Referencia de comprobación de políticas del Analizador de acceso - AWS Identity and Access Management
Error: no se permite la cuenta ARNError — Región ARN no permitidaError: no coincide con el tipo de datosError — Claves duplicadas con diferentes mayúsculasError: acción no válidaError: cuenta ARN no válidaError: prefijo ARN no válidoError — Región ARN no válidaError: recurso ARN no válidoError: caso de servicio ARN no válidoError: tipo de datos de condición no válidoError: formato de clave de condición no válidoError — Condición inválida de varios booleanosError: operador de condición no válidoError — Efecto no válidoError: clave de condición global no válidaError — Partición no válidaError: elemento de política no válidoError: formato de la entidad principal no válidoError: clave de la entidad principal no válidaError: región no válidaError: servicio no válidoError: clave de condición de servicio no válidaError: servicio no válido en acciónError: variable no válida para el operadorError: versión no válidaError — Error de sintaxis JsonError — Error de sintaxis JsonError: falta acciónError — Falta el campo ARNError: falta región ARNError — Falta el efectoError — Falta la entidad principalError — Falta calificadorError: falta recursoError — Falta la instrucciónError: nulo con si existeError: comodín de acción de error de sintaxis de SCPError: condición de error de sintaxis de SCPError – Error de sintaxis de SCP permitir NotActionError – Error – SCP de sintaxis de SCP permitir recursoError – Error de SCP de sintaxis NotResourceError – Entidad principal de error de sintaxis de SCPError: se requieren Sids únicosError: acción no admitida en la políticaError: combinación de elementos no admitidosError: clave de condición global no admitidaError – Entidad principal no admitidaError: ARN de recurso no admitido en la políticaError: Sid no admitidoError: comodín no admitido en la entidad principalError — Falta tornapunta en la variableError: falta comilla en la variableError: espacio no admitido en la variableError: variable vacíaError: variable no admitida en el elementoError — Variable no admitida en la versiónError: dirección IP privadaError — Dirección de notificación privadaError: el tamaño de la política supera la cuota de SCPError: formato principal de servicio no válidoError – Falta la clave de etiqueta en la condiciónError: formato vpc no válidoError: formato vpce no válidoError: no se admite la entidad principal federadaError: acción no admitida para la clave de condiciónError: acción no admitida en la políticaError: ARN de recurso no admitido en la políticaError: clave de condición no admitida para la entidad principal de servicioError: error de sintaxis de la política de confianza del rol notprincipalError: la política de confianza del rol no admite comodines en la entidad principalError: recurso de error de sintaxis de la política de confianzaError: discrepancia de tipo de rango de IPError: falta acción para la clave de condiciónError: sintaxis de la entidad principal federada no válida en la política de confianza del rolError: acción incorrecta para la entidad principalError: falta una acción para la política de confianza de funciones en cualquier lugarAdvertencia general: crear SLR con NotResourceAdvertencia general — Crear SLR con estrella en acción y NotResourceAdvertencia general: crear SLR con NotAction y NotResourceAdvertencia general: crea SLR con estrella en el recursoAdvertencia general: cree SLR con estrella en acción y recursoAdvertencia general — Crear SLR con estrella en el recurso y NotActionAdvertencia general: clave de condición global obsoletaAdvertencia general: valor de fecha no válidoAdvertencia general: referencia de rol no válidaAdvertencia general: referencia de usuario no válidaAdvertencia general: falta la versiónAdvertencia general: se recomiendan Sids únicosAdvertencia general: comodín sin operadorAdvertencia general: el tamaño de la política supera la cuota de identidad de la políticaAdvertencia general: el tamaño de la política supera la cuota de la políticaAdvertencia general: no coinciden los tiposAdvertencia general: discrepancia de tipo y booleanoAdvertencia general: discrepancia de tipo y fechaAdvertencia general: discrepancia de tipo y númeroAdvertencia general: discrepancia de tipo y cadenaAdvertencia general: Se recomienda un repositorio y una ramificación de github específicosAdvertencia general: el tamaño de la política supera la cuota de la política de confianza del rolAdvertencia de seguridad: Permitir con NotPrincipalAdvertencia de seguridad: ForAllValues con clave de valor únicoAdvertencia de seguridad: rol de pase con NotResourceAdvertencia de seguridad: rol de pase con estrella en acción y NotResourceAdvertencia de seguridad: rol de pase con NotAction y NotResourceAdvertencia de seguridad: rol de pase con estrella en el recursoAdvertencia de seguridad: rol de pase con estrella en la acción y el recursoAdvertencia de seguridad: rol de pase con estrella en recurso y NotActionAdvertencia de seguridad: faltan las claves de condición emparejadasAdvertencia de seguridad: denegar con clave de condición de etiqueta no admitida para el servicioAdvertencia de seguridad: denegar NotAction con clave de condición de etiqueta no compatible para el servicioAdvertencia de seguridad: restrinja el acceso a la entidad principal de servicioAdvertencia de seguridad: falta la clave de condición para la entidad principal oidcAdvertencia de seguridad: falta la clave de condición del repositorio de githubSugerencia: acción de matriz vacíaSugerencia: condición de matriz vacíaSugerencia: condición de matriz vacía ForAllValuesSugerencia — Condición de matriz vacía ForAnyValueSugerencia: condición de matriz vacía IfExistsSugerencia: entidad principal de matriz vacíaSugerencia — Recurso de matriz vacíoSugerencia: condición de objeto vacíoSugerencia: entidad principal de objeto vacíoSugerencia: valor de Sid vacíoSugerencia: Mejorar el rango IPSugerencia: Nulo con calificadorSugerencia: Subconjunto de direcciones IP privadaSugerencia: Subconjunto NotIpAddress privadoSugerencia: acción redundanteSugerencia: número de valor de condición redundanteSugerencia: Recurso redundanteSugerencia: Instrucción redundanteSugerencia: comodín en el nombre del servicioSugerencia: permitir con clave de condición de etiqueta no compatible para el servicioSugerencia: permitir NotAction con clave de condición de etiqueta no compatible para el servicioSugerencia: clave de condición recomendada para la entidad principal de servicioSugerencia: clave de condición irrelevante en la políticaSugerencia: Entidad principal redundante en la política de confianza del rolSugerencia: confirme el tipo de reclamación de la audiencia

Referencia de comprobación de políticas del Analizador de acceso

Puede validar sus políticas utilizando validación de políticas de AWS Identity and Access Management Access Analyzer. Puede crear o editar una política con la AWS CLI, API de AWS o editor de políticas JSON en la consola de IAM. El Analizador de acceso de IAM valida su política contra la Gramática de la política de IAM y AWSprácticas recomendadas. Puede ver los resultados de las comprobaciones de validación de políticas que incluyen advertencias de seguridad, errores, advertencias generales y sugerencias para la política. Estos resultados proporcionan recomendaciones procesables que le ayudan a crear políticas funcionales y que se ajustan a las prácticas recomendadas de seguridad. La lista de comprobaciones de políticas básicas proporcionada por el Analizador de acceso de IAM se comparte a continuación. No se aplica ningún cargo adicional asociado a ejecutar las comprobaciones de validación de políticas. Para obtener más información sobre cómo validar políticas mediante validación de políticas, consulte Validación de políticas mediante el Analizador de acceso de IAM.

Error: no se permite la cuenta ARN

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."

Resolver el error

Elimine el ID de cuenta del ARN del recurso. Los ARN de recursos para algunos servicios AWS no admiten especificar un ID de cuenta.

Por ejemplo, Amazon S3 no admite un ID de cuenta como espacio de nombres en ARN de bucket. El nombre de un bucket de Amazon S3 es único en todo el mundo, y todas las cuentas de AWS comparten el espacio de nombres. Para consultar todos los tipos de recursos disponibles en Amazon S3, consulte Tipos de recurso definidos por Amazon S3 en la Referencia de autorizaciones de servicio.

Términos relacionados

Error — Región ARN no permitida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."

Resolver el error

Elimine la región del ARN del recurso. Los ARN de recursos para algunos servicios AWS no admiten especificar una región.

Por ejemplo, IAM es un servicio global. La porción de Región de un ARN de recurso de IAM siempre se mantiene en blanco. Los recursos de IAM son globales, como una cuenta AWS lo es hoy. Por ejemplo, después de iniciar sesión como usuario de IAM, puede acceder a servicios AWS en cualquier región geográfica.

Error: no coincide con el tipo de datos

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Data type mismatch: The text does not match the expected JSON data type {{data_type}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The text does not match the expected JSON data type {{data_type}}."

Resolver el error

Actualice el texto para utilizar el tipo de datos admitido.

Por ejemplo, la clave de condición global Version requiere un tipo de datos String. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.

Términos relacionados

Error — Claves duplicadas con diferentes mayúsculas

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."

Resolver el error

Revise las claves de condición similares dentro del mismo bloque de condición y utilice las mismas mayúsculas para todas las instancias.

Un bloque de condición es el texto dentro del elemento Condition de una declaración de política. Los nombres de las claves de condición no distinguen entre mayúsculas y minúsculas. El uso de mayúsculas y minúsculas en los valores de la clave de condición depende del operador de condición que utilice. Para obtener más información sobre el uso de mayúsculas y minúsculas en claves de condición, consulte Elementos de política JSON de IAM: Condition.

Términos relacionados

Error: acción no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"

Resolver el error

La acción especificada no es válida. Esto puede suceder si escribe mal el prefijo de servicio o el nombre de la acción. Para algunos problemas comunes, la verificación de políticas devuelve una acción sugerida.

Términos relacionados

AWS políticas administradas con este error

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Los siguientes ejemplos de políticas administradas de AWS incluyen acciones no válidas en sus afirmaciones de política. Las acciones no válidas no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada de AWS como referencia para crear su política administrada,AWS recomienda que elimine las acciones no válidas de su política.

Error: cuenta ARN no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."

Resolver el error

Actualice el ID de cuenta en el ARN del recurso. Los ID de cuenta son números enteros de 12 dígitos. Para obtener información sobre cómo ver el ID de su cuenta de, consulte Búsqueda del ID de su cuenta de AWS.

Términos relacionados

Error: prefijo ARN no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add the required prefix (arn) to the resource ARN."

Resolver el error

Los ARN de recursos de AWS deben incluir el prefijo arn:.

Términos relacionados

Error — Región ARN no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."

Resolver el error

El tipo de recurso no se admite en la región especificada. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la Tabla de regiones.

Términos relacionados

Error: recurso ARN no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."

Resolver el error

El ARN de recursos debe coincidir con las especificaciones de los tipos de recursos conocidos. Para ver el formato ARN esperado para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver sus tipos de recursos y formatos ARN.

Términos relacionados

Error: caso de servicio ARN no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."

Resolver el error

El servicio en el ARN del recurso debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio y busque su prefijo en la primera oración.

Términos relacionados

Error: tipo de datos de condición no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."

Resolver el error

El valor del par clave-valor de condición debe coincidir con el tipo de datos de la clave de condición y el operador de condición. Para ver el tipo de dato de clave de condición para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver las claves de condición de dicho servicio.

Por ejemplo, la clave de condición global CurrentTime admite la el operador de condición Date. Si proporciona una cadena o un entero para el valor en el bloque de condición, el tipo de datos no coincidirá.

Términos relacionados

Error: formato de clave de condición no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid condition key format: The condition key format is not valid. Use the format service:keyname.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition key format is not valid. Use the format service:keyname."

Resolver el error

La clave del par clave-valor de condición debe coincidir con las especificaciones del servicio. Para ver las claves de condición para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver las claves de condición de dicho servicio.

Términos relacionados

Error — Condición inválida de varios booleanos

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."

Resolver el error

La clave del par clave-valor de condición espera un único valor booleano. Cuando proporciona varios valores booleanos, es posible que la coincidencia de condición no devuelva los resultados esperados.

Para ver las claves de condición para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver las claves de condición de dicho servicio.

Error: operador de condición no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."

Resolver el error

Actualice la condición para utilizar un operador de condición compatible.

Términos relacionados

Error — Efecto no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."

Resolver el error

Actualizar el elemento Effect para utilizar un efecto válido. Los valores válidos para Effect son Allow y Deny.

Términos relacionados

Error: clave de condición global no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."

Resolver el error

Actualice la clave de condición en el par clave-valor de condición para utilizar una clave de condición global compatible.

Las claves de condición globales son claves de condición con un prefijo aws:. Los servicios de AWS pueden admitir claves de condición globales o proporcionar claves específicas del servicio que incluyan su prefijo de servicio. Por ejemplo, las claves de condición de IAM incluyen el prefijo iam:. Para obtener más información, vea Acciones, recursos y claves de condición para servicios de AWS y elija el servicio cuyas claves desea ver.

Términos relacionados

Error — Partición no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"

Resolver el error

Actualice el ARN del recurso para incluir una partición compatible. Si ha incluido una partición compatible, es posible que el servicio o recurso no admita la partición que ha incluido.

Una partición es un grupo de regiones de AWS. Cada cuenta de AWS está limitada a una partición. En Regiones clásicas, utilice la partición aws. En las regiones de China, utilice aws-cn.

Términos relacionados

Error: elemento de política no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid policy element: The policy element {{element}} is not valid.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The policy element {{element}} is not valid."

Resolver el error

Actualice la política para incluir solo los elementos de política JSON compatibles.

Términos relacionados

Error: formato de la entidad principal no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."

Resolver el error

Actualice la entidad principal para utilizar un formato de par clave-valor compatible.

Puede especificar una entidad principal en una política basada en recursos, pero no una política basada en identidad.

Por ejemplo, para definir el acceso para todos en una cuenta AWS, utilice la siguiente entidad principal en su política:

"Principal": { "AWS": "123456789012" }

Términos relacionados

Error: clave de la entidad principal no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid principal key: The principal key {{principal-key}} is not valid.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The principal key {{principal-key}} is not valid."

Resolver el error

Actualice la clave en el par clave-valor de entidad principal para utilizar una clave de entidad principal compatible. Las siguientes son las claves de entidades principales admitidas:

  • AWS

  • CanonicalUser

  • Federado

  • Servicio

Términos relacionados

Error: región no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."

Resolver el error

Actualice el valor del par clave-valor de condición para incluir una región admitida. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la Tabla de regiones.

Términos relacionados

Error: servicio no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid service: The service {{service}} does not exist. Use a valid service name.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The service {{service}} does not exist. Use a valid service name."

Resolver el error

El prefijo de servicio en la clave de acción o condición debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio y busque su prefijo en la primera oración.

Términos relacionados

Error: clave de condición de servicio no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."

Resolver el error

Actualice la clave en el par clave-valor de condición para utilizar una clave de condición conocida para el servicio. Los nombres de las claves de condición globales comienzan con el prefijo aws. Los servicios de AWS pueden proporcionar claves específicas de servicios que incluyen el prefijo de servicio. Para ver el prefijo para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS.

Términos relacionados

Error: servicio no válido en acción

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"

Resolver el error

El prefijo de servicio de la acción debe coincidir con las especificaciones (incluidas las mayúsculas) de los prefijos de servicio. Para ver el prefijo para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio y busque su prefijo en la primera oración.

Términos relacionados

Error: variable no válida para el operador

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid variable for operator: Policy variables can only be used with String and ARN operators.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Policy variables can only be used with String and ARN operators."

Resolver el error

Puede utilizar variables de política en el elemento Resource y en la comparación de cadenas en el elemento Condition. Las condiciones admiten variables cuando se utilizan operadores de cadena u operadores ARN. Los operadores de cadena incluyen StringEquals, StringLike y StringNotLike. Los operadores ARN incluyen ArnEquals y ArnLike. No se puede utilizar una variable de política con otros operadores como operadores numéricos, fecha, booleanos, binarios, dirección de IP o nulos.

Términos relacionados

Error: versión no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"

Resolver el error

El elemento de la política Version especifica las reglas de sintaxis del lenguaje que AWS va a utilizar para procesar esta política. Para utilizar todas las características disponibles de la política, incluya el último elemento Version antes del elemento Statement en todas sus políticas.

"Version": "2012-10-17"

Términos relacionados

Error — Error de sintaxis Json

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."

Resolver el error

La política incluye un error de sintaxis. Compruebe su sintaxis JSON.

Términos relacionados

Error — Error de sintaxis Json

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Json syntax error: Fix the JSON syntax error.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Fix the JSON syntax error."

Resolver el error

La política incluye un error de sintaxis. Compruebe su sintaxis JSON.

Términos relacionados

Error: falta acción

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing action: Add an Action or NotAction element to the policy statement.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add an Action or NotAction element to the policy statement."

Resolver el error

Las políticas JSON AWS deben incluir un elemento Action o NotAction.

Términos relacionados

Error — Falta el campo ARN

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"

Resolver el error

Todos los campos del ARN del recurso deben coincidir con las especificaciones de un tipo de recurso conocido. Para ver el formato ARN esperado para un servicio, consulte Acciones, recursos y claves de condiciones para Servicios de AWS. Elija el nombre del servicio para ver sus tipos de recursos y formatos ARN.

Términos relacionados

Error: falta región ARN

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing ARN Region: Add a Region to the {{service}} resource ARN.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add a Region to the {{service}} resource ARN."

Resolver el error

Los ARN de recursos para la mayoría de los servicios AWS requieren que especifique una región. Para ver una tabla de los servicios de AWS admitidos en cada región, consulte la Tabla de regiones.

Términos relacionados

Error — Falta el efecto

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."

Resolver el error

Las políticas JSON AWS deben incluir un elemento Effect con un valor de Allow y Deny.

Términos relacionados

Error — Falta la entidad principal

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing principal: Add a Principal element to the policy statement.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add a Principal element to the policy statement."

Resolver el error

Las políticas basadas en recursos deben incluir un elemento Principal.

Por ejemplo, para definir el acceso para todos en una cuenta AWS, utilice la siguiente entidad principal en su política:

"Principal": { "AWS": "123456789012" }

Términos relacionados

Error — Falta calificador

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."

Resolver el error

En el elemento Condition, se crean expresiones en las que se usan operadores de condición como igual o menor para comparar una condición en la política con relación a claves y valores en el contexto de la solicitud. Para las solicitudes que incluyen varios valores para una única clave de condición, debe incluir las condiciones entre corchetes, como una matriz ("Key2": ["Value2A", "Value2B"]). También debe utilizar los operadores ForAllValues o ForAnyValue con el operador de condición StringLike. Estos calificadores añaden la funcionalidad de operación de definición al operador de condición para que pueda probar varios valores con varios valores de condición.

Términos relacionados

AWS políticas administradas con este error

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Las siguientes políticas administradas AWS incluyen un calificador que falta para las claves de condición en sus declaraciones de política. Cuando se utiliza la política administrada AWS como referencia para crear su política administrada por el cliente, AWS recomienda que agregue los calificadores de clave de condición ForAllValues o ForAnyValue a su elementoCondition.

Error: falta recurso

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing resource: Add a Resource or NotResource element to the policy statement.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add a Resource or NotResource element to the policy statement."

Resolver el error

Todas las políticas, excepto las políticas de confianza de roles, deben incluir un elemento Resource o NotResource.

Términos relacionados

Error — Falta la instrucción

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing statement: Add a statement to the policy

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add a statement to the policy"

Resolver el error

Una política JSON debe incluir una instrucción.

Términos relacionados

Error: nulo con si existe

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."

Resolver el error

Puede agregar IfExists al final de cualquier nombre de operador de condición, salvo el operador de condición Null. Utilice un operador de condición Null para comprobar si una clave de condición está presente en el momento de la autorización. Use ...ifExists para decir lo siguiente: "Si la clave de la política está presente en el contexto de la solicitud, se debe procesar la clave según se indica en la política. Si la clave no está presente, el elemento de condición se evalúa en verdadero”.

Términos relacionados

Error: comodín de acción de error de sintaxis de SCP

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."

Resolver el error

Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en elementos Action o NotAction. Sin embargo, estos valores pueden incluir comodines (*) solo al final de la cadena. Esto significa que puede especificar iam:Get* pero no iam:*role.

Para especificar varias acciones, AWS recomienda que los enumere individualmente.

Términos relacionados

Error: condición de error de sintaxis de SCP

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."

Resolver el error

Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en el elemento Condition solo cuando usted utiliza "Effect": "Deny".

Para permitir una sola acción, puede denegar el acceso a todo excepto a la condición que especifique mediante la versión ...NotEquals de un operador de condición. Esto niega la comparación hecha por el operador.

Términos relacionados

Error – Error de sintaxis de SCP permitir NotAction

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."

Resolver el error

Las políticas de control de servicios (SCP) AWS Organizations no admiten el uso del elemento NotAction con "Effect": "Allow".

Debe volver a escribir la lógica para permitir una lista de acciones o para denegar todas las acciones que no se indican en la lista.

Términos relacionados

Error – Error – SCP de sintaxis de SCP permitir recurso

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."

Resolver el error

Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en el elemento Resource solo cuando usted utiliza "Effect": "Deny".

Debe volver a escribir la lógica para permitir todos los recursos o para denegar todos los recursos que aparecen en la lista.

Términos relacionados

Error – Error de SCP de sintaxis NotResource

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."

Resolver el error

Las políticas de control de servicios (SCP) AWS Organizations no admiten el elemento NotResource

Debe volver a escribir la lógica para permitir todos los recursos o para denegar todos los recursos que aparecen en la lista.

Términos relacionados

Error – Entidad principal de error de sintaxis de SCP

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."

Resolver el error

Las políticas de control de servicios (SCP) AWS Organizations no admiten el Principal o elementos NotPrincipal

Puede especificar el nombre de recurso de Amazon (ARN) con la clave de condición global aws:PrincipalArn en el elemento Condition.

Términos relacionados

Error: se requieren Sids únicos

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."

Resolver el error

Para algunos tipos de políticas, los ID de instrucción deben ser únicos. El elemento Sid (ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de ID de instrucción a cada instrucción de una matriz de instrucciones utilizando el elemento SID. En los servicios que le permiten especificar un elemento , como, por ejemplo, SQS y SNS, el valor de Sid es simplemente un subID del ID del documento de la política. Por ejemplo, en IAM, el valor de Sid debe ser único en la política de JSON.

Términos relacionados

Error: acción no admitida en la política

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Resolver el error

Algunas acciones no se admiten en el elemento Action de la política basada en recursos asociada a otro tipo de recurso. Por ejemplo, las acciones de AWS Key Management Service no son compatibles con las políticas de bucket de Amazon S3. Especifique una acción compatible con el tipo de recurso adjunto a la política basada en recursos.

Términos relacionados

Error: combinación de elementos no admitidos

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."

Resolver el error

Algunas combinaciones de elementos de política JSON no se pueden utilizar juntas. Por ejemplo, no se puede utilizar Action y NotAction en la misma instrucción de política. Otros pares que se excluyen mutuamente son Principal/NotPrincipal y Resource/NotResource.

Términos relacionados

Error: clave de condición global no admitida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."

Resolver el error

AWS no admite el uso de la clave de condición global especificada. Dependiendo de su caso de uso, puede utilizar las claves de condición globales de aws:PrincipalArn o aws:SourceArn. Por ejemplo, en vez de aws:ARN, utilice aws:PrincipalArn para comparar el Nombre de recurso de Amazon (ARN) de la entidad principal que ha realizado la solicitud con el ARN que se especifique en la política. Alternativamente, utilice la clave de condición global aws:SourceArn para comparar el Nombre de recurso de Amazon (ARN) del recurso que realiza una solicitud de servicio a servicio con el ARN que especifique en la política.

Términos relacionados

Error – Entidad principal no admitida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."

Resolver el error

El elemento Principal especifica la entidad principal que tiene acceso permitido o denegado a un recurso. No puede utilizar el elemento Principal en una política basada en identidad de IAM. Puede utilizarlo en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso. Por ejemplo, puede integrar las políticas en un bucket de Amazon S3 o en una clave KMS de AWS.

Términos relacionados

Error: ARN de recurso no admitido en la política

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Resolver el error

Algunos ARN de recursos no se admiten en el elemento Resource de la política basada en recursos cuando la política se asocia a otro tipo de recurso. Por ejemplo, los ARN de AWS KMS no son compatibles en el elemento Resource con las políticas de bucket de Amazon S3. Especifique un ARN de recurso compatible con un tipo de recurso asociado a la política basada en recursos.

Términos relacionados

Error: Sid no admitido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"

Resolver el error

El elemento Sid admite letras mayúsculas, minúsculas y números.

Términos relacionados

Error: comodín no admitido en la entidad principal

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."

Resolver el error

La estructura del elemento de Principal admite el uso de un par de clave-valor. El valor principal especificado en la política incluye un comodín (*). No se puede incluir un comodín con la clave principal especificada. Por ejemplo, si especifica usuarios en un elemento Principal, no puede utilizar un comodín para designar a "todos los usuarios". Debe designar a un usuario o usuarios específicos. De manera similar, cuando especifica una sesión de rol asumido, no puede utilizar un comodín (*) para referirse a "todas las sesiones". Debe nombrar una sesión específica. Además, no puede utilizar un carácter comodín para buscar coincidencias con parte de un nombre o un ARN.

Para resolver este resultado, elimine el comodín y proporcione una entidad principal más específica.

Términos relacionados

Error — Falta tornapunta en la variable

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."

Resolver el error

La estructura de variables de política admite el uso de un prefijo $ seguido de un par de llaves ({ }). Dentro de los caracteres ${ }, incluya el nombre del valor de la solicitud que quiere utilizar en la política.

Para resolver este resultado, añada la clave faltante para asegurarse de que el conjunto completo de claves de apertura y cierre esté presente.

Términos relacionados

Error: falta comilla en la variable

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."

Resolver el error

Cuando agrega una variable a la política, puede especificar un valor predeterminado para la variable. Si no hay una variable, AWS utiliza el texto predeterminado que proporcione.

Para agregar un valor predeterminado a una variable, rodee el valor predeterminado entre comillas simples (' '), y separe el texto de la variable y el valor predeterminado con una coma y un espacio (, ).

Por ejemplo, si una entidad principal está etiquetada con team=yellow, pueden acceder al bucket de Amazon S3 amzn-s3-demo-bucket con el nombre amzn-s3-demo-bucket-yellow. Una política con este recurso podría permitir a los miembros del equipo acceder a sus propios recursos, pero no a los de otros equipos. Para los usuarios sin etiquetas de equipo, puede establecer un valor predeterminado de company-wide. Estos usuarios solo pueden acceder al bucket de amzn-s3-demo-bucket-company-wide en el que pueden ver información amplia, como instrucciones para unirse a un equipo.

"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"

Términos relacionados

Error: espacio no admitido en la variable

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "A space is not supported within the policy variable text. Remove the space."

Resolver el error

La estructura de variables de política admite el uso de un prefijo $ seguido de un par de llaves ({ }). Dentro de los caracteres ${ }, incluya el nombre del valor de la solicitud que quiere utilizar en la política. Aunque puede incluir un espacio al especificar una variable predeterminada, no puede incluir un espacio en el nombre de la variable.

Términos relacionados

Error: variable vacía

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."

Resolver el error

La estructura de variables de política admite el uso de un prefijo $ seguido de un par de llaves ({ }). Dentro de los caracteres ${ }, incluya el nombre del valor de la solicitud que quiere utilizar en la política.

Términos relacionados

Error: variable no admitida en el elemento

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."

Resolver el error

Puede utilizar variables de política en el elemento Resource y en la comparación de cadenas en el elemento Condition.

Términos relacionados

Error — Variable no admitida en la versión

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."

Resolver el error

Para poder utilizar las variables de políticas, debe incluir el elemento Version y establecerlo en una versión que admita las variables de la política. Variables se introdujeron en la versión 2012-10-17. Las versiones anteriores del lenguaje de políticas no son compatibles con las variables de políticas. Si no establece Version a 2012-10-17 o posterior, las variables como ${aws:username} se tratan como cadenas literales en la política.

El elemento de política Version es diferente de la versión de una política. El elemento de política Version se utiliza en una política y define la versión del lenguaje de la política. Una versión de política, se crea al cambiar una política administrada por el cliente en IAM. La política modificada no anula la política existente. En cambio, IAM crea una nueva versión de la política administrada.

Términos relacionados

Error: dirección IP privada

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."

Resolver el error

La clave de condición global aws:SourceIp solo funciona para rangos de direcciones IP públicas. Recibe este error cuando su política solo permite direcciones IP privadas. En este caso, la condición nunca coincidiría.

Error — Dirección de notificación privada

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."

Resolver el error

La clave de condición global aws:SourceIp solo funciona para rangos de direcciones IP públicas. Recibirá este error cuando utilice el operador de condición NotIpAddress y enumere solo las direcciones IP privadas. En este caso, la condición siempre coincidiría y sería ineficaz.

Error: el tamaño de la política supera la cuota de SCP

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."

Resolver el error

Las políticas de control de servicios (SCP) AWS Organizations admiten la especificación de valores en elementos Action o NotAction. Sin embargo, estos valores pueden incluir comodines (*) solo al final de la cadena. Esto significa que puede especificar iam:Get* pero no iam:*role.

Para especificar varias acciones, AWS recomienda que los enumere individualmente.

Términos relacionados

Error: formato principal de servicio no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."

Resolver el error

El valor del par clave-valor de condición debe coincidir con un formato de entidad principal de servicio definido.

Un principal de servicio es un identificador que se utiliza para conceder permisos a un servicio. Puede especificar una entidad principal en el elemento Principal o como un valor de algunas claves de condición globales y claves específicas del servicio. El servicio define la entidad principal de cada servicio.

El identificador de una entidad principal de servicio incluye el nombre del servicio y suele tener el siguiente formato en letras minúsculas:

service-name.amazonaws.com

Algunas claves específicas de servicio pueden utilizar un formato diferente para las entidades de servicio. Por ejemplo, la clave de condición kms:ViaService requiere el siguiente formato para las entidades principales de servicio en letras minúsculas:

service-name.AWS_region.amazonaws.com

Términos relacionados

Error – Falta la clave de etiqueta en la condición

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."

Resolver el error

Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política.

Por ejemplo, para Controlar del acceso a recursos AWS, usted incluye la clave de condición de aws:ResourceTag. Esta clave requiere el formato aws:ResourceTag/tag-key. Para especificar la clave de etiqueta owner y el valor de la etiqueta JaneDoe en una condición, utilice el formato siguiente.

"Condition": { "StringEquals": {"aws:ResourceTag/owner": "JaneDoe"} }

Términos relacionados

Error: formato vpc no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."

Resolver el error

La clave de condición aws:SourceVpc debe utilizar el prefijo vpc- seguido de 8 o 17 caracteres alfanuméricos, por ejemplo, vpc-11223344556677889 o vpc-12345678.

Términos relacionados

Error: formato vpce no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."

Resolver el error

La clave de condición aws:SourceVpce debe utilizar el prefijo vpce- seguido de 8 o 17 caracteres alfanuméricos, por ejemplo, vpce-11223344556677889 o vpce-12345678.

Términos relacionados

Error: no se admite la entidad principal federada

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."

Resolver el error

El elemento Principal utiliza entidad principales federadas para políticas de confianza asociadas a roles de IAM con el fin de proporcionar acceso a través de la federación de identidades. Las políticas de identidad y otras políticas basadas en recursos no admiten un proveedor de identidad federada en el elemento Principal. Por ejemplo, no puede utilizar una entidad principal SAML en una política de bucket de Amazon S3. Cambie el elemento Principal a un tipo de entidad principal compatible.

Términos relacionados

Error: acción no admitida para la clave de condición

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."

Resolver el error

Asegúrese de que la clave de condición del elemento Condition de la instrucción de política se aplique a todas las acciones del elemento Action. Para asegurarse de que la política permite o deniega efectivamente las acciones especificadas, debe mover las acciones no admitidas a otra instrucción sin la clave de condición.

nota

Si el elemento Action tiene acciones con comodines, el Analizador de acceso de IAM no evalúa esas acciones para este error.

Términos relacionados

Error: acción no admitida en la política

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Resolver el error

Algunas acciones no se admiten en el elemento Action de la política basada en recursos asociada a otro tipo de recurso. Por ejemplo, las acciones de AWS Key Management Service no son compatibles con las políticas de bucket de Amazon S3. Especifique una acción compatible con el tipo de recurso adjunto a la política basada en recursos.

Términos relacionados

Error: ARN de recurso no admitido en la política

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."

Resolver el error

Algunos ARN de recursos no se admiten en el elemento Resource de la política basada en recursos cuando la política se asocia a otro tipo de recurso. Por ejemplo, los ARN de AWS KMS no son compatibles en el elemento Resource con las políticas de bucket de Amazon S3. Especifique un ARN de recurso compatible con un tipo de recurso asociado a la política basada en recursos.

Términos relacionados

Error: clave de condición no admitida para la entidad principal de servicio

En el AWS Management Console, el resultado de esta comprobación incluye el siguiente mensaje:

Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."

Resolver el error

Puede especificar Servicios de AWS en el elemento Principal de una política basada en recursos mediante una entidad principal de servicio, que es un identificador del servicio. No puede utilizar algunas claves de condición con ciertas entidades principales de servicio. Por ejemplo, no puede utilizar la clave de condición aws:PrincipalOrgID con la entidad principal de servicio cloudfront.amazonaws.com. Debe eliminar las claves de condición que no se aplican a la entidad principal de servicio en el elemento Principal.

Términos relacionados

Error: error de sintaxis de la política de confianza del rol notprincipal

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."

Resolver el error

Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Las políticas de confianza de rol no admite NotPrincipal. Actualice la política para utilizar un elemento Principal en su lugar.

Términos relacionados

Error: la política de confianza del rol no admite comodines en la entidad principal

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."

Resolver el error

Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) pueden asumir el rol. "Principal:" "*" no se admite en el elemento Principal de una política de confianza de rol. Sustituir el comodín por un valor válido de entidad principal.

Términos relacionados

Error: recurso de error de sintaxis de la política de confianza

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."

Resolver el error

Una política de confianza de rol es una política basada en recursos que se adjunta a un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Las políticas de confianza de los roles se aplican al rol al que están vinculadas. No se puede especificar un Resource o un elemento NotResource en una política de confianza de rol. Elimine el Resource o el elemento NotResource.

Error: discrepancia de tipo de rango de IP

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."

Resolver el error

Actualice el texto para utilizar el tipo de datos del operador de condición de dirección IP, en un formato CIDR.

Términos relacionados

Error: falta acción para la clave de condición

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."

Resolver el error

La clave de condición del elemento Condition de la declaración de política no se evalúa a menos que la acción especificada esté en elemento Action. Para garantizar que las claves de condición que especifique sean efectivamente permitidas o denegadas por su política, añada la acción al elemento Action.

Términos relacionados

Error: sintaxis de la entidad principal federada no válida en la política de confianza del rol

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."

Resolver el error

El valor de la entidad principal especifica una entidad principal federada que no coincide con el formato esperado. Actualice el formato de la entidad principal federada a un nombre de dominio válido o a un ARN de metadatos SAML.

Términos relacionados

Error: acción incorrecta para la entidad principal

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."

Resolver el error

La acción especificada en el elemento Action de la declaración de la política no es válida para la entidad principal especificada en el elemento Principal. Por ejemplo, no se puede utilizar una entidad principal del proveedor SAML para la acción sts:AssumeRoleWithWebIdentity. Debe utilizar una entidad principal de proveedor SAML con la acción sts:AssumeRoleWithSAML o utilizar una entidad principal de proveedor OIDC con la acción sts:AssumeRoleWithWebIdentity.

Términos relacionados

Error: falta una acción para la política de confianza de funciones en cualquier lugar

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."

Resolver el error

Para que Funciones de IAM en cualquier lugar pueda asumir un rol y suministrar credenciales AWS temporales, el rol debe confiar en la entidad principal del servicio Funciones de IAM en cualquier lugar. La entidad principal del servicio Funciones de IAM en cualquier lugar requiere el sts:AssumeRole, sts:SetSourceIdentity, y los permisos sts:TagSession para asumir un rol. Si falta alguno de los permisos, debe añadirlo a la política.

Términos relacionados

Advertencia general: crear SLR con NotResource

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."

Resolver la advertencia general

La acción iam:CreateServiceLinkedRole otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar iam:CreateServiceLinkedRole en una política con el elemento NotResource se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento Resource.

Advertencia general — Crear SLR con estrella en acción y NotResource

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Resolver la advertencia general

La acción iam:CreateServiceLinkedRole otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Las políticas con un carácter comodín (*) en el Action y que incluyen el elemento NotResource pueden permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento Resource.

Advertencia general: crear SLR con NotAction y NotResource

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Resolver la advertencia general

La acción iam:CreateServiceLinkedRole otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar el elemento NotAction con el elemento NotResource se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, que vuelva a escribir la política para permitir iam:CreateServiceLinkedRole en una lista limitada de ARN en el elemento Resource. También puede agregar iam:CreateServiceLinkedRole al elemento NotAction.

Advertencia general: crea SLR con estrella en el recurso

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."

Resolver la advertencia general

La acción iam:CreateServiceLinkedRole otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar iam:CreateServiceLinkedRole en una política con un comodín (*) en el elemento Resource se puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. AWS recomienda, en su lugar, especificar ARN permitidos en el elemento Resource.

AWS políticas administradas con esta advertencia general

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Algunos de esos casos de uso son para usuarios avanzados de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de usuarios avanzados y otorgan permisos para crear roles vinculados al servicio para cualquier servicio de AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere usuarios avanzados.

Advertencia general: cree SLR con estrella en acción y recurso

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

Resolver la advertencia general

La acción iam:CreateServiceLinkedRole otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Las políticas con un carácter comodín (*) en los elementos Action y Resource pueden permitir la creación de roles vinculados a servicios no deseados para varios recursos. Esto permite crear un rol vinculado al servicio cuando especifica "Action": "*", "Action": "iam:*", o "Action": "iam:Create*". En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource.

AWS políticas administradas con esta advertencia general

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Algunos de esos casos de uso son para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para crear roles vinculados al servicio para cualquier servicio de AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.

Advertencia general — Crear SLR con estrella en el recurso y NotAction

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

Resolver la advertencia general

La acción iam:CreateServiceLinkedRole otorga permiso para crear un rol de IAM que permite a un servicio de AWS realizar acciones en su nombre. Al utilizar el elemento NotAction en una política con un carácter comodín (*) en el elemento Resource puede permitir la creación de roles vinculados a servicios no deseados para varios recursos. En su lugar, AWS recomienda que usted especifique los ARN permitidos en el elemento Resource. También puede agregar iam:CreateServiceLinkedRole al elemento NotAction.

Advertencia general: clave de condición global obsoleta

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."

Resolver la advertencia general

La política incluye una clave de condición global obsoleta. Actualice la clave de condición en el par clave-valor de condición para utilizar una clave de condición global compatible.

Advertencia general: valor de fecha no válido

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."

Resolver la advertencia general

El tiempo de Unix Epoch describe un punto en el tiempo que ha transcurrido desde el 1 de enero de 1970, menos segundos bisiestos. Es posible que el tiempo de la fecha de inicio no se resuelva a la hora exacta que espera. AWS recomienda utilizar el estándar W3C para formatos de fecha y hora. Por ejemplo, podría especificar una fecha completa, como AAAA-MM-DD (1997-07-16), o también podría anexar la hora al segundo, como AAAA-MM-DDThh:mm:ssTZD (1997-07-16T19:20:30+01:00).

Advertencia general: referencia de rol no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."

Resolver la advertencia general

AWS le recomienda que especifique el Nombre de recurso de Amazon (ARN) para un rol de IAM en lugar de su ID principal. Cuando IAM guarda la política, transformará el ARN en el ID principal del rol existente. AWS incluye una precaución de seguridad. Si alguien elimina y vuelve a crear el rol, tendrá un nuevo ID y la política no coincidirá con el ID del nuevo rol.

Advertencia general: referencia de usuario no válida

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."

Resolver la advertencia general

AWS le recomienda que especifique el Nombre de recurso de Amazon (ARN) para un usuario de IAM en lugar de su ID principal. Cuando IAM guarda la política, transformará el ARN en el ID principal del usuario existente. AWS incluye una precaución de seguridad. Si alguien elimina y vuelve a crear el usuario, tendrá un nuevo ID y la política no coincidirá con el ID del nuevo usuario.

Advertencia general: falta la versión

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing version: We recommend that you specify the Version element to help you with debugging permission issues.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."

Resolver la advertencia general

AWS le recomienda que incluya el parámetro Version opcional en su política. Si no incluye un elemento Version, el sistema toma de forma predeterminada el valor 2012-10-17, pero las características más recientes, como, por ejemplo, variables de política, no funcionarán con su política. Por ejemplo, las variables del tipo ${aws:username} no se reconocerán como variables y se tratarán en la política como si fueran cadenas literales.

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."

Resolver la advertencia general

AWS recomienda que utilice ID de instrucciones únicos. El elemento Sid (ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de ID de instrucción a cada instrucción de una matriz de instrucciones utilizando el elemento SID.

Términos relacionados

Advertencia general: comodín sin operador

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."

Resolver la advertencia general

La estructura del elemento Condition requiere que utilice un operador de condición y un par clave-valor. Cuando se especifica un valor de condición que utiliza un comodín (*, ?), debe utilizar la versión Like del operador de condición. Por ejemplo, en lugar del operador de condición de cadena StringEquals, debe utilizar StringLike.

"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}

AWS políticas administradas con esta advertencia general

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Las siguientes políticas administradas AWS incluyen comodines en su valor de condición sin un operador de condición que incluya Like para la coincidencia de patrones. Cuando se utiliza la política administrada AWS como referencia para crear su política administrada por el cliente, AWS recomienda que utilice un operador de condición que admita la coincidencia de patrones con comodines (*, ?), como por ejemplo, StringLike.

Advertencia general: el tamaño de la política supera la cuota de identidad de la política

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."

Resolver la advertencia general

Puede adjuntar hasta 10 políticas administradas a una identidad de IAM (usuario, grupo de usuarios o rol). Sin embargo, cada política administrada no puede exceder la cuota predeterminada de 6144 caracteres. IAM no cuenta los espacios en blanco al calcular el tamaño de una política frente a esta limitación. Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de AWS.

Además, puede agregar tantas políticas insertadas como quiera a una identidad de IAM. Sin embargo, el tamaño de todas las políticas insertadas por identidad no puede superar la cuota especificada.

Si la política es mayor que la cuota, puede organizar la política en varias instrucciones y agruparlas en varias políticas.

Términos relacionados

AWS políticas administradas con esta advertencia general

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Los siguientes ejemplos de las políticas administradas de AWS otorgan permisos a acciones en muchos servicios AWS y exceden el tamaño máximo de la política. Cuando se utiliza la política administrada de AWS como referencia para crear la política administrada, debe dividir la política en varias políticas.

Advertencia general: el tamaño de la política supera la cuota de la política

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."

Resolver la advertencia general

Las políticas basadas en recursos son documentos de política JSON que puede asociar a un recurso, como, por ejemplo, un bucket de Amazon S3. Estas políticas conceden a la entidad principal especificada permiso para ejecutar acciones concretas en el recurso y definen en qué condiciones son aplicables. El tamaño de las políticas basadas en recursos no puede superar la cuota establecida para ese recurso. Las cuotas, también conocidas como límites en AWS, son el valor máximo de los recursos, acciones y elementos de su cuenta de AWS.

Si la política es mayor que la cuota, puede organizar la política en varias instrucciones y agruparlas en varias políticas.

Términos relacionados

Advertencia general: no coinciden los tipos

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."

Resolver la advertencia general

Actualice el texto para utilizar el tipo de datos del operador de condición admitido.

Por ejemplo, la clave de condición global aws:MultiFactorAuthPresent requiere un operador de condición con el tipo de datos Boolean. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.

Términos relacionados

Advertencia general: discrepancia de tipo y booleano

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."

Resolver la advertencia general

Actualice el texto para utilizar un tipo de datos de operador de condición booleana, como true o false.

Por ejemplo, la clave de condición global aws:MultiFactorAuthPresent requiere un operador de condición con el tipo de datos Boolean. Si proporciona una fecha o un entero, el tipo de datos no coincidirá.

Términos relacionados

Advertencia general: discrepancia de tipo y fecha

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."

Resolver la advertencia general

Actualice el texto para utilizar el tipo de datos del operador de condición de fecha, en un YYYY-MM-DD u otro formato de fecha y hora ISO 8601.

Términos relacionados

Advertencia general: discrepancia de tipo y número

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."

Resolver la advertencia general

Actualice el texto para utilizar el tipo de datos del operador de condición numérica.

Términos relacionados

Advertencia general: discrepancia de tipo y cadena

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."

Resolver la advertencia general

Actualice el texto para utilizar el tipo de datos del operador de condición de cadena.

Términos relacionados

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."

Resolver la advertencia general

Si usa GitHub como un IdP de OIDC, la práctica recomendada es limitar las entidades que pueden asumir el rol asociado con el IdP de IAM. Al incluir una declaración Condition en una política de confianza de rol, puede limitar el rol a una organización, repositorio o ramificación específica de GitHub. Puede utilizar la clave de condición token.actions.githubusercontent.com:sub para limitar el acceso. Le recomendamos que limite la condición a un conjunto específico de repositorios o ramas. Si utiliza un comodín (*) en token.actions.githubusercontent.com:sub, las Acciones de GitHub de organizaciones o repositorios ajenos a su control podrán asumir los roles asociados al IdP de IAM de GitHub en su cuenta de AWS.

Términos relacionados

Advertencia general: el tamaño de la política supera la cuota de la política de confianza del rol

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."

Resolver la advertencia general

IAM y AWS STS tienen cuotas que limitan el tamaño de las políticas de confianza de rol. Los caracteres de la política de confianza del rol, excluyendo los espacios en blanco, exceden el máximo de caracteres. Le recomendamos que solicite un aumento de la cuota de longitud de la política de confianza mediante Service Quotas y AWS Support Center Console.

Términos relacionados

Advertencia de seguridad: Permitir con NotPrincipal

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."

Resolución de la advertencia de seguridad

El uso de "Effect": "Allow" con el NotPrincipal puede ser demasiado permisivo. Por ejemplo, esto puede conceder permisos a entidades principales anónimas. AWS recomienda especificar entidades principales a las que se necesita acceso mediante los elementos Principal. Alternativamente, puede permitir un acceso amplio y, a continuación, agregar otra instrucción que utilice el elemento NotPrincipal con “Effect”: “Deny”.

Advertencia de seguridad: ForAllValues con clave de valor único

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."

Resolución de la advertencia de seguridad

AWS recomienda que utilice la opción ForAllValues solo con condiciones multivalor. El operador de configuración ForAllValues prueba si el valor de cada miembro del conjunto de solicitudes es un subconjunto del conjunto de claves de condición. La condición devuelve true si cada valor de clave de la solicitud coincide con al menos un valor de la política. También devuelve true si no hay claves en la solicitud o si los valores de clave se resuelven en un conjunto de datos nulo, como una cadena vacía.

Para saber si una condición admite un único valor o varios valores, revise la página de Acciones, recursos y claves de condición del servicio. Las claves de condición con el prefijo de tipo de datos ArrayOf son claves de condición multivalor. Por ejemplo, Amazon SES admite claves con valores únicos (String) y el tipo de datos multivalor ArrayOfString.

Advertencia de seguridad: rol de pase con NotResource

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Resolución de la advertencia de seguridad

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole a una identidad (usuario, grupo de usuarios o rol). Uso de iam:PassRole en una política con el elemento NotResource puede permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService.

Advertencia de seguridad: rol de pase con estrella en acción y NotResource

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

Resolución de la advertencia de seguridad

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole a una identidad (usuario, grupo de usuarios o rol). Las políticas con un carácter comodín (*) en el campo Action y que incluyen el elemento NotResource pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService.

Advertencia de seguridad: rol de pase con NotAction y NotResource

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."

Resolución de la advertencia de seguridad

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole a una identidad (usuario, grupo de usuarios o rol). El uso del elemento NotAction y listar algunos recursos en el elemento NotResource puede permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService.

Advertencia de seguridad: rol de pase con estrella en el recurso

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Resolución de la advertencia de seguridad

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole a una identidad (usuario, grupo de usuarios o rol). Las políticas que permiten iam:PassRole y que incluyen un carácter comodín (*) en el elemento Resource pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService.

Algunos servicios AWS incluyen su espacio de nombres de servicio en el nombre de su rol. Esta verificación de políticas tiene en cuenta estas convenciones al analizar la política para generar resultados. Por ejemplo, es posible que el siguiente ARN de recurso no genere un resultado:

arn:aws:iam::*:role/Service*

Políticas administradas AWS con esta advertencia de seguridad

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Uno de esos casos de uso es para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para pasar cualquier rol de IAM a cualquier servicio. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.

Los siguientes ejemplos de políticas administradas AWS incluyen permisos para iam:PassRole con un carácter comodín (*) en el recurso y se encuentran en una ruta de obsolescencia. Para cada una de estas políticas, actualizamos la guía de permisos, como recomendar una nueva política administrada AWS que admite el caso de uso. Para ver las alternativas a estas políticas, consulte las guías de cada servicio.

  • AmazonWebServiceElasticBeanstalkFullAccess

  • AWSElasticBeanstalkService

  • AWSLambdaFullAccess

  • AWSLambdaReadOnlyAccess

  • AWSOpsWorksFullAccess

  • AWSOpsWorksRole

  • AWSDataPipelineRole

  • AmazonDynamoDBFullAccesswithDataPipeline

  • AmazonElasticMapReduceFullAccess

  • AmazonDynamoDBFullAccesswithDataPipeline

  • AmazonEC2ContainerServiceFullAccess

Los siguientes ejemplos de políticas administradas AWS proporcionan permisos solo para roles vinculados al servicio, que permiten servicios AWS para realizar acciones en su nombre. No puede adjuntar estas políticas a sus identidades de IAM.

Advertencia de seguridad: rol de pase con estrella en la acción y el recurso

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Resolución de la advertencia de seguridad

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole a una identidad (usuario, grupo de usuarios o rol). Las políticas con un carácter comodín (*) en Action y los elementos Resource pueden permitir que las entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService.

Políticas administradas AWS con esta advertencia de seguridad

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Algunos de esos casos de uso son para administradores de su cuenta. Las siguientes políticas administradas de AWS proporcionan acceso de administrador y otorgan permisos para pasar cualquier rol de IAM a cualquier servicio AWS. AWS recomienda que adjunte las siguientes políticas administradas de AWS a las identidades de IAM que considere administradores.

Advertencia de seguridad: rol de pase con estrella en recurso y NotAction

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

Resolución de la advertencia de seguridad

Para configurar muchos servicios de AWS, es necesario transferir un rol de IAM al servicio. Para permitir esto, debe conceder el permiso iam:PassRole a una identidad (usuario, grupo de usuarios o rol). El uso del elemento NotAction en una política con un carácter comodín (*) en el elemento Resource pueden permitir que sus entidades principales accedan a más servicios o características de los que pretendía. En su lugar, AWS recomienda especificar ARN permitidos en el elemento Resource. Además, puede reducir los permisos a un único servicio mediante la clave de condición iam:PassedToService.

Advertencia de seguridad: faltan las claves de condición emparejadas

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."

Resolución de la advertencia de seguridad

Algunas claves de condición son más seguras cuando se las empareja con otras claves de condición relacionadas. AWS recomienda incluir las claves de condición relacionadas en el mismo bloque de condición que la clave de condición existente. Esto hace que los permisos otorgados a través de la política sean más seguros.

Por ejemplo, puede utilizar la clave de condición aws:VpcSourceIp para comparar la dirección IP desde la que se realizó una solicitud con la dirección IP que ha especificado en la política. AWS recomienda que agregue la clave de condición de aws:SourceVPC. Esto comprueba si la solicitud proviene de la VPC que especifique en la política y la dirección IP que especifique.

Términos relacionados

Advertencia de seguridad: denegar con clave de condición de etiqueta no admitida para el servicio

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."

Resolución de la advertencia de seguridad

El uso de claves de condición de etiqueta no compatibles en el elemento Condition de una política con "Effect": "Deny" puede ser excesivamente permisiva, porque la condición se ignora para ese servicio. AWSrecomienda quitar las acciones de servicio que no admiten la clave de condición y crear otra instrucción para denegar el acceso a recursos específicos para esas acciones.

Si utiliza la clave de condición aws:ResourceTag y no es compatible con una acción de servicio, entonces la clave no se incluye en el contexto de solicitud. En este caso, la condición en el campo Deny siempre devuelve false y la acción nunca se deniega. Esto sucede incluso si el recurso está etiquetado correctamente.

Cuando un servicio admite la clave de condición aws:ResourceTag puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como control de acceso basado en atributos (ABAC). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante Control de acceso basado en recursos (RBAC).

nota

Algunos servicios permiten el soporte para la clave de condición aws:ResourceTag para un subconjunto de sus recursos y acciones. El Analizador de acceso de IAM devuelve los resultados de las acciones de servicio que no se admiten. Por ejemplo, Amazon S3 admite aws:ResourceTag para un subconjunto de sus recursos. Para consultar todos los tipos de recursos disponibles en Amazon S3 que admiten la clave de condición aws:ResourceTag, consulte Tipos de recurso definidos por Amazon S3 en la Referencia de autorizaciones de servicio.

Por ejemplo, supongamos que desea denegar el acceso para desetiquetar recursos específicos que están etiquetados con el par de clave-valor status=Confidential. También supongamos también que AWS Lambda le permite etiquetar y desetiquetar recursos, pero no admite la clave de condición aws:ResourceTag. Para denegar las acciones de eliminación para AWS App Mesh y AWS Backup si esta etiqueta está presente, utilice la clave de condición aws:ResourceTag. Para Lambda, utilice una convención de nomenclatura de recursos que incluya el prefijo "Confidential". A continuación, incluya una instrucción separada que impida eliminar recursos con esa convención de nomenclatura.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyDeleteSupported", "Effect": "Deny", "Action": [ "appmesh:DeleteMesh", "backup:DeleteBackupPlan" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/status": "Confidential" } } }, { "Sid": "DenyDeleteUnsupported", "Effect": "Deny", "Action": "lambda:DeleteFunction", "Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*" } ] }
aviso

No utilice la versión ...IfExists del operador de condición como solución alternativa para este resultado. Esto significa «Denegar la acción si la clave está presente en el contexto de la solicitud y los valores coinciden. De lo contrario, deniegue la acción». En el ejemplo anterior, incluida la acción lambda:DeleteFunction en la declaración DenyDeleteSupportedcon el operador StringEqualsIfExists siempre deniega la acción. Para esa acción, la clave no está presente en el contexto y todos los intentos de eliminar ese tipo de recurso se deniegan, independientemente de si el recurso está etiquetado.

Términos relacionados

Advertencia de seguridad: denegar NotAction con clave de condición de etiqueta no compatible para el servicio

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

Resolución de la advertencia de seguridad

El uso de claves de condición de etiqueta en el Condition elemento de una política con el elemento NotAction y "Effect": "Deny" puede ser demasiado permisivo. La condición se omite para las acciones de servicio que no admiten la clave de condición. AWS recomienda que vuelva a escribir la lógica para denegar una lista de acciones.

Si utiliza la clave de condición aws:ResourceTag con NotAction, no se deniega ninguna acción de servicio nueva o existente que no admita la clave. AWS le recomienda que indique explícitamente las acciones que desea denegar. el Analizador de acceso de IAM devuelve un resultado independiente para las acciones enumeradas que no admiten la clave de condición aws:ResourceTag. Para obtener más información, consulte Advertencia de seguridad: denegar con clave de condición de etiqueta no admitida para el servicio.

Cuando un servicio admite la clave de condición aws:ResourceTag puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como control de acceso basado en atributos (ABAC). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante Control de acceso basado en recursos (RBAC).

Términos relacionados

Advertencia de seguridad: restrinja el acceso a la entidad principal de servicio

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."

Resolución de la advertencia de seguridad

Puede especificar Servicios de AWS en el elemento Principal de una política basada en recursos mediante una entidad principal de servicio, que es un identificador del servicio. Al conceder acceso a una entidad principal de servicio para que actúe en su nombre, restrinja el acceso. Puede evitar políticas excesivamente permisivas mediante las claves de condición aws:SourceArn, aws:SourceAccount, aws:SourceOrgID o aws:SourceOrgPaths para restringir el acceso a un origen específico, como un ARN de recurso específico, un ID de organización, Cuenta de AWS o rutas de organización. Restringir el acceso lo ayuda a evitar un problema de seguridad denominado problema del suplente confuso.

Términos relacionados

Advertencia de seguridad: falta la clave de condición para la entidad principal oidc

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."

Resolución de la advertencia de seguridad

El uso de una entidad principal de Open ID Connect sin una condición puede resultar excesivamente permisivo. Agregue claves de condición con un prefijo que coincida con sus entidades principales de OIDC federadas para garantizar que solo el proveedor de identidad previsto asuma el rol.

Términos relacionados

Advertencia de seguridad: falta la clave de condición del repositorio de github

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."

Resolución de la advertencia de seguridad

Si usa GitHub como un IdP de OIDC, la práctica recomendada es limitar las entidades que pueden asumir el rol asociado con el IdP de IAM. Al incluir una declaración Condition en una política de confianza de rol, puede limitar el rol a una organización, repositorio o ramificación específica de GitHub. Puede utilizar la clave de condición token.actions.githubusercontent.com:sub para limitar el acceso. Le recomendamos que limite la condición a un conjunto específico de repositorios o ramas. Si no incluye esta condición, GitHub Actions de organizaciones o repositorios fuera de su control pueden asumir roles asociados con el IdP de IAM de GitHub en su cuenta de AWS.

Términos relacionados

Sugerencia: acción de matriz vacía

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty array action: This statement includes no actions and does not affect the policy. Specify actions.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."

Resolución de la sugerencia

Las instrucciones deben incluir un elemento Action o NotAction que incluye un conjunto de acciones. Cuando el elemento está vacío, la instrucción de política no proporciona permisos. Especifique acciones en el elemento Action

Sugerencia: condición de matriz vacía

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."

Resolución de la sugerencia

La estructura del elemento Condition opcional requiere que utilice un operador de condición y un par clave-valor. Cuando el valor de la condición está vacío, la condición devuelvetrue y la declaración de política no proporciona permisos. Especifique un valor de condición.

Sugerencia: condición de matriz vacía ForAllValues

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

Resolución de la sugerencia

La estructura del elemento Condition requiere que utilice un operador de condición y un par clave-valor. El operador de configuración ForAllValues prueba si el valor de cada miembro del conjunto de solicitudes es un subconjunto del conjunto de claves de condición.

Cuando utiliza ForAllValues con una clave de condición vacía, la condición coincide solo si no hay claves en la solicitud. En su lugar, AWSrecomienda que si desea probar si un contexto de solicitud está vacío, utilice el operador de condición Null.

Sugerencia — Condición de matriz vacía ForAnyValue

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."

Resolución de la sugerencia

La estructura del elemento Condition requiere que utilice un operador de condición y un par clave-valor. El operador de configuración ForAnyValues prueba si al menos un miembro del conjunto de valores de la solicitud coincide con al menos un miembro del conjunto de valores de la clave de condición.

Cuando utiliza ForAnyValues con una clave de condición vacía, la condición nunca coincide. Esto significa que la declaración no afecta a la política. AWSrecomienda que vuelva a escribir la condición.

Sugerencia: condición de matriz vacía IfExists

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

Resolución de la sugerencia

El sufijo ...IfExists edita un operador de condición. Significa que si la clave de la política está presente en el contexto de la solicitud, se debe procesar la clave según se indica en la política. Si la clave no está presente, el elemento de condición se evalúa en verdadero.

Cuando utiliza ...IfExists con una clave de condición vacía, la condición coincide solo si no hay claves en la solicitud. En su lugar, AWSrecomienda que si desea probar si un contexto de solicitud está vacío, utilice el operador de condición Null.

Sugerencia: entidad principal de matriz vacía

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

Resolución de la sugerencia

Debe utilizar el elemento Principal o NotPrincipal en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso.

Cuando proporciona una matriz vacía en el elemento Principal, la instrucción no surte efecto en la política. AWS recomienda especificar las entidades principales que deben tener acceso al recurso.

Sugerencia — Recurso de matriz vacío

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."

Resolución de la sugerencia

Las instrucciones deben contener un elemento Resource o NotResource.

Cuando proporciona una matriz vacía en el elemento de recurso de una instrucción, la instrucción no tiene ningún efecto en la política. AWS recomienda que especifique los nombres de recurso de Amazon (ARN) para los recursos.

Sugerencia: condición de objeto vacío

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."

Resolución de la sugerencia

La estructura del elemento Condition requiere que utilice un operador de condición y un par clave-valor.

Cuando se proporciona un objeto vacío en el elemento de condición de una instrucción, la instrucción no tiene ningún efecto en la política. Elimine el elemento opcional o especifique las condiciones.

Sugerencia: entidad principal de objeto vacío

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

Resolución de la sugerencia

Debe utilizar el elemento Principal o NotPrincipal en las políticas de confianza para los roles de IAM y en las políticas basadas en recursos. Las políticas basadas en recursos son políticas que se integran directamente en un recurso.

Cuando proporciona un objeto vacío en el elemento Principal, la instrucción no surte efecto en la política. AWS recomienda especificar las entidades principales que deben tener acceso al recurso.

Sugerencia: valor de Sid vacío

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Empty Sid value: Add a value to the empty string in the Sid element.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Add a value to the empty string in the Sid element."

Resolución de la sugerencia

El elemento opcional Sid (ID de instrucción) le permite ingresar un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de Sid a cada instrucción de una matriz de instrucciones. Si opta por utilizar el elemento Sid, debe proporcionar un valor de cadena.

Términos relacionados

Sugerencia: mejorar el rango IP

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."

Resolución de la sugerencia

Las condiciones de las direcciones IP deben tener el formato CIDR estándar, como 203.0.113.0/24 o 2001:DB8:1234:5678::/64. Cuando se incluyen bits distintos de cero después de los bits enmascarados, no se consideran para la condición. AWS recomienda que utilice la nueva dirección incluida en el mensaje.

Sugerencia: nulo con calificador

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."

Resolución de la sugerencia

En el elemento Condition, se crean expresiones en las que se usan operadores de condición como igual o menor para comparar una condición en la política con relación a claves y valores en el contexto de la solicitud. Para las solicitudes que incluyen varios valores para una única clave de condición, debe utilizar los operadores de configuración ForAllValues o ForAnyValue.

Cuando utiliza el operador de condición Null con ForAllValues, la declaración siempre devuelve true. Cuando utiliza el operador de condición Null con ForAnyValue, la declaración siempre devuelve false. AWS recomienda que utilice la condición StringLike con estos operadores de conjunto.

Términos relacionados

Sugerencia: subconjunto de direcciones IP privada

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

Resolución de la sugerencia

La clave de condición global aws:SourceIp solo funciona para rangos de direcciones IP públicas.

Cuando su elemento Condition incluye una mezcla de direcciones IP privadas y públicas, la declaración puede no tener el efecto deseado. Usted puede especificar direcciones IP privadas utilizando aws:VpcSourceIP.

nota

La clave de condición global aws:VpcSourceIP coincide solo si la solicitud proviene de la dirección IP especificada y pasa a través de un punto de enlace de la VPC.

Sugerencia: subconjunto NotIpAddress privado

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

Resolución de la sugerencia

La clave de condición global aws:SourceIp solo funciona para rangos de direcciones IP públicas.

Cuando su elemento Condition incluye el operador de condición NotIpAddress y una combinación de direcciones IP privadas y públicas, es posible que la declaración no tenga el efecto deseado. Todas las direcciones IP públicas que no se especifican en la política coincidirán. Ninguna dirección IP privada coincidirá. Para lograr este efecto, puede utilizar NotIpAddress con aws:VpcSourceIP y especificar las direcciones IP privadas que no deben coincidir.

Sugerencia: acción redundante

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."

Resolución de la sugerencia

Cuando utiliza comodines (*) en el elemento Action, puede incluir permisos redundantes. AWS recomienda que revise su política e incluya únicamente los permisos que necesite. Esto puede ayudarle a eliminar acciones redundantes.

Por ejemplo, las siguientes acciones incluyen la acción iam:GetCredentialReport dos veces.

"Action": [ "iam:Get*", "iam:List*", "iam:GetCredentialReport" ],

En este ejemplo, se definen los permisos para todas las acciones de IAM que comienzan con Get o List. Cuando IAM agrega operaciones adicionales para obtener o listar, esta política las permitirá. Es posible que desee permitir todas estas acciones de solo lectura. Laiam:GetCredentialReportLa acción ya está incluida como parte deiam:Get*. Para quitar los permisos duplicados, puede quitar iam:GetCredentialReport.

Recibirá un resultado para esta comprobación de política cuando todo el contenido de una acción es redundante. En este ejemplo, si el elemento incluye iam:*CredentialReport, no se considera redundante. Eso incluye iam:GetCredentialReport, que es redundante, y iam:GenerateCredentialReport, que no lo es. Al eliminar iam:Get* o iam:*CredentialReport se cambiarían los permisos de la política.

Políticas administradas AWS con esta sugerencia

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Las acciones redundantes no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada de AWS como referencia para crear su política administrada, AWS recomienda que elimine las acciones redundantes de su política.

Sugerencia: número de valor de condición redundante

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."

Resolución de la sugerencia

Cuando utiliza operadores de condición numérica para valores similares en una clave de condición, puede crear una superposición que dé como resultado permisos redundantes.

Por ejemplo, el siguiente elemento Condition incluye varias condiciones aws:MultiFactorAuthAge que tienen una superposición de edad de 1200 segundos.

"Condition": { "NumericLessThan": { "aws:MultiFactorAuthAge": [ "2700", "3600" ] } }

En este ejemplo, los permisos se definen si la autenticación multifactor (MFA) se completó hace menos de 3600 segundos (1 hora). Podría eliminar el valor 2700 redundante.

Sugerencia: recurso redundante

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"

Resolución de la sugerencia

Cuando utiliza caracteres comodín (*) en nombres de recurso de Amazon (ARN), puede crear permisos de recursos redundantes.

Por ejemplo, el siguiente elemento Resource incluye varios ARN con permisos redundantes.

"Resource": [ "arn:aws:iam::111122223333:role/jane-admin", "arn:aws:iam::111122223333:role/jane-s3only", "arn:aws:iam::111122223333:role/jane*" ],

En este ejemplo, se definen los permisos para cualquier rol con un nombre que comience con jane. Podría eliminar el jane-admin redundante y los jane-s3only ARN sin cambiar los permisos resultantes. Esto hace que la política sea dinámica. Definirá permisos para cualquier rol futuro que comience con jane. Si la intención de la política es permitir el acceso a un número estático de roles, elimine el último ARN y enumere solo los ARN que deben definirse.

Políticas administradas AWS con esta sugerencia

AWS políticas administradas le permiten comenzar con AWS asignando permisos basados en casos de uso general AWS.

Los recursos redundantes no afectan a los permisos concedidos por las políticas. Cuando se utiliza una política administrada AWS como referencia para crear su política gestionada por el cliente, AWS recomienda quitar recursos redundantes de la política.

Sugerencia: instrucción redundante

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."

Resolución de la sugerencia

El elemento Statement es el elemento principal de una política. Este elemento es obligatorio. El elemento Statement puede contener una sola instrucción o una matriz de instrucciones individuales.

Cuando se incluye la misma instrucción más de una vez en una política larga, las instrucciones son redundantes. Puede quitar una de las instrucciones sin afectar a los permisos otorgados por la política. Cuando alguien edita una política, puede cambiar una de las instrucciones sin actualizar el duplicado. Esto podría provocar más permisos de los que se pretendía.

Sugerencia: comodín en el nombre del servicio

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."

Resolución de la sugerencia

Cuando se incluye el nombre de un servicio AWS en una política, AWSrecomienda no incluir caracteres comodín (*, ?). Esto podría agregar permisos para futuros servicios que no tiene intención. Por ejemplo, hay más de una docena de servicios AWS con la palabra *code* en su nombre.

"Resource": "arn:aws:*code*::111122223333:*"

Sugerencia: permitir con clave de condición de etiqueta no compatible para el servicio

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."

Resolución de la sugerencia

El uso de claves de condición de etiqueta no compatibles en el elemento Condition de una política con "Effect": "Allow" no afecta los permisos otorgados por la política, porque la condición se ignora para ese servicio. AWS recomienda quitar las acciones de servicio que no admiten la clave de condición y crear otra instrucción para permitir el acceso a recursos específicos en ese servicio.

Si utiliza la clave de condición aws:ResourceTag y no es compatible con una acción de servicio, entonces la clave no se incluye en el contexto de solicitud. En este caso, la condición en el campo Allow siempre devuelve false y la acción nunca está permitida. Esto sucede incluso si el recurso está etiquetado correctamente.

Cuando un servicio admite la clave de condición aws:ResourceTag puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como control de acceso basado en atributos (ABAC). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante Control de acceso basado en recursos (RBAC).

nota

Algunos servicios permiten el soporte para la clave de condición aws:ResourceTag para un subconjunto de sus recursos y acciones. El Analizador de acceso de IAM devuelve los resultados de las acciones de servicio que no se admiten. Por ejemplo, Amazon S3 admite aws:ResourceTag para un subconjunto de sus recursos. Para consultar todos los tipos de recursos disponibles en Amazon S3 que admiten la clave de condición aws:ResourceTag, consulte Tipos de recurso definidos por Amazon S3 en la Referencia de autorizaciones de servicio.

Por ejemplo, suponga que desea permitir que los miembros del equipo vean los detalles de recursos específicos etiquetados con el par clave-valor team=BumbleBee. También supongamos también que AWS Lambda le permite etiquetar recursos, pero no admite la clave de condición aws:ResourceTag. Para permitir la visualización de acciones para AWS App Mesh y AWS Backup si esta etiqueta está presente, utilice la clave de condición aws:ResourceTag. Para Lambda, utilice una convención de nomenclatura de recursos que incluya el nombre del equipo como prefijo. A continuación, incluya una instrucción separada que permita ver recursos con esa convención de nomenclatura.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewSupported", "Effect": "Allow", "Action": [ "appmesh:DescribeMesh", "backup:GetBackupPlan" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/team": "BumbleBee" } } }, { "Sid": "AllowViewUnsupported", "Effect": "Allow", "Action": "lambda:GetFunction", "Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*" } ] }
aviso

No utilice la versión Not del operador de condición con "Effect": "Allow" como solución alternativa para este resultado. Estos operadores de condición proporcionan coincidencia denegada. Esto significa que después de que se evalúa la condición, el resultado es negado. En el ejemplo anterior, incluida la acción lambda:GetFunction en la instrucción AllowViewSupportedcon el operador StringNotEquals siempre permite la acción, independientemente de si el recurso está etiquetado.

No utilice la versión ...IfExists del operador de condición como solución alternativa para este resultado. Esto significa “Permitir la acción si la clave está presente en el contexto de la solicitud y los valores coinciden. De lo contrario, permita la acción”. En el ejemplo anterior, incluida la acción lambda:GetFunction en la declaración AllowViewSupportedcon el operador StringEqualsIfExists siempre permite la acción. Para esa acción, la clave no está presente en el contexto y se permite cada intento de ver ese tipo de recurso, independientemente de si el recurso está etiquetado.

Términos relacionados

Sugerencia: permitir NotAction con clave de condición de etiqueta no compatible para el servicio

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

Resolución de la sugerencia

El uso de claves de condición de etiqueta no compatibles en el elemento Condition de una política con el elemento NotAction y "Effect": "Allow" no afecta a los permisos concedidos por la política. La condición se omite para las acciones de servicio que no admiten la clave de condición. AWS recomienda que vuelva a escribir la lógica para admitir una lista de acciones.

Si utiliza la clave de condición aws:ResourceTag con NotAction, no se deniega ninguna acción de servicio nueva o existente que no admita la clave. AWS le recomienda que indique explícitamente las acciones que desea admitir. El Analizador de acceso de IAM devuelve un resultado independiente para las acciones enumeradas que no admiten la clave de condición aws:ResourceTag. Para obtener más información, consulte Sugerencia: permitir con clave de condición de etiqueta no compatible para el servicio.

Cuando un servicio admite la clave de condición aws:ResourceTag puede utilizar etiquetas para controlar el acceso a los recursos de dicho servicio. Esto se conoce como control de acceso basado en atributos (ABAC). Los servicios que no admiten estas claves requieren que el usuario controle el acceso a los recursos mediante Control de acceso basado en recursos (RBAC).

Términos relacionados

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."

Resolución de la sugerencia

Puede especificar Servicios de AWS en el elemento Principal de una política basada en recursos mediante una entidad principal de servicio, que es un identificador del servicio. Debe utilizar las claves de condición aws:SourceArn, aws:SourceAccount, aws:SourceOrgID o aws:SourceOrgPaths al conceder acceso a las entidades principales de servicio en lugar de otras claves de condición, como aws:Referer. Esto lo ayuda a evitar un problema de seguridad denominado problema del suplente confuso.

Términos relacionados

Sugerencia: clave de condición irrelevante en la política

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."

Resolución de la sugerencia

Algunas claves de condición no son relevantes para políticas basadas en recursos. Por ejemplo, la clave de condición s3:ResourceAccount no es relevante para la política basada en recursos asociada a un bucket de Amazon S3 o a un tipo de recurso de punto de acceso de Amazon S3.

Puede utilizar la clave de condición de una política basada en la identidad para controlar el acceso al recurso.

Términos relacionados

Sugerencia: Entidad principal redundante en la política de confianza del rol

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."

Resolución de la sugerencia

Si especifica tanto un rol principal asumido como su rol primario en el elemento Principal de una política, ésta no permite o deniega los permisos diferentes. Por ejemplo, es redundante si se especifica el elemento Principal utilizando el siguiente formato:

"Principal": { "AWS": [ "arn:aws:iam::AWS-account-ID:role/rolename", "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname" ]

Le recomendamos que elimine el rol principal asumido.

Términos relacionados

Sugerencia: confirme el tipo de reclamación de la audiencia

En el AWS Management Console, el resultado de esta verificación incluye el siguiente mensaje:

Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.

En las llamadas programáticas al AWS CLI o API de AWS, el resultado de esta verificación incluye el siguiente mensaje:

"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."

Resolución de la sugerencia

La clave de reclamación aud (de la audiencia) es un identificador único para su aplicación que se le emite cuando registra su aplicación con el IdP e identifica a los destinatarios a los que está destinado el token web JSON. La reclamación de la audiencia puede ser de valor único o multivalor. Si la reclamación es multivalor, utilice un ForAllValues o un operador de conjunto de condiciones ForAnyValue. Si la reclamación es de valor único, no utilice un operador de conjunto de condiciones.

Términos relacionados