iam-customer-policy-blocked-kms-azioni

Verifica se le policy gestite di AWS Identity and Access Management (IAM) create non consentono azioni bloccate AWS sulle chiavi KMS. La regola è NON_COMPLIANT se qualsiasi azione bloccata è consentita sulle chiavi AWS KMS dalla policy IAM gestita.

Nota

Questa regola non valuta le condizioni fornite nelle politiche IAM. Per ulteriori informazioni sulle condizioni IAM, consulta Elementi delle policy JSON di IAM: Condizioni nella Guida per l'utente di IAM.

Identificatore: IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS

Tipi di risorse: AWS::IAM::Policy

Tipo di trigger: Modifiche alla configurazione

Regione AWS: Tutte le AWS regioni supportate tranne Medio Oriente (Emirati Arabi Uniti), Asia Pacifico (Hyderabad), Asia Pacifico (Osaka), Asia Pacifico (Melbourne), Israele (Tel Aviv), Canada occidentale (Calgary), Europa (Spagna), Europa (Zurigo)

Parametri:

blockedActionsPatterns

Tipo: CSV

Specificare un elenco separato da virgola di pattern di azione KMS bloccati. Ad esempio, puoi elencare KMS:Decrypt* o kms: come modelli di azione bloccati. ReEncrypt La regola è NON_COMPLIANT se la policy IAM gestita consente qualsiasi modello di azione elencato in questo parametro.

excludePermissionBoundaryPolitica (facoltativa)

Tipo: booleano

Flag booleano per escludere la valutazione delle policy IAM utilizzate come limiti delle autorizzazioni. Se impostato su "true", la regola non include i limiti delle autorizzazioni nella valutazione. Invece, tutte le policy IAM incluse nell'ambito vengono valutate quando il valore è impostato su "false". Il valore predefinito è "false".

AWS CloudFormation modello

Per creare regole AWS Config gestite con AWS CloudFormation modelli, vedereCreazione di regole gestite di AWS Config con modelli AWS CloudFormation.