Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Referenz zur Richtlinienprüfung von Access Analyzer
Sie können Ihre Richtlinien mithilfe der AWS Identity and Access Management Access Analyzer Richtlinienvalidierung validieren. Sie können eine Richtlinie mit dem AWS CLI AWS API, oder JSON Richtlinien-Editor in der IAM Konsole erstellen oder bearbeiten. IAMAccess Analyzer validiert Ihre Richtlinie anhand der IAM Richtliniengrammatik und der AWS bewährten Methoden. Sie können die Ergebnisse der Richtlinienvalidierung anzeigen, die Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge für Ihre Richtlinie enthalten. Diese Ergebnisse enthalten verwertbare Empfehlungen, mit denen Sie Richtlinien erstellen können, die funktionsfähig sind und den bewährten Sicherheitsmethoden entsprechen. Die Liste der grundlegenden Richtlinienprüfungen, die von IAM Access Analyzer bereitgestellt werden, ist unten aufgeführt. Für die Durchführung von Richtlinienvalidierungsprüfungen fallen keine zusätzlichen Gebühren an. Weitere Informationen zum Validieren von Richtlinien mit der Richtlinienvalidierung finden Sie unter Richtlinienvalidierung von IAM Access Analyzer.
Fehler — ARN Konto nicht erlaubt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."Beheben des Fehlers
Entfernen Sie die Konto-ID aus der RessourceARN. Die Ressource ARNs für einige AWS Dienste unterstützt die Angabe einer Konto-ID nicht.
Amazon S3 unterstützt beispielsweise keine Konto-ID als Namespace im BucketARNs. Ein Amazon S3 S3-Bucket-Name ist weltweit eindeutig, und der Namespace wird von allen AWS Konten gemeinsam genutzt. Um alle in Amazon S3 verfügbaren Ressourcentypen zu sehen, siehe Ressourcentypen, die von Amazon S3 definiert werden, in der Service Authorization Reference.
Verwandte Begriffe
Fehler — ARN Region nicht zulässig
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."Beheben des Fehlers
Entfernen Sie die Region aus der RessourceARN. Die Ressource ARNs für einige AWS Dienste unterstützt die Angabe einer Region nicht.
IAMEs handelt sich beispielsweise um einen globalen Dienst. Der Bereich Region einer IAM Ressource ARN bleibt immer leer. IAMRessourcen sind global, so wie es AWS bei einem Konto heute der Fall ist. Nachdem Sie sich beispielsweise als IAM Benutzer angemeldet haben, können Sie auf AWS Dienste in jeder geografischen Region zugreifen.
Fehler – Datentyp stimmt nicht überein
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."Beheben des Fehlers
Aktualisieren Sie den Text, um den unterstützten Datentyp zu verwenden.
Zum Beispiel, das Version-Globale Bedingungsschlüssel erfordert einen String-Datentyp. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.
Verwandte Begriffe
Fehler – Doppelte Schlüssel mit unterschiedlicher Groß- und Kleinschreibung
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."Beheben des Fehlers
Überprüfen Sie die ähnlichen Bedingungsschlüssel innerhalb desselben Bedingungsblocks und verwenden Sie dieselbe Großschreibung für alle Instances.
A Bedingungsblock ist der Text innerhalb des Condition-Element einer Policy-Anweisung. Bei Namen von Bedingungsschlüsseln wird die Groß- und Kleinschreibung nicht beachtet. Die Groß-/Kleinschreibung der Werte von Bedingungsschlüsseln hängt vom verwendeten Bedingungsoperator ab. Weitere Hinweise zur Berücksichtigung von Groß- und Kleinschreibung in Bedingungsschlüssel finden Sie unter IAMJSONpolitische Elemente: Condition.
Verwandte Begriffe
Fehler – Ungültige Aktion
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"Beheben des Fehlers
Die angegebene Aktion ist ungültig. Dies kann passieren, wenn Sie das Servicepräfix oder den Aktionsnamen falsch eingeben. Bei einigen häufig auftretenden Problemen gibt die Richtlinienprüfung eine vorgeschlagene Aktion zurück.
Verwandte Begriffe
AWS verwaltete Richtlinien mit diesem Fehler
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Die folgenden AWS verwalteten Richtlinien enthalten ungültige Aktionen in ihren Richtlinienerklärungen. Ungültige Aktionen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Wenn Sie eine AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer verwalteten Richtlinie verwenden, AWS empfiehlt Ihnen, ungültige Aktionen aus Ihrer Richtlinie zu entfernen.
Fehler — Ungültiges Konto ARN
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."Beheben des Fehlers
Aktualisieren Sie die Konto-ID in der RessourceARN. Konten IDs bestehen aus 12-stelligen Ganzzahlen. Wie du deine Konto-ID einsehen kannst, erfährst du unter Deine AWS Konto-ID finden.
Verwandte Begriffe
Fehler — Ungültiges ARN Präfix
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add the required prefix (arn) to the resource ARN."Beheben des Fehlers
AWS Die Ressource ARNs muss das erforderliche arn: Präfix enthalten.
Verwandte Begriffe
Fehler — Ungültige ARN Region
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."Beheben des Fehlers
Der Ressourcentyp wird in der angegebenen Region nicht unterstützt. Eine Tabelle der in den einzelnen Regionen unterstützten AWS Dienste finden Sie in der Tabelle mit den Regionen
Verwandte Begriffe
Fehler — Ungültige ARN Ressource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."Beheben des Fehlers
Die Ressource ARN muss den Spezifikationen für bekannte Ressourcentypen entsprechen. Informationen zum erwarteten ARN Format für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Dienstes, um seine Ressourcentypen und ARN Formate anzuzeigen.
Verwandte Begriffe
Fehler — Ungültiger ARN Servicefall
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."Beheben des Fehlers
Der Dienst in der Ressource ARN muss den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Dienstpräfixe entsprechen. Informationen zum Anzeigen des Präfixes für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.
Verwandte Begriffe
Fehler – Ungültiger Bedingungsdatentyp
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."Beheben des Fehlers
Der Wert im Bedingungsschlüssel-Wert-Paar muss mit dem Datentyp des Bedingungsschlüssels und des Bedingungsoperators übereinstimmen. Informationen zum Datentyp des Bedingungsschlüssels für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.
Der globale Bedingungsschlüssel CurrentTime unterstützt zum Beispiel den Date-Bedingungsoperator. Wenn Sie eine Zeichenfolge oder eine Ganzzahl für den Wert im Bedingungsblock angeben, stimmt der Datentyp nicht überein.
Verwandte Begriffe
Fehler – Ungültiges Bedingungsschlüsselformat
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key format is not valid. Use the format service:keyname."Beheben des Fehlers
Der Schlüssel im Zustands-Schlüssel-Wert-Paar muss mit den Spezifikationen für das Service übereinstimmen. Informationen zum Anzeigen der Bedingungsschlüssel für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.
Verwandte Begriffe
Fehler – Ungültige Bedingung mehrere boolesche Werte
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."Beheben des Fehlers
Der Schlüssel im Bedingungsschlüssel-Wert-Paar erwartet einen einzelnen booleschen Wert. Wenn Sie mehrere boolesche Werte angeben, gibt die Bedingungsübereinstimmung möglicherweise nicht die erwarteten Ergebnisse zurück.
Informationen zum Anzeigen der Bedingungsschlüssel für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.
Fehler – Ungültiger Bedingungsoperator
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."Beheben des Fehlers
Aktualisieren Sie die Bedingung, um einen unterstützten Bedingungsoperator zu verwenden.
Verwandte Begriffe
Fehler – Ungültiger Effekt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."Beheben des Fehlers
Aktualisieren des Effect-Element, um einen gültigen Effekt zu verwenden. Gültige Werte für Effect sind Allow und Deny.
Verwandte Begriffe
Fehler – Ungültiger -Bedingungsschlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."Beheben des Fehlers
Aktualisieren Sie den Bedingungsschlüssel im Bedingungsschlüssel-Wert-Paar, um einen unterstützten globalen Bedingungsschlüssel zu verwenden.
Globale Bedingungsschlüssel sind Bedingungsschlüssel mit einem aws: Präfix. AWS Dienste können globale Bedingungsschlüssel unterstützen oder dienstspezifische Schlüssel bereitstellen, die ihr Dienstpräfix enthalten. IAMBedingungsschlüssel enthalten beispielsweise das iam: Präfix. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie dort den Dienst aus, dessen Schlüssel Sie anzeigen möchten.
Verwandte Begriffe
Fehler – Ungültige Partition
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"Beheben des Fehlers
Aktualisieren Sie die Ressource soARN, dass sie eine unterstützte Partition enthält. Wenn Sie eine unterstützte Partition enthalten, unterstützt das Service oder die Ressource die Partition, die Sie enthalten haben, möglicherweise nicht.
Eine Partition ist eine Gruppe von AWS Regionen. Jedes AWS Konto ist auf eine Partition beschränkt. Verwenden Sie in klassischen Regionen die aws-Partition. Verwenden Sie in China-Regionen aws-cn.
Verwandte Begriffe
Fehler – Ungültiges Richtlinienelement
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid policy element: The policy element {{element}} is not valid.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The policy element {{element}} is not valid."Beheben des Fehlers
Aktualisieren Sie die Richtlinie, sodass sie nur unterstützte JSON Richtlinienelemente enthält.
Verwandte Begriffe
Fehler – Ungültiges Prinzipalformat
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."Beheben des Fehlers
Aktualisieren Sie den Prinzipal, um ein unterstütztes Schlüssel-Wert-Paarformat zu verwenden.
Sie können in einer ressourcenbasierten Richtlinie einen Prinzipal angeben, aber keine identitätsbasierte Richtlinie.
Um beispielsweise den Zugriff für alle Benutzer eines AWS Kontos zu definieren, verwenden Sie in Ihrer Richtlinie den folgenden Prinzipal:
"Principal": { "AWS": "123456789012" }Verwandte Begriffe
Fehler – Ungültiger Prinzipalschlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid principal key: The principal key {{principal-key}} is not valid.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The principal key {{principal-key}} is not valid."Beheben des Fehlers
Aktualisieren Sie den Schlüssel im Hauptschlüssel-Wert-Paar, um einen unterstützten Prinzipalschlüssel zu verwenden. Die folgenden Hauptschlüssel werden unterstützt:
AWS
CanonicalUser
Verbund
Service
Verwandte Begriffe
Fehler – Ungültiger Bereich
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."Beheben des Fehlers
Aktualisieren Sie den Wert des Bedingungsschlüssel-Wert-Paars, um eine unterstützte Region einzuschließen. Eine Tabelle der in den einzelnen Regionen unterstützten AWS Dienste finden Sie in der Tabelle mit den Regionen
Verwandte Begriffe
Fehler – Ungültiges Service
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid service: The service {{service}} does not exist. Use a valid service name.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The service {{service}} does not exist. Use a valid service name."Beheben des Fehlers
Das Servicepräfix im Aktions- oder Bedingungsschlüssel muss mit den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Servicepräfixe übereinstimmen. Das Präfix für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.
Verwandte Begriffe
Fehler – Ungültiger Service-Bedingungsschlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."Beheben des Fehlers
Aktualisieren Sie den Schlüssel im Bedingungsschlüssel-Wert-Paar, um einen bekannten Bedingungsschlüssel für das Service zu verwenden. Globale Bedingungsschlüssel sind Bedingungsschlüssel mit einem aws-Präfix.
AWS -Services können servicespezifische Schlüssel bereitstellen, die das Service-Präfix enthalten. Das Präfix für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste.
Verwandte Begriffe
Fehler – Ungültiges Service in Aktion
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"Beheben des Fehlers
Das Servicepräfix in der Aktion muss mit den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Servicepräfixe übereinstimmen. Das Präfix für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.
Verwandte Begriffe
Fehler – Ungültige Variable für den Operator
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Policy variables can only be used with String and ARN operators."Beheben des Fehlers
Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden. Bedingungen unterstützen Variablen, wenn Sie Zeichenkettenoperatoren oder ARN Operatoren verwenden. String-Operatoren beinhalten StringEquals, StringLike und StringNotLike. ARNZu den Operatoren gehören ArnEquals undArnLike. Sie können eine Richtlinienvariable nicht mit anderen Operatoren verwenden, z. B. mit numerischen, Datums-, booleschen, binären, IP-Adress- oder Null-Operatoren.
Verwandte Begriffe
Ungültige Version
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"Beheben des Fehlers
Das Version Policy-Element gibt die Sprachsyntax an, die für die Verarbeitung einer Richtlinie AWS verwendet wird. Um alle verfügbaren Richtlinienfunktionen zu nutzen, fügen Sie das folgende Element Version vor dem Element Statement in alle Ihre Richtlinien ein.
"Version": "2012-10-17"Verwandte Begriffe
Fehler – Json-Syntaxfehler
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."Beheben des Fehlers
Ihre Richtlinie enthält einen Syntaxfehler. Überprüfen Sie Ihre JSON Syntax.
Verwandte Begriffe
Fehler – Json-Syntaxfehler
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Json syntax error: Fix the JSON syntax error.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Fix the JSON syntax error."Beheben des Fehlers
Ihre Richtlinie enthält einen Syntaxfehler. Überprüfen Sie Ihre JSON Syntax.
Verwandte Begriffe
Fehler – Fehlende Aktion
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing action: Add an Action or NotAction element to the policy statement.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add an Action or NotAction element to the policy statement."Beheben des Fehlers
AWS JSONRichtlinien müssen ein NotAction Oder-Element Action enthalten.
Verwandte Begriffe
Fehler — ARN Fehlendes Feld
Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"Beheben des Fehlers
Alle Felder in der Ressource ARN müssen den Spezifikationen für einen bekannten Ressourcentyp entsprechen. Informationen zum erwarteten ARN Format für einen Dienst finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste. Wählen Sie den Namen des Dienstes, um seine Ressourcentypen und ARN Formate anzuzeigen.
Verwandte Begriffe
Fehler — Fehlende ARN Region
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing ARN Region: Add a Region to the {{service}} resource ARN.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add a Region to the {{service}} resource ARN."Beheben des Fehlers
Die Ressource ARNs für die meisten AWS Dienste erfordert, dass Sie eine Region angeben. Eine Tabelle der in den einzelnen Regionen unterstützten AWS Dienste finden Sie in der Regionentabelle
Verwandte Begriffe
Fehler – Fehlender Effekt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."Beheben des Fehlers
AWS JSONRichtlinien müssen ein Effect Element mit dem Wert Allow und Deny enthalten.
Verwandte Begriffe
Fehler – Fehlender Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing principal: Add a Principal element to the policy statement.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add a Principal element to the policy statement."Beheben des Fehlers
Ressourcenbasierte Richtlinien müssen einen Principal-Element.
Um beispielsweise den Zugriff für alle Benutzer eines AWS Kontos zu definieren, verwenden Sie in Ihrer Richtlinie den folgenden Prinzipal:
"Principal": { "AWS": "123456789012" }Verwandte Begriffe
Fehler – Fehlender Qualifizierer
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."Beheben des Fehlers
Im Condition-Element formulieren Sie Ausdrücke, in denen Sie Bedingungsoperatoren verwenden (gleich, kleiner als usw.), um die Bedingungsschlüssel und -werte der Richtlinie mit den Schlüsseln und Werten in der Anforderungen abzugleichen. Bei Anforderungen, die mehrere Werte für einen einzelnen Schlüssel enthalten, müssen Sie die Bedingungen in Klammern, wie in einem Array ("Key2": ["Value2A", "Value2B"]), einschließen. Sie müssen zudem die Satzoperatoren ForAllValues oder ForAnyValue mit dem StringLike Bedingungsoperator verwenden. Diese Qualifizierer fügen die Set-Operationen zum Bedingungsoperator hinzu, sodass Sie mehrere Anforderungswerte mit mehreren Bedingungswerten testen können.
Verwandte Begriffe
AWS verwaltete Richtlinien mit diesem Fehler
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Bei den folgenden AWS verwalteten Richtlinien fehlt in ihren Richtlinienerklärungen ein Kennzeichner für Bedingungsschlüssel. Wenn Sie die AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer vom Kunden verwalteten Richtlinie verwenden, AWS empfiehlt Ihnen, Ihrem Condition Element die Schlüsselqualifikatoren ForAllValues oder die ForAnyValue Bedingung hinzuzufügen.
Fehler – Fehlende Ressource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing resource: Add a Resource or NotResource element to the policy statement.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add a Resource or NotResource element to the policy statement."Beheben des Fehlers
Alle Richtlinien mit Ausnahme von Rollenvertrauensrichtlinien müssen ein Resource NotResource Oder-Element enthalten.
Verwandte Begriffe
Fehler – Fehlende Anweisung
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing statement: Add a statement to the policy
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add a statement to the policy"Beheben des Fehlers
Eine JSON Richtlinie muss eine Erklärung enthalten.
Verwandte Begriffe
Fehler – Null mit, wenn vorhanden
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."Beheben des Fehlers
Sie können IfExists an das Ende des Namens eines beliebigen Bedingungsoperators mit Ausnahme des Bedingungsoperators Null anfügen. Verwenden Sie den Bedingungsoperator Null, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung vorhanden ist. Verwenden Sie ...ifExists, um zu sagen: "Wenn der Richtlinienschlüssel im Kontext der Anforderung vorhanden ist, verarbeiten Sie den Schlüssel wie in der Richtlinie angegeben. Wenn der Schlüssel nicht vorhanden ist, wird das Bedingungselement als "true" ausgewertet.
Verwandte Begriffe
Fehler — Platzhalter für SCP Syntaxfehler, Aktion
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."Beheben des Fehlers
AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen die Angabe von Werten in den Action NotAction Oder-Elementen. Diese Werte können jedoch Platzhalter (*) nur am Ende der Zeichenfolge enthalten. Dies bedeutet, dass Sie iam:Get* aber nicht iam:*role auswählen können.
Um mehrere Aktionen anzugeben, AWS empfiehlt es sich, diese einzeln aufzulisten.
Verwandte Begriffe
Fehler — SCP Syntaxfehler, Bedingung zulassen
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."Beheben des Fehlers
AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen die Angabe von Werten im Condition Element nur, wenn Sie Folgendes verwenden"Effect": "Deny".
Um nur eine einzige Aktion zuzulassen, können Sie den Zugriff auf alles außer der Bedingung verweigern, die Sie mit der ...NotEquals-Version eines Bedingungsoperators angeben. Dies negiert den Vergleich des Operators.
Verwandte Begriffe
Fehler — SCP Syntaxfehler zulassen NotAction
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."Beheben des Fehlers
AWS Organizations Richtlinien zur Dienststeuerung (SCPs) unterstützen die Verwendung des NotAction Elements with "Effect": "Allow" nicht.
Sie müssen die Logik neu schreiben, um eine Liste von Aktionen zuzulassen oder jede Aktion abzulehnen, die nicht aufgeführt ist.
Verwandte Begriffe
Fehler — SCP Syntaxfehler, Ressource zulassen
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."Beheben des Fehlers
AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen die Angabe von Werten im Resource Element nur, wenn Sie Folgendes verwenden"Effect": "Deny".
Sie müssen die Logik neu schreiben, um alle Ressourcen zuzulassen oder jede aufgelistete Ressource zu verweigern.
Verwandte Begriffe
Fehler — SCP Syntaxfehler NotResource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."Beheben des Fehlers
AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen das NotResource Element nicht.
Sie müssen die Logik neu schreiben, um alle Ressourcen zuzulassen oder jede aufgelistete Ressource zu verweigern.
Verwandte Begriffe
Fehler — Principal SCP Syntaxfehler
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."Beheben des Fehlers
AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen die NotPrincipal Elemente Principal oder nicht.
Sie können den Amazon-Ressourcennamen (ARN) mithilfe des aws:PrincipalArn globalen Bedingungsschlüssels im Condition Element angeben.
Verwandte Begriffe
Fehler – Eindeutige Sids erforderlich
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."Beheben des Fehlers
Bei einigen Richtlinientypen IDs muss die Aussage eindeutig sein. Die Sid (Statement-ID) ist eine optionale ID, die Sie in die Richtlinie aufnehmen können. Sie können jeder Anweisung in einem Anweisungsarray einen Anweisungs-ID-Wert zuweisen, indem Sie das SID-Element verwenden. Bei Diensten, bei denen Sie ein ID-Element angeben können, z. B. SQS undSNS, ist der Sid Wert nur eine Unter-ID der ID des Richtliniendokuments. Beispielsweise muss der Sid Wert in IAM innerhalb einer JSON Richtlinie eindeutig sein.
Verwandte Begriffe
Fehler - Nicht unterstützte Aktion in der Richtlinie
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Beheben des Fehlers
Einige Aktionen werden im Action-Element in der ressourcenbasierten Richtlinie nicht unterstützt, die an einen anderen Ressourcentyp gebunden sind. Beispielsweise werden AWS Key Management Service Aktionen in Amazon S3 S3-Bucket-Richtlinien nicht unterstützt. Geben Sie eine Aktion an, die vom Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.
Verwandte Begriffe
Fehler – Nicht unterstützte Elementkombination
Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:
Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."Beheben des Fehlers
Manche Kombinationen von JSON politischen Elementen können nicht zusammen verwendet werden. Sie können beispielsweise Action und NotAction nicht in der gleichen Richtlinienanweisung verwenden. Weitere Paare, die sich gegenseitig ausschließen, sind Principal/NotPrincipal und Resource/NotResource.
Verwandte Begriffe
Fehler – Nicht unterstützter globaler -Bedingungsschlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."Beheben des Fehlers
AWS unterstützt die Verwendung des angegebenen globalen Bedingungsschlüssels nicht. Je nach Anwendungsfall können Sie den aws:PrincipalArn oder aws:SourceArn globale Bedingungsschlüssel. Verwenden Sie beispielsweise statt denaws:ARN, aws:PrincipalArn um den Amazon-Ressourcennamen (ARN) des Prinzipals, der die Anfrage gestellt hat, mit dem zu vergleichenARN, den Sie in der Richtlinie angeben. Verwenden Sie alternativ den aws:SourceArn globalen Bedingungsschlüssel, um den Amazon-Ressourcennamen (ARN) der Ressource, die eine service-to-service Anfrage stellt, mit dem Namen zu vergleichenARN, den Sie in der Richtlinie angeben.
Verwandte Begriffe
Fehler – Nicht unterstützter Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."Beheben des Fehlers
Verwenden Sie das Principal-Element in einer Richtlinie, um den Prinzipal anzugeben, dem der Zugriff auf eine Ressource erlaubt oder verweigert wird. Sie können das Principal Element nicht in einer IAM identitätsbasierten Richtlinie verwenden. Sie können es in den Vertrauensrichtlinien für IAM Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden. Sie können beispielsweise Richtlinien in einen Amazon S3 S3-Bucket oder einen AWS KMS Schlüssel einbetten.
Verwandte Begriffe
Fehler — Ressource wird ARN in der Richtlinie nicht unterstützt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Beheben des Fehlers
Einige Ressourcen werden im Resource Element der ressourcenbasierten Richtlinie ARNs nicht unterstützt, wenn die Richtlinie an einen anderen Ressourcentyp angehängt ist. Werden beispielsweise im Resource Element für Amazon S3 S3-Bucket-Richtlinien AWS KMS ARNs nicht unterstützt. Geben Sie eine Ressource anARN, die von einem Ressourcentyp unterstützt wird, der Ihrer ressourcenbasierten Richtlinie zugeordnet ist.
Verwandte Begriffe
Fehler – Nicht unterstützte Sid
Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"Beheben des Fehlers
Das Sid-Element unterstützt Großbuchstaben, Kleinbuchstaben und Zahlen.
Verwandte Begriffe
Fehler – Nicht unterstützter Platzhalter im Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."Beheben des Fehlers
DiePrincipal-Elementstruktur unterstützt die Verwendung eines Schlüssel-Wert-Paares. Der in der Richtlinie angegebene Hauptwert enthält einen Platzhalter (*). Sie können keinen Platzhalter mit dem angegebenen Hauptschlüssel einschließen. Wenn Sie z. B. Benutzer in einem Principal-Element angeben, können Sie nicht mit einem Platzhalter "alle Benutzer" meinen. Benennen Sie stattdessen einen oder mehrere bestimmte Benutzer. Wenn Sie eine Sitzung mit übernommener Rolle in einem -Element angeben, können Sie keinen Platzhalter (*) verwenden, der "alle Sitzungen" bedeutet. Sie müssen eine bestimmte Sitzung benennen. Sie können auch keinen Platzhalter verwenden, um einem Teil eines Namens oder einem zu entsprechen. ARN
Um dieses Ergebnis zu beheben, entfernen Sie den Platzhalter und geben Sie einen spezifischeren Prinzipal an.
Verwandte Begriffe
Fehler – Fehlende Klammer in Variable
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."Beheben des Fehlers
Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten.
Um dieses Ergebnis zu beheben, fügen Sie die fehlende Klammer hinzu, um sicherzustellen, dass der vollständige Öffnungs- und Schließungssatz von geschweiften Klammern vorhanden ist.
Verwandte Begriffe
Fehler – Fehlendes Zitat in Variable
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."Beheben des Fehlers
Wenn Sie Ihrer Richtlinie eine Variable hinzufügen, können Sie einen Standardwert für die Variable angeben. Wenn eine Variable nicht vorhanden ist, wird der von Ihnen angegebene Standardtext AWS verwendet.
Um einer Variablen einen Standardwert hinzuzufügen, umgeben Sie den Standardwert mit einfachen Anführungszeichen (' '), und trennen Sie den Variablentext und den Standardwert durch Komma und Leerzeichen (, ) enthalten.
Zum Beispiel, wenn ein Prinzipal mit team=yellow gekennzeichnet ist, können sie auf amzn-s3-demo-bucket der Amazon-S3-Bucket mit dem Namen amzn-s3-demo-bucket-yellow zugreifen. Eine Richtlinie mit dieser Ressource ermöglicht es Teammitgliedern möglicherweise auf ihre eigenen Ressourcen zuzugreifen, aber nicht auf die anderer Teams. Für Benutzer ohne Team-Tags können Sie den Standardwert von company-wide einstellen. Diese Benutzer können nur auf amzn-s3-demo-bucket-company-wide-Bucket zugreifen, indem sie umfassende Informationen anzeigen können, z. B. Anweisungen für den Beitritt zu einem Team.
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"Verwandte Begriffe
Fehler – Nicht unterstützter Speicherplatz in der Variablen
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "A space is not supported within the policy variable text. Remove the space."Beheben des Fehlers
Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten. Obwohl Sie ein Leerzeichen hinzufügen können, wenn Sie eine Standardvariable angeben, können Sie kein Leerzeichen in den Variablennamen einschließen.
Verwandte Begriffe
Fehler – Leere Variable
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."Beheben des Fehlers
Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten.
Verwandte Begriffe
Fehler – Variable im Element nicht unterstützt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."Beheben des Fehlers
Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden.
Verwandte Begriffe
Fehler – Variable wird in Version nicht unterstützt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."Beheben des Fehlers
Zur Verwendung der Richtlinienvariablen müssen Sie das Version-Element in eine Anweisung einfügen und die Version muss auf eine Version gesetzt werden, die Richtlinienvariablen unterstützt. Variablen wurden in Version 2012-10-17 eingeführt. Frühere Versionen der Richtliniensprache unterstützen Richtlinienvariablen nicht. Wenn Sie Version nicht auf 2012-10-17 oder später setzen, werden Variablen wie ${aws:username} in der Richtlinie als literale Zeichenketten behandelt.
Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Eine Richtlinienversion wird erstellt, wenn Sie eine vom Kunden verwaltete Richtlinie in IAM ändern. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAMErstellt stattdessen eine neue Version der verwalteten Richtlinie.
Verwandte Begriffe
Private IP-Adresse
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."Beheben des Fehlers
Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche. Sie erhalten diesen Fehler, wenn Ihre Richtlinie nur private IP-Adressen zulässt. In diesem Fall würde die Bedingung niemals übereinstimmen.
Fehler — Privat NotIpAddress
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."Beheben des Fehlers
Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche. Sie erhalten diesen Fehler, wenn Sie die NotIpAddress-Bedingungsoperator und listet nur private IP-Adressen auf. In diesem Fall würde die Bedingung immer übereinstimmen und wäre unwirksam.
Fehler — Die Größe der Richtlinie überschreitet das SCP Kontingent
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."Beheben des Fehlers
AWS Organizations Dienststeuerungsrichtlinien (SCPs) unterstützen die Angabe von Werten in den Action NotAction Oder-Elementen. Diese Werte können jedoch Platzhalter (*) nur am Ende der Zeichenfolge enthalten. Dies bedeutet, dass Sie iam:Get* aber nicht iam:*role auswählen können.
Um mehrere Aktionen anzugeben, AWS empfiehlt es sich, diese einzeln aufzulisten.
Verwandte Begriffe
Fehler – Ungültiges Service-Prinzipalformat
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."Beheben des Fehlers
Der Wert im Bedingungsschlüssel-Wert-Paar muss mit einem definierten Service-Prinzipalformat übereinstimmen.
Ein Service-Prinzipal ist eine Kennung, die verwendet wird, um einem Service Berechtigungen zu erteilen. Sie können einen Service-Prinzipal im Principal-Element oder einen Wert für einige globale Bedingungsschlüssel und servicespezifische Schlüssel angeben. Der Service-Prinzipal wird durch den Service definiert.
Der Bezeichner für einen Service-Prinzipal enthält den Servicenamen und hat normalerweise das folgende Format in Kleinbuchstaben:
service-name.amazonaws.com
Einige servicespezifische Schlüssel verwenden möglicherweise ein anderes Format für Service-Prinzipal. Zum Beispiel, der kms:ViaService-Bedingungsschlüssel erfordert das folgende Format für Service-Prinzipal in Kleinbuchstaben:
service-name.AWS_region.amazonaws.com
Verwandte Begriffe
Fehler – Fehlender Tag-Schlüssel in Bedingung
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."Beheben des Fehlers
Um den Zugriff auf Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an.
Um beispielsweise den Zugriff auf AWS Ressourcen zu steuern, fügen Sie den aws:ResourceTag Bedingungsschlüssel hinzu. Dieser Schlüssel benötigt das Format aws:ResourceTag/. Um den Tag-Schlüssel tag-keyowner und den Tag-Wert JaneDoe in einer Bedingung anzugeben, verwenden Sie das folgende Format.
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}Verwandte Begriffe
Fehler - Ungültiges vpc-Format
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."Beheben des Fehlers
Der aws:SourceVpc-Bedingungsschlüssel muss das Präfix vpc- verwenden, gefolgt von entweder 8 oder 17 alphanumerischen Zeichen, z. B. vpc-11223344556677889 oder vpc-12345678.
Verwandte Begriffe
Fehler - Ungültiges vpce-Format
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."Beheben des Fehlers
Der aws:SourceVpce-Bedingungsschlüssel muss das Präfix vpce- verwenden, gefolgt von entweder 8 oder 17 alphanumerischen Zeichen, z. B. vpce-11223344556677889 oder vpce-12345678.
Verwandte Begriffe
Fehler - Verbundprinzipal wird nicht unterstützt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."Beheben des Fehlers
Das Principal Element verwendet föderierte Prinzipale für Vertrauensrichtlinien, die IAM Rollen zugeordnet sind, um den Zugriff über einen Identitätsverbund zu ermöglichen. Identitätsrichtlinien und andere ressourcenbasierte Richtlinien unterstützen keinen Verbundidentitätsanbieter im Principal-Element. Sie können beispielsweise keinen SAML Principal in einer Amazon S3 S3-Bucket-Richtlinie verwenden. Ändern Sie das Principal-Element zu einem unterstützten Prinzipaltyp.
Verwandte Begriffe
Fehler - Nicht unterstützte Aktion für Bedingungsschlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."Beheben des Fehlers
Stellen Sie sicher, dass der Bedingungsschlüssel im Condition-Element der Richtlinienanweisung für jede Aktion im Action-Element gilt. Um sicherzustellen, dass die von Ihnen angegebenen Aktionen von Ihrer Richtlinie effektiv zulässig oder verweigert werden, sollten Sie die nicht unterstützten Aktionen ohne den Bedingungsschlüssel in eine andere Anweisung verschieben.
Anmerkung
Wenn das Action Element Aktionen mit Platzhaltern enthält, wertet IAM Access Analyzer diese Aktionen nicht auf diesen Fehler aus.
Verwandte Begriffe
Fehler - Nicht unterstützte Aktion in der Richtlinie
Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Beheben des Fehlers
Einige Aktionen werden im Action-Element in der ressourcenbasierten Richtlinie nicht unterstützt, die an einen anderen Ressourcentyp gebunden sind. Beispielsweise werden AWS Key Management Service Aktionen in Amazon S3 S3-Bucket-Richtlinien nicht unterstützt. Geben Sie eine Aktion an, die vom Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.
Verwandte Begriffe
Fehler — Ressource wird ARN in der Richtlinie nicht unterstützt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Beheben des Fehlers
Einige Ressourcen werden im Resource Element der ressourcenbasierten Richtlinie ARNs nicht unterstützt, wenn die Richtlinie an einen anderen Ressourcentyp angehängt ist. Werden beispielsweise im Resource Element für Amazon S3 S3-Bucket-Richtlinien AWS KMS ARNs nicht unterstützt. Geben Sie eine Ressource anARN, die von einem Ressourcentyp unterstützt wird, der Ihrer ressourcenbasierten Richtlinie zugeordnet ist.
Verwandte Begriffe
Fehler - Nicht unterstützter Bedingungsschlüssel für Service-Prinzipal
Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."Beheben des Fehlers
Sie können AWS -Services im Principal Element einer ressourcenbasierten Richtlinie einen Dienstprinzipal angeben, bei dem es sich um einen Bezeichner für den Dienst handelt. Sie können einige Bedingungsschlüssel mit bestimmten Service-Prinzipalen nicht verwenden. Sie können beispielsweise den aws:PrincipalOrgID-Bedingungsschlüssel mit dem Service-Prinzipal cloudfront.amazonaws.com nicht verwenden. Sie sollten Bedingungsschlüssel entfernen, die nicht für den Service-Prinzipal im Principal-Element zutreffen.
Verwandte Begriffe
Fehler – Syntaxfehler der Rollenvertrauensrichtlinie: notprincipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."Beheben des Fehlers
Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie, die einer Rolle zugeordnet ist. IAM Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Rollenvertrauensrichtlinien unterstützen NotPrincipal nicht. Aktualisieren Sie die Richtlinie, um stattdessen einPrincipal-Element zu verwenden.
Verwandte Begriffe
Fehler – Rollenvertrauensrichtlinie – nicht unterstützter Platzhalter in Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."Beheben des Fehlers
Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie, die einer Rolle zugeordnet ist. IAM Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. "Principal:" "*" wird nicht im Principal-Element einer Rollenvertrauensrichtlinie unterstützt. Ersetzen Sie den Platzhalter durch einen gültigen Prinzipalwert.
Verwandte Begriffe
Fehler – Syntaxfehler der Rollenvertrauensrichtlinie: error resource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."Beheben des Fehlers
Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie, die einer Rolle zugeordnet ist. IAM Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Rollenvertrauensrichtlinien gelten für die Rolle, mit der sie verknüpft sind. Sie können kein Resource- oder NotResource-Element in einer Rollenvertrauensrichtlinie angeben. Entfernen Sie das Resource- oder NotResource-Element.
Fehler – Typ stimmt nicht mit IP-Bereich überein
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."Beheben des Fehlers
Aktualisieren Sie den Text so, dass er den Datentyp des Operators „IP-Adressbedingung“ in einem CIDR Format verwendet.
Verwandte Begriffe
Fehler – Fehlende Aktion für Bedingungsschlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."Beheben des Fehlers
Der Bedingungsschlüssel im Condition-Element der Richtlinienanweisung wird nicht ausgewertet, es sei denn, die angegebene Aktion befindet sich im Action-Element. Um sicherzustellen, dass die von Ihnen angegebenen Bedingungsschlüssel von Ihrer Richtlinie effektiv zugelassen oder verweigert werden, fügen Sie die Aktion zum Action-Element hinzu.
Verwandte Begriffe
Fehler – Ungültige Verbundprinzipal-Syntax in Rollenvertrauensrichtlinie
Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."Beheben des Fehlers
Der Prinzipalwert gibt einen Verbundprinzipal an, der nicht dem erwarteten Format entspricht. Aktualisieren Sie das Format des Verbundprinzipals auf einen gültigen Domänennamen oder Metadaten. SAML ARN
Verwandte Begriffe
Fehler – Nicht übereinstimmende Aktion für Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."Beheben des Fehlers
Die im Action-Element der Richtlinienanweisung angegebene Aktion ist ungültig, wobei der Prinzipal im Principal-Element angegeben ist. Sie können beispielsweise keinen SAML Anbieterprinzipal für die sts:AssumeRoleWithWebIdentity Aktion verwenden. Sie sollten einen SAML Anbieterprinzipal mit der sts:AssumeRoleWithSAML Aktion oder einen OIDC Anbieterprinzipal mit der sts:AssumeRoleWithWebIdentity Aktion verwenden.
Verwandte Begriffe
Fehler – Fehlende Aktion für die Vertrauensrichtlinie von Roles Anywhere
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."Beheben des Fehlers
Damit IAM Roles Anywhere eine Rolle übernehmen und temporäre AWS
Anmeldeinformationen bereitstellen kann, muss die Rolle dem IAM Roles Anywhere-Dienstprinzipal vertrauen. Der IAM Roles Anywhere-Dienstprinzipal benötigt die sts:TagSession Berechtigungen sts:AssumeRolests:SetSourceIdentity, und, um eine Rolle anzunehmen. Wenn eine der Berechtigungen fehlt, müssen Sie sie Ihrer Richtlinie hinzufügen.
Verwandte Begriffe
Allgemeine Warnung — Erstellen SLR mit NotResource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole erteilt die Berechtigung, eine IAM Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Die Verwendung iam:CreateServiceLinkedRole dieses NotResource Elements in einer Richtlinie kann dazu führen, dass unbeabsichtigt serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden.
AWS empfiehlt, stattdessen ARNs im Resource Element die Angabe erlaubt anzugeben.
Allgemeine Warnung — Kreieren Sie SLR mit Star in Aktion und NotResource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole erteilt die Berechtigung, eine IAM Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Richtlinien mit einem Platzhalter (*) im Action und, die das NotResource Element enthalten, können die unbeabsichtigte Erstellung von dienstbezogenen Rollen für mehrere Ressourcen ermöglichen.
AWS empfiehlt, stattdessen ARNs im Element die Angabe erlaubt anzugeben. Resource
Allgemeine Warnung — SLR Mit NotAction und erstellen NotResource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole erteilt die Berechtigung, eine IAM Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Wenn Sie das NotAction Element zusammen mit dem NotResource Element verwenden, können unbeabsichtigt dienstbezogene Rollen für mehrere Ressourcen erstellt werden.
AWS empfiehlt, die Richtlinie so umzuschreiben, dass sie stattdessen nur für eine begrenzte Liste von Elementen ARNs im Element zulässig istResource. iam:CreateServiceLinkedRole Sie können auch iam:CreateServiceLinkedRole zu dem Element NotAction hinzufügen.
Allgemeine Warnung — SLR Mit Stern in der Ressource erstellen
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole erteilt die Berechtigung, eine IAM Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Die Verwendung iam:CreateServiceLinkedRole in einer Richtlinie mit einem Platzhalter (*) im Resource Element kann dazu führen, dass unbeabsichtigt serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden.
AWS empfiehlt, stattdessen ARNs im Element die Angabe erlaubt anzugeben. Resource
AWS verwaltete Richtlinien mit dieser allgemeinen Warnung
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Einige dieser Anwendungsfälle sind für Hauptbenutzer in Ihrem Konto bestimmt. Die folgenden AWS verwalteten Richtlinien bieten Hauptbenutzerzugriff und gewähren Berechtigungen zum Erstellen von dienstbezogenen Rollen für jeden AWS Dienst. AWS empfiehlt, dass Sie die folgenden AWS verwalteten Richtlinien nur IAM Identitäten zuordnen, die Sie als Hauptbenutzer betrachten.
AWSOrganizationsServiceTrustPolicy
— Diese AWS verwaltete Richtlinie gewährt Berechtigungen für die Verwendung durch die Rolle, die mit dem AWS Organizations Dienst verknüpft ist. Diese Rolle ermöglicht es Organizations, zusätzliche dienstbezogene Rollen für andere Dienste in Ihrer AWS Organisation zu erstellen.
Allgemeine Warnung — Erstellen Sie SLR mit Stern in Aktion und Ressource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole erteilt die Berechtigung, eine IAM Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Richtlinien mit einem Platzhalter (*) in den Elementen Action und Resource können die Erstellung unbeabsichtigter serviceverknüpfter Rollen für mehrere Ressourcen ermöglichen. Auf diese Weise können Sie eine dienstbezogene Rolle erstellen, wenn Sie "Action": "*""Action": "iam:*", oder "Action": "iam:Create*" angeben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element die Option allowed angeben.
AWS verwaltete Richtlinien mit dieser allgemeinen Warnung
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Einige dieser Anwendungsfälle richten sich an Administratoren in Ihrem Konto. Die folgenden AWS verwalteten Richtlinien bieten Administratorzugriff und gewähren Berechtigungen zum Erstellen von dienstbezogenen Rollen für jeden AWS Dienst. AWS empfiehlt, dass Sie die folgenden AWS verwalteten Richtlinien nur den IAM Identitäten zuordnen, die Sie als Administratoren betrachten.
Allgemeine Warnung — Erstellen Sie SLR mit einem Stern in der Ressource und NotAction
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole erteilt die Berechtigung, eine IAM Rolle zu erstellen, die es einem AWS Dienst ermöglicht, Aktionen in Ihrem Namen auszuführen. Die Verwendung des NotAction Elements in einer Richtlinie mit einem Platzhalter (*) im Resource Element kann dazu führen, dass unbeabsichtigt dienstbezogene Rollen für mehrere Ressourcen erstellt werden.
AWS empfiehlt, stattdessen ARNs im Element die Angabe erlaubt anzugeben. Resource Sie können auch iam:CreateServiceLinkedRole zu dem Element NotAction hinzufügen.
Allgemeine Warnung – Veralteter globaler Bedingungsschlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."Behebung der allgemeinen Warnung
Die Richtlinie enthält einen veralteten globalen Bedingungsschlüssel. Aktualisieren Sie den Bedingungsschlüssel im Bedingungsschlüssel-Wert-Paar, um einen unterstützten globalen Bedingungsschlüssel zu verwenden.
Allgemeine Warnung – Ungültiger Datumswert
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."Behebung der allgemeinen Warnung
Die Unix-Epoch-Zeit beschreibt einen Zeitpunkt, der seit dem 1. Januar 1970 verstrichen ist, minus Schaltsekunden. Die Epochenzeit entspricht möglicherweise nicht genau der Zeit, die Sie erwarten. AWS empfiehlt, den W3C-Standard für Datums- und Uhrzeitformate zu verwenden. Sie könnten beispielsweise ein vollständiges Datum angeben, wie YYYY -MM-DD (1997-07-16), oder Sie könnten auch die Uhrzeit an die Sekunde anhängen, wie -MM YYYY -:mm:ss (1997-07-16T 19:20:30 + 01:00). DDThh TZD
Allgemeine Warnung – Ungültige Rollenreferenz
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."Behebung der allgemeinen Warnung
AWS empfiehlt, den Amazon-Ressourcennamen (ARN) für eine IAM Rolle anstelle ihrer Prinzipal-ID anzugeben. Beim IAM Speichern der Richtlinie wird sie ARN in die Prinzipal-ID für die bestehende Rolle umgewandelt. AWS beinhaltet eine Sicherheitsmaßnahme. Wenn jemand die Rolle löscht und neu erstellt, hat sie eine neue ID, und die Richtlinie stimmt nicht mit der ID der neuen Rolle überein.
Allgemeine Warnung – Ungültige Benutzerreferenz
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."Behebung der allgemeinen Warnung
AWS empfiehlt, den Amazon-Ressourcennamen (ARN) für einen IAM Benutzer anstelle seiner Prinzipal-ID anzugeben. Wenn die Richtlinie IAM gespeichert wird, wird sie ARN in die Prinzipal-ID für den vorhandenen Benutzer umgewandelt. AWS beinhaltet eine Sicherheitsmaßnahme. Wenn jemand den Benutzer löscht und neu erstellt, hat er eine neue ID, und die Richtlinie stimmt nicht mit der ID des neuen Benutzers überein.
Allgemeine Warnung – Fehlende Version
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."Behebung der allgemeinen Warnung
AWS empfiehlt, dass Sie den optionalen Version Parameter in Ihre Richtlinie aufnehmen. Wenn Sie kein Element "Version" einfügen, wird der Wert standardmäßig auf 2012-10-17 gesetzt, aber neuere Features, wie z. B. Richtlinienvariablen, funktionieren nicht mit Ihrer Richtlinie. Beispielsweise werden Variablen wie ${aws:username} nicht als Variablen erkannt und stattdessen als literale Zeichenketten in der Richtlinie behandelt.
Allgemeine Warnung – Einzigartige Sids empfohlen
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."Behebung der allgemeinen Warnung
AWS empfiehlt die Verwendung einer eindeutigen AnweisungIDs. Die Sid (Statement-ID) ist eine optionale ID, die Sie in die Richtlinie aufnehmen können. Sie können jeder Anweisung in einem Anweisungsarray einen Anweisungs-ID-Wert zuweisen, indem Sie das SID-Element verwenden.
Verwandte Begriffe
Allgemeine Warnung – Platzhalter ohne gleicher Operator
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."Behebung der allgemeinen Warnung
Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Wenn Sie einen Bedingungswert angeben, der einen Platzhalter (*, ?) verwendet, müssen Sie die Like-Version des Bedingungsoperators verwenden. Verwenden Sie z. B. anstelle des StringEquals Operators für Zeichenkettenbedingungen verwenden Sie StringLike.
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}AWS verwaltete Richtlinien mit dieser allgemeinen Warnung
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Die folgenden AWS verwalteten Richtlinien enthalten Platzhalter in ihrem Bedingungswert ohne einen Bedingungsoperator, der Like für den Musterabgleich verwendet wird. Wenn Sie die AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer vom Kunden verwalteten Richtlinie verwenden, AWS empfiehlt es sich, einen Bedingungsoperator zu verwenden, der den Musterabgleich mit Platzhaltern (*,?) unterstützt , wie zum Beispiel. StringLike
Allgemeine Warnung – Richtliniengröße überschreitet das Kontingent für Identitätsrichtlinien
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."Behebung der allgemeinen Warnung
Sie können einer IAM Identität (Benutzer, Benutzergruppe oder Rolle) bis zu 10 verwaltete Richtlinien zuordnen. Die Größe jeder verwalteten Richtlinie darf jedoch das Standardkontingent von 6.144 Zeichen nicht überschreiten. IAMberücksichtigt bei der Berechnung der Größe einer Richtlinie anhand dieses Kontingents keine Leerzeichen. Kontingente, auch Limits genannt AWS, sind die Höchstwerte für die Ressourcen, Aktionen und Elemente in Ihrem AWS Konto.
Darüber hinaus können Sie einer IAM Identität beliebig viele Inline-Richtlinien hinzufügen. Die Summe aller Inline-Richtlinien pro Identität darf jedoch das angegebene Kontingent nicht überschreiten.
Wenn Ihre Richtlinie größer als das Kontingent ist, können Sie Ihre Richtlinie in mehreren Anweisungen organisieren und die Anweisungen in mehreren Richtlinien gruppieren.
Verwandte Begriffe
AWS verwaltete Richtlinien mit dieser allgemeinen Warnung
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Die folgenden AWS verwalteten Richtlinien gewähren Berechtigungen für Aktionen für viele AWS Dienste und überschreiten dabei die maximale Richtliniengröße. Wenn Sie die verwaltete AWS -Richtlinie als Referenz zum Erstellen Ihrer verwalteten Richtlinie verwenden, müssen Sie die Richtlinie in mehrere Richtlinien aufteilen.
Allgemeine Warnung - Richtliniengröße überschreitet das Kontingent für Ressourcenrichtlinien
Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."Behebung der allgemeinen Warnung
Ressourcenbasierte Richtlinien sind JSON Richtliniendokumente, die Sie an eine Ressource anhängen, z. B. an einen Amazon S3 S3-Bucket. Diese Richtlinien erteilen dem angegebenen Prinzipal die Berechtigung zum Ausführen bestimmter Aktionen für diese Ressource und definiert, unter welchen Bedingungen dies gilt. Die Größe ressourcenbasierter Richtlinien darf das für diese Ressource festgelegte Kontingent nicht überschreiten. Kontingente, auch Limits genannt AWS, sind die Höchstwerte für die Ressourcen, Aktionen und Artikel in Ihrem AWS Konto.
Wenn Ihre Richtlinie größer als das Kontingent ist, können Sie Ihre Richtlinie in mehreren Anweisungen organisieren und die Anweisungen in mehreren Richtlinien gruppieren.
Verwandte Begriffe
Allgemeine Warnung – Typenabweichung
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text, um den unterstützten Bedingungsoperator Datentyp zu verwenden.
Zum Beispiel erfordert der globale Konditionsschlüssel aws:MultiFactorAuthPresent einen Konditionsoperator mit dem Datentyp Boolean. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.
Verwandte Begriffe
Allgemeine Warnung – Typkonflikt Boolescher Wert
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text, um einen booleschen Bedingungsoperator als Datentyp zu verwenden, z. B. true oder false.
Zum Beispiel erfordert der globale Konditionsschlüssel aws:MultiFactorAuthPresent einen Konditionsoperator mit dem Datentyp Boolean. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.
Verwandte Begriffe
Allgemeine Warnung – Datum des Typs, das nicht übereinstimmt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text so, dass er den Datentyp Datumsbedingungsoperator in einem YYYY-MM-DD oder einem anderen ISO 8601-Datums- und Uhrzeitformat verwendet.
Verwandte Begriffe
Allgemeine Warnung – Typ-Unübereinstimmungsnummer
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text, um den numerischen Bedingungsoperator Datentyp zu verwenden.
Verwandte Begriffe
Allgemeine Warnung – Zeichenfolge, die nicht übereinstimmt
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text, um den Datentyp „Zeichenfolgenbedingung“ zu verwenden.
Verwandte Begriffe
Allgemeine Warnung – Spezifische(s) Github-Repository und -Branch empfohlen
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."Behebung der allgemeinen Warnung
Wenn Sie GitHub als OIDC IdP verwenden, empfiehlt es sich, die Entitäten einzuschränken, die die dem IAM IdP zugeordnete Rolle übernehmen können. Wenn Sie eine Condition Erklärung in eine Vertrauensrichtlinie für Rollen aufnehmen, können Sie die Rolle auf eine bestimmte GitHub Organisation, ein Repository oder eine Branche beschränken. Sie können den Bedingungsschlüssel token.actions.githubusercontent.com:sub verwenden, um den Zugriff einzuschränken. Wir empfehlen, dass Sie die Bedingung auf eine bestimmte Gruppe von Repositorys oder Branchen beschränken. Wenn Sie einen Platzhalter (*) in verwendentoken.actions.githubusercontent.com:sub, können GitHub Aktionen von Organisationen oder Repositorys, auf die Sie keinen Einfluss haben, Rollen übernehmen, die dem GitHub IAM IdP in Ihrem Konto zugeordnet sind. AWS
Verwandte Begriffe
Allgemeine Warnung – Richtliniengröße überschreitet das Kontingent für Rollenvertrauensrichtlinie
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."Behebung der allgemeinen Warnung
IAMund AWS STS verfügen über Kontingente, die den Umfang der Richtlinien zur Rollenvertrauensstellung einschränken. Die Zeichen in der Rollenvertrauensrichtlinie, ausgenommen Leerzeichen, überschreiten das Zeichenmaximum. Wir empfehlen, dass Sie eine Kontingenterhöhung für die Länge der Rollenvertrauensrichtlinie anfordern, indem Sie Service Quotas und die AWS Support Center Console verwenden.
Verwandte Begriffe
Sicherheitswarnung — Zulassen mit NotPrincipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."Auflösen der Sicherheitswarnung
Die Verwendung von "Effect": "Allow" mit der NotPrincipal kann zu permissiv sein. Auf diese Weise können beispielsweise anonymen Prinzipalen Berechtigungen erteilt werden.
AWS empfiehlt, dass Sie mithilfe des Elements Prinzipale angeben, die Principal Zugriff benötigen. Alternativ können Sie den breiten Zugang erlauben und dann eine weitere Anweisung hinzufügen, die das Element NotPrincipal mit “Effect”: “Deny” verwendet.
Sicherheitswarnung — ForAllValues mit einem einzigen wertvollen Schlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."Auflösen der Sicherheitswarnung
AWS empfiehlt, die Option ForAllValues nur bei mehrwertigen Bedingungen zu verwenden. Der ForAllValues-Set-Operator prüft, ob der Wert eines jeden Mitglieds der Anforderungsmenge eine Teilmenge der Bedingungsschlüsselmenge ist. Die Bedingung gibt "true" zurück, wenn jeder Schlüsselwert in der Anforderung mindestens einem Wert in der Richtlinie entspricht. „true“ wird zudem zurückgegeben, wenn keine Schlüssel in der Anforderung vorhanden sind oder wenn die Schlüsselwerte zu einem Null-Dataset aufgelöst werden, z. B. einer leeren Zeichenfolge.
Um zu erfahren, ob eine Bedingung einen einzelnen Wert oder mehrere Werte unterstützt, lesen Sie die Seite Aktionen, Ressourcen und Bedingungsschlüssel für den Service. Bedingungsschlüssel mitArrayOfDatentyppräfix sind Mehrfachwertbedingungsschlüssel. Amazon SES unterstützt beispielsweise Schlüssel mit Einzelwerten (String) und dem ArrayOfString mehrwertigen Datentyp.
Sicherheitswarnung — Rolle übergeben mit NotResource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Auflösen der Sicherheitswarnung
Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Wenn Sie das NotResource Element iam:PassRole in einer Richtlinie verwenden, können Ihre Prinzipale möglicherweise auf mehr Dienste oder Funktionen zugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, ARNs im Resource Element die Angabe erlaubt anzugeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Sicherheitswarnung — Übernehmen Sie die Rolle eines Stars in Aktion und NotResource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Auflösen der Sicherheitswarnung
Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien mit einem Platzhalter (*) im Action und, die das NotResource Element enthalten, können es Ihren Prinzipalen ermöglichen, auf mehr Dienste oder Funktionen zuzugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element die Angabe erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Sicherheitswarnung — Rolle mit NotAction und übergeben NotResource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."Auflösen der Sicherheitswarnung
Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Wenn Sie das NotAction Element verwenden und einige Ressourcen in dem NotResource Element auflisten, können Ihre Prinzipale auf mehr Dienste oder Funktionen zugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element die Angabe erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Sicherheitswarnung – Übergeben der Rolle mit Stern in der Ressource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Auflösen der Sicherheitswarnung
Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien, die das Resource Element zulassen iam:PassRole und einen Platzhalter (*) enthalten, können es Ihren Prinzipalen ermöglichen, auf mehr Dienste oder Funktionen zuzugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Einige AWS Dienste schließen ihren Dienst-Namespace im Namen ihrer Rolle ein. Bei dieser Richtlinienprüfung werden diese Konventionen bei der Analyse der Richtlinie zum Generieren von Ergebnissen berücksichtigt. Beispielsweise generiert die folgende Ressource ARN möglicherweise kein Ergebnis:
arn:aws:iam::*:role/Service*AWS verwaltete Richtlinien mit dieser Sicherheitswarnung
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Einer dieser Anwendungsfälle gilt für Administratoren in Ihrem Konto. Die folgenden AWS verwalteten Richtlinien bieten Administratorzugriff und gewähren Berechtigungen zur Übertragung beliebiger IAM Rollen an einen beliebigen Dienst. AWS empfiehlt, die folgenden AWS verwalteten Richtlinien nur IAM Identitäten zuzuordnen, die Sie als Administratoren betrachten.
Die folgenden AWS verwalteten Richtlinien enthalten Berechtigungen für die Verwendung iam:PassRole eines Platzhalters (*) in der Ressource und befinden sich in einem veralteten Pfad. Für jede dieser Richtlinien haben wir die Richtlinien zu Berechtigungen aktualisiert und beispielsweise eine neue AWS verwaltete Richtlinie empfohlen, die diesen Anwendungsfall unterstützt. Alternativen zu diesen Richtlinien finden Sie in den Leitfäden der einzelnen Services.
AWSElasticBeanstalkFullAccess
AWSElasticBeanstalkService
AWSLambdaFullAccess
AWSLambdaReadOnlyAccess
AWSOpsWorksFullAccess
AWSOpsWorksRole
AWSDataPipelineRole
AmazonDynamoDBFullAccesswithDataPipeline
AmazonElasticMapReduceFullAccess
AmazonDynamoDBFullAccesswithDataPipeline
Amazon EC2ContainerServiceFullAccess
Die folgenden AWS verwalteten Richtlinien gewähren nur Berechtigungen für dienstbezogene Rollen, sodass AWS Dienste Aktionen in Ihrem Namen ausführen können. Sie können diese Richtlinien nicht mit Ihren IAM Identitäten verknüpfen.
Sicherheitswarnung – Übergeben Sie die Rolle mit Stern in Aktion und Ressource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Auflösen der Sicherheitswarnung
Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien mit einem Platzhalter (*) in den Resource Elementen Action und können es Ihren Prinzipalen ermöglichen, auf mehr Dienste oder Funktionen zuzugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
AWS verwaltete Richtlinien mit dieser Sicherheitswarnung
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Einige dieser Anwendungsfälle richten sich an Administratoren in Ihrem Konto. Die folgenden AWS verwalteten Richtlinien bieten Administratorzugriff und gewähren Berechtigungen zur Übertragung beliebiger IAM Rollen an einen beliebigen AWS Dienst. AWS empfiehlt, dass Sie die folgenden AWS verwalteten Richtlinien nur den IAM Identitäten zuordnen, die Sie als Administratoren betrachten.
Sicherheitswarnung — Übergeben Sie die Rolle mit Stern in der Kategorie Ressource und NotAction
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Auflösen der Sicherheitswarnung
Um viele AWS Dienste zu konfigurieren, müssen Sie dem Dienst eine IAM Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Wenn Sie das NotAction Element in einer Richtlinie mit einem Platzhalter (*) im Resource Element verwenden, können Ihre Prinzipale auf mehr Dienste oder Funktionen zugreifen, als Sie beabsichtigt haben. AWS empfiehlt stattdessen, dass Sie ARNs im Resource Element die Angabe erlaubt angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Sicherheitswarnung – Fehlende gekoppelte Zustandsschlüssel
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."Auflösen der Sicherheitswarnung
Einige Bedingungsschlüssel sind sicherer, wenn sie mit anderen zugehörigen Zustandstasten gekoppelt werden. AWS empfiehlt, dass Sie die zugehörigen Bedingungsschlüssel in denselben Bedingungsblock wie der vorhandene Bedingungsschlüssel aufnehmen. Dadurch werden die durch die Richtlinie gewährten Berechtigungen sicherer.
Sie können zum Beispiel den aws:VpcSourceIp Bedingungsschlüssel verwenden, um die IP-Adresse, von der eine Anforderung gestellt wurde, mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. AWS
empfiehlt, dass Sie den entsprechenden aws:SourceVPC Bedingungsschlüssel hinzufügen. Dadurch wird geprüft, ob die Anfrage von der VPC in der Richtlinie angegebenen Adresse und der von Ihnen angegebenen IP-Adresse stammt.
Verwandte Begriffe
Sicherheitswarnung – Verweigern mit nicht unterstütztem Tag-Bedingungsschlüssel für das Service
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."Auflösen der Sicherheitswarnung
Die Verwendung von nicht unterstützten Tag-Bedingungsschlüsseln im Condition Element einer Richtlinie mit "Effect": "Deny" kann zu freizügig sein, da die Bedingung für diesen Dienst ignoriert wird. AWS empfiehlt, die Dienstaktionen zu entfernen, die den Bedingungsschlüssel nicht unterstützen, und eine weitere Anweisung zu erstellen, um den Zugriff auf bestimmte Ressourcen für diese Aktionen zu verweigern.
Wenn Sie den aws:ResourceTag-Bedingungsschlüssel verwenden und dieser nicht von einer Service-Aktion unterstützt wird, wird der Schlüssel nicht in den Anforderungskontext aufgenommen. In diesem Fall gibt die Bedingung in der Anweisung Deny immer false zurück und die Aktion wird nie verweigert. Dies geschieht auch dann, wenn die Ressource korrekt markiert ist.
Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributebasierte Zugriffskontrolle () bezeichnet. ABAC Dienste, die diese Schlüssel nicht unterstützen, erfordern, dass Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle () kontrollieren. RBAC
Anmerkung
Einige Services ermöglichen die Unterstützung des Bedingungsschlüssel aws:ResourceTag für eine Teilmenge ihrer Ressourcen und Aktionen. IAMAccess Analyzer gibt Ergebnisse für die Dienstaktionen zurück, die nicht unterstützt werden. Amazon S3 unterstützt beispielsweise aws:ResourceTag für eine Teilmenge der Ressourcen. Alle in Amazon S3 verfügbaren Ressourcentypen, die den aws:ResourceTag-Bedingungsschlüssel unterstützen, finden Sie unter Resource types defined by Amazon S3 in der Service Authorization Reference.
Nehmen Sie beispielsweise an, dass Sie den Zugriff auf bestimmte Ressourcen, die mit dem Schlüssel-Wert-Paar status=Confidential gekennzeichnet sind, verweigern möchten. Gehen Sie außerdem davon aus, dass Sie damit Ressourcen kennzeichnen und die Markierung aufheben AWS Lambda können, der aws:ResourceTag Bedingungsschlüssel jedoch nicht unterstützt wird. Verwenden Sie den aws:ResourceTag Bedingungsschlüssel, um die Löschaktionen für AWS App Mesh und AWS Backup falls dieses Tag vorhanden ist, zu verweigern. Verwenden Sie für Lambda eine Ressourcennamenskonvention, die das Präfix "Confidential" enthält. Fügen Sie dann eine separate Anweisung hinzu, die das Löschen von Ressourcen mit dieser Namenskonvention verhindert.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteSupported",
"Effect": "Deny",
"Action": [
"appmesh:DeleteMesh",
"backup:DeleteBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/status": "Confidential"
}
}
},
{
"Sid": "DenyDeleteUnsupported",
"Effect": "Deny",
"Action": "lambda:DeleteFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
}
]
}Warnung
Verwenden Sie nicht die IfExistsVersion... des Bedingungsoperators, um dieses Problem zu umgehen. Dies bedeutet „Die Aktion verweigern, wenn der Schlüssel im Anforderungskontext vorhanden ist und die Werte übereinstimmen. Andernfalls verweigern Sie die Aktion.“ Im vorangegangenen Beispiel wird durch die Aufnahme der Aktion lambda:DeleteFunction in die Anweisung DenyDeleteSupported mit dem Operator StringEqualsIfExists die Aktion immer verweigert. Für diese Aktion ist der Schlüssel nicht im Kontext vorhanden, und jeder Versuch, diesen Ressourcentyp zu löschen, wird verweigert, unabhängig davon, ob die Ressource mit Tags versehen ist.
Verwandte Begriffe
Sicherheitswarnung — Ablehnen NotAction , wenn der Tag-Bedingungsschlüssel für den Service nicht unterstützt wird
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Auflösen der Sicherheitswarnung
Die Verwendung von Tag-Bedingungsschlüsseln im Element Condition einer Richtlinie mit den Elementen NotAction und "Effect": "Deny" kann übermäßig permissiv sein. Die Bedingung wird für Dienstaktionen ignoriert, die den Bedingungsschlüssel nicht unterstützen. AWS empfiehlt, die Logik so umzuschreiben, dass eine Liste von Aktionen verweigert wird.
Wenn Sie den Bedingungsschlüssel aws:ResourceTag mit NotAction verwenden, werden alle neuen oder bestehenden Service-Aktionen, die den Schlüssel nicht unterstützen, nicht verweigert. AWS
empfiehlt, die Aktionen, die verweigert werden sollen, explizit aufzulisten. IAMAccess Analyzer gibt einen separaten Befund für aufgelistete Aktionen zurück, die den aws:ResourceTag Bedingungsschlüssel nicht unterstützen. Weitere Informationen finden Sie unter Sicherheitswarnung – Verweigern mit nicht unterstütztem Tag-Bedingungsschlüssel für das Service.
Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle () bezeichnet. ABAC Dienste, die diese Schlüssel nicht unterstützen, erfordern, dass Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle () kontrollieren. RBAC
Verwandte Begriffe
Sicherheitswarnung - Zugriff auf Service-Prinzipal einschränken
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."Auflösen der Sicherheitswarnung
Sie können AWS -Services im Principal Element einer ressourcenbasierten Richtlinie einen Dienstprinzipal angeben, bei dem es sich um einen Bezeichner für den Dienst handelt. Wenn Sie Zugang zu einem Service-Prinzipal gewähren, um in Ihrem Namen zu handeln, beschränken Sie den Zugriff. Sie können übermäßig freizügige Richtlinien verhindern, indem Sie die aws:SourceOrgPaths Bedingungsschlüsselaws:SourceArn, aws:SourceAccountaws:SourceOrgID, oder verwenden, um den Zugriff auf eine bestimmte Quelle zu beschränken, z. B. auf eine bestimmte Ressource ARN AWS-Konto, Organisations-ID oder Organisationspfade. Durch die Einschränkung des Zugriffs können Sie ein Sicherheitsproblem verhindern, das Problem der verwirrten Stellvertreters genannt wird.
Verwandte Begriffe
Sicherheitswarnung – Fehlender Bedingungsschlüssel für OIDC-Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."Auflösen der Sicherheitswarnung
Die Verwendung eines Open ID Connect-Prinzipals ohne Bedingung kann zu großzügig sein. Fügen Sie Bedingungsschlüssel mit einem Präfix hinzu, das Ihren OIDC Verbundprinzipalen entspricht, um sicherzustellen, dass nur der vorgesehene Identitätsanbieter die Rolle übernimmt.
Verwandte Begriffe
Sicherheitswarnung – Fehlender Bedingungsschlüssel für Github-Repository
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."Auflösen der Sicherheitswarnung
Wenn Sie GitHub als OIDC IdP verwenden, empfiehlt es sich, die Entitäten einzuschränken, die die dem IAM IdP zugeordnete Rolle übernehmen können. Wenn Sie eine Condition Erklärung in eine Vertrauensrichtlinie für Rollen aufnehmen, können Sie die Rolle auf eine bestimmte GitHub Organisation, ein Repository oder eine Branche beschränken. Sie können den Bedingungsschlüssel token.actions.githubusercontent.com:sub verwenden, um den Zugriff einzuschränken. Wir empfehlen, dass Sie die Bedingung auf eine bestimmte Gruppe von Repositorys oder Branchen beschränken. Wenn Sie diese Bedingung nicht angeben, können GitHub Aktionen von Organisationen oder Repositorys, auf die Sie keinen Einfluss haben, Rollen übernehmen, die dem GitHub IAM IdP in Ihrem AWS Konto zugeordnet sind.
Verwandte Begriffe
Vorschlag – Leere Array-Aktion
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."Abruf eines Vorschlags
Aussagen müssen entweder ein Action oder NotAction Element enthalten, das eine Reihe von Aktionen umfasst. Wenn das Element leer ist, stellt die Richtlinienanweisung keine Berechtigungen bereit. Geben Sie Aktionen im Element Action an.
Vorschlag – Leere Array-Bedingung
Das AWS Management Console Ergebnis dieser Prüfung beinhaltet die folgende Meldung:
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."Abruf eines Vorschlags
Die optionale Condition-Element-Struktur erfordert die Verwendung eines Bedingungsoperators und eines Schlüssel-Wert-Paares. Wenn der Wert der Bedingung leer ist, gibt die Bedingung true zurück und die Richtlinienanweisung sieht keine Berechtigungen vor. Geben Sie einen Bedingungswert an.
Vorschlag — Zustand leeres Array ForAllValues
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Abruf eines Vorschlags
Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Der ForAllValues-Set-Operator prüft, ob der Wert eines jeden Mitglieds der Anforderungsmenge eine Teilmenge der Bedingungsschlüsselmenge ist.
Wenn Sie ForAllValues mit einem leeren Bedingungsschlüssel verwenden, trifft die Bedingung nur dann zu, wenn es keine Schlüssel in der Anforderung gibt. AWS empfiehlt, dass Sie stattdessen den Bedingungsoperator verwenden, wenn Sie Null testen wollen, ob ein Anforderungskontext leer ist.
Vorschlag — Zustand leeres Array ForAnyValue
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."Abruf eines Vorschlags
Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Der ForAnyValues-Set-Operator prüft, ob mindestens ein Mitglied der Menge der Anforderungswerte mit mindestens einem Mitglied der Menge der Bedingungsschlüsselwerte übereinstimmt.
Wenn Sie ForAnyValues mit einem leeren Bedingungsschlüssel verwenden, wird die Bedingung nie erfüllt. Das bedeutet, dass die Aussage keine Auswirkungen auf die Richtlinie hat. AWS empfiehlt, die Bedingung neu zu schreiben.
Vorschlag — Zustand leeres Array IfExists
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Abruf eines Vorschlags
Mit dem Suffix ...IfExists wird ein Bedingungsoperator bearbeitet. Das bedeutet, dass, wenn der Richtlinienschlüssel im Kontext der Anforderung vorhanden ist, der Schlüssel wie in der Richtlinie angegeben verarbeitet wird. Wenn der Schlüssel nicht vorhanden ist, wird das Bedingungselement als "true" ausgewertet.
Wenn Sie ...IfExists mit einem leeren Bedingungsschlüssel verwenden, trifft die Bedingung nur dann zu, wenn es keine Schlüssel in der Anforderung gibt. AWS empfiehlt, dass Sie stattdessen den Bedingungsoperator verwenden, wenn Sie Null testen wollen, ob ein Anforderungskontext leer ist.
Vorschlag – Leerer Array-Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Abruf eines Vorschlags
Sie müssen das NotPrincipal Element Principal oder in den Vertrauensrichtlinien für IAM Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden.
Wenn Sie im Principal Element einer Anweisung ein leeres Array angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie die Prinzipale angeben, die Zugriff auf die Ressource haben sollen.
Vorschlag – Leere Array-Ressource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."Abruf eines Vorschlags
Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten.
Wenn Sie im Ressourcenelement einer Anweisung ein leeres Array angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie Amazon Resource Names (ARNs) für Ressourcen angeben.
Vorschlag – Leere Objektbedingung
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."Abruf eines Vorschlags
Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden.
Wenn Sie ein leeres Objekt im Bedingungselement einer Anweisung angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. Entfernen Sie das optionale Element, oder geben Sie Bedingungen an.
Vorschlag – Leerer Objekt-Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Abruf eines Vorschlags
Sie müssen das NotPrincipal Element Principal oder in den Vertrauensrichtlinien für IAM Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden.
Wenn Sie im Principal Element einer Anweisung ein leeres Objekt angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie die Prinzipale angeben, die Zugriff auf die Ressource haben sollen.
Vorschlag – Leerer Sid Wert
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Empty Sid value: Add a value to the empty string in the Sid element.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Add a value to the empty string in the Sid element."Abruf eines Vorschlags
Mit dem optionalen Element Sid (Ausweis-ID) können Sie einen Identifikator eingeben, den Sie für den Ausweis bereitstellen. Sie können jeder Anweisung in einem Statement-Array einen Sid-Wert zuweisen. Wenn Sie das Element Sid verwenden, müssen Sie einen String-Wert angeben.
Verwandte Begriffe
Vorschlag – Verbessern des IP-Bereichs
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."Abruf eines Vorschlags
IP-Adressbedingungen müssen im CIDR Standardformat vorliegen, z. B. 203.0.113.0/24 oder 2001:: 1234:5678: :/64. DB8 Wenn Sie nach den maskierten Bits Bits ungleich Null angeben, werden sie für die Bedingung nicht berücksichtigt. AWS empfiehlt, dass Sie die neue Adresse verwenden, die in der Nachricht enthalten ist.
Vorschlag – Null mit Qualifier
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."Abruf eines Vorschlags
Im Condition-Element formulieren Sie Ausdrücke, in denen Sie Bedingungsoperatoren verwenden (gleich, kleiner als usw.), um die Bedingungsschlüssel und -werte der Richtlinie mit den Schlüsseln und Werten in der Anforderungen abzugleichen. Für Anforderungen, die mehrere Werte für einen einzigen Konditionsschlüssel enthalten, müssen Sie die ForAllValues oder ForAnyValue Set-Operatoren verwenden.
Wenn Sie den Bedingungsoperator Null mit ForAllValues verwenden, gibt die Anweisung immer true zurück. Wenn Sie den Null Bedingungsoperator with verwendenForAnyValue, kehrt die Anweisung immer zurückfalse. AWS empfiehlt, den StringLike Bedingungsoperator mit diesen Mengenoperatoren zu verwenden.
Verwandte Begriffe
Private Empfehlung – Private IP-Adresse
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Abruf eines Vorschlags
Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche.
Wenn Ihre Condition-Element eine Mischung aus privaten und öffentlichen IP-Adressen enthält, hat die Anweisung möglicherweise nicht die gewünschte Wirkung. Sie können private IP-Adressen mit aws:VpcSourceIP angeben.
Anmerkung
Der globale Bedingungsschlüssel aws:VpcSourceIP stimmt nur dann überein, wenn die Anfrage von der angegebenen IP-Adresse stammt und einen VPC Endpunkt durchläuft.
Vorschlag — Private NotIpAddress Untergruppe
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Abruf eines Vorschlags
Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche.
Wenn Ihre Condition-Element enthält die NotIpAddress-Bedingungsoperator und eine Mischung aus privaten und öffentlichen IP-Adressen, hat die Anweisung möglicherweise nicht den gewünschten Effekt. Alle öffentlichen IP-Adressen, die nicht in der Richtlinie angegeben sind, stimmen überein. Es werden keine privaten IP-Adressen übereinstimmen. Um diesen Effekt zu erzielen, können Sie NotIpAddress mit aws:VpcSourceIP verwenden und die privaten IP-Adressen angeben, die nicht übereinstimmen sollen.
Vorschlag – Redundante Aktion
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."Abruf eines Vorschlags
Wenn Sie Platzhalter (*) im Action Element verwenden, können Sie redundante Berechtigungen hinzufügen. AWS empfiehlt, dass Sie Ihre Richtlinie überprüfen und nur die Berechtigungen angeben, die Sie benötigen. Auf diese Weise können Sie redundante Aktionen entfernen.
Die folgenden Aktionen umfassen beispielsweise die iam:GetCredentialReport zweimal Action (Aktion).
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],In diesem Beispiel werden Berechtigungen für jede IAM Aktion definiert, die mit Get oder beginntList. Wenn zusätzliche IAM Abruf- oder Listenvorgänge hinzugefügt werden, werden sie mit dieser Richtlinie zugelassen. Sie können alle diese schreibgeschützten Aktionen zulassen. Die Aktion iam:GetCredentialReport ist bereits als Teil von iam:Get* enthalten. Um die doppelten Berechtigungen zu entfernen, könnten Sie iam:GetCredentialReport entfernen.
Sie erhalten ein Ergebnis für diese Richtlinienprüfung, wenn der gesamte Inhalt einer Aktion redundant ist. Wenn das Element in diesem Beispiel iam:*CredentialReport enthält, wird es nicht als redundant betrachtet. Das schließt mit einiam:GetCredentialReport, die redundant ist, und iam:GenerateCredentialReport, was nicht ist. Das Entfernen von iam:Get* oder iam:*CredentialReport würde die Berechtigungen der Richtlinie ändern.
AWS verwaltete Richtlinien mit diesem Vorschlag
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Redundante Aktionen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Wenn Sie eine AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer vom Kunden verwalteten Richtlinie verwenden, AWS empfiehlt Ihnen, überflüssige Aktionen aus Ihrer Richtlinie zu entfernen.
Vorschlag – Redundanter Bedingungswert num
Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."Abruf eines Vorschlags
Wenn Sie numerische Bedingungsoperatoren für ähnliche Werte in einem Bedingungsschlüssel verwenden, können Sie eine Überlappung erstellen, die zu redundanten Berechtigungen führt.
Das folgende Condition-Element enthält beispielsweise mehrere aws:MultiFactorAuthAge-Bedingungen mit einer Altersüberschneidung von 1200 Sekunden.
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}In diesem Beispiel werden die Berechtigungen definiert, wenn die Multi-Faktor-Authentifizierung (MFA) vor weniger als 3600 Sekunden (1 Stunde) abgeschlossen wurde. Sie könnten die redundante 2700-Wert.
Vorschlag – Redundante Ressource
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"Abruf eines Vorschlags
Wenn Sie Platzhalter (*) in Amazon Resource Names (ARNs) verwenden, können Sie redundante Ressourcenberechtigungen erstellen.
Das folgende Resource Element enthält beispielsweise mehrere ARNs mit redundanten Berechtigungen.
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],In diesem Beispiel sind die Berechtigungen für jede Rolle definiert, deren Name mit jane. Sie könnten die redundanten Elemente jane-admin entfernen, jane-s3only ARNs ohne die resultierenden Berechtigungen zu ändern. Dadurch wird die Politik dynamisch. Es definiert Berechtigungen für alle zukünftigen Rollen, die mit jane. Wenn die Richtlinie den Zugriff auf eine statische Anzahl von Rollen ermöglichen soll, entfernen Sie die letzte ARN und listen Sie nur die Rollen aufARNs, die definiert werden sollen.
AWS verwaltete Richtlinien mit diesem Vorschlag
AWS Mit verwalteten Richtlinien können Sie beginnen, AWS indem Sie Berechtigungen auf der Grundlage allgemeiner AWS Anwendungsfälle zuweisen.
Redundante Ressourcen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Wenn Sie eine AWS verwaltete Richtlinie als Referenz für die Erstellung Ihrer vom Kunden verwalteten Richtlinie verwenden, AWS empfiehlt Ihnen, überflüssige Ressourcen aus Ihrer Richtlinie zu entfernen.
Vorschlag – Redundante Aussage
Das AWS Management Console Ergebnis dieser Prüfung enthält die folgende Meldung:
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."Abruf eines Vorschlags
Das Element Statement ist das Hauptelement einer Richtlinie. Dieses Element ist erforderlich. Das Statement-Element kann eine einzelne Anweisung oder ein Array von einzelnen Anweisungen enthalten.
Wenn Sie dieselbe Anweisung mehrmals in eine lange Richtlinie einfügen, sind die Anweisungen redundant. Sie können eine der Anweisungen entfernen, ohne sich auf die von der Richtlinie erteilten Berechtigungen auswirken zu müssen. Wenn jemand eine Richtlinie bearbeitet, kann er eine der Anweisungen ändern, ohne das Duplikat zu aktualisieren. Dies kann zu mehr Berechtigungen führen als beabsichtigt.
Vorschlag – Platzhalter im Servicenamen
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."Abruf eines Vorschlags
Wenn Sie den Namen eines AWS Dienstes in eine Richtlinie aufnehmen, AWS empfiehlt es sich, keine Platzhalter (*,?) zu verwenden. Dadurch können Berechtigungen für zukünftige Services hinzugefügt werden, die Sie nicht beabsichtigen. Beispielsweise gibt es mehr als ein Dutzend AWS Dienste, deren Namen das Wort *code* enthalten.
"Resource": "arn:aws:*code*::111122223333:*"Vorschlag – Zulassen mit nicht unterstütztem Tag-Bedingungsschlüssel für Service
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."Abruf eines Vorschlags
Die Verwendung von Tag-Bedingungsschlüsseln, die nicht unterstützt werden, im Condition Element einer Richtlinie mit "Effect": "Allow" hat keinen Einfluss auf die durch die Richtlinie gewährten Berechtigungen, da die Bedingung für diese Dienstaktion ignoriert wird. AWS empfiehlt, die Aktionen für Dienste zu entfernen, die den Bedingungsschlüssel nicht unterstützen, und eine weitere Anweisung zu erstellen, um den Zugriff auf bestimmte Ressourcen in diesem Dienst zu ermöglichen.
Wenn Sie den aws:ResourceTag-Bedingungsschlüssel verwenden und dieser nicht von einer Service-Aktion unterstützt wird, wird der Schlüssel nicht in den Anforderungskontext aufgenommen. In diesem Fall gibt die Bedingung in der Allow-Anweisung immer false zurück und die Aktion ist nie erlaubt. Dies geschieht auch dann, wenn die Ressource korrekt markiert ist.
Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle () bezeichnet. ABAC Dienste, die diese Schlüssel nicht unterstützen, erfordern, dass Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle () kontrollieren. RBAC
Anmerkung
Einige Services ermöglichen die Unterstützung des Bedingungsschlüssel aws:ResourceTag für eine Teilmenge ihrer Ressourcen und Aktionen. IAMAccess Analyzer gibt Ergebnisse für die Dienstaktionen zurück, die nicht unterstützt werden. Amazon S3 unterstützt beispielsweise aws:ResourceTag für eine Teilmenge der Ressourcen. Alle in Amazon S3 verfügbaren Ressourcentypen, die den aws:ResourceTag-Bedingungsschlüssel unterstützen, finden Sie unter Resource types defined by Amazon S3 in der Service Authorization Reference.
Nehmen Sie beispielsweise an, dass Sie den Zugriff auf bestimmte Ressourcen, die mit dem Schlüssel-Wert-Paar team=BumbleBee gekennzeichnet sind, verweigern möchten. Gehen Sie außerdem davon aus, dass Sie damit Ressourcen taggen AWS Lambda können, der aws:ResourceTag Bedingungsschlüssel jedoch nicht unterstützt wird. Verwenden Sie den aws:ResourceTag Bedingungsschlüssel, um Anzeigeaktionen für AWS App Mesh und AWS Backup falls dieses Tag vorhanden ist, zuzulassen. Verwenden Sie für Lambda eine Ressourcennamenskonvention, die den Teamnamen als Präfix enthält. Fügen Sie dann eine separate Anweisung hinzu, die das Anzeigen von Ressourcen mit dieser Namenskonvention ermöglicht.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewSupported",
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"backup:GetBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "BumbleBee"
}
}
},
{
"Sid": "AllowViewUnsupported",
"Effect": "Allow",
"Action": "lambda:GetFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
}
]
}Warnung
Verwenden Sie nicht die Not -Version des Bedingungsoperators mit "Effect": "Allow" als Abhilfe für diese Feststellung. Diese Bedingungsoperatoren bieten eine negierte Übereinstimmung. Dies bedeutet, dass nach der Auswertung der Bedingung das Ergebnis negiert wird. Im vorigen Beispiel wird die Aktion lambda:GetFunction in der AllowViewSupported-Anweisung mit dem Operator StringNotEquals immer zugelassen, unabhängig davon, ob die Ressource mit einem Tag versehen ist.
Verwenden Sie nicht die IfExistsVersion... des Bedingungsoperators, um dieses Problem zu umgehen. Das bedeutet: "Erlaube die Aktion, wenn der Schlüssel im Anforderungskontext vorhanden ist und die Werte übereinstimmen. Andernfalls erlauben Sie die Aktion". Im vorangegangenen Beispiel wurde die Aktion lambda:GetFunction mit dem Operator AllowViewSupported in die Anweisung StringEqualsIfExists aufgenommen, um die Aktion zu ermöglichen. Bei dieser Aktion ist der Schlüssel nicht im Kontext vorhanden, und jeder Versuch, diesen Ressourcentyp anzuzeigen, ist zulässig, unabhängig davon, ob die Ressource mit einem Tag versehen ist.
Verwandte Begriffe
Vorschlag — Zulassen, wenn NotAction der Tag-Bedingungsschlüssel für den Service nicht unterstützt wird
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Abruf eines Vorschlags
Die Verwendung nicht unterstützter Tag-Bedingungsschlüssel im Condition-Element einer Richtlinie mit dem Element NotAction und "Effect": "Allow" hat keine Auswirkungen auf die von der Richtlinie gewährten Berechtigungen. Die Bedingung wird für Dienstaktionen ignoriert, die den Bedingungsschlüssel nicht unterstützen. AWS empfiehlt, die Logik neu zu schreiben, um eine Liste von Aktionen zuzulassen.
Wenn Sie den Bedingungsschlüssel aws:ResourceTag mit NotAction verwenden, werden alle neuen oder bestehenden Service-Aktionen, die den Schlüssel nicht unterstützen, nicht zugelassen. AWS
empfiehlt, dass Sie die Aktionen, die Sie zulassen möchten, ausdrücklich auflisten. IAMAccess Analyzer gibt einen separaten Befund für aufgelistete Aktionen zurück, die den aws:ResourceTag Bedingungsschlüssel nicht unterstützen. Weitere Informationen finden Sie unter Vorschlag – Zulassen mit nicht unterstütztem Tag-Bedingungsschlüssel für Service.
Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle () bezeichnet. ABAC Dienste, die diese Schlüssel nicht unterstützen, erfordern, dass Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle () kontrollieren. RBAC
Verwandte Begriffe
Vorschlag - Empfohlener Bedingungsschlüssel für Service-Prinzipal
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."Abruf eines Vorschlags
Sie können AWS -Services im Principal Element einer ressourcenbasierten Richtlinie einen Dienstprinzipal angeben, bei dem es sich um einen Bezeichner für den Dienst handelt. Sie sollten die Bedingungsschlüssel aws:SourceArn, aws:SourceAccount, aws:SourceOrgID oder aws:SourceOrgPaths verwenden, wenn Sie Zugriff auf Service-Prinzipale gewähren, anstelle anderer Bedingungsschlüssel wie aws:Referer. Dies hilft Ihnen, ein Sicherheitsproblem zu verhindern, das Problem des verwirrten Stellvertreters genannt wird.
Verwandte Begriffe
Vorschlag - Irrelevanter Bedingungsschlüssel in der Richtlinie
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."Abruf eines Vorschlags
Einige Bedingungsschlüssel sind für ressourcenbasierte Richtlinien nicht relevant. Zum Beispiel, der s3:ResourceAccount-Bedingungsschlüssel ist nicht relevant für die ressourcenbasierte Richtlinie, die an einen Amazon-S3-Bucket oder Amazon-S3-Zugriffspunkt-Ressourcentyp angehängt ist.
Sie sollten Ihren Bedingungsschlüssel in einer identitätsbasierten Richtlinie verwenden, um den Zugriff auf die Ressource zu kontrollieren.
Verwandte Begriffe
Vorschlag – Redundanter Prinzipal in Rollenvertrauensrichtlinie
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."Abruf eines Vorschlags
Wenn Sie sowohl einen Prinzipal mit angenommener Rolle als auch seine übergeordnete Rolle im Principal–Element einer Richtlinie angeben, erlaubt oder verweigert sie keine anderen Berechtigungen. Zum Beispiel ist es überflüssig, das Principal-Element im folgenden Format anzugeben:
"Principal": { "AWS": [ "arn:aws:iam::AWS-account-ID:role/rolename", "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname" ]
Wir empfehlen, den Prinzip mit angenommener Rolle zu entfernen.
Verwandte Begriffe
Vorschlag – Bestätigung des Zielgruppenanspruch-Typs
In der AWS Management Console beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.Bei programmatischen Aufrufen von AWS CLI oder AWS API beinhaltet das Ergebnis dieser Prüfung die folgende Meldung:
"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."Abruf eines Vorschlags
Der aud (Zielgruppen-) Anspruchsschlüssel ist eine eindeutige Kennung für Ihre App, die Ihnen bei der Registrierung Ihrer App beim IdP ausgestellt wird und die Empfänger identifiziert, für die das JSON Web-Token bestimmt ist. Zielgruppenansprüche können mehrwertig oder einwertig sein. Wenn der Anspruch mehrwertig ist, verwenden Sie einen ForAllValues- oder ForAnyValue-Bedingungssatz-Operator. Wenn der Anspruch einwertig ist, verwenden Sie keinen Bedingungssatz-Operator.
Verwandte Begriffe
