Referencia de comprobación de políticas del Analizador de acceso
Puede validar sus políticas utilizando validación de políticas de AWS Identity and Access Management Access Analyzer. Puede crear o editar una política con la AWS CLI, API de AWS o editor de políticas JSON en la consola de IAM. El Analizador de acceso de IAM valida su política contra la Gramática de la política de IAM y AWSprácticas recomendadas. Puede ver los resultados de las comprobaciones de validación de políticas que incluyen advertencias de seguridad, errores, advertencias generales y sugerencias para la política. Estos resultados proporcionan recomendaciones procesables que le ayudan a crear políticas funcionales y que se ajustan a las prácticas recomendadas de seguridad. La lista de comprobaciones de políticas básicas proporcionada por el Analizador de acceso de IAM se comparte a continuación. No se aplica ningún cargo adicional asociado a ejecutar las comprobaciones de validación de políticas. Para obtener más información sobre cómo validar políticas mediante validación de políticas, consulte Validación de políticas mediante el Analizador de acceso de IAM.
Error: no se permite la cuenta ARN
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."
Resolver el error
Elimine el ID de cuenta del ARN del recurso. Los ARN de recursos para algunos servicios AWS no admiten especificar un ID de cuenta.
Por ejemplo, Amazon S3 no admite un ID de cuenta como espacio de nombres en ARN de bucket. El nombre de un bucket de Amazon S3 es único en todo el mundo, y todas las cuentas de AWS comparten el espacio de nombres. Para consultar todos los tipos de recursos disponibles en Amazon S3, consulte Tipos de recurso definidos por Amazon S3 en la Referencia de autorizaciones de servicio.
Términos relacionados
Error — Región ARN no permitida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."
Resolver el error
Elimine la región del ARN del recurso. Los ARN de recursos para algunos servicios AWS no admiten especificar una región.
Por ejemplo, IAM es un servicio global. La porción de Región de un ARN de recurso de IAM siempre se mantiene en blanco. Los recursos de IAM son globales, como una cuenta AWS lo es hoy. Por ejemplo, después de iniciar sesión como usuario de IAM, puede acceder a servicios AWS en cualquier región geográfica.
Error: no coincide con el tipo de datos
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."
Resolver el error
Actualice el texto para utilizar el tipo de datos admitido.
Por ejemplo, la clave de condición global Version
requiere un tipo de datos String
. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.
Términos relacionados
Error — Claves duplicadas con diferentes mayúsculas
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."
Resolver el error
Revise las claves de condición similares dentro del mismo bloque de condición y utilice las mismas mayúsculas para todas las instancias.
Un bloque de condición es el texto dentro del elemento Condition
de una declaración de política. Los nombres de las claves de condición no distinguen entre mayúsculas y minúsculas. El uso de mayúsculas y minúsculas en los valores de la clave de condición depende del operador de condición que utilice. Para obtener más información sobre el uso de mayúsculas y minúsculas en claves de condición, consulte Elementos de política JSON de IAM: Condition.
Términos relacionados
Error: acción no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"
Resolver el error
La acción especificada no es válida. Esto puede suceder si escribe mal el prefijo de servicio o el nombre de la acción. Para algunos problemas comunes, la verificación de políticas devuelve una acción sugerida.
Términos relacionados
AWS políticas administradas con este error
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Los siguientes ejemplos de políticas administradas de AWS incluyen acciones no válidas en sus afirmaciones de política. Las acciones no válidas no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada de AWS como referencia para crear su política administrada,AWS recomienda que elimine las acciones no válidas de su política.
Error: cuenta ARN no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."
Resolver el error
Actualice el ID de cuenta en el ARN del recurso. Los ID de cuenta son números enteros de 12 dígitos. Para obtener información sobre cómo ver el ID de su cuenta de, consulte Búsqueda del ID de su cuenta de AWS.
Términos relacionados
Error: prefijo ARN no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add the required prefix (arn) to the resource ARN."
Resolver el error
Los ARN de recursos de AWS deben incluir el prefijo arn:
.
Términos relacionados
Error — Región ARN no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."
Resolver el error
El tipo de recurso no se admite en la región especificada. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la Tabla de regiones
Términos relacionados
Error: recurso ARN no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."
Resolver el error
El ARN de recursos debe coincidir con las especificaciones de los tipos de recursos conocidos. Para ver el formato ARN esperado para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver sus tipos de recursos y formatos ARN.
Términos relacionados
Error: caso de servicio ARN no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."
Resolver el error
El servicio en el ARN del recurso debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio y busque su prefijo en la primera oración.
Términos relacionados
Error: tipo de datos de condición no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."
Resolver el error
El valor del par clave-valor de condición debe coincidir con el tipo de datos de la clave de condición y el operador de condición. Para ver el tipo de dato de clave de condición para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver las claves de condición de dicho servicio.
Por ejemplo, la clave de condición global CurrentTime admite la el operador de condición Date
. Si proporciona una cadena o un entero para el valor en el bloque de condición, el tipo de datos no coincidirá.
Términos relacionados
Error: formato de clave de condición no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition key format is not valid. Use the format service:keyname."
Resolver el error
La clave del par clave-valor de condición debe coincidir con las especificaciones del servicio. Para ver las claves de condición para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver las claves de condición de dicho servicio.
Términos relacionados
Error — Condición inválida de varios booleanos
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."
Resolver el error
La clave del par clave-valor de condición espera un único valor booleano. Cuando proporciona varios valores booleanos, es posible que la coincidencia de condición no devuelva los resultados esperados.
Para ver las claves de condición para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver las claves de condición de dicho servicio.
Error: operador de condición no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."
Resolver el error
Actualice la condición para utilizar un operador de condición compatible.
Términos relacionados
Error — Efecto no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."
Resolver el error
Actualizar el elemento Effect
para utilizar un efecto válido. Los valores válidos para Effect
son Allow
y Deny
.
Términos relacionados
Error: clave de condición global no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."
Resolver el error
Actualice la clave de condición en el par clave-valor de condición para utilizar una clave de condición global compatible.
Las claves de condición globales son claves de condición con un prefijo aws:
. Los servicios de AWS pueden admitir claves de condición globales o proporcionar claves específicas del servicio que incluyan su prefijo de servicio. Por ejemplo, las claves de condición de IAM incluyen el prefijo iam:
. Para obtener más información, vea Acciones, recursos y claves de condición para servicios de AWS y elija el servicio cuyas claves desea ver.
Términos relacionados
Error — Partición no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"
Resolver el error
Actualice el ARN del recurso para incluir una partición compatible. Si ha incluido una partición compatible, es posible que el servicio o recurso no admita la partición que ha incluido.
Una partición es un grupo de regiones de AWS. Cada cuenta de AWS está limitada a una partición. En Regiones clásicas, utilice la partición aws
. En las regiones de China, utilice aws-cn
.
Términos relacionados
Error: elemento de política no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid policy element: The policy element {{element}} is not valid.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The policy element {{element}} is not valid."
Resolver el error
Actualice la política para incluir solo los elementos de política JSON compatibles.
Términos relacionados
Error: formato de la entidad principal no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."
Resolver el error
Actualice la entidad principal para utilizar un formato de par clave-valor compatible.
Puede especificar una entidad principal en una política basada en recursos, pero no una política basada en identidad.
Por ejemplo, para definir el acceso para todos en una cuenta AWS, utilice la siguiente entidad principal en su política:
"Principal": { "AWS": "123456789012" }
Términos relacionados
Error: clave de la entidad principal no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid principal key: The principal key {{principal-key}} is not valid.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The principal key {{principal-key}} is not valid."
Resolver el error
Actualice la clave en el par clave-valor de entidad principal para utilizar una clave de entidad principal compatible. Las siguientes son las claves de entidades principales admitidas:
AWS
CanonicalUser
Federado
Servicio
Términos relacionados
Error: región no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."
Resolver el error
Actualice el valor del par clave-valor de condición para incluir una región admitida. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la Tabla de regiones
Términos relacionados
Error: servicio no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid service: The service {{service}} does not exist. Use a valid service name.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The service {{service}} does not exist. Use a valid service name."
Resolver el error
El prefijo de servicio en la clave de acción o condición debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio y busque su prefijo en la primera oración.
Términos relacionados
Error: clave de condición de servicio no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."
Resolver el error
Actualice la clave en el par clave-valor de condición para utilizar una clave de condición conocida para el servicio. Los nombres de las claves de condición globales comienzan con el prefijo aws
. Los servicios de AWS pueden proporcionar claves específicas de servicios que incluyen el prefijo de servicio. Para ver el prefijo para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS.
Términos relacionados
Error: servicio no válido en acción
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"
Resolver el error
El prefijo de servicio de la acción debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio y busque su prefijo en la primera oración.
Términos relacionados
Error: variable no válida para el operador
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Policy variables can only be used with String and ARN operators."
Resolver el error
Puede utilizar variables de política en el elemento Resource
y en la comparación de cadenas en el elemento Condition
. Las condiciones admiten variables cuando se utilizan operadores de cadena u operadores ARN. Los operadores de cadena incluyen StringEquals
, StringLike
y StringNotLike
. Los operadores ARN incluyen ArnEquals
y ArnLike
. No se puede utilizar una variable de política con otros operadores como operadores numéricos, fecha, booleanos, binarios, dirección de IP o nulos.
Términos relacionados
Error: versión no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"
Resolver el error
El elemento de la política Version
especifica las reglas de sintaxis del lenguaje que AWS va a utilizar para procesar esta política. Para utilizar todas las características disponibles de la política, incluya el último elemento Version
antes del elemento Statement
en todas sus políticas.
"Version": "2012-10-17"
Términos relacionados
Error — Error de sintaxis Json
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."
Resolver el error
La política incluye un error de sintaxis. Compruebe su sintaxis JSON.
Términos relacionados
Error — Error de sintaxis Json
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Json syntax error: Fix the JSON syntax error.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Fix the JSON syntax error."
Resolver el error
La política incluye un error de sintaxis. Compruebe su sintaxis JSON.
Términos relacionados
Error: falta acción
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing action: Add an Action or NotAction element to the policy statement.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add an Action or NotAction element to the policy statement."
Resolver el error
Las políticas JSON AWS deben incluir un elemento Action
o NotAction
.
Términos relacionados
Error — Falta el campo ARN
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"
Resolver el error
Todos los campos del ARN del recurso deben coincidir con las especificaciones de un tipo de recurso conocido. Para ver el formato ARN esperado para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver sus tipos de recursos y formatos ARN.
Términos relacionados
Error: falta región ARN
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing ARN Region: Add a Region to the {{service}} resource ARN.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add a Region to the {{service}} resource ARN."
Resolver el error
Los ARN de recursos para la mayoría de los servicios AWS requieren que especifique una región. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la Tabla de regiones
Términos relacionados
Error — Falta el efecto
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."
Resolver el error
Las políticas JSON AWS deben incluir un elemento Effect
con un valor de Allow
y Deny
.
Términos relacionados
Error — Falta la entidad principal
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing principal: Add a Principal element to the policy statement.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add a Principal element to the policy statement."
Resolver el error
Las políticas basadas en recursos deben incluir un elemento Principal
.
Por ejemplo, para definir el acceso para todos en una cuenta AWS, utilice la siguiente entidad principal en su política:
"Principal": { "AWS": "123456789012" }
Términos relacionados
Error — Falta calificador
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."
Resolver el error
En el elemento Condition
, se crean expresiones en las que se usan operadores de condición como igual o menor para comparar una condición en la política con relación a claves y valores en el contexto de la solicitud. Para las solicitudes que incluyen varios valores para una única clave de condición, debe incluir las condiciones entre corchetes, como una matriz ("Key2": ["Value2A", "Value2B"]). También debe utilizar los operadores ForAllValues
o ForAnyValue
con el operador de condición StringLike
. Estos calificadores añaden la funcionalidad de operación de definición al operador de condición para que pueda probar varios valores con varios valores de condición.
Términos relacionados
AWS políticas administradas con este error
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Las siguientes políticas administradas AWS incluyen un calificador que falta para las claves de condición en sus declaraciones de política. Cuando se utiliza la política administrada AWS como referencia para crear su política administrada por el cliente, AWS recomienda que agregue los calificadores de clave de condición ForAllValues
o ForAnyValue
a su elementoCondition
.
Error: falta recurso
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing resource: Add a Resource or NotResource element to the policy statement.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add a Resource or NotResource element to the policy statement."
Resolver el error
Todas las políticas, excepto las políticas de confianza de roles, deben incluir un elemento Resource
o NotResource
.
Términos relacionados
Error — Falta la instrucción
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing statement: Add a statement to the policy
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add a statement to the policy"
Resolver el error
Una política JSON debe incluir una instrucción.
Términos relacionados
Error: nulo con si existe
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."
Resolver el error
Puede agregar IfExists
al final de cualquier nombre de operador de condición, salvo el operador de condición Null
. Utilice un operador de condición Null
para comprobar si una clave de condición está presente en el momento de la autorización. Use ...ifExists
para decir lo siguiente: "Si la clave de la política está presente en el contexto de la solicitud, se debe procesar la clave según se indica en la política. Si la clave no está presente, el elemento de condición se evalúa en verdadero”.
Términos relacionados
Error: comodín de acción de error de sintaxis de SCP
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."
Resolver el error
Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en elementos Action
o NotAction
. Sin embargo, estos valores pueden incluir comodines (*) solo al final de la cadena. Esto significa que puede especificar iam:Get*
pero no iam:*role
.
Para especificar varias acciones, AWS recomienda que los enumere individualmente.
Términos relacionados
Error: condición de error de sintaxis de SCP
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."
Resolver el error
Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en el elemento Condition
solo cuando usted utiliza "Effect": "Deny"
.
Para permitir una sola acción, puede denegar el acceso a todo excepto a la condición que especifique mediante la versión ...NotEquals
de un operador de condición. Esto niega la comparación hecha por el operador.
Términos relacionados
Error – Error de sintaxis de SCP permitir NotAction
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."
Resolver el error
Las políticas de control de servicios (SCP) AWS Organizations no admiten el uso del elemento NotAction
con "Effect": "Allow"
.
Debe volver a escribir la lógica para permitir una lista de acciones o para denegar todas las acciones que no se indican en la lista.
Términos relacionados
Error – Error – SCP de sintaxis de SCP permitir recurso
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."
Resolver el error
Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en el elemento Resource
solo cuando usted utiliza "Effect": "Deny"
.
Debe volver a escribir la lógica para permitir todos los recursos o para denegar todos los recursos que aparecen en la lista.
Términos relacionados
Error – Error de SCP de sintaxis NotResource
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."
Resolver el error
Las políticas de control de servicios (SCP) AWS Organizations no admiten el elemento NotResource
Debe volver a escribir la lógica para permitir todos los recursos o para denegar todos los recursos que aparecen en la lista.
Términos relacionados
Error – Entidad principal de error de sintaxis de SCP
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."
Resolver el error
Las políticas de control de servicios (SCP) AWS Organizations no admiten el Principal
o elementos NotPrincipal
Puede especificar el nombre de recurso de Amazon (ARN) con la clave de condición global aws:PrincipalArn
en el elemento Condition
.
Términos relacionados
Error: se requieren Sids únicos
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."
Resolver el error
Para algunos tipos de políticas, los ID de instrucción deben ser únicos. El elemento Sid
(ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de ID de instrucción a cada instrucción de una matriz de instrucciones utilizando el elemento SID
. En los servicios que le permiten especificar un elemento , como, por ejemplo, SQS y SNS, el valor de Sid
es simplemente un subID del ID del documento de la política. Por ejemplo, en IAM, el valor de Sid
debe ser único en la política de JSON.
Términos relacionados
Error: acción no admitida en la política
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
Resolver el error
Algunas acciones no se admiten en el elemento Action
de la política basada en recursos asociada a otro tipo de recurso. Por ejemplo, las acciones de AWS Key Management Service no son compatibles con las políticas de bucket de Amazon S3. Especifique una acción compatible con el tipo de recurso adjunto a la política basada en recursos.
Términos relacionados
Error: combinación de elementos no admitidos
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."
Resolver el error
Algunas combinaciones de elementos de política JSON no se pueden utilizar juntas. Por ejemplo, no se puede utilizar Action
y NotAction
en la misma instrucción de política. Otros pares que se excluyen mutuamente son Principal/NotPrincipal
y Resource/NotResource
.
Términos relacionados
Error: clave de condición global no admitida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."
Resolver el error
AWS no admite el uso de la clave de condición global especificada. Dependiendo de su caso de uso, puede utilizar las claves de condición globales de aws:PrincipalArn
o aws:SourceArn
. Por ejemplo, en vez de aws:ARN
, utilice aws:PrincipalArn
para comparar el Nombre de recurso de Amazon (ARN) de la entidad principal que ha realizado la solicitud con el ARN que se especifique en la política. Alternativamente, utilice la clave de condición global aws:SourceArn
para comparar el Nombre de recurso de Amazon (ARN) del recurso que realiza una solicitud de servicio a servicio con el ARN que especifique en la política.
Términos relacionados
Error – Entidad principal no admitida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."
Resolver el error
El elemento Principal
especifica la entidad principal que tiene acceso permitido o denegado a un recurso. No puede utilizar el elemento Principal
en una política basada en identidad de IAM. Puede utilizarlo en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso. Por ejemplo, puede integrar las políticas en un bucket de Amazon S3 o en una clave KMS de AWS.
Términos relacionados
Error: ARN de recurso no admitido en la política
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
Resolver el error
Algunos ARN de recursos no se admiten en el elemento Resource
de la política basada en recursos cuando la política se asocia a otro tipo de recurso. Por ejemplo, los ARN de AWS KMS no son compatibles en el elemento Resource
con las políticas de bucket de Amazon S3. Especifique un ARN de recurso compatible con un tipo de recurso asociado a la política basada en recursos.
Términos relacionados
Error: Sid no admitido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"
Resolver el error
El elemento Sid
admite letras mayúsculas, minúsculas y números.
Términos relacionados
Error: comodín no admitido en la entidad principal
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."
Resolver el error
La estructura del elemento de Principal
admite el uso de un par de clave-valor. El valor principal especificado en la política incluye un comodín (*). No se puede incluir un comodín con la clave principal especificada. Por ejemplo, si especifica usuarios en un elemento Principal
, no puede utilizar un comodín para designar a "todos los usuarios". Debe designar a un usuario o usuarios específicos. De manera similar, cuando especifica una sesión de rol asumido, no puede utilizar un comodín (*) para referirse a "todas las sesiones". Debe nombrar una sesión específica. Además, no puede utilizar un carácter comodín para buscar coincidencias con parte de un nombre o un ARN.
Para resolver este resultado, elimine el comodín y proporcione una entidad principal más específica.
Términos relacionados
Error — Falta tornapunta en la variable
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."
Resolver el error
La estructura de variables de política admite el uso de un prefijo $
seguido de un par de llaves ({ }
). Dentro de los caracteres ${ }
, incluya el nombre del valor de la solicitud que quiere utilizar en la política.
Para resolver este resultado, añada la clave faltante para asegurarse de que el conjunto completo de claves de apertura y cierre esté presente.
Términos relacionados
Error: falta comilla en la variable
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."
Resolver el error
Cuando agrega una variable a la política, puede especificar un valor predeterminado para la variable. Si no hay una variable, AWS utiliza el texto predeterminado que proporcione.
Para agregar un valor predeterminado a una variable, rodee el valor predeterminado entre comillas simples (' '
), y separe el texto de la variable y el valor predeterminado con una coma y un espacio (,
).
Por ejemplo, si una entidad principal está etiquetada con team=yellow
, pueden acceder al bucket de Amazon S3 amzn-s3-demo-bucket
con el nombre amzn-s3-demo-bucket-yellow
. Una política con este recurso podría permitir a los miembros del equipo acceder a sus propios recursos, pero no a los de otros equipos. Para los usuarios sin etiquetas de equipo, puede establecer un valor predeterminado de company-wide
. Estos usuarios solo pueden acceder al bucket de amzn-s3-demo-bucket-company-wide
en el que pueden ver información amplia, como instrucciones para unirse a un equipo.
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-
${aws:PrincipalTag/team, 'company-wide
'}"
Términos relacionados
Error: espacio no admitido en la variable
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "A space is not supported within the policy variable text. Remove the space."
Resolver el error
La estructura de variables de política admite el uso de un prefijo $
seguido de un par de llaves ({ }
). Dentro de los caracteres ${ }
, incluya el nombre del valor de la solicitud que quiere utilizar en la política. Aunque puede incluir un espacio al especificar una variable predeterminada, no puede incluir un espacio en el nombre de la variable.
Términos relacionados
Error: variable vacía
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."
Resolver el error
La estructura de variables de política admite el uso de un prefijo $
seguido de un par de llaves ({ }
). Dentro de los caracteres ${ }
, incluya el nombre del valor de la solicitud que quiere utilizar en la política.
Términos relacionados
Error: variable no admitida en el elemento
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."
Resolver el error
Puede utilizar variables de política en el elemento Resource
y en la comparación de cadenas en el elemento Condition
.
Términos relacionados
Error — Variable no admitida en la versión
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."
Resolver el error
Para poder utilizar las variables de políticas, debe incluir el elemento Version
y establecerlo en una versión que admita las variables de la política. Variables se introdujeron en la versión 2012-10-17
. Las versiones anteriores del lenguaje de políticas no son compatibles con las variables de políticas. Si no establece Version
a 2012-10-17
o posterior, las variables como ${aws:username}
se tratan como cadenas literales en la política.
El elemento de política Version
es diferente de la versión de una política. El elemento de política Version
se utiliza en una política y define la versión del lenguaje de la política. Una versión de política, se crea al cambiar una política administrada por el cliente en IAM. La política modificada no anula la política existente. En cambio, IAM crea una nueva versión de la política administrada.
Términos relacionados
Error: dirección IP privada
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."
Resolver el error
La clave de condición global aws:SourceIp
solo funciona para rangos de direcciones IP públicas. Recibe este error cuando su política solo permite direcciones IP privadas. En este caso, la condición nunca coincidiría.
Error — Dirección de notificación privada
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."
Resolver el error
La clave de condición global aws:SourceIp
solo funciona para rangos de direcciones IP públicas. Recibirá este error cuando utilice el operador de condición NotIpAddress
y enumere solo las direcciones IP privadas. En este caso, la condición siempre coincidiría y sería ineficaz.
Error: el tamaño de la política supera la cuota de SCP
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."
Resolver el error
Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en elementos Action
o NotAction
. Sin embargo, estos valores pueden incluir comodines (*) solo al final de la cadena. Esto significa que puede especificar iam:Get*
pero no iam:*role
.
Para especificar varias acciones, AWS recomienda que los enumere individualmente.
Términos relacionados
Error: formato principal de servicio no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."
Resolver el error
El valor del par clave-valor de condición debe coincidir con un formato de entidad principal de servicio definido.
Un principal de servicio es un identificador que se utiliza para conceder permisos a un servicio. Puede especificar una entidad principal en el elemento Principal
o como un valor de algunas claves de condición globales y claves específicas del servicio. El servicio define la entidad principal de cada servicio.
El identificador de una entidad principal de servicio incluye el nombre del servicio y suele tener el siguiente formato en letras minúsculas:
service-name
.amazonaws.com
Algunas claves específicas de servicio pueden utilizar un formato diferente para las entidades de servicio. Por ejemplo, la clave de condición kms:ViaService
requiere el siguiente formato para las entidades principales de servicio en letras minúsculas:
service-name.AWS_region
.amazonaws.com
Términos relacionados
Error – Falta la clave de etiqueta en la condición
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."
Resolver el error
Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política.
Por ejemplo, para Controlar del acceso a recursos AWS, usted incluye la clave de condición de aws:ResourceTag
. Esta clave requiere el formato aws:ResourceTag/
. Para especificar la clave de etiqueta tag-key
owner
y el valor de la etiqueta JaneDoe
en una condición, utilice el formato siguiente.
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}
Términos relacionados
Error: formato vpc no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."
Resolver el error
La clave de condición aws:SourceVpc
debe utilizar el prefijo vpc-
seguido de 8 o 17 caracteres alfanuméricos, por ejemplo, vpc-11223344556677889
o vpc-12345678
.
Términos relacionados
Error: formato vpce no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."
Resolver el error
La clave de condición aws:SourceVpce
debe utilizar el prefijo vpce-
seguido de 8 o 17 caracteres alfanuméricos, por ejemplo, vpce-11223344556677889
o vpce-12345678
.
Términos relacionados
Error: no se admite la entidad principal federada
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."
Resolver el error
El elemento Principal
utiliza entidad principales federadas para políticas de confianza asociadas a roles de IAM con el fin de proporcionar acceso a través de la federación de identidades. Las políticas de identidad y otras políticas basadas en recursos no admiten un proveedor de identidad federada en el elemento Principal
. Por ejemplo, no puede utilizar una entidad principal SAML en una política de bucket de Amazon S3. Cambie el elemento Principal
a un tipo de entidad principal compatible.
Términos relacionados
Error: acción no admitida para la clave de condición
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."
Resolver el error
Asegúrese de que la clave de condición del elemento Condition
de la instrucción de política se aplique a todas las acciones del elemento Action
. Para asegurarse de que la política permite o deniega efectivamente las acciones especificadas, debe mover las acciones no admitidas a otra instrucción sin la clave de condición.
nota
Si el elemento Action
tiene acciones con comodines, el Analizador de acceso de IAM no evalúa esas acciones para este error.
Términos relacionados
Error: acción no admitida en la política
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."
Resolver el error
Algunas acciones no se admiten en el elemento Action
de la política basada en recursos asociada a otro tipo de recurso. Por ejemplo, las acciones de AWS Key Management Service no son compatibles con las políticas de bucket de Amazon S3. Especifique una acción compatible con el tipo de recurso adjunto a la política basada en recursos.
Términos relacionados
Error: ARN de recurso no admitido en la política
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."
Resolver el error
Algunos ARN de recursos no se admiten en el elemento Resource
de la política basada en recursos cuando la política se asocia a otro tipo de recurso. Por ejemplo, los ARN de AWS KMS no son compatibles en el elemento Resource
con las políticas de bucket de Amazon S3. Especifique un ARN de recurso compatible con un tipo de recurso asociado a la política basada en recursos.
Términos relacionados
Error: clave de condición no admitida para la entidad principal de servicio
En el AWS Management Console, el resultado de esta comprobación incluye el siguiente mensaje:
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."
Resolver el error
Puede especificar Servicios de AWS en el elemento Principal
de una política basada en recursos mediante una entidad principal de servicio, que es un identificador del servicio. No puede utilizar algunas claves de condición con ciertas entidades principales de servicio. Por ejemplo, no puede utilizar la clave de condición aws:PrincipalOrgID
con la entidad principal de servicio cloudfront.amazonaws.com
. Debe eliminar las claves de condición que no se aplican a la entidad principal de servicio en el elemento Principal
.
Términos relacionados
Error: error de sintaxis de la política de confianza del rol notprincipal
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."
Resolver el error
Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Las políticas de confianza de rol no admite NotPrincipal
. Actualice la política para utilizar un elemento Principal
en su lugar.
Términos relacionados
Error: la política de confianza del rol no admite comodines en la entidad principal
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."
Resolver el error
Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) pueden asumir el rol. "Principal:" "*"
no se admite en el elemento Principal
de una política de confianza de rol. Sustituir el comodín por un valor válido de entidad principal.
Términos relacionados
Error: recurso de error de sintaxis de la política de confianza
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."
Resolver el error
Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Las políticas de confianza de los roles se aplican al rol al que están vinculadas. No se puede especificar un Resource
o un elemento NotResource
en una política de confianza de rol. Elimine el Resource
o el elemento NotResource
.
Error: discrepancia de tipo de rango de IP
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."
Resolver el error
Actualice el texto para utilizar el tipo de datos del operador de condición de dirección IP, en un formato CIDR.
Términos relacionados
Error: falta acción para la clave de condición
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."
Resolver el error
La clave de condición del elemento Condition
de la declaración de política no se evalúa a menos que la acción especificada esté en elemento Action
. Para garantizar que las claves de condición que especifique sean efectivamente permitidas o denegadas por su política, añada la acción al elemento Action
.
Términos relacionados
Error: sintaxis de la entidad principal federada no válida en la política de confianza del rol
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."
Resolver el error
El valor de la entidad principal especifica una entidad principal federada que no coincide con el formato esperado. Actualice el formato de la entidad principal federada a un nombre de dominio válido o a un ARN de metadatos SAML.
Términos relacionados
Error: acción incorrecta para la entidad principal
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."
Resolver el error
La acción especificada en el elemento Action
de la declaración de la política no es válida para la entidad principal especificada en el elemento Principal
. Por ejemplo, no se puede utilizar una entidad principal del proveedor SAML para la acción sts:AssumeRoleWithWebIdentity
. Debe utilizar una entidad principal de proveedor SAML con la acción sts:AssumeRoleWithSAML
o utilizar una entidad principal de proveedor OIDC con la acción sts:AssumeRoleWithWebIdentity
.
Términos relacionados
Error: falta una acción para la política de confianza de funciones en cualquier lugar
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."
Resolver el error
Para que Funciones de IAM en cualquier lugar pueda asumir un rol y suministrar credenciales AWS temporales, el rol debe confiar en la entidad principal del servicio Funciones de IAM en cualquier lugar. La entidad principal del servicio Funciones de IAM en cualquier lugar requiere el sts:AssumeRole
, sts:SetSourceIdentity
, y los permisos sts:TagSession
para asumir un rol. Si falta alguno de los permisos, debe añadirlo a la política.
Términos relacionados
Advertencia general: crear SLR con NotResource
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."
Resolver la advertencia general
La acción iam:CreateServiceLinkedRole
otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar iam:CreateServiceLinkedRole
en una política con el elemento NotResource
se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento Resource
.
Advertencia general — Crear SLR con estrella en acción y NotResource
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
Resolver la advertencia general
La acción iam:CreateServiceLinkedRole
otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Las políticas con un carácter comodín (*) en el Action
y que incluyen el elemento NotResource
pueden permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento Resource
.
Advertencia general: crear SLR con NotAction y NotResource
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
Resolver la advertencia general
La acción iam:CreateServiceLinkedRole
otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar el elemento NotAction
con el elemento NotResource
se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, que vuelva a escribir la política para permitir iam:CreateServiceLinkedRole
en una lista limitada de ARN en el elemento Resource
. También puede agregar iam:CreateServiceLinkedRole
al elemento NotAction
.
Advertencia general: crea SLR con estrella en el recurso
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."
Resolver la advertencia general
La acción iam:CreateServiceLinkedRole
otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar iam:CreateServiceLinkedRole
en una política con un comodín (*) en el elemento Resource
se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento Resource
.
AWS políticas administradas con esta advertencia general
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Algunos de esos casos de uso son para usuarios avanzados de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de usuarios avanzados y otorgan permisos para crear roles vinculados al servicio para cualquier servicio de AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere usuarios avanzados.
AWSOrganizationsServiceTrustPolicy
— Esta política administrada de AWS proporciona permisos para su uso por parte del rol vinculado al servicio de AWS Organizations. Esta función permite a las Organizations a crear roles vinculados a servicios adicionales para otros servicios en su organización AWS.
Advertencia general: cree SLR con estrella en acción y recurso
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
Resolver la advertencia general
La acción iam:CreateServiceLinkedRole
otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Las políticas con un carácter comodín (*) en los elementos Action
y Resource
pueden permitir la creación de roles vinculados a servicios no deseados para varios recursos. Esto permite crear un rol vinculado al servicio cuando especifica "Action": "*"
, "Action": "iam:*"
, o "Action": "iam:Create*"
. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource
.
AWS políticas administradas con esta advertencia general
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Algunos de esos casos de uso son para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para crear roles vinculados al servicio para cualquier servicio de AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.
Advertencia general — Crear SLR con estrella en el recurso y NotAction
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."
Resolver la advertencia general
La acción iam:CreateServiceLinkedRole
otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar el elemento NotAction
en una política con un carácter comodín (*) en el elemento Resource
puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. En su lugar, AWS recomienda que usted especifique los ARN permitidos en el elemento Resource
. También puede agregar iam:CreateServiceLinkedRole
al elemento NotAction
.
Advertencia general: clave de condición global obsoleta
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."
Resolver la advertencia general
La política incluye una clave de condición global obsoleta. Actualice la clave de condición en el par clave-valor de condición para utilizar una clave de condición global compatible.
Advertencia general: valor de fecha no válido
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."
Resolver la advertencia general
El tiempo de Unix Epoch describe un punto en el tiempo que ha transcurrido desde el 1 de enero de 1970, menos segundos bisiestos. Es posible que el tiempo de la fecha de inicio no se resuelva a la hora exacta que espera. AWS recomienda utilizar el estándar W3C para formatos de fecha y hora. Por ejemplo, podría especificar una fecha completa, como AAAA-MM-DD (1997-07-16), o también podría anexar la hora al segundo, como AAAA-MM-DDThh:mm:ssTZD (1997-07-16T19:20:30+01:00).
Advertencia general: referencia de rol no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."
Resolver la advertencia general
AWS le recomienda que especifique el Nombre de recurso de Amazon (ARN) para un rol de IAM en lugar de su ID principal. Cuando IAM guarda la política, transformará el ARN en el ID principal del rol existente. AWS incluye una precaución de seguridad. Si alguien elimina y vuelve a crear el rol, tendrá un nuevo ID y la política no coincidirá con el ID del nuevo rol.
Advertencia general: referencia de usuario no válida
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."
Resolver la advertencia general
AWS le recomienda que especifique el Nombre de recurso de Amazon (ARN) para un usuario de IAM en lugar de su ID principal. Cuando IAM guarda la política, transformará el ARN en el ID principal del usuario existente. AWS incluye una precaución de seguridad. Si alguien elimina y vuelve a crear el usuario, tendrá un nuevo ID y la política no coincidirá con el ID del nuevo usuario.
Advertencia general: falta la versión
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."
Resolver la advertencia general
AWS le recomienda que incluya el parámetro Version
opcional en su política. Si no incluye un elemento Version, el sistema toma de forma predeterminada el valor 2012-10-17
, pero las características más recientes, como, por ejemplo, variables de política, no funcionarán con su política. Por ejemplo, las variables del tipo ${aws:username}
no se reconocerán como variables y se tratarán en la política como si fueran cadenas literales.
Advertencia general: se recomiendan Sids únicos
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."
Resolver la advertencia general
AWS recomienda que utilice ID de instrucciones únicos. El elemento Sid
(ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de ID de instrucción a cada instrucción de una matriz de instrucciones utilizando el elemento SID
.
Términos relacionados
Advertencia general: comodín sin operador
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."
Resolver la advertencia general
La estructura del elemento Condition
requiere que utilice un operador de condición y un par clave-valor. Cuando se especifica un valor de condición que utiliza un comodín (*, ?), debe utilizar la versión Like
del operador de condición. Por ejemplo, en lugar del operador de condición de cadena StringEquals
, debe utilizar StringLike
.
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}
AWS políticas administradas con esta advertencia general
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Las siguientes políticas administradas AWS incluyen comodines en su valor de condición sin un operador de condición que incluya Like
para la coincidencia de patrones. Cuando se utiliza la política administrada AWS como referencia para crear su política administrada por el cliente, AWS recomienda que utilice un operador de condición que admita la coincidencia de patrones con comodines (*, ?), como por ejemplo, StringLike
.
Advertencia general: el tamaño de la política supera la cuota de identidad de la política
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."
Resolver la advertencia general
Puede adjuntar hasta 10 políticas administradas a una identidad de IAM (usuario, grupo de usuarios o rol). Sin embargo, cada política administrada no puede exceder la cuota predeterminada de 6144 caracteres. IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a esta limitación. Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de AWS.
Además, puede agregar tantas políticas insertadas como quiera a una identidad de IAM. Sin embargo, el tamaño de todas las políticas insertadas por identidad no puede superar la cuota especificada.
Si la política es mayor que la cuota, puede organizar la política en varias instrucciones y agruparlas en varias políticas.
Términos relacionados
AWS políticas administradas con esta advertencia general
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Los siguientes ejemplos de las políticas administradas de AWS otorgan permisos a acciones en muchos servicios AWS y exceden el tamaño máximo de la política. Cuando se utiliza la política administrada de AWS como referencia para crear la política administrada, debe dividir la política en varias políticas.
Advertencia general: el tamaño de la política supera la cuota de la política
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."
Resolver la advertencia general
Las políticas basadas en recursos son documentos de política JSON que puede asociar a un recurso, como, por ejemplo, un bucket de Amazon S3. Estas políticas conceden a la entidad principal especificada permiso para ejecutar acciones concretas en el recurso y definen en qué condiciones son aplicables. El tamaño de las políticas basadas en recursos no puede superar la cuota establecida para ese recurso. Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de AWS.
Si la política es mayor que la cuota, puede organizar la política en varias instrucciones y agruparlas en varias políticas.
Términos relacionados
Advertencia general: no coinciden los tipos
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."
Resolver la advertencia general
Actualice el texto para utilizar el tipo de datos del operador de condición admitido.
Por ejemplo, la clave de condición global aws:MultiFactorAuthPresent
requiere un operador de condición con el tipo de datos Boolean
. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.
Términos relacionados
Advertencia general: discrepancia de tipo y booleano
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."
Resolver la advertencia general
Actualice el texto para utilizar un tipo de datos de operador de condición booleana, como true
o false
.
Por ejemplo, la clave de condición global aws:MultiFactorAuthPresent
requiere un operador de condición con el tipo de datos Boolean
. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.
Términos relacionados
Advertencia general: discrepancia de tipo y fecha
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."
Resolver la advertencia general
Actualice el texto para utilizar el tipo de datos del operador de condición de fecha, en un YYYY-MM-DD
u otro formato de fecha y hora ISO 8601.
Términos relacionados
Advertencia general: discrepancia de tipo y número
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."
Resolver la advertencia general
Actualice el texto para utilizar el tipo de datos del operador de condición numérica.
Términos relacionados
Advertencia general: discrepancia de tipo y cadena
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."
Resolver la advertencia general
Actualice el texto para utilizar el tipo de datos del operador de condición de cadena.
Términos relacionados
Advertencia general: Se recomienda un repositorio y una ramificación de github específicos
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."
Resolver la advertencia general
Si usa GitHub como un IdP de OIDC, la práctica recomendada es limitar las entidades que pueden asumir el rol asociado con el IdP de IAM. Al incluir una declaración Condition
en una política de confianza de rol, puede limitar el rol a una organización, repositorio o ramificación específica de GitHub. Puede utilizar la clave de condición token.actions.githubusercontent.com:sub
para limitar el acceso. Le recomendamos que limite la condición a un conjunto específico de repositorios o ramas. Si utiliza un comodín (*
) en token.actions.githubusercontent.com:sub
, las Acciones de GitHub de organizaciones o repositorios ajenos a su control podrán asumir los roles asociados al IdP de IAM de GitHub en su cuenta de AWS.
Términos relacionados
Advertencia general: el tamaño de la política supera la cuota de la política de confianza del rol
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."
Resolver la advertencia general
IAM y AWS STS tienen cuotas que limitan el tamaño de las políticas de confianza de rol. Los caracteres de la política de confianza del rol, excluyendo los espacios en blanco, exceden el máximo de caracteres. Le recomendamos que solicite un aumento de la cuota de longitud de la política de confianza mediante Service Quotas y AWS Support Center Console.
Términos relacionados
Advertencia de seguridad: Permitir con NotPrincipal
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."
Resolución de la advertencia de seguridad
El uso de "Effect": "Allow"
con el NotPrincipal
puede ser demasiado permisivo. Por ejemplo, esto puede conceder permisos a entidades principales anónimas. AWS recomienda especificar entidades principales a las que se necesita acceso mediante los elementos Principal
. Alternativamente, puede permitir un acceso amplio y, a continuación, agregar otra instrucción que utilice el elemento NotPrincipal
con “Effect”: “Deny”
.
Advertencia de seguridad: ForAllValues con clave de valor único
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."
Resolución de la advertencia de seguridad
AWS recomienda que utilice la opción ForAllValues
solo con condiciones multivalor. El operador de configuración ForAllValues
prueba si el valor de cada miembro del conjunto de solicitudes es un subconjunto del conjunto de claves de condición. La condición devuelve true si cada valor de clave de la solicitud coincide con al menos un valor de la política. También devuelve true si no hay claves en la solicitud o si los valores de clave se resuelven en un conjunto de datos nulo, como una cadena vacía.
Para saber si una condición admite un único valor o varios valores, revise la página de Acciones, recursos y claves de condición del servicio. Las claves de condición con el prefijo de tipo de datos ArrayOf
son claves de condición multivalor. Por ejemplo, Amazon SES admite claves con valores únicos (String
) y el tipo de datos multivalor ArrayOfString
.
Advertencia de seguridad: rol de pase con NotResource
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
Resolución de la advertencia de seguridad
Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole
a una identidad (usuario, grupo de usuarios o rol). Uso de iam:PassRole
en una política con el elemento NotResource
puede permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource
. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService
.
Advertencia de seguridad: rol de pase con estrella en acción y NotResource
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."
Resolución de la advertencia de seguridad
Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole
a una identidad (usuario, grupo de usuarios o rol). Las políticas con un carácter comodín (*) en el campo Action
y que incluyen el elemento NotResource
pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource
. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService
.
Advertencia de seguridad: rol de pase con NotAction y NotResource
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."
Resolución de la advertencia de seguridad
Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole
a una identidad (usuario, grupo de usuarios o rol). El uso del elemento NotAction
y listar algunos recursos en el elemento NotResource
puede permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource
. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService
.
Advertencia de seguridad: rol de pase con estrella en el recurso
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
Resolución de la advertencia de seguridad
Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole
a una identidad (usuario, grupo de usuarios o rol). Las políticas que permiten iam:PassRole
y que incluyen un carácter comodín (*) en el elemento Resource
pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource
. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService
.
Algunos servicios AWS incluyen su espacio de nombres de servicio en el nombre de su rol. Esta verificación de políticas tiene en cuenta estas convenciones al analizar la política para generar resultados. Por ejemplo, es posible que el siguiente ARN de recurso no genere un resultado:
arn:aws:iam::*:role/Service*
Políticas administradas AWS con esta advertencia de seguridad
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Uno de esos casos de uso es para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para pasar cualquier rol de IAM a cualquier servicio. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.
Los siguientes ejemplos de políticas administradas AWS incluyen permisos para iam:PassRole
con un carácter comodín (*) en el recurso y se encuentran en una ruta de obsolescencia. Para cada una de estas políticas, actualizamos la guía de permisos, como recomendar una nueva política administrada AWS que admite el caso de uso. Para ver las alternativas a estas políticas, consulte las guías de cada servicio.
AmazonWebServiceElasticBeanstalkFullAccess
AWSElasticBeanstalkService
AWSLambdaFullAccess
AWSLambdaReadOnlyAccess
AWSOpsWorksFullAccess
AWSOpsWorksRole
AWSDataPipelineRole
AmazonDynamoDBFullAccesswithDataPipeline
AmazonElasticMapReduceFullAccess
AmazonDynamoDBFullAccesswithDataPipeline
AmazonEC2ContainerServiceFullAccess
Los siguientes ejemplos de políticas administradas AWS proporcionan permisos solo para roles vinculados al servicio, que permiten servicios AWS para realizar acciones en su nombre. No puede adjuntar estas políticas a sus identidades de IAM.
Advertencia de seguridad: rol de pase con estrella en la acción y el recurso
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
Resolución de la advertencia de seguridad
Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole
a una identidad (usuario, grupo de usuarios o rol). Las políticas con un carácter comodín (*) en Action
y los elementos Resource
pueden permitir que las entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource
. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService
.
Políticas administradas AWS con esta advertencia de seguridad
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Algunos de esos casos de uso son para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para pasar cualquier rol de IAM a cualquier servicio AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.
Advertencia de seguridad: rol de pase con estrella en recurso y NotAction
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."
Resolución de la advertencia de seguridad
Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole
a una identidad (usuario, grupo de usuarios o rol). El uso del elemento NotAction
en una política con un carácter comodín (*) en el elemento Resource
pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource
. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService
.
Advertencia de seguridad: faltan las claves de condición emparejadas
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."
Resolución de la advertencia de seguridad
Algunas claves de condición son más seguras cuando se las empareja con otras claves de condición relacionadas. AWS recomienda incluir las claves de condición relacionadas en el mismo bloque de condición que la clave de condición existente. Esto hace que los permisos otorgados a través de la política sean más seguros.
Por ejemplo, puede utilizar la clave de condición aws:VpcSourceIp
para comparar la dirección IP desde la que se realizó una solicitud con la dirección IP que ha especificado en la política. AWS recomienda que agregue la clave de condición de aws:SourceVPC
. Esto comprueba si la solicitud proviene de la VPC que especifique en la política y la dirección IP que especifique.
Términos relacionados
Advertencia de seguridad: denegar con clave de condición de etiqueta no admitida para el servicio
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."
Resolución de la advertencia de seguridad
El uso de claves de condición de etiqueta no compatibles en el elemento Condition
de una política con "Effect": "Deny"
puede ser excesivamente permisiva, porque la condición se ignora para ese servicio. AWSrecomienda quitar las acciones de servicio que no admiten la clave de condición y crear otra instrucción para denegar el acceso a recursos específicos para esas acciones.
Si utiliza la clave de condición aws:ResourceTag
y no es compatible con una acción de servicio, entonces la clave no se incluye en el contexto de solicitud. En este caso, la condición en el campo Deny
siempre devuelve false
y la acción nunca se deniega. Esto sucede incluso si el recurso está etiquetado correctamente.
Cuando un servicio admite la clave de condición aws:ResourceTag
puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como control de acceso basado en atributos (ABAC). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante Control de acceso basado en recursos (RBAC).
nota
Algunos servicios permiten el soporte para la clave de condición aws:ResourceTag
para un subconjunto de sus recursos y acciones. El Analizador de acceso de IAM devuelve los resultados de las acciones de servicio que no se admiten. Por ejemplo, Amazon S3 admite aws:ResourceTag
para un subconjunto de sus recursos. Para consultar todos los tipos de recursos disponibles en Amazon S3 que admiten la clave de condición aws:ResourceTag
, consulte Tipos de recurso definidos por Amazon S3 en la Referencia de autorizaciones de servicio.
Por ejemplo, supongamos que desea denegar el acceso para desetiquetar recursos específicos que están etiquetados con el par de clave-valor status=Confidential
. También supongamos también que AWS Lambda le permite etiquetar y desetiquetar recursos, pero no admite la clave de condición aws:ResourceTag
. Para denegar las acciones de eliminación para AWS App Mesh y AWS Backup si esta etiqueta está presente, utilice la clave de condición aws:ResourceTag
. Para Lambda, utilice una convención de nomenclatura de recursos que incluya el prefijo "Confidential"
. A continuación, incluya una instrucción separada que impida eliminar recursos con esa convención de nomenclatura.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteSupported",
"Effect": "Deny",
"Action": [
"appmesh:DeleteMesh",
"backup:DeleteBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/status
": "Confidential
"
}
}
},
{
"Sid": "DenyDeleteUnsupported",
"Effect": "Deny",
"Action": "lambda:DeleteFunction",
"Resource": "arn:aws:lambda:*
:123456789012
:function:status-Confidential*
"
}
]
}
aviso
No utilice la versión ...IfExists del operador de condición como solución alternativa para este resultado. Esto significa «Denegar la acción si la clave está presente en el contexto de la solicitud y los valores coinciden. De lo contrario, deniegue la acción». En el ejemplo anterior, incluida la acción lambda:DeleteFunction
en la declaración DenyDeleteSupported
con el operador StringEqualsIfExists
siempre deniega la acción. Para esa acción, la clave no está presente en el contexto y todos los intentos de eliminar ese tipo de recurso se deniegan, independientemente de si el recurso está etiquetado.
Términos relacionados
Advertencia de seguridad: denegar NotAction con clave de condición de etiqueta no compatible para el servicio
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
Resolución de la advertencia de seguridad
El uso de claves de condición de etiqueta en el Condition
elemento de una política con el elemento NotAction
y "Effect": "Deny"
puede ser demasiado permisivo. La condición se omite para las acciones de servicio que no admiten la clave de condición. AWS recomienda que vuelva a escribir la lógica para denegar una lista de acciones.
Si utiliza la clave de condición aws:ResourceTag
con NotAction
, no se deniega ninguna acción de servicio nueva o existente que no admita la clave. AWS le recomienda que indique explícitamente las acciones que desea denegar. el Analizador de acceso de IAM devuelve un resultado independiente para las acciones enumeradas que no admiten la clave de condición aws:ResourceTag
. Para obtener más información, consulte Advertencia de seguridad: denegar con clave de condición de etiqueta no admitida para el servicio.
Cuando un servicio admite la clave de condición aws:ResourceTag
puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como control de acceso basado en atributos (ABAC). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante Control de acceso basado en recursos (RBAC).
Términos relacionados
Advertencia de seguridad: restrinja el acceso a la entidad principal de servicio
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."
Resolución de la advertencia de seguridad
Puede especificar Servicios de AWS en el elemento Principal
de una política basada en recursos mediante una entidad principal de servicio, que es un identificador del servicio. Al conceder acceso a una entidad principal de servicio para que actúe en su nombre, restrinja el acceso. Puede evitar políticas excesivamente permisivas mediante las claves de condición aws:SourceArn
, aws:SourceAccount
, aws:SourceOrgID
o aws:SourceOrgPaths
para restringir el acceso a un origen específico, como un ARN de recurso específico, un ID de organización, Cuenta de AWS o rutas de organización. Restringir el acceso lo ayuda a evitar un problema de seguridad denominado problema del suplente confuso.
Términos relacionados
Advertencia de seguridad: falta la clave de condición para la entidad principal oidc
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."
Resolución de la advertencia de seguridad
El uso de una entidad principal de Open ID Connect sin una condición puede resultar excesivamente permisivo. Agregue claves de condición con un prefijo que coincida con sus entidades principales de OIDC federadas para garantizar que solo el proveedor de identidad previsto asuma el rol.
Términos relacionados
Advertencia de seguridad: falta la clave de condición del repositorio de github
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."
Resolución de la advertencia de seguridad
Si usa GitHub como un IdP de OIDC, la práctica recomendada es limitar las entidades que pueden asumir el rol asociado con el IdP de IAM. Al incluir una declaración Condition
en una política de confianza de rol, puede limitar el rol a una organización, repositorio o ramificación específica de GitHub. Puede utilizar la clave de condición token.actions.githubusercontent.com:sub
para limitar el acceso. Le recomendamos que limite la condición a un conjunto específico de repositorios o ramas. Si no incluye esta condición, GitHub Actions de organizaciones o repositorios fuera de su control pueden asumir roles asociados con el IdP de IAM de GitHub en su cuenta de AWS.
Términos relacionados
Sugerencia: acción de matriz vacía
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."
Resolución de la sugerencia
Las instrucciones deben incluir un elemento Action
o NotAction
que incluye un conjunto de acciones. Cuando el elemento está vacío, la instrucción de política no proporciona permisos. Especifique acciones en el elemento Action
Sugerencia: condición de matriz vacía
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."
Resolución de la sugerencia
La estructura del elemento Condition
opcional requiere que utilice un operador de condición y un par clave-valor. Cuando el valor de la condición está vacío, la condición devuelvetrue
y la declaración de política no proporciona permisos. Especifique un valor de condición.
Sugerencia: condición de matriz vacía ForAllValues
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
Resolución de la sugerencia
La estructura del elemento Condition
requiere que utilice un operador de condición y un par clave-valor. El operador de configuración ForAllValues
prueba si el valor de cada miembro del conjunto de solicitudes es un subconjunto del conjunto de claves de condición.
Cuando utiliza ForAllValues
con una clave de condición vacía, la condición coincide solo si no hay claves en la solicitud. En su lugar, AWSrecomienda que si desea probar si un contexto de solicitud está vacío, utilice el operador de condición Null
.
Sugerencia — Condición de matriz vacía ForAnyValue
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."
Resolución de la sugerencia
La estructura del elemento Condition
requiere que utilice un operador de condición y un par clave-valor. El operador de configuración ForAnyValues
prueba si al menos un miembro del conjunto de valores de la solicitud coincide con al menos un miembro del conjunto de valores de la clave de condición.
Cuando utiliza ForAnyValues
con una clave de condición vacía, la condición nunca coincide. Esto significa que la declaración no afecta a la política. AWSrecomienda que vuelva a escribir la condición.
Sugerencia: condición de matriz vacía IfExists
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."
Resolución de la sugerencia
El sufijo ...IfExists
edita un operador de condición. Significa que si la clave de la política está presente en el contexto de la solicitud, se debe procesar la clave según se indica en la política. Si la clave no está presente, el elemento de condición se evalúa en verdadero.
Cuando utiliza ...IfExists
con una clave de condición vacía, la condición coincide solo si no hay claves en la solicitud. En su lugar, AWSrecomienda que si desea probar si un contexto de solicitud está vacío, utilice el operador de condición Null
.
Sugerencia: entidad principal de matriz vacía
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
Resolución de la sugerencia
Debe utilizar el elemento Principal
o NotPrincipal
en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso.
Cuando proporciona una matriz vacía en el elemento Principal
, la instrucción no surte efecto en la política. AWS recomienda especificar las entidades principales que deben tener acceso al recurso.
Sugerencia — Recurso de matriz vacío
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."
Resolución de la sugerencia
Las instrucciones deben contener un elemento Resource
o NotResource
.
Cuando proporciona una matriz vacía en el elemento de recurso de una instrucción, la instrucción no tiene ningún efecto en la política. AWS recomienda que especifique los nombres de recurso de Amazon (ARN) para los recursos.
Sugerencia: condición de objeto vacío
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."
Resolución de la sugerencia
La estructura del elemento Condition
requiere que utilice un operador de condición y un par clave-valor.
Cuando se proporciona un objeto vacío en el elemento de condición de una instrucción, la instrucción no tiene ningún efecto en la política. Elimine el elemento opcional o especifique las condiciones.
Sugerencia: entidad principal de objeto vacío
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."
Resolución de la sugerencia
Debe utilizar el elemento Principal
o NotPrincipal
en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso.
Cuando proporciona un objeto vacío en el elemento Principal
, la instrucción no surte efecto en la política. AWS recomienda especificar las entidades principales que deben tener acceso al recurso.
Sugerencia: valor de Sid vacío
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Empty Sid value: Add a value to the empty string in the Sid element.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Add a value to the empty string in the Sid element."
Resolución de la sugerencia
El elemento opcional Sid
(ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de Sid
a cada instrucción de una matriz de instrucciones. Si opta por utilizar el elemento Sid
, debe proporcionar un valor de cadena.
Términos relacionados
Sugerencia: mejorar el rango IP
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."
Resolución de la sugerencia
Las condiciones de las direcciones IP deben tener el formato CIDR estándar, como 203.0.113.0/24 o 2001:DB8:1234:5678::/64. Cuando se incluyen bits distintos de cero después de los bits enmascarados, no se consideran para la condición. AWS recomienda que utilice la nueva dirección incluida en el mensaje.
Sugerencia: nulo con calificador
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."
Resolución de la sugerencia
En el elemento Condition
, se crean expresiones en las que se usan operadores de condición como igual o menor para comparar una condición en la política con relación a claves y valores en el contexto de la solicitud. Para las solicitudes que incluyen varios valores para una única clave de condición, debe utilizar los operadores de configuración ForAllValues
o ForAnyValue
.
Cuando utiliza el operador de condición Null
con ForAllValues
, la declaración siempre devuelve true
. Cuando utiliza el operador de condición Null
con ForAnyValue
, la declaración siempre devuelve false
. AWS recomienda que utilice la condición StringLike
con estos operadores de conjunto.
Términos relacionados
Sugerencia: subconjunto de direcciones IP privada
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
Resolución de la sugerencia
La clave de condición global aws:SourceIp
solo funciona para rangos de direcciones IP públicas.
Cuando su elemento Condition
incluye una mezcla de direcciones IP privadas y públicas, la declaración puede no tener el efecto deseado. Usted puede especificar direcciones IP privadas utilizando aws:VpcSourceIP
.
nota
La clave de condición global aws:VpcSourceIP
coincide solo si la solicitud proviene de la dirección IP especificada y pasa a través de un punto de enlace de la VPC.
Sugerencia: subconjunto NotIpAddress privado
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."
Resolución de la sugerencia
La clave de condición global aws:SourceIp
solo funciona para rangos de direcciones IP públicas.
Cuando su elemento Condition
incluye el operador de condición NotIpAddress
y una combinación de direcciones IP privadas y públicas, es posible que la declaración no tenga el efecto deseado. Todas las direcciones IP públicas que no se especifican en la política coincidirán. Ninguna dirección IP privada coincidirá. Para lograr este efecto, puede utilizar NotIpAddress
con aws:VpcSourceIP
y especificar las direcciones IP privadas que no deben coincidir.
Sugerencia: acción redundante
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."
Resolución de la sugerencia
Cuando utiliza comodines (*) en el elemento Action
, puede incluir permisos redundantes. AWS recomienda que revise su política e incluya únicamente los permisos que necesite. Esto puede ayudarle a eliminar acciones redundantes.
Por ejemplo, las siguientes acciones incluyen la acción iam:GetCredentialReport
dos veces.
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],
En este ejemplo, se definen los permisos para todas las acciones de IAM que comienzan con Get
o List
. Cuando IAM agrega operaciones adicionales para obtener o listar, esta política las permitirá. Es posible que desee permitir todas estas acciones de solo lectura. Laiam:GetCredentialReport
La acción ya está incluida como parte deiam:Get*
. Para quitar los permisos duplicados, puede quitar iam:GetCredentialReport
.
Recibirá un resultado para esta comprobación de política cuando todo el contenido de una acción es redundante. En este ejemplo, si el elemento incluye iam:*CredentialReport
, no se considera redundante. Eso incluye iam:GetCredentialReport
, que es redundante, y iam:GenerateCredentialReport
, que no lo es. Al eliminar iam:Get*
o iam:*CredentialReport
se cambiarían los permisos de la política.
Políticas administradas AWS con esta sugerencia
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Las acciones redundantes no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada de AWS como referencia para crear su política administrada, AWS recomienda que elimine las acciones redundantes de su política.
Sugerencia: número de valor de condición redundante
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."
Resolución de la sugerencia
Cuando utiliza operadores de condición numérica para valores similares en una clave de condición, puede crear una superposición que dé como resultado permisos redundantes.
Por ejemplo, el siguiente elemento Condition
incluye varias condiciones aws:MultiFactorAuthAge
que tienen una superposición de edad de 1200 segundos.
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}
En este ejemplo, los permisos se definen si la autenticación multifactor (MFA) se completó hace menos de 3600 segundos (1 hora). Podría eliminar el valor 2700
redundante.
Sugerencia: recurso redundante
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"
Resolución de la sugerencia
Cuando utiliza caracteres comodín (*) en nombres de recurso de Amazon (ARN), puede crear permisos de recursos redundantes.
Por ejemplo, el siguiente elemento Resource
incluye varios ARN con permisos redundantes.
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],
En este ejemplo, se definen los permisos para cualquier rol con un nombre que comience con jane
. Podría eliminar el jane-admin
redundante y los jane-s3only
ARN sin cambiar los permisos resultantes. Esto hace que la política sea dinámica. Definirá permisos para cualquier rol futuro que comience con jane
. Si la intención de la política es permitir el acceso a un número estático de roles, elimine el último ARN y enumere solo los ARN que deben definirse.
Políticas administradas AWS con esta sugerencia
AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.
Los recursos redundantes no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada AWS como referencia para crear su política gestionada por el cliente, AWS recomienda quitar recursos redundantes de la política.
Sugerencia: instrucción redundante
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."
Resolución de la sugerencia
El elemento Statement
es el elemento principal de una política. Este elemento es obligatorio. El elemento Statement
puede contener una sola instrucción o una matriz de instrucciones individuales.
Cuando se incluye la misma instrucción más de una vez en una política larga, las instrucciones son redundantes. Puede quitar una de las instrucciones sin afectar a los permisos otorgados por la política. Cuando alguien edita una política, puede cambiar una de las instrucciones sin actualizar el duplicado. Esto podría provocar más permisos de los que se pretendía.
Sugerencia: comodín en el nombre del servicio
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."
Resolución de la sugerencia
Cuando se incluye el nombre de un servicio AWS en una política, AWSrecomienda no incluir caracteres comodín (*, ?). Esto podría agregar permisos para futuros servicios que no tiene intención. Por ejemplo, hay más de una docena de servicios AWS con la palabra *code*
en su nombre.
"Resource": "arn:aws:*code*::111122223333:*"
Sugerencia: permitir con clave de condición de etiqueta no compatible para el servicio
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."
Resolución de la sugerencia
El uso de claves de condición de etiqueta no compatibles en el elemento Condition
de una política con "Effect": "Allow"
no afecta los permisos otorgados por la política, porque la condición se ignora para ese servicio. AWS recomienda quitar las acciones de servicio que no admiten la clave de condición y crear otra instrucción para permitir el acceso a recursos específicos en ese servicio.
Si utiliza la clave de condición aws:ResourceTag
y no es compatible con una acción de servicio, entonces la clave no se incluye en el contexto de solicitud. En este caso, la condición en el campo Allow
siempre devuelve false
y la acción nunca está permitida. Esto sucede incluso si el recurso está etiquetado correctamente.
Cuando un servicio admite la clave de condición aws:ResourceTag
puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como control de acceso basado en atributos (ABAC). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante Control de acceso basado en recursos (RBAC).
nota
Algunos servicios permiten el soporte para la clave de condición aws:ResourceTag
para un subconjunto de sus recursos y acciones. El Analizador de acceso de IAM devuelve los resultados de las acciones de servicio que no se admiten. Por ejemplo, Amazon S3 admite aws:ResourceTag
para un subconjunto de sus recursos. Para consultar todos los tipos de recursos disponibles en Amazon S3 que admiten la clave de condición aws:ResourceTag
, consulte Tipos de recurso definidos por Amazon S3 en la Referencia de autorizaciones de servicio.
Por ejemplo, suponga que desea permitir que los miembros del equipo vean los detalles de recursos específicos etiquetados con el par clave-valor team=BumbleBee
. También supongamos también que AWS Lambda le permite etiquetar recursos, pero no admite la clave de condición aws:ResourceTag
. Para permitir la visualización de acciones para AWS App Mesh y AWS Backup si esta etiqueta está presente, utilice la clave de condición aws:ResourceTag
. Para Lambda, utilice una convención de nomenclatura de recursos que incluya el nombre del equipo como prefijo. A continuación, incluya una instrucción separada que permita ver recursos con esa convención de nomenclatura.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewSupported",
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"backup:GetBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team
": "BumbleBee
"
}
}
},
{
"Sid": "AllowViewUnsupported",
"Effect": "Allow",
"Action": "lambda:GetFunction",
"Resource": "arn:aws:lambda:*
:123456789012
:function:team-BumbleBee*
"
}
]
}
aviso
No utilice la versión Not del operador de condición con "Effect": "Allow"
como solución alternativa para este resultado. Estos operadores de condición proporcionan coincidencia denegada. Esto significa que después de que se evalúa la condición, el resultado es negado. En el ejemplo anterior, incluida la acción lambda:GetFunction
en la instrucción AllowViewSupported
con el operador StringNotEquals
siempre permite la acción, independientemente de si el recurso está etiquetado.
No utilice la versión ...IfExists del operador de condición como solución alternativa para este resultado. Esto significa “Permitir la acción si la clave está presente en el contexto de la solicitud y los valores coinciden. De lo contrario, permita la acción”. En el ejemplo anterior, incluida la acción lambda:GetFunction
en la declaración AllowViewSupported
con el operador StringEqualsIfExists
siempre permite la acción. Para esa acción, la clave no está presente en el contexto y se permite cada intento de ver ese tipo de recurso, independientemente de si el recurso está etiquetado.
Términos relacionados
Sugerencia: permitir NotAction con clave de condición de etiqueta no compatible para el servicio
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."
Resolución de la sugerencia
El uso de claves de condición de etiqueta no compatibles en el elemento Condition
de una política con el elemento NotAction
y "Effect": "Allow"
no afecta a los permisos concedidos por la política. La condición se omite para las acciones de servicio que no admiten la clave de condición. AWS recomienda que vuelva a escribir la lógica para admitir una lista de acciones.
Si utiliza la clave de condición aws:ResourceTag
con NotAction
, no se deniega ninguna acción de servicio nueva o existente que no admita la clave. AWS le recomienda que indique explícitamente las acciones que desea admitir. El Analizador de acceso de IAM devuelve un resultado independiente para las acciones enumeradas que no admiten la clave de condición aws:ResourceTag
. Para obtener más información, consulte Sugerencia: permitir con clave de condición de etiqueta no compatible para el servicio.
Cuando un servicio admite la clave de condición aws:ResourceTag
puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como control de acceso basado en atributos (ABAC). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante Control de acceso basado en recursos (RBAC).
Términos relacionados
Sugerencia: clave de condición recomendada para la entidad principal de servicio
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."
Resolución de la sugerencia
Puede especificar Servicios de AWS en el elemento Principal
de una política basada en recursos mediante una entidad principal de servicio, que es un identificador del servicio. Debe utilizar las claves de condición aws:SourceArn
, aws:SourceAccount
, aws:SourceOrgID
o aws:SourceOrgPaths
al conceder acceso a las entidades principales de servicio en lugar de otras claves de condición, como aws:Referer
. Esto lo ayuda a evitar un problema de seguridad denominado problema del suplente confuso.
Términos relacionados
Sugerencia: clave de condición irrelevante en la política
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."
Resolución de la sugerencia
Algunas claves de condición no son relevantes para políticas basadas en recursos. Por ejemplo, la clave de condición s3:ResourceAccount
no es relevante para la política basada en recursos asociada a un bucket de Amazon S3 o a un tipo de recurso de punto de acceso de Amazon S3.
Puede utilizar la clave de condición de una política basada en la identidad para controlar el acceso al recurso.
Términos relacionados
Sugerencia: Entidad principal redundante en la política de confianza del rol
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."
Resolución de la sugerencia
Si especifica tanto un rol principal asumido como su rol primario en el elemento Principal
de una política, ésta no permite o deniega los permisos diferentes. Por ejemplo, es redundante si se especifica el elemento Principal
utilizando el siguiente formato:
"Principal": { "AWS": [ "arn:aws:iam::
AWS-account-ID
:role/rolename
", "arn:aws:iam::AWS-account-ID
:assumed-role/rolename
/rolesessionname
" ]
Le recomendamos que elimine el rol principal asumido.
Términos relacionados
Sugerencia: confirme el tipo de reclamación de la audiencia
En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:
Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.
En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:
"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."
Resolución de la sugerencia
La clave de reclamación aud
(de la audiencia) es un identificador único para su aplicación que se le emite cuando registra su aplicación con el IdP e identifica a los destinatarios a los que está destinado el token web JSON. La reclamación de la audiencia puede ser de valor único o multivalor. Si la reclamación es multivalor, utilice un ForAllValues
o un operador de conjunto de condiciones ForAnyValue
. Si la reclamación es de valor único, no utilice un operador de conjunto de condiciones.
Términos relacionados