於管理員或進階使用者存取的特權動作。考慮將許可範圍縮減為特定服務、動作或資源。如果使用 **NotAction** 或 **NotResource** 等進階政策元素，請確保它們不會授予比您預期更多的存取權，尤其是在**允許**陳述式中。 | 在 中，最佳安全實務是使用 IAM 政策設定許可時，僅 AWS Identity and Access Management 授予執行任務所需的許可。透過定義可在特定條件下對特定資源採取的動作來執行此操作，也稱為最低權限許可。當自動化偵測到政策授予廣泛的許可，且不遵循最低權限原則時，就會產生此調查結果。若要解決問題清單，請檢閱並減少許可。 | 
| 陳述式包含 *Service\$1Name* 的特權動作。考慮使用拒絕陳述式排除這些動作。如需特殊權限動作清單，請參閱 AMS 文件中的邊界政策參考。 | AMS 將特定服務的特定動作識別為具有風險，並需要客戶安全團隊進一步的風險審查和接受。當自動化偵測到授予此類許可的指定政策時，就會產生此調查結果。若要解決此問題清單，請在政策中拒絕這些動作。如需動作清單，請參閱 AMS 界限政策。如需 AMS 界限政策的詳細資訊，請參閱 [AMS 自動化 IAM 佈建許可界限檢查](aip-runtime-checks-perm-boundary.md)。 | 
| 陳述式授予對 Service*\$1Name* 的特權 RFC 變更類型的存取權：[ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html)、[ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) 和 [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html)。考慮將許可範圍限定為特定變更類型，或使用拒絕陳述式排除這些變更類型。 | 如果政策授予使用自動 IAM 佈建變更類型 (CTs許可，則會產生此調查結果。CTs 必須接受風險，且只能透過加入的角色使用。因此，您無法授予這些 CTs許可。若要解決此問題清單，請使用這些 CTs 拒絕 RFC 動作。 | 
| 陳述式包含不在 *Service\$1Name* 資源範圍內的特權動作。考慮將動作範圍限定為特定資源，或使用 AMS 命名空間字首排除資源。如果使用萬用字元，請確保它們將範圍限制為您的資源。 | 如果政策授予不在指定服務資源範圍內的特權動作，則會產生此調查結果。萬用字元通常會建立過於寬鬆的政策，將廣泛的資源或動作帶入許可的範圍。若要解決問題清單，請減少您所擁有資源的許可範圍，或排除 AMS 命名空間中的資源。如需 AMS 命名空間字首的清單，請參閱 AMS 文件中的邊界政策。請注意，並非所有字首都適用於所有 服務。如需 AMS 界限政策的詳細資訊，請參閱 [AMS 自動化 IAM 佈建許可界限檢查](aip-runtime-checks-perm-boundary.md)。 | 
| 無效的帳戶 ID 或 Amazon Resource Name (ARN)。 | 如果政策或角色信任政策中指定的任何 ARN 或帳戶 ID 無效，就會產生此調查結果。若要檢閱服務的有效資源 ARN 的資源，請參閱[服務授權參考](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html)。請確定帳戶 ID 是 12 位數的號碼，且帳戶處於作用中狀態 AWS。 | 
| 對 ARN 中的帳戶 ID 使用萬用字元 (\$1) 受到限制。 | 如果在 ARN 的帳戶 ID 欄位中指定萬用字元 (\$1)，則會產生此調查結果。帳戶 ID 欄位中的萬用字元符合任何帳戶，並可能將意外許可授予資源。若要解決此問題，請以特定帳戶 ID 取代萬用字元。 | 
| 指定的資源帳戶不是由擁有 *Account\$1ID* 的相同 AMS 客戶擁有。 | 如果資源 ARN 中指定的帳戶 ID 不屬於您，且不是由 AMS 管理，則會產生此調查結果。若要解決此問題，請確定所有資源 （如政策中的 ARN 所指定） 都屬於由 AMS 管理的帳戶。 | 
| 角色名稱位於 AMS 限制的命名空間中。 | 如果您嘗試建立名稱開頭為 AMS 預留字首的角色，就會產生此調查結果。若要解決此問題，請針對您的使用案例特有的角色使用名稱。如需 AMS 預留字首清單，請參閱 [AMS 預留字首](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html) | 
| 政策名稱位於 AMS 限制的命名空間中。 | 如果您嘗試建立名稱開頭為 AMS 預留字首的政策，就會產生此調查結果。若要解決此問題，請針對您的使用案例特定的政策使用名稱。如需 AMS 預留字首清單，請參閱 [AMS 預留字首](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html)。 | 
| ARN 中的資源 ID 位於 AMS 限制的命名空間中。 | 如果您嘗試建立將許可授予 AMS 命名空間中具名資源的政策，就會產生此調查結果。若要解決此問題，請確定您將許可範圍限定為 資源，或拒絕許可範圍限定為 AMS 命名空間中的資源。如需 AMS 命名空間的詳細資訊，請參閱 [AMS 限制的命名空間](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-namespaces.html)。 | 
| 無效的政策變數案例。將變數更新為 *Variable\$1Names*。 | 如果嘗試在不正確的情況下建立包含 IAM 全域政策變數的政策，則會產生此調查結果。若要解決此問題，請在政策中使用正確的全域變數大小寫。如需全域變數的清單，請參閱[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。如需政策變數的詳細資訊，請參閱 [IAM 政策元素：變數和標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) | 
| 陳述式包含不在 KMS 金鑰範圍內的特權動作。請考慮將這些許可範圍限定為特定金鑰，或排除 AMS 擁有的金鑰。 | 如果政策包含的許可範圍不限於您擁有的特定 KMS 金鑰，則會產生此調查結果。若要解決此問題，請將許可範圍限定為特定金鑰，或排除 AMS 擁有的金鑰。AMS 擁有的金鑰具有特定的別名集。如需 AMS 擁有的金鑰別名清單，請參閱 [AMS 自動化 IAM 佈建許可界限檢查](aip-runtime-checks-perm-boundary.md)。 | 
| 陳述式包含不在 KMS 金鑰別名範圍內的特權動作。請考慮將這些許可限定為您的金鑰或別名，或排除 AMS 擁有的金鑰別名。 | 如果政策包含的許可範圍不限於您擁有的特定 KMS 金鑰別名，則會產生此調查結果。若要解決此問題，請將許可範圍限定為特定金鑰，或排除 AMS 擁有的金鑰。AMS 擁有的金鑰具有特定的別名集。如需 AMS 擁有的金鑰別名清單，請參閱 [AMS 自動化 IAM 佈建許可界限檢查](aip-runtime-checks-perm-boundary.md)。 | 
| 陳述式包含權限動作，這些動作並未使用 充分限定 KMS 金鑰的範圍`kms:ResourceAliases condition`。請考慮使用特定別名名稱，以及條件索引鍵的適當集合運算子。如果在別名名稱中使用萬用字元，請確保它們將範圍限制為一組有限的 KMS 金鑰。 | 如果您使用條件來限定 KMS 金鑰的許可範圍，而不是使用 來縮小 KMS 金鑰的別名範圍`kms:ResourceAliases`，則會產生此調查結果。或者，如果`kms:ResourceAliases`條件金鑰的值也包含 AMS 擁有的 KMS 金鑰別名。若要解決此問題，請將 條件更新為僅將許可範圍縮小為 KMS 金鑰的別名，或排除 AMS 擁有的 KMS 金鑰的別名。如需 AMS 擁有的金鑰別名清單，請參閱 [AMS 自動化 IAM 佈建許可界限檢查](aip-runtime-checks-perm-boundary.md)。 | 
| 角色必須連接 customer\$1deny\$1policy。在受管政策 ARN 清單中包含政策 ARNs。 | 如果您建立的角色未`customer_deny_policy`連接 ，則會產生此調查結果。若要解決此問題，`customer_deny_policy`請在受管政策 ARNs清單中包含 。 | 
|  AWS 受管政策過於寬鬆，或授予受 AMS 界限政策限制的許可。 | 如果角色的 **ManagedPolicyArns** 值包含任何可提供相關服務完整或管理員層級存取權的 AMS 受管政策，就會產生此調查結果。若要解決此問題，請檢閱 AWS 受管政策的使用，並使用提供縮小範圍許可的政策，或定義遵循最低權限原則的自有政策。 | 
| 客戶受管政策位於受限的 AMS 命名空間中。 | 如果命名 AWS 空間中名稱字首為 的任何客戶受管政策連接到角色，則會產生此調查結果。若要解決此問題，請從角色的 **ManagedPolicyArn** 清單中移除政策。 | 
| customer\$1deny\$1policy 無法從角色分離。在受管政策 ARN 清單中包含政策 ARNs。 | 如果在更新期間從角色分離`customer_deny_policy`，則會產生此調查結果。若要解決此問題，請將 `customer_deny_policy` 新增至角色的 **ManagedPolicyArns** 欄位，然後再試一次。 | 
| 客戶受管政策是在 AMS 變更管理服務之外佈建，或未經事先驗證。 | 如果一個或多個現有的客戶受管政策 ARNs 連接到角色，且政策不是透過 AMS 變更管理服務 （透過 RFC) 佈建，則會產生此調查結果。例如，開發人員模式或直接變更模式可讓客戶在沒有 RFC 的情況下佈建 IAM 政策。若要解決此問題，請從角色的 **ManagedPolicyArns** 清單中移除客戶受管政策 ARNs。 | 
| 提供的受管政策 ARNs 計數超過每個角色配額連接的政策。 | 如果連接至角色的受管政策總數超過每個角色配額的政策，就會產生此調查結果。如需 IAM 配額的詳細資訊，請參閱 [IAM 和 AWS STS 配額、名稱要求和字元限制](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。使用此資訊來減少您連接至角色的政策數量。 | 
| 信任政策大小 (\$1trust\$1policy\$1) 超過擔任角色政策大小的 \$1size\$1 配額。 | 如果擔任角色政策文件的大小超過政策大小配額，就會產生此調查結果。如需 IAM 配額的詳細資訊，請參閱 [IAM 和 AWS STS 配額、名稱要求和字元限制](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html)。 | 
| 陳述式包含 Amazon S3 的所有變動動作。考慮將這些許可限定為僅必要動作。如果使用萬用字元，請確保它們限制一組變動動作。 | 如果指定的政策授予所有 Amazon Simple Storage Service 變動許可，無論一或多個資源為何，都會產生此調查結果。若要解決此問題，請僅針對儲存貯體包含必要的 Amazon S3 變動動作。 | 
| 陳述式包含 Amazon S3 中任何儲存貯體不允許的特權動作。考慮新增拒絕這些動作的陳述式。 | 如果政策授予任何儲存貯體的特權動作，就會產生此調查結果。如需特殊權限動作的清單，請參閱[AMS 自動化 IAM 佈建許可界限檢查](aip-runtime-checks-perm-boundary.md)在政策中解決此問題清單、移除或拒絕這些動作。 | 
| 陳述式包含不在 Amazon S3 中儲存貯體範圍內的特權動作。請考慮包含您的儲存貯體，或使用 AMS 命名空間字首排除儲存貯體。如果使用萬用字元，請確定它們符合您命名空間中的儲存貯體。 | 如果政策僅授予 Amazon S3 動作，且該動作範圍不限於您的儲存貯體，則會產生此調查結果。如果指定儲存貯體資源時使用萬用字元，通常會發生這種情況。若要解決此問題，請指定您擁有的儲存貯體名稱或 ARNs，或排除具有 AMS 命名空間字首的儲存貯體。 | 
| 陳述式包含不在 Amazon S3 中儲存貯體範圍內的特權動作。考慮避免使用範圍在帳戶中所有儲存貯體的萬用字元 (\$1)。 | 如果政策授予 Amazon S3 動作，且該動作範圍不限於您的儲存貯體，則會產生此調查結果。如果指定儲存貯體資源時使用萬用字元，通常會發生這種情況。若要解決此問題，請指定您擁有的儲存貯體名稱或 ARNs，或排除具有 AMS 命名空間字首的儲存貯體。 | 
| 陳述式包含的資源萬用字元範圍適用於所有 Amazon S3 儲存貯體，包括不存在的儲存貯體和您未擁有 的儲存貯體。考慮使用條件和`s3:ResourceAccount`條件索引鍵來限定許可範圍。 | 如果政策將許可授予使用萬用字元指定的儲存貯體，則會產生此調查結果。使用萬用字元通常會導致範圍內的不存在或非擁有者儲存貯體。若要解決此問題，請使用 條件和 `aws:ResourceAccount`條件索引鍵，將許可範圍限定為目前帳戶中的儲存貯體。如需詳細資訊，請參閱[限制存取特定 AWS 帳戶擁有的 Amazon S3 儲存貯](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/)體。 | 
| 陳述式包含`NotResource`政策元素，範圍可能涵蓋大量儲存貯體，包括不存在的儲存貯體和您未擁有的儲存貯體。考慮使用條件和`s3:ResourceAccount`條件索引鍵來限定許可範圍。 | 如果政策使用`NotResources`政策元素來指定儲存貯體資源，就會產生此調查結果。元素的使用範圍`NotResource`可能很大，包括不存在或非擁有者儲存貯體。若要解決此問題，請使用條件和`aws:ResourceAccount`條件索引鍵，將許可範圍限定為目前帳戶中的儲存貯體。 | 
| 陳述式包含對儲存貯體 *Bucket\$1Name* 的 Amazon S3 動作，這些儲存貯體不存在、帳戶 *Account\$1ID* 不擁有，或名稱包含範圍可能為大量儲存貯體的萬用字元，包括不存在的儲存貯體和您未擁有的儲存貯體。考慮使用 條件和 `s3:ResourceAccount`條件索引鍵來限定許可範圍 | 如果政策將許可授予不存在、不屬於您擁有的儲存貯體，或儲存貯體名稱中有涵蓋大量儲存貯體的萬用字元，且存取範圍不限於目前帳戶，則會產生此調查結果。若要解決此問題，請使用 條件和 `aws:ResourceAccount`條件索引鍵，將許可範圍限定為目前帳戶中的儲存貯體。 | 
| 陳述式包含對儲存貯體 *Bucket\$1Name* 的 Amazon S3 動作，這些儲存貯體不存在、帳戶 *Account\$1ID* 未擁有，或名稱包含範圍可能為大量儲存貯體的萬用字元，包括不存在的儲存貯體和您未擁有的儲存貯體。在 條件中使用 `s3:ResourceAccount` 或指定的資源帳戶不會限制存取。 | 如果政策將許可授予不存在、不屬於您的儲存貯體，或儲存貯體名稱中有萬用字元涵蓋大量儲存貯體，且存取範圍僅限於特定帳戶，則會產生此調查結果。不過，`aws:ResourceAccount`條件索引鍵中指定的帳戶不屬於您，並由 AMS 管理。若要解決此問題，請更新`aws:ResourceAccount`條件金鑰，並設定您擁有並由 AMS 管理的適當帳戶 ID。 | 
| 陳述式包含不在 Amazon EC2 執行個體範圍內的特權動作。請考慮將動作範圍限定為特定執行個體 ARNs，或排除具有 AMS 命名空間字首中值之名稱標籤索引鍵的執行個體。如果使用萬用字元，請確保它們符合您擁有的命名空間。 | 如果政策針對 AMS 擁有的 Amazon EC2 執行個體授予特權動作，則會產生此調查結果。AMS 執行個體會使用 AMS 命名空間中值**的名稱**標籤索引鍵進行標記。若要解決此問題，請使用 `StringNotLike`運算子指定您的資源或排除具有 `aws:ResourceTag/Name`金鑰的 AMS 執行個體，該金鑰會排除 AMS 命名空間中的值 | 
| 陳述式包含不在 AWS Systems Manager 參數存放區資源範圍內的特權動作。請考慮指定參數ARNs，或使用 AMS 命名空間字首排除參數。如果使用萬用字元，請確保它們僅限定您的參數範圍。 | 如果政策將許可授予您未擁有的參數，則會產生此調查結果。這通常是在使用萬用字元時，或者具有 AMS 命名空間字首的參數會列在政策陳述式中的資源下。若要解決此問題，請指定命名空間內的參數，或使用拒絕陳述式排除 AMS 參數。 | 
| 陳述式包含對 資源的特權動作 AWS Systems Manager。考慮限定許可範圍，以僅針對您的資源讀取動作或動作。 | 如果政策針對 Systems Manager 資源授予參數存放區或唯讀動作以外的許可，則會產生此調查結果。若要解決此問題清單，請將許可降低為僅唯讀動作或參數存放區。 | 
| 陳述式包含的權限動作範圍不限於您擁有的 *Service\$1Name* 中的 \$1message\$1。考慮將這些許可限定為適當的特定資源類型，或排除 AMS 擁有的資源。如果使用萬用字元，請確保它們符合*資源*。 | 如果政策允許未針對您的資源授予的特權動作，特別是針對具名資源，則會產生此調查結果。若要解決此問題清單，請檢閱您的資源清單，並查看它們是否僅範圍位於您的命名空間中的資源。或者，排除 AMS 命名空間中的資源。 | 
| 陳述式包含 \$1*Service\$1Name*\$1 的標記動作，其範圍不限於名稱標籤索引鍵的特定值。考慮使用命名空間中的值設定`aws:RequestTag/Name`條件索引鍵來定義這些動作，或使用 AMS 命名空間字首中的值設定`StringNotLike`條件`aws:RequestTag/Name`索引鍵來限制這些動作。 | 如果政策授予指定服務的標記許可，且許可範圍不限於規格標籤索引鍵/值，則會產生此調查結果。若要縮小標籤動作中可使用的索引鍵或值的範圍，例如，在請求執行動作時，請使用 `aws:RequestTag/tag key`條件。因此，若要解決此問題，請使用此條件索引鍵來限制名稱空間中的索引鍵或值。或者，使用 AMS 命名空間中的值拒絕`Name`標籤索引鍵 (`aws:RequestTag/Name`)。 | 
| 驗證 IAM 角色信任政策時發生內部錯誤。 | 當 CT 自動化透過 IAM Access Analyzer 服務對 IAM 角色信任政策執行驗證時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 驗證客戶受管政策時發生內部錯誤。 | 當 CT 自動化透過 IAM Access Analyzer 服務對客戶受管政策執行驗證時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 在 中找不到存取分析器*AWS 區域*。無法執行角色信任政策的存取預覽檢查。 | 在 中找不到 IAM Access Analyzer 資源時，會產生此調查結果 AWS 區域。請聯絡 AMS Operations，在 AWS 區域中疑難排解和建立 IAM Access Analyzer 資源。 | 
| 角色 *Role\$1Name* 的無效信任政策 | 當提供的 IAM 角色包含無效的信任政策時，會產生此調查結果。若要解決此問題，請檢閱信任政策以確認其有效。 | 
| IAM Access Analyzer 遇到內部錯誤。無法建立角色 *Role\$1Name* 的存取預覽 | 當自動化透過 IAM Access Analyzer 建立角色的存取預覽時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 無法為角色 *Role\$1Name* 的信任政策建立存取預覽 | 當自動化透過 IAM Access Analyzer 建立角色的存取預覽時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 驗證列出的 SAML IdP 時發生內部錯誤。 | 當自動化在驗證角色信任政策中列出的所提供 SAML IdPs時發生錯誤時，會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 驗證 許可時發生內部錯誤 AWS Key Management Service。 | 當自動化在驗證所提供政策中的 AWS KMS 金鑰許可時發生錯誤時，會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 驗證列出的受管政策 ARNs內部錯誤。 | 當自動化在驗證列出的受管政策 ARNs 時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 驗證預設`customer_deny_policy`附件時發生內部錯誤。 | 當自動化在驗證 `customer_deny_policy` 是否連接到角色時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 驗證角色 *Role\$1Name* 的受管政策出現的內部錯誤 | 當自動化在驗證角色的受管政策 ARNs時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 針對客戶定義的界限政策驗證 *Policy\$1name* 時發生內部錯誤 `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` | 當自動化在驗證包含自訂拒絕清單的政策時發生錯誤時，就會產生此調查結果。若要解決此問題，請重新提交 RFC。如果錯誤仍然存在，請聯絡 AMS Operations 對錯誤進行故障診斷。 | 
| 帳戶中`AWSManagedServicesIAMProvisionCustomerBoundaryPolicy`存在客戶定義的界限政策。不過，政策包含允許授予許可的陳述式。政策只能包含拒絕陳述式。 | 當包含自訂拒絕清單的政策包含授予許可的陳述式時，就會產生此調查結果。雖然自訂拒絕清單存在於您的帳戶中做為 IAM 受管政策，但無法用於許可管理。政策只能包含拒絕陳述式，指出您希望 AMS Automated IAM Provisioning 在 AMS Automated IAM Provisioning 建立的 IAM 政策中驗證和拒絕這些動作。 | 
| 陳述式包含您的組織為 *Service\$1Name* 定義的特權動作。考慮使用拒絕陳述式排除這些動作。請參閱您帳戶中名為 的政策，以參考限制的動作清單。 | 當自動化偵測到您在自訂拒絕清單中定義的政策中的任何動作時，就會產生此調查結果。若要解決調查結果，請檢閱您的政策陳述式，並移除自訂拒絕清單中定義的任何動作，或新增拒絕這些動作的拒絕陳述式。 | 
| 角色必須連接 *POLICY\$1ARN*。在受管政策 ARN 清單中包含政策 ARNs。 | 如果您建立的角色未連接 *POLICY\$1ARN*，則會產生此調查結果。若要解決此問題，請在角色的 **ManagedPolicyArns** 欄位中包含 *POLICY\$1ARN*，然後再試一次。 | 
| *POLICY\$1ARN* 無法從角色分離。在受管政策 ARN 清單中包含政策 ARNs。 | 如果在更新期間將 *POLICY\$1ARN* 從角色分離，則會產生此調查結果。若要解決此問題，請將 *POLICY\$1ARN* 新增至角色的 **ManagedPolicyArns** 欄位，然後再試一次。 | 

# AMS 自動化 IAM 佈建許可界限檢查
<a name="aip-runtime-checks-perm-boundary"></a>

AMS 許可界限檢查可協助您遵守 AMS 提供的預設許可界限政策。此政策是 AMS Automated IAM Provisioning 拒絕的動作清單。佈建包含這些限制動作的政策需要額外的明確風險接受。在此處下載政策：[finity-policy.zip](samples/boundary-policy.zip)。

使用客戶定義的許可界限政策檢查，自訂 AMS 許可界限政策預設值以外的拒絕動作。當您使用下列變更類型加入 AMS 自動化 IAM 佈建時：管理 \$1 受管帳戶 \$1 AMS 自動化 IAM 佈建與讀寫許可 \$1 [啟用 （受管自動化）](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) (ct-1706xvk6j9hf)，您可以包含自訂拒絕動作清單，以指定其他限制動作。

您可以使用變更類型更新拒絕動作清單：管理 \$1 受管帳戶 \$1 具有讀寫許可的自動化 IAM 佈建 \$1 [更新自訂拒絕清單](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0)。您必須使用專用 IAM 角色`AWSManagedServicesIAMProvisionAdminRole`來執行此變更類型。

**注意**  
您必須為每個更新提供拒絕動作的完整清單。新清單會取代上一個清單。
拒絕動作清單只能包含要拒絕的動作。不支援允許動作。
拒絕動作清單位於帳戶內，做為名為 的 IAM 受管政策`AWSManagedServicesIAMProvisionCustomerBoundaryPolicy`。政策不得連接到任何角色。
用於表示 AMS Automated IAM Provisioning 中拒絕動作的*許可界限*一詞與 IAM 許可界限具有不同的內容意義。IAM 許可界限會設定政策在執行時間可授予 IAM 實體的最大許可。如需 IAM 許可界限的詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[政策類型](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types)。AMS Automated IAM Provisioning 中的許可界限可防止您佈建包含特定許可集的 IAM 政策，例如拒絕動作清單。

# 故障診斷 AMS 自動化 IAM 佈建代理和錯誤
<a name="aip-troubleshooting"></a>

使用 AMS 自動化 IAM 佈建時，您可能會遇到三種問題：
+ RFC 錯誤：這些原因可能有多種；例如輸入不正確。如需詳細資訊，請參閱[針對 AMS 中的 RFC 錯誤進行故障診斷](rfc-troubleshoot.md)。
+ SSM 錯誤：這些情況可能因各種原因而發生，例如格式不良。如需詳細資訊，請參閱[疑難排解 Systems Manager 自動化](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-troubleshooting.html)。
+ 驗證檢查問題清單：當自動化 IAM 佈建執行的許多驗證檢查之一發現問題時，就會發生這種情況。如需驗證檢查的清單，以及要修正的建議動作，請參閱 [AMS 自動化 IAM 佈建的執行期檢查](aip-runtime-checks.md)。