Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Referensi pemeriksaan kebijakan Access Analyzer
Anda dapat memvalidasi kebijakan Anda menggunakan validasi AWS Identity and Access Management Access Analyzer kebijakan. Anda dapat membuat atau mengedit kebijakan menggunakan AWS CLI, AWS API, atau editor JSON kebijakan di IAM konsol. IAMAccess Analyzer memvalidasi kebijakan Anda terhadap tata bahasa IAM kebijakan dan AWS praktik terbaik. Anda dapat melihat temuan pemeriksaan validasi kebijakan yang mencakup peringatan keamanan, kesalahan, peringatan umum, dan saran untuk kebijakan Anda. Temuan ini memberikan rekomendasi yang dapat ditindaklanjuti yang membantu Anda membuat kebijakan yang fungsional dan sesuai dengan praktik terbaik keamanan. Daftar pemeriksaan kebijakan dasar yang disediakan oleh IAM Access Analyzer dibagikan di bawah ini. Tidak ada biaya tambahan yang terkait dengan menjalankan pemeriksaan validasi kebijakan. Untuk mempelajari lebih lanjut tentang memvalidasi kebijakan menggunakan validasi kebijakan, lihat. Validasi kebijakan IAM Access Analyzer
Kesalahan - ARN akun tidak diizinkan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."Menyelesaikan kesalahan
Hapus ID akun dari sumber dayaARN. Sumber daya ARNs untuk beberapa AWS layanan tidak mendukung menentukan ID akun.
Misalnya, Amazon S3 tidak mendukung ID akun sebagai namespace di bucket. ARNs Nama bucket Amazon S3 unik secara global, dan namespace dibagikan oleh semua akun. AWS Untuk melihat semua jenis sumber daya yang tersedia di Amazon S3, lihat Jenis sumber daya yang ditentukan oleh Amazon S3 di Referensi Otorisasi Layanan.
Istilah terkait
Kesalahan - ARN Wilayah tidak diizinkan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."Menyelesaikan kesalahan
Hapus Wilayah dari sumber dayaARN. Sumber daya ARNs untuk beberapa AWS layanan tidak mendukung menentukan Wilayah.
Misalnya, IAM adalah layanan global. Bagian Wilayah dari sumber IAM daya selalu ARN dikosongkan. IAMsumber daya bersifat global, seperti AWS akun saat ini. Misalnya, setelah masuk sebagai IAM pengguna, Anda dapat mengakses AWS layanan di wilayah geografis mana pun.
Kesalahan - Ketidakcocokan tipe data
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."Menyelesaikan kesalahan
Perbarui teks untuk menggunakan tipe data yang didukung.
Misalnya, kunci kondisi Version global memerlukan tipe String data. Jika Anda memberikan tanggal atau bilangan bulat, tipe data tidak akan cocok.
Istilah terkait
Kesalahan - Kunci duplikat dengan kasus yang berbeda
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."Menyelesaikan kesalahan
Tinjau kunci kondisi serupa dalam blok kondisi yang sama dan gunakan kapitalisasi yang sama untuk semua instance.
Blok kondisi adalah teks dalam Condition elemen pernyataan kebijakan. Nama kunci kondisi tidak peka dengan huruf besar-kecil. Sensitivitas kasus nilai kunci kondisi tergantung pada operator kondisi yang Anda gunakan. Untuk informasi selengkapnya tentang sensitivitas huruf besar/kecil pada tombol kondisi, lihat. IAMJSONelemen kebijakan: Condition
Istilah terkait
Kesalahan - Tindakan tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"Menyelesaikan kesalahan
Tindakan yang Anda tentukan tidak valid. Ini bisa terjadi jika Anda salah mengetik awalan layanan atau nama tindakan. Untuk beberapa masalah umum, pemeriksaan kebijakan mengembalikan tindakan yang disarankan.
Istilah terkait
AWS kebijakan terkelola dengan kesalahan ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Kebijakan AWS terkelola berikut mencakup tindakan tidak valid dalam pernyataan kebijakan mereka. Tindakan yang tidak valid tidak memengaruhi izin yang diberikan oleh kebijakan. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan terkelola, AWS sarankan agar Anda menghapus tindakan yang tidak valid dari kebijakan Anda.
Kesalahan - Akun tidak valid ARN
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."Menyelesaikan kesalahan
Perbarui ID akun di sumber dayaARN. Akun IDs adalah bilangan bulat 12 digit. Untuk mempelajari cara melihat ID akun, lihat Menemukan ID AWS akun.
Istilah terkait
Kesalahan - Awalan tidak valid ARN
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add the required prefix (arn) to the resource ARN."Menyelesaikan kesalahan
AWS sumber daya ARNs harus menyertakan arn: awalan yang diperlukan.
Istilah terkait
Kesalahan - Wilayah Tidak Valid ARN
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."Menyelesaikan kesalahan
Jenis sumber daya tidak didukung di Wilayah yang ditentukan. Untuk tabel AWS layanan yang didukung di setiap Wilayah, lihat tabel Wilayah
Istilah terkait
Kesalahan - Sumber daya tidak valid ARN
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."Menyelesaikan kesalahan
Sumber daya ARN harus sesuai dengan spesifikasi untuk jenis sumber daya yang diketahui. Untuk melihat ARN format yang diharapkan untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan. Pilih nama layanan untuk melihat jenis dan ARN format sumber dayanya.
Istilah terkait
Kesalahan - Kasus layanan tidak valid ARN
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."Menyelesaikan kesalahan
Layanan dalam sumber daya ARN harus sesuai dengan spesifikasi (termasuk kapitalisasi) untuk awalan layanan. Untuk melihat awalan untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan. Pilih nama layanan dan temukan awalannya di kalimat pertama.
Istilah terkait
Kesalahan - Tipe data kondisi tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."Menyelesaikan kesalahan
Nilai dalam pasangan kunci-nilai kondisi harus sesuai dengan tipe data dari kunci kondisi dan operator kondisi. Untuk melihat tipe data kunci kondisi untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan. Pilih nama layanan untuk melihat tombol kondisi untuk layanan tersebut.
Misalnya, kunci kondisi CurrentTimeglobal mendukung operator Date kondisi. Jika Anda memberikan string atau bilangan bulat untuk nilai di blok kondisi, tipe data tidak akan cocok.
Istilah terkait
Kesalahan - Format kunci kondisi tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition key format is not valid. Use the format service:keyname."Menyelesaikan kesalahan
Kunci dalam kondisi pasangan kunci-nilai harus sesuai dengan spesifikasi untuk layanan. Untuk melihat kunci kondisi untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan. Pilih nama layanan untuk melihat tombol kondisi untuk layanan tersebut.
Istilah terkait
Kesalahan - Kondisi tidak valid beberapa Boolean
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."Menyelesaikan kesalahan
Kunci dalam pasangan kunci-nilai kondisi mengharapkan nilai Boolean tunggal. Saat Anda memberikan beberapa nilai Boolean, kecocokan kondisi mungkin tidak mengembalikan hasil yang Anda harapkan.
Untuk melihat kunci kondisi untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan. Pilih nama layanan untuk melihat tombol kondisi untuk layanan tersebut.
Kesalahan - Operator kondisi tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."Menyelesaikan kesalahan
Perbarui kondisi untuk menggunakan operator kondisi yang didukung.
Istilah terkait
Kesalahan - Efek tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."Menyelesaikan kesalahan
Perbarui Effect elemen untuk menggunakan efek yang valid. Nilai yang valid untuk Effect adalah Allow dan Deny.
Istilah terkait
Kesalahan - Kunci kondisi global tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."Menyelesaikan kesalahan
Perbarui kunci kondisi pada pasangan kunci-nilai kondisi untuk menggunakan kunci kondisi global yang didukung.
Kunci kondisi global adalah kunci kondisi dengan aws: awalan. AWS layanan dapat mendukung kunci kondisi global atau menyediakan kunci khusus layanan yang menyertakan awalan layanan mereka. Misalnya, tombol IAM kondisi menyertakan iam: awalan. Untuk informasi selengkapnya, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk AWS Layanan dan pilih layanan yang kuncinya ingin Anda lihat.
Istilah terkait
Kesalahan - Partisi tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"Menyelesaikan kesalahan
Perbarui sumber daya ARN untuk menyertakan partisi yang didukung. Jika Anda menyertakan partisi yang didukung, maka layanan atau sumber daya mungkin tidak mendukung partisi yang Anda sertakan.
Partisi adalah sekelompok AWS Wilayah. Setiap AWS akun dicakup ke satu partisi. Di Wilayah Klasik, gunakan aws partisi. Di Wilayah China, gunakanaws-cn.
Istilah terkait
Kesalahan - Elemen kebijakan tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid policy element: The policy element {{element}} is not valid.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The policy element {{element}} is not valid."Menyelesaikan kesalahan
Perbarui kebijakan agar hanya menyertakan elemen JSON kebijakan yang didukung.
Istilah terkait
Kesalahan - Format utama tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."Menyelesaikan kesalahan
Perbarui prinsipal untuk menggunakan format pasangan nilai kunci yang didukung.
Anda dapat menentukan prinsipal dalam kebijakan berbasis sumber daya, tetapi bukan kebijakan berbasis identitas.
Misalnya, untuk menentukan akses bagi semua orang di AWS akun, gunakan prinsip berikut dalam kebijakan Anda:
"Principal": { "AWS": "123456789012" }Istilah terkait
Kesalahan - Kunci utama tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid principal key: The principal key {{principal-key}} is not valid.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The principal key {{principal-key}} is not valid."Menyelesaikan kesalahan
Perbarui kunci dalam pasangan nilai kunci utama untuk menggunakan kunci utama yang didukung. Berikut ini adalah kunci utama yang didukung:
AWS
CanonicalUser
Federasi
Layanan
Istilah terkait
Kesalahan - Wilayah Tidak Valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."Menyelesaikan kesalahan
Perbarui nilai pasangan kunci-nilai kondisi untuk menyertakan Wilayah yang didukung. Untuk tabel AWS layanan yang didukung di setiap Wilayah, lihat tabel Wilayah
Istilah terkait
Kesalahan - Layanan tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid service: The service {{service}} does not exist. Use a valid service name.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The service {{service}} does not exist. Use a valid service name."Menyelesaikan kesalahan
Awalan layanan dalam kunci tindakan atau kondisi harus sesuai dengan spesifikasi (termasuk kapitalisasi) untuk awalan layanan. Untuk melihat awalan untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan. Pilih nama layanan dan temukan awalannya di kalimat pertama.
Istilah terkait
Kesalahan - Kunci kondisi layanan tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."Menyelesaikan kesalahan
Perbarui kunci dalam pasangan kunci-nilai kondisi untuk menggunakan kunci kondisi yang diketahui untuk layanan. Nama kunci kondisi global dimulai dengan aws awalan.
AWS layanan dapat menyediakan kunci khusus layanan yang menyertakan awalan layanan mereka. Untuk melihat awalan untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan.
Istilah terkait
Kesalahan - Layanan tidak valid dalam tindakan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"Menyelesaikan kesalahan
Awalan layanan dalam tindakan harus sesuai dengan spesifikasi (termasuk kapitalisasi) untuk awalan layanan. Untuk melihat awalan untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan. Pilih nama layanan dan temukan awalannya di kalimat pertama.
Istilah terkait
Kesalahan - Variabel tidak valid untuk operator
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Policy variables can only be used with String and ARN operators."Menyelesaikan kesalahan
Anda dapat menggunakan variabel kebijakan di elemen Resource dan dalam perbandingan string dalam elemen Condition. Kondisi mendukung variabel ketika Anda menggunakan operator string atau ARN operator. Operator string termasukStringEquals,StringLike, danStringNotLike. ARNoperator termasuk ArnEquals danArnLike. Anda tidak dapat menggunakan variabel kebijakan dengan operator lain, seperti Numerik, Tanggal, Boolean, Biner, Alamat IP, atau operator Null.
Istilah terkait
Kesalahan - Versi tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"Menyelesaikan kesalahan
Elemen Version kebijakan menentukan aturan sintaks bahasa yang AWS digunakan untuk memproses kebijakan. Untuk menggunakan semua fitur kebijakan yang tersedia, sertakan Version elemen terbaru sebelum Statement elemen di semua kebijakan Anda.
"Version": "2012-10-17"Istilah terkait
Kesalahan - Kesalahan sintaks Json
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."Menyelesaikan kesalahan
Kebijakan Anda menyertakan kesalahan sintaks. Periksa JSON sintaks Anda.
Istilah terkait
Kesalahan - Kesalahan sintaks Json
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Json syntax error: Fix the JSON syntax error.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Fix the JSON syntax error."Menyelesaikan kesalahan
Kebijakan Anda menyertakan kesalahan sintaks. Periksa JSON sintaks Anda.
Istilah terkait
Kesalahan - Tindakan hilang
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing action: Add an Action or NotAction element to the policy statement.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add an Action or NotAction element to the policy statement."Menyelesaikan kesalahan
AWS JSONkebijakan harus mencakup NotAction elemen Action atau.
Istilah terkait
Kesalahan - ARN Bidang hilang
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"Menyelesaikan kesalahan
Semua bidang dalam sumber daya ARN harus sesuai dengan spesifikasi untuk jenis sumber daya yang diketahui. Untuk melihat ARN format yang diharapkan untuk layanan, lihat Tindakan, sumber daya, dan kunci kondisi untuk AWS layanan. Pilih nama layanan untuk melihat jenis dan ARN format sumber dayanya.
Istilah terkait
Kesalahan - ARN Wilayah Hilang
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing ARN Region: Add a Region to the {{service}} resource ARN.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add a Region to the {{service}} resource ARN."Menyelesaikan kesalahan
Sumber daya ARNs untuk sebagian besar AWS layanan mengharuskan Anda menentukan Wilayah. Untuk tabel AWS layanan yang didukung di setiap Wilayah, lihat tabel Wilayah
Istilah terkait
Kesalahan - Efek hilang
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."Menyelesaikan kesalahan
AWS JSONkebijakan harus menyertakan Effect elemen dengan nilai Allow danDeny.
Istilah terkait
Kesalahan - Kepala sekolah yang hilang
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing principal: Add a Principal element to the policy statement.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add a Principal element to the policy statement."Menyelesaikan kesalahan
Kebijakan berbasis sumber daya harus menyertakan elemen. Principal
Misalnya, untuk menentukan akses bagi semua orang di AWS akun, gunakan prinsip berikut dalam kebijakan Anda:
"Principal": { "AWS": "123456789012" }Istilah terkait
Kesalahan - Kualifikasi tidak ada
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."Menyelesaikan kesalahan
Dalam Condition elemen, Anda membangun ekspresi di mana Anda menggunakan operator kondisi seperti sama atau kurang dari untuk membandingkan kondisi dalam kebijakan terhadap kunci dan nilai dalam konteks permintaan. Untuk permintaan yang menyertakan beberapa nilai untuk satu kunci kondisi, Anda harus menyertakan kondisi dalam tanda kurung seperti array (“Key2": [" Value2A”, “Value2B"]). Anda juga harus menggunakan ForAllValues atau ForAnyValue mengatur operator dengan operator StringLike kondisi. Pengkualifikasi ini menambahkan fungsi operasi kumpulan ke operator kondisi sehingga Anda dapat menguji beberapa nilai permintaan terhadap beberapa nilai kondisi.
Istilah terkait
AWS kebijakan terkelola dengan kesalahan ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Kebijakan AWS terkelola berikut menyertakan kualifikasi yang hilang untuk kunci kondisi dalam pernyataan kebijakan mereka. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan terkelola pelanggan, AWS sarankan Anda menambahkan ForAllValues atau ForAnyValue mengkondisikan kualifikasi kunci ke Condition elemen Anda.
Kesalahan - Sumber daya hilang
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing resource: Add a Resource or NotResource element to the policy statement.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add a Resource or NotResource element to the policy statement."Menyelesaikan kesalahan
Semua kebijakan kecuali kebijakan kepercayaan peran harus menyertakan NotResource elemen Resource atau.
Istilah terkait
Kesalahan - Pernyataan hilang
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing statement: Add a statement to the policy
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add a statement to the policy"Menyelesaikan kesalahan
JSONKebijakan harus menyertakan pernyataan.
Istilah terkait
Kesalahan - Null dengan jika ada
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."Menyelesaikan kesalahan
Anda dapat menambahkan IfExists ke akhir nama operator kondisi apa pun kecuali operator Null kondisi. Gunakan operator ketentuan Null untuk memeriksa apakah kunci kondisi ada pada saat otorisasi. Gunakan ...ifExists untuk mengatakan “Jika kunci kebijakan hadir dalam konteks permintaan, proses kunci seperti yang ditentukan dalam kebijakan. Jika kuncinya tidak ada, evaluasi elemen ketentuan sebagai benar."
Istilah terkait
Kesalahan - SCP wildcard aksi kesalahan sintaks
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."Menyelesaikan kesalahan
AWS Organizations kebijakan kontrol layanan (SCPs) mendukung menentukan nilai-nilai dalam Action atau NotAction elemen. Namun, nilai-nilai ini dapat mencakup wildcard (*) hanya di akhir string. Ini berarti Anda dapat menentukan iam:Get* tetapi tidakiam:*role.
Untuk menentukan beberapa tindakan, AWS sarankan Anda mencantumkannya satu per satu.
Istilah terkait
Kesalahan - kesalahan SCP sintaks memungkinkan kondisi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."Menyelesaikan kesalahan
AWS Organizations service control policies (SCPs) mendukung menentukan nilai dalam Condition elemen hanya ketika Anda menggunakan"Effect": "Deny".
Untuk mengizinkan hanya satu tindakan, Anda dapat menolak akses ke semuanya kecuali kondisi yang Anda tentukan menggunakan ...NotEquals versi operator kondisi. Ini meniadakan perbandingan yang dibuat oleh operator.
Istilah terkait
Kesalahan - kesalahan SCP sintaks memungkinkan NotAction
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."Menyelesaikan kesalahan
AWS Organizations kebijakan kontrol layanan (SCPs) tidak mendukung penggunaan NotAction elemen dengan"Effect": "Allow".
Anda harus menulis ulang logika untuk mengizinkan daftar tindakan, atau untuk menolak setiap tindakan yang tidak terdaftar.
Istilah terkait
Kesalahan - kesalahan SCP sintaks memungkinkan sumber daya
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."Menyelesaikan kesalahan
AWS Organizations service control policies (SCPs) mendukung menentukan nilai dalam Resource elemen hanya ketika Anda menggunakan"Effect": "Deny".
Anda harus menulis ulang logika untuk memungkinkan semua sumber daya, atau untuk menolak setiap sumber daya yang terdaftar.
Istilah terkait
Kesalahan - kesalahan SCP sintaks NotResource
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."Menyelesaikan kesalahan
AWS Organizations kebijakan kontrol layanan (SCPs) tidak mendukung NotResource elemen.
Anda harus menulis ulang logika untuk memungkinkan semua sumber daya, atau untuk menolak setiap sumber daya yang terdaftar.
Istilah terkait
Kesalahan - prinsip kesalahan SCP sintaks
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."Menyelesaikan kesalahan
AWS Organizations kebijakan kontrol layanan (SCPs) tidak mendukung Principal atau NotPrincipal elemen.
Anda dapat menentukan Amazon Resource Name (ARN) menggunakan kunci kondisi aws:PrincipalArn global dalam Condition elemen.
Istilah terkait
Kesalahan - Sids Unik diperlukan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."Menyelesaikan kesalahan
Untuk beberapa jenis kebijakan, pernyataan IDs harus unik. Elemen Sid (ID pernyataan) memungkinkan Anda memasukkan pengenal opsional yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan nilai ID pernyataan untuk setiap pernyataan dalam array pernyataan menggunakan SID elemen. Dalam layanan yang memungkinkan Anda menentukan elemen ID, seperti SQS danSNS, Sid nilainya hanyalah sub-ID dari ID dokumen kebijakan. Misalnya, dalamIAM, Sid nilainya harus unik dalam suatu JSON kebijakan.
Istilah terkait
Kesalahan — Tindakan yang tidak didukung dalam kebijakan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Menyelesaikan kesalahan
Beberapa tindakan tidak didukung dalam Action elemen dalam kebijakan berbasis sumber daya yang dilampirkan ke jenis sumber daya yang berbeda. Misalnya, AWS Key Management Service tindakan tidak didukung dalam kebijakan bucket Amazon S3. Tentukan tindakan yang didukung oleh jenis sumber daya yang dilampirkan pada kebijakan berbasis sumber daya Anda.
Istilah terkait
Kesalahan - Kombinasi elemen yang tidak didukung
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."Menyelesaikan kesalahan
Beberapa kombinasi elemen JSON kebijakan tidak dapat digunakan bersama. Misalnya, Anda tidak dapat menggunakan Action dan NotAction dalam pernyataan kebijakan yang sama. Pasangan lain yang saling eksklusif termasuk Principal/NotPrincipal danResource/NotResource.
Istilah terkait
Kesalahan - Kunci kondisi global yang tidak didukung
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."Menyelesaikan kesalahan
AWS tidak mendukung penggunaan kunci kondisi global yang ditentukan. Tergantung pada kasus penggunaan Anda, Anda dapat menggunakan aws:PrincipalArn atau kunci kondisi aws:SourceArn global. Misalnyaaws:ARN, gunakan aws:PrincipalArn untuk membandingkan Amazon Resource Name (ARN) prinsipal yang membuat permintaan dengan ARN yang Anda tentukan dalam kebijakan. Atau, gunakan kunci kondisi aws:SourceArn global untuk membandingkan Amazon Resource Name (ARN) sumber daya yang membuat service-to-service permintaan dengan ARN yang Anda tentukan dalam kebijakan.
Istilah terkait
Kesalahan — Prinsipal yang tidak didukung
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."Menyelesaikan kesalahan
PrincipalElemen menentukan prinsipal yang diizinkan atau ditolak akses ke sumber daya. Anda tidak dapat menggunakan Principal elemen dalam kebijakan IAM berbasis identitas. Anda dapat menggunakannya dalam kebijakan kepercayaan untuk IAM peran dan kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya adalah kebijakan yang diterapkan langsung ke sumber daya. Misalnya, Anda dapat menyematkan kebijakan di bucket Amazon S3 atau AWS KMS kunci.
Istilah terkait
Kesalahan — Sumber daya yang tidak didukung ARN dalam kebijakan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Menyelesaikan kesalahan
Beberapa sumber daya ARNs tidak didukung dalam Resource elemen kebijakan berbasis sumber daya saat kebijakan dilampirkan ke jenis sumber daya yang berbeda. Misalnya, AWS KMS ARNs tidak didukung dalam Resource elemen untuk kebijakan bucket Amazon S3. Tentukan sumber daya ARN yang didukung oleh jenis sumber daya yang dilampirkan pada kebijakan berbasis sumber daya Anda.
Istilah terkait
Kesalahan — Sid Tidak Didukung
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"Menyelesaikan kesalahan
Elemen Sid mendukung huruf besar, huruf kecil, dan angka.
Istilah terkait
Kesalahan - Wildcard tidak didukung pada prinsipnya
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."Menyelesaikan kesalahan
Struktur Principal elemen mendukung penggunaan pasangan kunci-nilai. Nilai pokok yang ditentukan dalam polis termasuk wildcard (*). Anda tidak dapat menyertakan wildcard dengan kunci utama yang Anda tentukan. Misalnya, saat Anda menentukan pengguna dalam Principal elemen, Anda tidak dapat menggunakan wildcard yang berarti “semua pengguna”. Anda harus memberi nama pengguna atau pengguna tertentu. Demikian pula, ketika Anda menentukan sesi peran yang diasumsikan, Anda tidak dapat menggunakan wildcard yang berarti “semua sesi”. Anda harus menyebutkan sesi tertentu. Anda juga tidak dapat menggunakan wildcard untuk mencocokkan bagian dari nama atau nama. ARN
Untuk mengatasi temuan ini, hapus wildcard dan berikan prinsipal yang lebih spesifik.
Istilah terkait
Kesalahan - Penjepit tidak ada dalam variabel
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."Menyelesaikan kesalahan
Struktur variabel kebijakan mendukung penggunaan $ awalan diikuti oleh sepasang kurawal kurawal (). { } Di dalam ${ } karakter, sertakan nama nilai dari permintaan yang ingin Anda gunakan dalam kebijakan.
Untuk mengatasi temuan ini, tambahkan penjepit yang hilang untuk memastikan set kawat gigi pembukaan dan penutup penuh hadir.
Istilah terkait
Kesalahan - Kutipan hilang dalam variabel
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."Menyelesaikan kesalahan
Ketika Anda menambahkan variabel ke kebijakan Anda, Anda dapat menentukan nilai default untuk variabel. Jika variabel tidak ada, AWS gunakan teks default yang Anda berikan.
Untuk menambahkan nilai default ke variabel, sertai nilai default dengan tanda kutip tunggal (' '), dan pisahkan teks variabel serta nilai default dengan koma dan spasi (, ).
Misalnya, jika prinsipal diberi tagteam=yellow, mereka dapat mengakses bucket amzn-s3-demo-bucket Amazon S3 dengan nama tersebut. amzn-s3-demo-bucket-yellow Kebijakan dengan sumber daya ini mungkin memungkinkan anggota tim untuk mengakses sumber daya mereka sendiri, tetapi bukan milik tim lain. Untuk pengguna tanpa tag tim, Anda dapat menetapkan nilai defaultcompany-wide. Pengguna ini hanya dapat mengakses amzn-s3-demo-bucket-company-wide bucket di mana mereka dapat melihat informasi yang luas, seperti instruksi untuk bergabung dengan tim.
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"Istilah terkait
Kesalahan - Ruang yang tidak didukung dalam variabel
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "A space is not supported within the policy variable text. Remove the space."Menyelesaikan kesalahan
Struktur variabel kebijakan mendukung penggunaan $ awalan diikuti oleh sepasang kurawal kurawal (). { } Di dalam ${ } karakter, sertakan nama nilai dari permintaan yang ingin Anda gunakan dalam kebijakan. Meskipun Anda dapat menyertakan spasi ketika Anda menentukan variabel default, Anda tidak dapat menyertakan spasi dalam nama variabel.
Istilah terkait
Kesalahan - Variabel kosong
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."Menyelesaikan kesalahan
Struktur variabel kebijakan mendukung penggunaan $ awalan diikuti oleh sepasang kurawal kurawal (). { } Di dalam ${ } karakter, sertakan nama nilai dari permintaan yang ingin Anda gunakan dalam kebijakan.
Istilah terkait
Kesalahan - Variabel tidak didukung dalam elemen
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."Menyelesaikan kesalahan
Anda dapat menggunakan variabel kebijakan di elemen Resource dan dalam perbandingan string dalam elemen Condition.
Istilah terkait
Kesalahan - Variabel tidak didukung dalam versi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."Menyelesaikan kesalahan
Untuk menggunakan variabel kebijakan, Anda harus menyertakan Version elemen dan menyetelnya ke versi yang mendukung variabel kebijakan. Variabel diperkenalkan dalam versi 2012-10-17. Versi sebelumnya dari bahasa kebijakan tidak mendukung variabel kebijakan. Jika Anda tidak menyetel Version ke 2012-10-17 atau yang lebih baru, variabel seperti ${aws:username} diperlakukan sebagai string literal dalam kebijakan.
Elemen kebijakan Version berbeda dari versi kebijakan. Elemen kebijakan Version digunakan dalam kebijakan dan menentukan versi bahasa kebijakan. Versi kebijakan, dibuat saat Anda mengubah kebijakan yang dikelola pelangganIAM. Perubahan kebijakan tidak mengesampingkan kebijakan yang ada. Sebagai gantinya, IAM buat versi baru dari kebijakan terkelola.
Istilah terkait
Kesalahan - Alamat IP pribadi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."Menyelesaikan kesalahan
Kunci kondisi global hanya aws:SourceIp berfungsi untuk rentang alamat IP publik. Anda menerima kesalahan ini ketika kebijakan Anda hanya mengizinkan alamat IP pribadi. Dalam hal ini, kondisinya tidak akan pernah cocok.
Kesalahan - Pribadi NotIpAddress
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."Menyelesaikan kesalahan
Kunci kondisi global hanya aws:SourceIp berfungsi untuk rentang alamat IP publik. Anda menerima kesalahan ini ketika Anda menggunakan operator NotIpAddress kondisi dan hanya mencantumkan alamat IP pribadi. Dalam hal ini, kondisinya akan selalu cocok dan tidak akan efektif.
Kesalahan — Ukuran kebijakan melebihi SCP kuota
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."Menyelesaikan kesalahan
AWS Organizations kebijakan kontrol layanan (SCPs) mendukung menentukan nilai-nilai dalam Action atau NotAction elemen. Namun, nilai-nilai ini dapat mencakup wildcard (*) hanya di akhir string. Ini berarti Anda dapat menentukan iam:Get* tetapi tidakiam:*role.
Untuk menentukan beberapa tindakan, AWS sarankan Anda mencantumkannya satu per satu.
Istilah terkait
Kesalahan - Format utama layanan tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."Menyelesaikan kesalahan
Nilai dalam pasangan kunci-nilai kondisi harus cocok dengan format utama layanan yang ditentukan.
Pengguna utama layanan adalah pengidentifikasi yang digunakan untuk memberikan izin layanan. Anda dapat menentukan prinsip layanan dalam Principal elemen atau sebagai nilai untuk beberapa kunci kondisi global dan kunci khusus layanan. Prinsipal layanan ditentukan oleh masing-masing layanan.
Pengidentifikasi untuk kepala layanan mencakup nama layanan, dan biasanya dalam format berikut dalam semua huruf kecil:
service-name.amazonaws.com
Beberapa kunci khusus layanan mungkin menggunakan format yang berbeda untuk prinsipal layanan. Misalnya, kunci kms:ViaService kondisi memerlukan format berikut untuk prinsip layanan dalam semua huruf kecil:
service-name.AWS_region.amazonaws.com
Istilah terkait
Kesalahan - Kunci tag tidak ada dalam kondisi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."Menyelesaikan kesalahan
Untuk mengontrol akses berdasarkan tanda, Anda memberikan informasi tanda di elemen ketentuan dari kebijakan.
Misalnya, untuk mengontrol akses ke AWS sumber daya, Anda menyertakan kunci aws:ResourceTag kondisi. Kunci ini membutuhkan formataws:ResourceTag/. Untuk menentukan kunci tag tag-keyowner dan nilai tag JaneDoe dalam suatu kondisi, gunakan format berikut.
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}Istilah terkait
Kesalahan - Format vpc tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."Menyelesaikan kesalahan
Kunci aws:SourceVpc kondisi harus menggunakan awalan vpc- diikuti oleh 8 atau 17 karakter alfanumerik, misalnya, atau. vpc-11223344556677889 vpc-12345678
Istilah terkait
Kesalahan - Format vpce tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."Menyelesaikan kesalahan
Kunci aws:SourceVpce kondisi harus menggunakan awalan vpce- diikuti oleh 8 atau 17 karakter alfanumerik, misalnya, atau. vpce-11223344556677889 vpce-12345678
Istilah terkait
Kesalahan - Prinsipal federasi tidak didukung
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."Menyelesaikan kesalahan
PrincipalElemen ini menggunakan prinsip-prinsip federasi untuk kebijakan kepercayaan yang melekat pada IAM peran untuk menyediakan akses melalui federasi identitas. Kebijakan identitas dan kebijakan berbasis sumber daya lainnya tidak mendukung penyedia identitas federasi di elemen tersebut. Principal Misalnya, Anda tidak dapat menggunakan SAML prinsipal dalam kebijakan bucket Amazon S3. Ubah Principal elemen ke tipe utama yang didukung.
Istilah terkait
Kesalahan - Tindakan yang tidak didukung untuk kunci kondisi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."Menyelesaikan kesalahan
Pastikan bahwa kunci kondisi dalam Condition elemen pernyataan kebijakan berlaku untuk setiap tindakan dalam Action elemen. Untuk memastikan bahwa tindakan yang Anda tentukan diizinkan atau ditolak secara efektif oleh kebijakan Anda, Anda harus memindahkan tindakan yang tidak didukung ke pernyataan lain tanpa kunci kondisi.
catatan
Jika Action elemen memiliki tindakan dengan wildcard, IAM Access Analyzer tidak mengevaluasi tindakan tersebut untuk kesalahan ini.
Istilah terkait
Kesalahan — Tindakan yang tidak didukung dalam kebijakan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Menyelesaikan kesalahan
Beberapa tindakan tidak didukung dalam Action elemen dalam kebijakan berbasis sumber daya yang dilampirkan ke jenis sumber daya yang berbeda. Misalnya, AWS Key Management Service tindakan tidak didukung dalam kebijakan bucket Amazon S3. Tentukan tindakan yang didukung oleh jenis sumber daya yang dilampirkan pada kebijakan berbasis sumber daya Anda.
Istilah terkait
Kesalahan — Sumber daya yang tidak didukung ARN dalam kebijakan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Menyelesaikan kesalahan
Beberapa sumber daya ARNs tidak didukung dalam Resource elemen kebijakan berbasis sumber daya saat kebijakan dilampirkan ke jenis sumber daya yang berbeda. Misalnya, AWS KMS ARNs tidak didukung dalam Resource elemen untuk kebijakan bucket Amazon S3. Tentukan sumber daya ARN yang didukung oleh jenis sumber daya yang dilampirkan pada kebijakan berbasis sumber daya Anda.
Istilah terkait
Kesalahan - Kunci kondisi yang tidak didukung untuk prinsipal layanan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."Menyelesaikan kesalahan
Anda dapat menentukan AWS layanan dalam Principal elemen kebijakan berbasis sumber daya menggunakan prinsip layanan, yang merupakan pengenal untuk layanan. Anda tidak dapat menggunakan beberapa kunci kondisi dengan prinsip layanan tertentu. Misalnya, Anda tidak dapat menggunakan kunci aws:PrincipalOrgID kondisi dengan kepala layanancloudfront.amazonaws.com. Anda harus menghapus kunci kondisi yang tidak berlaku untuk prinsip layanan dalam Principal elemen.
Istilah terkait
Kesalahan — Kesalahan sintaks kebijakan kepercayaan peran notprincipal
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."Menyelesaikan kesalahan
Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya yang melekat pada suatu peran. IAM Kebijakan kepercayaan menentukan entitas prinsipal mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat memegang peran tersebut. Kebijakan kepercayaan peran tidak mendukungNotPrincipal. Perbarui kebijakan untuk menggunakan Principal elemen sebagai gantinya.
Istilah terkait
Kesalahan — Kebijakan kepercayaan peran tidak didukung wildcard pada prinsipnya
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."Menyelesaikan kesalahan
Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya yang melekat pada suatu peran. IAM Kebijakan kepercayaan menentukan entitas utama mana (akun, pengguna, peran, dan pengguna federasi) yang dapat mengambil peran tersebut. "Principal:" "*"tidak didukung dalam Principal elemen kebijakan kepercayaan peran. Ganti wildcard dengan nilai pokok yang valid.
Istilah terkait
Kesalahan - Sumber kesalahan sintaks kebijakan kepercayaan peran
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."Menyelesaikan kesalahan
Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya yang melekat pada suatu peran. IAM Kebijakan kepercayaan menentukan entitas prinsipal mana (akun, pengguna, peran, dan pengguna gabungan) yang dapat memegang peran tersebut. Kebijakan kepercayaan peran berlaku untuk peran yang melekat padanya. Anda tidak dapat menentukan NotResource elemen Resource atau dalam kebijakan kepercayaan peran. Hapus NotResource elemen Resource atau.
Kesalahan - Ketik rentang IP ketidakcocokan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."Menyelesaikan kesalahan
Perbarui teks untuk menggunakan tipe data operator kondisi alamat IP, dalam CIDR format.
Istilah terkait
Kesalahan - Tindakan tidak ada untuk kunci kondisi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."Menyelesaikan kesalahan
Kunci kondisi dalam Condition elemen pernyataan kebijakan tidak dievaluasi kecuali tindakan yang ditentukan ada dalam Action elemen. Untuk memastikan bahwa kunci kondisi yang Anda tentukan diizinkan atau ditolak secara efektif oleh kebijakan Anda, tambahkan tindakan ke Action elemen.
Istilah terkait
Kesalahan - Sintaks utama federasi tidak valid dalam kebijakan kepercayaan peran
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."Menyelesaikan kesalahan
Nilai pokok menentukan prinsip federasi yang tidak sesuai dengan format yang diharapkan. Perbarui format prinsipal federasi ke nama domain atau SAML ARN metadata yang valid.
Istilah terkait
Kesalahan - Tindakan tidak cocok untuk prinsipal
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."Menyelesaikan kesalahan
Tindakan yang ditentukan dalam Action elemen pernyataan kebijakan tidak valid dengan prinsipal yang ditentukan dalam elemen. Principal Misalnya, Anda tidak dapat menggunakan prinsipal SAML penyedia dengan sts:AssumeRoleWithWebIdentity tindakan tersebut. Anda harus menggunakan prinsipal SAML penyedia dengan sts:AssumeRoleWithSAML tindakan atau menggunakan prinsip OIDC penyedia dengan sts:AssumeRoleWithWebIdentity tindakan tersebut.
Istilah terkait
Kesalahan - Tindakan tidak ada untuk peran di mana saja kebijakan kepercayaan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."Menyelesaikan kesalahan
Agar IAM Roles Anywhere dapat mengambil peran dan memberikan AWS
kredensi sementara, peran tersebut harus mempercayai prinsip layanan IAM Roles Anywhere. Prinsipal layanan IAM Roles Anywhere memerlukan sts:AssumeRolests:SetSourceIdentity,, dan sts:TagSession izin untuk mengambil peran. Jika ada izin yang hilang, Anda harus menambahkannya ke kebijakan Anda.
Istilah terkait
Peringatan Umum - Buat SLR dengan NotResource
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan umum
Tindakan tersebut iam:CreateServiceLinkedRole memberikan izin untuk membuat IAM peran yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Menggunakan iam:CreateServiceLinkedRole kebijakan dengan NotResource elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya.
AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya.
Peringatan Umum - Buat SLR dengan bintang beraksi dan NotResource
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan umum
Tindakan tersebut iam:CreateServiceLinkedRole memberikan izin untuk membuat IAM peran yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Kebijakan dengan wildcard (*) dalam Action dan yang menyertakan NotResource elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya.
AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya.
Peringatan Umum - Buat SLR dengan NotAction dan NotResource
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan umum
Tindakan tersebut iam:CreateServiceLinkedRole memberikan izin untuk membuat IAM peran yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Menggunakan NotAction elemen dengan NotResource elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya.
AWS merekomendasikan agar Anda menulis ulang kebijakan untuk mengizinkan iam:CreateServiceLinkedRole pada daftar terbatas ARNs dalam Resource elemen sebagai gantinya. Anda juga dapat iam:CreateServiceLinkedRole menambahkan NotAction elemen.
Peringatan Umum - Buat SLR dengan bintang di sumber daya
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan umum
Tindakan tersebut iam:CreateServiceLinkedRole memberikan izin untuk membuat IAM peran yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Menggunakan iam:CreateServiceLinkedRole dalam kebijakan dengan wildcard (*) dalam Resource elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya.
AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya.
AWS kebijakan terkelola dengan peringatan umum ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Beberapa kasus penggunaan tersebut adalah untuk pengguna yang kuat di dalam akun Anda. Kebijakan AWS terkelola berikut menyediakan akses pengguna yang kuat dan memberikan izin untuk membuat peran terkait layanan untuk layanan apa pun. AWS AWS merekomendasikan agar Anda melampirkan kebijakan AWS terkelola berikut hanya IAM pada identitas yang Anda anggap pengguna daya.
AWSOrganizationsServiceTrustPolicy
— Kebijakan AWS terkelola ini memberikan izin untuk digunakan oleh peran AWS Organizations terkait layanan. Peran ini memungkinkan Organizations untuk membuat peran terkait layanan tambahan untuk layanan lain di organisasi Anda AWS .
Peringatan Umum - Buat SLR dengan bintang dalam aksi dan sumber daya
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan umum
Tindakan tersebut iam:CreateServiceLinkedRole memberikan izin untuk membuat IAM peran yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Kebijakan dengan wildcard (*) di Resource elemen Action dan dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya. Hal ini memungkinkan pembuatan peran terkait layanan saat Anda menentukan"Action": "*","Action": "iam:*", atau. "Action": "iam:Create*" AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya.
AWS kebijakan terkelola dengan peringatan umum ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Beberapa kasus penggunaan tersebut adalah untuk administrator dalam akun Anda. Kebijakan AWS terkelola berikut menyediakan akses administrator dan memberikan izin untuk membuat peran terkait layanan untuk layanan apa pun. AWS AWS merekomendasikan agar Anda melampirkan kebijakan AWS terkelola berikut hanya pada IAM identitas yang Anda anggap administrator.
Peringatan Umum - Buat SLR dengan bintang di sumber daya dan NotAction
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan umum
Tindakan tersebut iam:CreateServiceLinkedRole memberikan izin untuk membuat IAM peran yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Menggunakan NotAction elemen dalam kebijakan dengan wildcard (*) dalam Resource elemen dapat memungkinkan pembuatan peran terkait layanan yang tidak diinginkan untuk beberapa sumber daya.
AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya. Anda juga dapat iam:CreateServiceLinkedRole menambahkan NotAction elemen.
Peringatan Umum - Kunci kondisi global yang tidak digunakan lagi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."Menyelesaikan peringatan umum
Kebijakan ini mencakup kunci kondisi global yang tidak digunakan lagi. Perbarui kunci kondisi pada pasangan kunci-nilai kondisi untuk menggunakan kunci kondisi global yang didukung.
Peringatan Umum - Nilai tanggal tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."Menyelesaikan peringatan umum
Waktu Unix Epoch menggambarkan titik waktu yang telah berlalu sejak 1 Januari 1970, dikurangi detik kabisat. Waktu zaman mungkin tidak sesuai dengan waktu yang tepat yang Anda harapkan. AWS merekomendasikan agar Anda menggunakan standar W3C untuk format tanggal dan waktu. Misalnya, Anda dapat menentukan tanggal lengkap, seperti YYYY -MM-DD (1997-07-16), atau Anda juga dapat menambahkan waktu ke tanggal kedua, seperti YYYY -MM-:mm:ss (1997-07-16T 19:20:30 + 01:00). DDThh TZD
Peringatan Umum - Referensi peran tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."Menyelesaikan peringatan umum
AWS merekomendasikan agar Anda menentukan Amazon Resource Name (ARN) untuk IAM peran, bukan ID utamanya. Saat IAM menyimpan kebijakan, itu akan mengubah ARN menjadi ID utama untuk peran yang ada. AWS termasuk tindakan pencegahan keamanan. Jika seseorang menghapus dan membuat ulang peran, itu akan memiliki ID baru, dan kebijakan tidak akan cocok dengan ID peran baru.
Peringatan Umum - Referensi pengguna tidak valid
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."Menyelesaikan peringatan umum
AWS merekomendasikan agar Anda menentukan Amazon Resource Name (ARN) untuk IAM pengguna, bukan ID utamanya. Saat IAM menyimpan kebijakan, itu akan mengubah ARN menjadi ID utama untuk pengguna yang ada. AWS termasuk tindakan pencegahan keamanan. Jika seseorang menghapus dan membuat ulang pengguna, itu akan memiliki ID baru, dan kebijakan tidak akan cocok dengan ID pengguna baru.
Peringatan Umum - Versi tidak ada
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."Menyelesaikan peringatan umum
AWS merekomendasikan agar Anda menyertakan Version parameter opsional dalam kebijakan Anda. Jika Anda tidak menyertakan elemen Versi, nilai default, tetapi fitur yang lebih baru2012-10-17, seperti variabel kebijakan, tidak akan berfungsi dengan kebijakan Anda. Misalnya, variabel seperti ${aws:username} tidak diakui sebagai variabel dan diperlakukan sebagai string literal di dalam kebijakan.
Peringatan Umum - Sids Unik direkomendasikan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."Menyelesaikan peringatan umum
AWS merekomendasikan agar Anda menggunakan pernyataan unikIDs. Elemen Sid (ID pernyataan) memungkinkan Anda memasukkan pengenal opsional yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan nilai ID pernyataan untuk setiap pernyataan dalam array pernyataan menggunakan SID elemen.
Istilah terkait
Peringatan Umum - Wildcard tanpa operator seperti
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."Menyelesaikan peringatan umum
Struktur Condition elemen mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai. Bila Anda menentukan nilai kondisi yang menggunakan wildcard (*,?) , Anda harus menggunakan Like versi operator kondisi. Misalnya, alih-alih operator kondisi StringEquals string, gunakanStringLike.
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}AWS kebijakan terkelola dengan peringatan umum ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Kebijakan AWS terkelola berikut menyertakan wildcard dalam nilai kondisinya tanpa operator kondisi yang menyertakan Like pencocokan pola. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan terkelola pelanggan, AWS sarankan agar Anda menggunakan operator kondisi yang mendukung pencocokan pola dengan wildcard (*,?) , sepertiStringLike.
Peringatan Umum — Ukuran kebijakan melebihi kuota kebijakan identitas
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."Menyelesaikan peringatan umum
Anda dapat melampirkan hingga 10 kebijakan terkelola ke IAM identitas (pengguna, grup pengguna, atau peran). Namun, ukuran setiap kebijakan terkelola tidak dapat melebihi kuota default 6.144 karakter. IAMtidak menghitung spasi putih saat menghitung ukuran kebijakan terhadap kuota ini. Kuota, juga disebut sebagai batas dalam AWS, adalah nilai maksimum untuk sumber daya, tindakan, dan item di AWS akun Anda.
Selain itu, Anda dapat menambahkan kebijakan sebaris sebanyak yang Anda inginkan ke IAM identitas. Namun, ukuran jumlah semua kebijakan inline per identitas tidak dapat melebihi kuota yang ditentukan.
Jika kebijakan Anda lebih besar dari kuota, Anda dapat mengatur kebijakan Anda menjadi beberapa pernyataan dan mengelompokkan pernyataan ke dalam beberapa kebijakan.
Istilah terkait
AWS kebijakan terkelola dengan peringatan umum ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Kebijakan AWS terkelola berikut memberikan izin untuk tindakan di banyak AWS layanan dan melebihi ukuran kebijakan maksimum. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan terkelola, Anda harus membagi kebijakan menjadi beberapa kebijakan.
Peringatan Umum - Ukuran kebijakan melebihi kuota kebijakan sumber daya
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."Menyelesaikan peringatan umum
Kebijakan berbasis sumber daya adalah dokumen JSON kebijakan yang Anda lampirkan ke sumber daya, seperti bucket Amazon S3. Kebijakan ini memberikan izin pokok yang ditentukan untuk melakukan tindakan spesifik pada sumber daya tersebut dan menentukan dalam kondisi apa hal ini berlaku. Ukuran kebijakan berbasis sumber daya tidak dapat melebihi kuota yang ditetapkan untuk sumber daya tersebut. Kuota, juga disebut sebagai batas dalam AWS, adalah nilai maksimum untuk sumber daya, tindakan, dan item di AWS akun Anda.
Jika kebijakan Anda lebih besar dari kuota, Anda dapat mengatur kebijakan Anda menjadi beberapa pernyataan dan mengelompokkan pernyataan ke dalam beberapa kebijakan.
Istilah terkait
Peringatan Umum - Ketidakcocokan Jenis
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."Menyelesaikan peringatan umum
Perbarui teks untuk menggunakan tipe data operator kondisi yang didukung.
Misalnya, kunci kondisi aws:MultiFactorAuthPresent global memerlukan operator kondisi dengan tipe Boolean data. Jika Anda memberikan tanggal atau bilangan bulat, tipe data tidak akan cocok.
Istilah terkait
Peringatan Umum - Ketik ketidakcocokan Boolean
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."Menyelesaikan peringatan umum
Perbarui teks untuk menggunakan tipe data operator kondisi Boolean, seperti true ataufalse.
Misalnya, kunci kondisi aws:MultiFactorAuthPresent global memerlukan operator kondisi dengan tipe Boolean data. Jika Anda memberikan tanggal atau bilangan bulat, tipe data tidak akan cocok.
Istilah terkait
Peringatan Umum - Ketik tanggal ketidakcocokan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."Menyelesaikan peringatan umum
Perbarui teks untuk menggunakan tipe data operator kondisi tanggal, dalam format waktu tanggal ISO 8601 YYYY-MM-DD atau lainnya.
Istilah terkait
Peringatan Umum - Ketik nomor ketidakcocokan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."Menyelesaikan peringatan umum
Perbarui teks untuk menggunakan tipe data operator kondisi numerik.
Istilah terkait
Peringatan Umum - Ketik string ketidakcocokan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."Menyelesaikan peringatan umum
Perbarui teks untuk menggunakan tipe data operator kondisi string.
Istilah terkait
Peringatan Umum - Direkomendasikan repo dan cabang github khusus
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."Menyelesaikan peringatan umum
Jika Anda menggunakan GitHub sebagai OIDC IDP, praktik terbaik adalah membatasi entitas yang dapat mengambil peran yang terkait dengan IAM iDP. Saat menyertakan Condition pernyataan dalam kebijakan kepercayaan peran, Anda dapat membatasi peran tersebut ke GitHub organisasi, repositori, atau cabang tertentu. Anda dapat menggunakan tombol kondisi token.actions.githubusercontent.com:sub untuk membatasi akses. Kami menyarankan Anda membatasi kondisi untuk satu set repositori atau cabang tertentu. Jika Anda menggunakan wildcard (*) ditoken.actions.githubusercontent.com:sub, maka GitHub Tindakan dari organisasi atau repositori di luar kendali Anda dapat mengambil peran yang terkait dengan iDP di akun GitHub IAM Anda. AWS
Istilah terkait
Peringatan Umum - Ukuran kebijakan melebihi kuota kebijakan kepercayaan peran
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."Menyelesaikan peringatan umum
IAMdan AWS STS memiliki kuota yang membatasi ukuran kebijakan kepercayaan peran. Karakter dalam kebijakan kepercayaan peran, tidak termasuk spasi putih, melebihi maksimum karakter. Kami menyarankan Anda untuk meminta peningkatan kuota kebijakan kepercayaan peran menggunakan Service Quotas dan. AWS Support Center Console
Istilah terkait
Peringatan Keamanan — Izinkan dengan NotPrincipal
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."Menyelesaikan peringatan keamanan
Menggunakan "Effect": "Allow" dengan NotPrincipal bisa terlalu permisif. Misalnya, ini dapat memberikan izin kepada prinsipal anonim.
AWS merekomendasikan agar Anda menentukan prinsip yang memerlukan akses menggunakan elemen. Principal Atau, Anda dapat mengizinkan akses luas dan kemudian menambahkan pernyataan lain yang menggunakan NotPrincipal elemen dengan“Effect”: “Deny”.
Peringatan Keamanan - ForAllValues dengan kunci bernilai tunggal
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."Menyelesaikan peringatan keamanan
AWS merekomendasikan agar Anda menggunakan ForAllValues satu-satunya dengan kondisi multivaluasi. Operator ForAllValues set menguji apakah nilai setiap anggota dari set permintaan adalah subset dari set kunci kondisi. Kondisi tersebut akan memberikan hasil benar jika setiap nilai kunci dalam permintaan tersebut sesuai dengan setidaknya satu nilai dalam kebijakan. Kondisi ini juga akan memberikan hasil benar jika tidak ada kunci dalam permintaan, atau jika nilai kunci menghasilkan kumpulan data nol, seperti string kosong.
Untuk mempelajari apakah suatu kondisi mendukung nilai tunggal atau beberapa nilai, tinjau halaman Tindakan, sumber daya, dan kunci kondisi untuk layanan. Kunci kondisi dengan awalan tipe ArrayOf data adalah kunci kondisi multivalued. Misalnya, Amazon SES mendukung kunci dengan nilai tunggal (String) dan tipe data ArrayOfString multivalued.
Peringatan Keamanan - Lulus peran dengan NotResource
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan keamanan
Untuk mengkonfigurasi banyak AWS layanan, Anda harus memberikan IAM peran ke layanan. Untuk mengizinkan ini, Anda harus memberikan iam:PassRole izin kepada identitas (pengguna, grup pengguna, atau peran). Menggunakan iam:PassRole kebijakan dengan NotResource elemen dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol iam:PassedToService kondisi.
Peringatan Keamanan - Lulus peran dengan bintang beraksi dan NotResource
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan keamanan
Untuk mengkonfigurasi banyak AWS layanan, Anda harus memberikan IAM peran ke layanan. Untuk mengizinkan ini, Anda harus memberikan iam:PassRole izin kepada identitas (pengguna, grup pengguna, atau peran). Kebijakan dengan wildcard (*) dalam Action dan yang menyertakan NotResource elemen dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol iam:PassedToService kondisi.
Peringatan Keamanan - Lulus peran dengan NotAction dan NotResource
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."Menyelesaikan peringatan keamanan
Untuk mengkonfigurasi banyak AWS layanan, Anda harus memberikan IAM peran ke layanan. Untuk mengizinkan ini, Anda harus memberikan iam:PassRole izin kepada identitas (pengguna, grup pengguna, atau peran). Menggunakan NotAction elemen dan daftar beberapa sumber daya dalam NotResource elemen dapat memungkinkan prinsipal Anda untuk mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol iam:PassedToService kondisi.
Peringatan Keamanan - Lulus peran dengan bintang di sumber daya
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Menyelesaikan peringatan keamanan
Untuk mengkonfigurasi banyak AWS layanan, Anda harus memberikan IAM peran ke layanan. Untuk mengizinkan ini, Anda harus memberikan iam:PassRole izin kepada identitas (pengguna, grup pengguna, atau peran). Kebijakan yang memungkinkan iam:PassRole dan yang menyertakan wildcard (*) dalam Resource elemen dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol iam:PassedToService kondisi.
Beberapa AWS layanan menyertakan namespace layanan mereka atas nama peran mereka. Pemeriksaan kebijakan ini mempertimbangkan konvensi ini saat menganalisis kebijakan untuk menghasilkan temuan. Misalnya, sumber daya berikut ARN mungkin tidak menghasilkan temuan:
arn:aws:iam::*:role/Service*AWS kebijakan terkelola dengan peringatan keamanan ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Salah satu kasus penggunaan tersebut adalah untuk administrator dalam akun Anda. Kebijakan AWS terkelola berikut menyediakan akses administrator dan memberikan izin untuk meneruskan IAM peran apa pun ke layanan apa pun. AWS merekomendasikan agar Anda melampirkan kebijakan AWS terkelola berikut hanya IAM pada identitas yang Anda anggap administrator.
Kebijakan AWS terkelola berikut mencakup izin iam:PassRole dengan wildcard (*) di sumber daya dan berada di jalur penghentian. Untuk setiap kebijakan ini, kami memperbarui panduan izin, seperti merekomendasikan kebijakan AWS terkelola baru yang mendukung kasus penggunaan. Untuk melihat alternatif kebijakan ini, lihat panduan untuk setiap layanan.
AWSElasticBeanstalkFullAccess
AWSElasticBeanstalkService
AWSLambdaFullAccess
AWSLambdaReadOnlyAccess
AWSOpsWorksFullAccess
AWSOpsWorksRole
AWSDataPipelineRole
AmazonDynamoDBFullAccesswithDataPipeline
AmazonElasticMapReduceFullAccess
AmazonDynamoDBFullAccesswithDataPipeline
Amazon EC2ContainerServiceFullAccess
Kebijakan AWS terkelola berikut memberikan izin hanya untuk peran terkait layanan, yang memungkinkan AWS layanan melakukan tindakan atas nama Anda. Anda tidak dapat melampirkan kebijakan ini ke IAM identitas Anda.
Peringatan Keamanan - Lulus peran dengan bintang dalam aksi dan sumber daya
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Menyelesaikan peringatan keamanan
Untuk mengkonfigurasi banyak AWS layanan, Anda harus memberikan IAM peran ke layanan. Untuk mengizinkan ini, Anda harus memberikan iam:PassRole izin kepada identitas (pengguna, grup pengguna, atau peran). Kebijakan dengan wildcard (*) di Resource elemen Action dan dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol iam:PassedToService kondisi.
AWS kebijakan terkelola dengan peringatan keamanan ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Beberapa kasus penggunaan tersebut adalah untuk administrator dalam akun Anda. Kebijakan AWS terkelola berikut menyediakan akses administrator dan memberikan izin untuk meneruskan IAM peran apa pun ke AWS layanan apa pun. AWS merekomendasikan agar Anda melampirkan kebijakan AWS terkelola berikut hanya pada IAM identitas yang Anda anggap administrator.
Peringatan Keamanan - Lulus peran dengan bintang di sumber daya dan NotAction
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Menyelesaikan peringatan keamanan
Untuk mengkonfigurasi banyak AWS layanan, Anda harus memberikan IAM peran ke layanan. Untuk mengizinkan ini, Anda harus memberikan iam:PassRole izin kepada identitas (pengguna, grup pengguna, atau peran). Menggunakan NotAction elemen dalam kebijakan dengan wildcard (*) dalam Resource elemen dapat memungkinkan prinsipal Anda mengakses lebih banyak layanan atau fitur daripada yang Anda inginkan. AWS merekomendasikan agar Anda menentukan diizinkan ARNs dalam Resource elemen sebagai gantinya. Selain itu, Anda dapat mengurangi izin ke satu layanan dengan menggunakan tombol iam:PassedToService kondisi.
Peringatan Keamanan - Kunci kondisi berpasangan tidak ada
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."Menyelesaikan peringatan keamanan
Beberapa tombol kondisi lebih aman saat dipasangkan dengan kunci kondisi terkait lainnya. AWS merekomendasikan agar Anda menyertakan kunci kondisi terkait di blok kondisi yang sama dengan kunci kondisi yang ada. Hal ini membuat izin yang diberikan melalui kebijakan lebih aman.
Misalnya, Anda dapat menggunakan tombol aws:VpcSourceIp kondisi untuk membandingkan alamat IP dari mana permintaan dibuat dengan alamat IP yang Anda tentukan dalam kebijakan. AWS
merekomendasikan agar Anda menambahkan kunci aws:SourceVPC kondisi terkait. Ini memeriksa apakah permintaan berasal dari VPC yang Anda tentukan dalam kebijakan dan alamat IP yang Anda tentukan.
Istilah terkait
Peringatan Keamanan - Tolak dengan kunci kondisi tag yang tidak didukung untuk layanan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."Menyelesaikan peringatan keamanan
Menggunakan kunci kondisi tag yang tidak didukung dalam Condition elemen kebijakan dengan "Effect": "Deny" bisa terlalu permisif, karena kondisi diabaikan untuk layanan tersebut. AWS merekomendasikan agar Anda menghapus tindakan layanan yang tidak mendukung kunci kondisi dan membuat pernyataan lain untuk menolak akses ke sumber daya tertentu untuk tindakan tersebut.
Jika Anda menggunakan kunci aws:ResourceTag kondisi dan tidak didukung oleh tindakan layanan, maka kunci tidak termasuk dalam konteks permintaan. Dalam hal ini, kondisi dalam Deny pernyataan selalu kembali false dan tindakan tidak pernah ditolak. Ini terjadi bahkan jika sumber daya ditandai dengan benar.
Saat layanan mendukung kunci aws:ResourceTag kondisi, Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya layanan tersebut. Ini dikenal sebagai kontrol akses berbasis atribut () ABAC. Layanan yang tidak mendukung kunci ini mengharuskan Anda mengontrol akses ke sumber daya menggunakan kontrol akses berbasis sumber daya (). RBAC
catatan
Beberapa layanan memungkinkan dukungan untuk kunci aws:ResourceTag kondisi untuk subset sumber daya dan tindakan mereka. IAMAccess Analyzer mengembalikan temuan untuk tindakan layanan yang tidak didukung. Misalnya, Amazon S3 mendukung aws:ResourceTag subset sumber dayanya. Untuk melihat semua jenis sumber daya yang tersedia di Amazon S3 yang mendukung kunci aws:ResourceTag kondisi, lihat Jenis sumber daya yang ditentukan oleh Amazon S3 di Referensi Otorisasi Layanan.
Misalnya, asumsikan bahwa Anda ingin menolak akses untuk menghapus tag menghapus sumber daya tertentu yang ditandai dengan pasangan nilai kunci. status=Confidential Juga asumsikan bahwa AWS Lambda memungkinkan Anda untuk menandai dan menghapus tag sumber daya, tetapi tidak mendukung kunci aws:ResourceTag kondisi. Untuk menolak tindakan hapus untuk AWS App Mesh dan AWS Backup jika tag ini ada, gunakan tombol aws:ResourceTag kondisi. Untuk Lambda, gunakan konvensi penamaan sumber daya yang menyertakan awalan. "Confidential" Kemudian sertakan pernyataan terpisah yang mencegah penghapusan sumber daya dengan konvensi penamaan itu.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteSupported",
"Effect": "Deny",
"Action": [
"appmesh:DeleteMesh",
"backup:DeleteBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/status": "Confidential"
}
}
},
{
"Sid": "DenyDeleteUnsupported",
"Effect": "Deny",
"Action": "lambda:DeleteFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
}
]
}Awas
Jangan gunakan... IfExistsversi operator kondisi sebagai solusi untuk temuan ini. Ini berarti “Tolak tindakan jika kunci ada dalam konteks permintaan dan nilainya cocok. Kalau tidak, tolak tindakannya.” Pada contoh sebelumnya, termasuk lambda:DeleteFunction tindakan dalam DenyDeleteSupported pernyataan dengan StringEqualsIfExists operator selalu menyangkal tindakan. Untuk tindakan itu, kuncinya tidak ada dalam konteks, dan setiap upaya untuk menghapus jenis sumber daya tersebut ditolak, terlepas dari apakah sumber daya tersebut diberi tag.
Istilah terkait
Peringatan Keamanan - Tolak NotAction dengan kunci kondisi tag yang tidak didukung untuk layanan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Menyelesaikan peringatan keamanan
Menggunakan kunci kondisi tag dalam Condition elemen kebijakan dengan elemen NotAction dan "Effect": "Deny" bisa terlalu permisif. Kondisi ini diabaikan untuk tindakan layanan yang tidak mendukung kunci kondisi. AWS merekomendasikan agar Anda menulis ulang logika untuk menolak daftar tindakan.
Jika Anda menggunakan kunci aws:ResourceTag kondisi denganNotAction, tindakan layanan baru atau yang sudah ada yang tidak mendukung kunci tidak ditolak. AWS
merekomendasikan agar Anda secara eksplisit mencantumkan tindakan yang ingin Anda tolak. IAMAccess Analyzer mengembalikan temuan terpisah untuk tindakan terdaftar yang tidak mendukung kunci aws:ResourceTag kondisi. Untuk informasi selengkapnya, lihat Peringatan Keamanan - Tolak dengan kunci kondisi tag yang tidak didukung untuk layanan.
Saat layanan mendukung kunci aws:ResourceTag kondisi, Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya layanan tersebut. Ini dikenal sebagai kontrol akses berbasis atribut () ABAC. Layanan yang tidak mendukung kunci ini mengharuskan Anda mengontrol akses ke sumber daya menggunakan kontrol akses berbasis sumber daya (). RBAC
Istilah terkait
Peringatan Keamanan — Batasi akses ke prinsipal layanan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."Menyelesaikan peringatan keamanan
Anda dapat menentukan AWS layanan dalam Principal elemen kebijakan berbasis sumber daya menggunakan prinsip layanan, yang merupakan pengenal untuk layanan. Saat memberikan akses ke kepala layanan untuk bertindak atas nama Anda, batasi akses. Anda dapat mencegah kebijakan yang terlalu permisif dengan menggunakanaws:SourceArn,aws:SourceAccount,aws:SourceOrgID, atau kunci aws:SourceOrgPaths kondisi untuk membatasi akses ke sumber tertentu, seperti sumber daya tertentu, ID organisasi ARN Akun AWS, atau jalur organisasi. Membatasi akses membantu Anda mencegah masalah keamanan yang disebut masalah wakil yang bingung.
Istilah terkait
Peringatan Keamanan - Kunci kondisi tidak ada untuk kepala sekolah oidc
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."Menyelesaikan peringatan keamanan
Menggunakan prinsipal Open ID Connect tanpa kondisi bisa terlalu permisif. Tambahkan kunci kondisi dengan awalan yang cocok dengan OIDC prinsip federasi Anda untuk memastikan bahwa hanya penyedia identitas yang dituju yang mengambil peran tersebut.
Istilah terkait
Peringatan Keamanan - Kunci kondisi repo github tidak ada
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."Menyelesaikan peringatan keamanan
Jika Anda menggunakan GitHub sebagai OIDC IDP, praktik terbaik adalah membatasi entitas yang dapat mengambil peran yang terkait dengan IAM iDP. Saat menyertakan Condition pernyataan dalam kebijakan kepercayaan peran, Anda dapat membatasi peran tersebut ke GitHub organisasi, repositori, atau cabang tertentu. Anda dapat menggunakan tombol kondisi token.actions.githubusercontent.com:sub untuk membatasi akses. Kami menyarankan Anda membatasi kondisi untuk satu set repositori atau cabang tertentu. Jika Anda tidak menyertakan kondisi ini, maka GitHub Tindakan dari organisasi atau repositori di luar kendali Anda dapat mengambil peran yang terkait dengan GitHub IAM IDP di akun Anda. AWS
Istilah terkait
Saran - Tindakan array kosong
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."Menyelesaikan saran
Pernyataan harus mencakup salah satu Action atau NotAction elemen yang mencakup serangkaian tindakan. Ketika elemen kosong, pernyataan kebijakan tidak memberikan izin. Tentukan tindakan dalam Action elemen.
Saran - Kondisi array kosong
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."Menyelesaikan saran
Struktur Condition elemen opsional mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai. Ketika nilai kondisi kosong, kondisi kembali true dan pernyataan kebijakan tidak memberikan izin. Tentukan nilai kondisi.
Saran - Kondisi array kosong ForAllValues
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Menyelesaikan saran
Struktur Condition elemen mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai. Operator ForAllValues set menguji apakah nilai setiap anggota dari set permintaan adalah subset dari set kunci kondisi.
Bila Anda menggunakan ForAllValues dengan kunci kondisi kosong, kondisi hanya cocok jika tidak ada kunci dalam permintaan. AWS merekomendasikan bahwa jika Anda ingin menguji apakah konteks permintaan kosong, gunakan operator Null kondisi sebagai gantinya.
Saran - Kondisi array kosong ForAnyValue
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."Menyelesaikan saran
Struktur Condition elemen mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai. Operator ForAnyValues set menguji apakah setidaknya satu anggota dari kumpulan nilai permintaan cocok dengan setidaknya satu anggota dari kumpulan nilai kunci kondisi.
Bila Anda menggunakan ForAnyValues dengan kunci kondisi kosong, kondisi tidak pernah cocok. Ini berarti bahwa pernyataan tersebut tidak berpengaruh pada kebijakan tersebut. AWS merekomendasikan agar Anda menulis ulang kondisinya.
Saran - Kondisi array kosong IfExists
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Menyelesaikan saran
...IfExistsSufiks mengedit operator kondisi. Ini berarti bahwa jika kunci kebijakan hadir dalam konteks permintaan, proses kunci sebagaimana ditentukan dalam kebijakan. Jika kunci tidak ada, evaluasi elemen kondisi sebagai benar.
Bila Anda menggunakan ...IfExists dengan kunci kondisi kosong, kondisi hanya cocok jika tidak ada kunci dalam permintaan. AWS merekomendasikan bahwa jika Anda ingin menguji apakah konteks permintaan kosong, gunakan operator Null kondisi sebagai gantinya.
Saran - Prinsipal array kosong
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Menyelesaikan saran
Anda harus menggunakan NotPrincipal elemen Principal atau dalam kebijakan kepercayaan untuk IAM peran dan kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya adalah kebijakan yang diterapkan langsung ke sumber daya.
Bila Anda menyediakan array kosong dalam Principal elemen pernyataan, pernyataan tersebut tidak berpengaruh pada kebijakan. AWS merekomendasikan agar Anda menentukan prinsip yang harus memiliki akses ke sumber daya.
Saran - Sumber daya array kosong
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."Menyelesaikan saran
Pernyataan harus menyertakan elemen Resource atau NotResource.
Bila Anda menyediakan array kosong dalam elemen sumber daya pernyataan, pernyataan tersebut tidak berpengaruh pada kebijakan. AWS merekomendasikan agar Anda menentukan Amazon Resource Names (ARNs) untuk sumber daya.
Saran - Kondisi objek kosong
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."Menyelesaikan saran
Struktur Condition elemen mengharuskan Anda menggunakan operator kondisi dan pasangan kunci-nilai.
Ketika Anda memberikan objek kosong dalam elemen kondisi pernyataan, pernyataan tersebut tidak berpengaruh pada kebijakan. Hapus elemen opsional atau tentukan kondisi.
Saran - Prinsip objek kosong
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Menyelesaikan saran
Anda harus menggunakan NotPrincipal elemen Principal atau dalam kebijakan kepercayaan untuk IAM peran dan kebijakan berbasis sumber daya. Kebijakan berbasis sumber daya adalah kebijakan yang diterapkan langsung ke sumber daya.
Ketika Anda memberikan objek kosong dalam Principal elemen pernyataan, pernyataan tersebut tidak berpengaruh pada kebijakan. AWS merekomendasikan agar Anda menentukan prinsip yang harus memiliki akses ke sumber daya.
Saran - Nilai Sid kosong
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Empty Sid value: Add a value to the empty string in the Sid element.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Add a value to the empty string in the Sid element."Menyelesaikan saran
Elemen opsional Sid (ID pernyataan) memungkinkan Anda memasukkan pengenal yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan Sid nilai untuk setiap pernyataan dalam array pernyataan. Jika Anda memilih untuk menggunakan Sid elemen, Anda harus memberikan nilai string.
Istilah terkait
Saran - Tingkatkan rentang IP
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."Menyelesaikan saran
Kondisi alamat IP harus dalam CIDR format standar, seperti 203.0.113.0/24 atau 2001:: 1234:5678: :/64. DB8 Ketika Anda memasukkan bit bukan nol setelah bit bertopeng, mereka tidak dipertimbangkan untuk kondisi tersebut. AWS merekomendasikan agar Anda menggunakan alamat baru yang disertakan dalam pesan.
Saran - Null dengan kualifikasi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."Menyelesaikan saran
Dalam Condition elemen, Anda membangun ekspresi di mana Anda menggunakan operator kondisi seperti sama atau kurang dari untuk membandingkan kondisi dalam kebijakan terhadap kunci dan nilai dalam konteks permintaan. Untuk permintaan yang menyertakan beberapa nilai untuk satu kunci kondisi, Anda harus menggunakan ForAllValues atau ForAnyValue mengatur operator.
Bila Anda menggunakan operator Null kondisi denganForAllValues, pernyataan selalu kembalitrue. Bila Anda menggunakan operator Null kondisi denganForAnyValue, pernyataan selalu kembalifalse. AWS merekomendasikan agar Anda menggunakan operator StringLike kondisi dengan operator set ini.
Istilah terkait
Saran - Subset alamat IP pribadi
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Menyelesaikan saran
Kunci kondisi global hanya aws:SourceIp berfungsi untuk rentang alamat IP publik.
Ketika Condition elemen Anda menyertakan campuran alamat IP pribadi dan publik, pernyataan tersebut mungkin tidak memiliki efek yang diinginkan. Anda dapat menentukan alamat IP pribadi menggunakanaws:VpcSourceIP.
catatan
Kunci kondisi global hanya aws:VpcSourceIP cocok jika permintaan berasal dari alamat IP yang ditentukan dan melewati titik VPC akhir.
Saran - Subset pribadi NotIpAddress
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Menyelesaikan saran
Kunci kondisi global hanya aws:SourceIp berfungsi untuk rentang alamat IP publik.
Ketika Condition elemen Anda menyertakan operator NotIpAddress kondisi dan campuran alamat IP pribadi dan publik, pernyataan tersebut mungkin tidak memiliki efek yang diinginkan. Setiap alamat IP publik yang tidak ditentukan dalam kebijakan akan cocok. Tidak ada alamat IP pribadi yang cocok. Untuk mencapai efek ini, Anda dapat menggunakan NotIpAddress dengan aws:VpcSourceIP dan menentukan alamat IP pribadi yang seharusnya tidak cocok.
Saran — Tindakan berlebihan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."Menyelesaikan saran
Saat Anda menggunakan wildcard (*) dalam Action elemen, Anda dapat menyertakan izin yang berlebihan. AWS menyarankan agar Anda meninjau kebijakan Anda dan hanya menyertakan izin yang Anda butuhkan. Ini dapat membantu Anda menghapus tindakan berlebihan.
Misalnya, tindakan berikut termasuk iam:GetCredentialReport tindakan dua kali.
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],Dalam contoh ini, izin ditentukan untuk setiap IAM tindakan yang dimulai dengan Get atauList. Saat IAM menambahkan operasi get atau list tambahan, kebijakan ini akan mengizinkannya. Anda mungkin ingin mengizinkan semua tindakan hanya-baca ini. iam:GetCredentialReportTindakan ini sudah termasuk sebagai bagian dariiam:Get*. Untuk menghapus izin duplikat, Anda dapat menghapus. iam:GetCredentialReport
Anda menerima temuan untuk pemeriksaan kebijakan ini ketika semua konten tindakan berlebihan. Dalam contoh ini, jika elemen disertakaniam:*CredentialReport, itu tidak dianggap berlebihan. Itu termasukiam:GetCredentialReport, yang berlebihan, daniam:GenerateCredentialReport, yang tidak. Menghapus salah satu iam:Get* atau iam:*CredentialReport akan mengubah izin kebijakan.
AWS kebijakan terkelola dengan saran ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Tindakan berlebihan tidak memengaruhi izin yang diberikan oleh kebijakan. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan yang dikelola pelanggan, AWS sarankan agar Anda menghapus tindakan berlebihan dari kebijakan Anda.
Saran — Nilai kondisi redundan num
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."Menyelesaikan saran
Bila Anda menggunakan operator kondisi numerik untuk nilai serupa dalam kunci kondisi, Anda dapat membuat tumpang tindih yang menghasilkan izin berlebihan.
Misalnya, Condition elemen berikut mencakup beberapa aws:MultiFactorAuthAge kondisi yang memiliki usia tumpang tindih 1200 detik.
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}Dalam contoh ini, izin ditentukan jika otentikasi multi-faktor (MFA) diselesaikan kurang dari 3600 detik (1 jam) yang lalu. Anda dapat menghapus nilai redundan. 2700
Saran — Sumber daya redundan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"Menyelesaikan saran
Saat menggunakan wildcard (*) di Amazon Resource Names (ARNs), Anda dapat membuat izin sumber daya yang berlebihan.
Misalnya, Resource elemen berikut mencakup beberapa ARNs dengan izin berlebihan.
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],Dalam contoh ini, izin ditentukan untuk peran apa pun dengan nama yang dimulai denganjane. Anda dapat menghapus jane-admin redundan dan jane-s3only ARNs tanpa mengubah izin yang dihasilkan. Hal ini membuat kebijakan menjadi dinamis. Ini akan menentukan izin untuk setiap peran masa depan yang dimulai denganjane. Jika tujuan kebijakan adalah untuk mengizinkan akses ke sejumlah peran statis, maka hapus yang terakhir ARN dan daftarkan hanya ARNs yang harus ditentukan.
AWS kebijakan terkelola dengan saran ini
AWS kebijakan terkelola memungkinkan Anda memulai AWS dengan menetapkan izin berdasarkan kasus AWS penggunaan umum.
Sumber daya redundan tidak memengaruhi izin yang diberikan oleh kebijakan. Saat menggunakan kebijakan AWS terkelola sebagai referensi untuk membuat kebijakan yang dikelola pelanggan, AWS sarankan Anda menghapus sumber daya yang berlebihan dari kebijakan Anda.
Saran — Pernyataan berlebihan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."Menyelesaikan saran
Elemen Statement adalah elemen utama kebijakan ini. Elemen ini wajib diisi. Elemen Statement dapat berisi satu pernyataan atau serangkaian pernyataan individu.
Ketika Anda memasukkan pernyataan yang sama lebih dari sekali dalam kebijakan panjang, pernyataan tersebut berlebihan. Anda dapat menghapus salah satu pernyataan tanpa memengaruhi izin yang diberikan oleh kebijakan. Ketika seseorang mengedit kebijakan, mereka mungkin mengubah salah satu pernyataan tanpa memperbarui duplikat. Ini mungkin menghasilkan lebih banyak izin daripada yang dimaksudkan.
Saran — Wildcard dalam nama layanan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."Menyelesaikan saran
Ketika Anda memasukkan nama AWS layanan dalam kebijakan, AWS merekomendasikan agar Anda tidak menyertakan wildcard (*,?). Ini mungkin menambahkan izin untuk layanan future yang tidak Anda inginkan. Misalnya, ada lebih dari selusin AWS layanan dengan kata *code* dalam nama mereka.
"Resource": "arn:aws:*code*::111122223333:*"Saran - Izinkan dengan kunci kondisi tag yang tidak didukung untuk layanan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."Menyelesaikan saran
Menggunakan kunci kondisi tag yang tidak didukung dalam Condition elemen kebijakan dengan "Effect": "Allow" tidak memengaruhi izin yang diberikan oleh kebijakan, karena kondisi diabaikan untuk tindakan layanan tersebut. AWS merekomendasikan agar Anda menghapus tindakan untuk layanan yang tidak mendukung kunci kondisi dan membuat pernyataan lain untuk mengizinkan akses ke sumber daya tertentu dalam layanan tersebut.
Jika Anda menggunakan kunci aws:ResourceTag kondisi dan tidak didukung oleh tindakan layanan, maka kunci tidak termasuk dalam konteks permintaan. Dalam hal ini, kondisi dalam Allow pernyataan selalu kembali false dan tindakan tidak pernah diizinkan. Ini terjadi bahkan jika sumber daya ditandai dengan benar.
Saat layanan mendukung kunci aws:ResourceTag kondisi, Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya layanan tersebut. Ini dikenal sebagai kontrol akses berbasis atribut () ABAC. Layanan yang tidak mendukung kunci ini mengharuskan Anda mengontrol akses ke sumber daya menggunakan kontrol akses berbasis sumber daya (). RBAC
catatan
Beberapa layanan memungkinkan dukungan untuk kunci aws:ResourceTag kondisi untuk subset sumber daya dan tindakan mereka. IAMAccess Analyzer mengembalikan temuan untuk tindakan layanan yang tidak didukung. Misalnya, Amazon S3 mendukung aws:ResourceTag subset sumber dayanya. Untuk melihat semua jenis sumber daya yang tersedia di Amazon S3 yang mendukung kunci aws:ResourceTag kondisi, lihat Jenis sumber daya yang ditentukan oleh Amazon S3 di Referensi Otorisasi Layanan.
Misalnya, asumsikan bahwa Anda ingin mengizinkan anggota tim untuk melihat detail sumber daya tertentu yang ditandai dengan pasangan nilai kunci. team=BumbleBee Juga asumsikan bahwa AWS Lambda memungkinkan Anda untuk menandai sumber daya, tetapi tidak mendukung kunci aws:ResourceTag kondisi. Untuk mengizinkan tindakan tampilan untuk AWS App Mesh dan AWS Backup jika tag ini ada, gunakan kunci aws:ResourceTag kondisi. Untuk Lambda, gunakan konvensi penamaan sumber daya yang menyertakan nama tim sebagai awalan. Kemudian sertakan pernyataan terpisah yang memungkinkan melihat sumber daya dengan konvensi penamaan itu.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewSupported",
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"backup:GetBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "BumbleBee"
}
}
},
{
"Sid": "AllowViewUnsupported",
"Effect": "Allow",
"Action": "lambda:GetFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
}
]
}Awas
Jangan gunakan Not versi operator kondisi "Effect": "Allow" sebagai solusi untuk temuan ini. Operator kondisi ini memberikan pencocokan yang dinegasikan. Ini berarti bahwa setelah kondisi dievaluasi, hasilnya dinegasikan. Dalam contoh sebelumnya, termasuk lambda:GetFunction tindakan dalam AllowViewSupported pernyataan dengan StringNotEquals operator selalu memungkinkan tindakan, terlepas dari apakah sumber daya ditandai.
Jangan gunakan... IfExistsversi operator kondisi sebagai solusi untuk temuan ini. Ini berarti “Izinkan tindakan jika kunci ada dalam konteks permintaan dan nilainya cocok. Jika tidak, izinkan aksinya.” Dalam contoh sebelumnya, termasuk lambda:GetFunction tindakan dalam AllowViewSupported pernyataan dengan StringEqualsIfExists operator selalu memungkinkan tindakan. Untuk tindakan itu, kuncinya tidak ada dalam konteks, dan setiap upaya untuk melihat jenis sumber daya diizinkan, terlepas dari apakah sumber daya diberi tag.
Istilah terkait
Saran - Izinkan NotAction dengan kunci kondisi tag yang tidak didukung untuk layanan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Menyelesaikan saran
Menggunakan kunci kondisi tag yang tidak didukung dalam Condition elemen kebijakan dengan elemen NotAction dan "Effect": "Allow" tidak memengaruhi izin yang diberikan oleh kebijakan. Kondisi diabaikan untuk tindakan layanan yang tidak mendukung kunci kondisi. AWS merekomendasikan agar Anda menulis ulang logika untuk mengizinkan daftar tindakan.
Jika Anda menggunakan kunci aws:ResourceTag kondisi denganNotAction, tindakan layanan baru atau yang sudah ada yang tidak mendukung kunci tidak diperbolehkan. AWS
merekomendasikan agar Anda secara eksplisit mencantumkan tindakan yang ingin Anda izinkan. IAMAccess Analyzer mengembalikan temuan terpisah untuk tindakan terdaftar yang tidak mendukung kunci aws:ResourceTag kondisi. Untuk informasi selengkapnya, lihat Saran - Izinkan dengan kunci kondisi tag yang tidak didukung untuk layanan.
Saat layanan mendukung kunci aws:ResourceTag kondisi, Anda dapat menggunakan tag untuk mengontrol akses ke sumber daya layanan tersebut. Ini dikenal sebagai kontrol akses berbasis atribut () ABAC. Layanan yang tidak mendukung kunci ini mengharuskan Anda mengontrol akses ke sumber daya menggunakan kontrol akses berbasis sumber daya (). RBAC
Istilah terkait
Saran - Kunci kondisi yang direkomendasikan untuk prinsipal layanan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."Menyelesaikan saran
Anda dapat menentukan AWS layanan dalam Principal elemen kebijakan berbasis sumber daya menggunakan prinsip layanan, yang merupakan pengenal untuk layanan. Anda harus menggunakanaws:SourceArn,, aws:SourceAccountaws:SourceOrgID, atau kunci aws:SourceOrgPaths kondisi saat memberikan akses ke prinsipal layanan alih-alih kunci kondisi lainnya, seperti. aws:Referer Ini membantu Anda mencegah masalah keamanan yang disebut masalah wakil yang bingung.
Istilah terkait
Saran — Kunci kondisi yang tidak relevan dalam kebijakan
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."Menyelesaikan saran
Beberapa kunci kondisi tidak relevan untuk kebijakan berbasis sumber daya. Misalnya, kunci s3:ResourceAccount kondisi tidak relevan untuk kebijakan berbasis sumber daya yang dilampirkan ke bucket Amazon S3 atau jenis sumber daya jalur akses Amazon S3.
Anda harus menggunakan kunci kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya.
Istilah terkait
Saran — Prinsip redundan dalam kebijakan kepercayaan peran
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."Menyelesaikan saran
Jika Anda menentukan prinsipal peran yang diasumsikan dan peran induknya dalam Principal elemen kebijakan, kebijakan tersebut tidak mengizinkan atau menolak izin yang berbeda. Misalnya, itu berlebihan jika Anda menentukan Principal elemen menggunakan format berikut:
"Principal": { "AWS": [ "arn:aws:iam::AWS-account-ID:role/rolename", "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname" ]
Kami merekomendasikan untuk menghapus prinsipal peran yang diasumsikan.
Istilah terkait
Saran — Konfirmasi jenis klaim audiens
Dalam AWS Management Console, temuan untuk pemeriksaan ini mencakup pesan berikut:
Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.Dalam panggilan terprogram ke AWS CLI or AWS API, temuan untuk pemeriksaan ini mencakup pesan berikut:
"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."Menyelesaikan saran
Kunci klaim aud (audiens) adalah pengenal unik untuk aplikasi Anda yang dikeluarkan untuk Anda saat Anda mendaftarkan aplikasi dengan iDP dan mengidentifikasi penerima yang JSON dimaksudkan untuk token web. Klaim audiens dapat bernilai multivaluasi atau bernilai tunggal. Jika klaim multivaluasi, gunakan operator set ForAllValues atau ForAnyValue kondisi. Jika klaim bernilai tunggal, jangan gunakan operator set kondisi.
Istilah terkait
