iam-policy-no-statements-with-admin-access

AWS 作成したIdentity and Access Management (IAM) ポリシーに、すべてのリソースのすべてのアクションにアクセス権限を付与する許可ステートメントがあるかどうかを確認します。いずれかのカスタマー管理 IAM ポリシーステートメントに、"Resource": "*" に対して "Action": "*" が "Effect": "Allow" になっている場合、ルールは NON_COMPLIANT です。

注記

このルールは、カスタマー管理ポリシーのみを評価します。 AWS このルールはインラインポリシーや管理ポリシーを評価しません。この違いに関する詳細については、「IAM ユーザーガイド」の「マネージドポリシーとインラインポリシー」を参照してください。

次のポリシーは NON_COMPLIANT です。

"Statement": [
{
"Sid": "VisualEditor",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}

次のポリシーは COMPLIANT です。

"Statement": [
{
"Sid": "VisualEditor",
"Effect": "Allow",
"Action": "service:*",
"Resource": "*"
}

識別子: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS

リソースタイプ: AWS::IAM::Policy

トリガータイプ: 設定変更

AWS リージョン: 中東 (UAE)、アジア太平洋 (ハイデラバード)、アジア太平洋 (メルボルン)、イスラエル (テルアビブ)、カナダ西部 (カルガリー)、ヨーロッパ (スペイン)、ヨーロッパ (チューリッヒ) AWS リージョンを除くすべてのサポート対象リージョン

パラメータ:

excludePermissionBoundaryポリシー (オプション)

タイプ：ブール値

許可の境界として使用される IAM ポリシーの評価を除外するブールフラグ。「true」に設定すると、ルールで許可の境界は評価に含まれません。それ以外の場合、値が「false」に設定されていると、スコープ内のすべての IAM ポリシーが評価されます。デフォルト値は「false」です。

AWS CloudFormation テンプレート

AWS Config AWS CloudFormation テンプレートを使用してマネージドルールを作成するには、を参照してくださいAWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成。