iam-policy-no-statements-with-full-access - AWS Config
AWS CloudFormation modello

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

iam-policy-no-statements-with-full-access

Verifica se le policy di AWS Identity and Access Management (IAM) create concedono autorizzazioni a tutte le azioni sulle AWS singole risorse. La regola è NON_COMPLIANT se una policy IAM gestita dal cliente consente l'accesso completo ad almeno 1 servizio. AWS

Contesto: seguendo il principio del privilegio minimo, si consiglia di limitare le azioni consentite nelle politiche IAM quando si concedono le autorizzazioni ai servizi. AWS Questo approccio aiuta a garantire che si concedano solo le autorizzazioni necessarie specificando le azioni esatte richieste, evitando l'uso di caratteri jolly illimitati per un servizio, ad esempio. ec2:*

In alcuni casi, potresti voler consentire più azioni con un prefisso simile, ad esempio e. DescribeFlowLogsDescribeAvailabilityZones In questi casi, è possibile aggiungere un carattere jolly con suffisso al prefisso comune (ad esempio,). ec2:Describe* Il raggruppamento delle azioni correlate può aiutare a evitare di raggiungere i limiti di dimensione delle policy IAM.

Questa regola restituirà COMPLIANT se utilizzi azioni prefisse con un carattere jolly suffisso (ad esempio,). ec2:Describe* Questa regola restituirà NON_COMPLIANT solo se si utilizzano caratteri jolly senza restrizioni (ad esempio,). ec2:*

Nota

Questa regola valuta solo le policy gestite dal cliente. Questa regola NON valuta le politiche in linea o le politiche gestite. AWS Per ulteriori informazioni sulla differenza, consulta Policy gestite e policy inline nella Guida per l'utente di IAM.

Identificatore: IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS

Tipi di risorse: AWS::IAM::Policy

Tipo di trigger: Modifiche alla configurazione

Regione AWS: Tutte le AWS regioni supportate tranne Medio Oriente (Emirati Arabi Uniti), Asia Pacifico (Hyderabad), Asia Pacifico (Osaka), Asia Pacifico (Melbourne), Israele (Tel Aviv), Canada occidentale (Calgary), Europa (Spagna), Europa (Zurigo)

Parametri:

excludePermissionBoundaryPolitica (facoltativa)
Tipo: booleano

Flag booleano per escludere la valutazione delle policy IAM utilizzate come limiti delle autorizzazioni. Se impostato su "true", la regola non include i limiti delle autorizzazioni nella valutazione. Invece, tutte le policy IAM incluse nell'ambito vengono valutate quando il valore è impostato su "false". Il valore predefinito è "false".

AWS CloudFormation modello

Per creare regole AWS Config gestite con AWS CloudFormation modelli, vedereCreazione di regole gestite di AWS Config con modelli AWS CloudFormation.