iam-policy-no-statements-with-admin-access - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

iam-policy-no-statements-with-admin-access

作成した AWS Identity and Access Management (IAM) ポリシーに、すべてのリソースに対するすべてのアクションにアクセス許可を付与する許可ステートメントがあるかどうかを確認します。いずれかのカスタマー管理 IAM ポリシーステートメントに、"Resource": "*" に対して "Action": "*" が "Effect": "Allow" になっている場合、ルールは NON_COMPLIANT です。

注記

このルールは、カスタマー管理ポリシーのみを評価します。このルールは、インラインポリシーまたは AWS 管理ポリシーを評価しません。この違いに関する詳細については、「IAM ユーザーガイド」の「マネージドポリシーとインラインポリシー」を参照してください。

次のポリシーは NON_COMPLIANT です。

"Statement": [ { "Sid": "VisualEditor", "Effect": "Allow", "Action": "*", "Resource": "*" }

次のポリシーは COMPLIANT です。

"Statement": [ { "Sid": "VisualEditor", "Effect": "Allow", "Action": "service:*", "Resource": "*" }

識別子: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS

リソースタイプ: AWS::IAM::Policy

トリガータイプ: 設定変更

AWS リージョン: 中東 (アラブ首長国連邦)、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ) AWS の各リージョンを除く、サポートされているすべての リージョン

パラメータ:

excludePermissionBoundaryポリシー (オプション)
タイプ:ブール値

許可の境界として使用される IAM ポリシーの評価を除外するブールフラグ。「true」に設定すると、ルールで許可の境界は評価に含まれません。それ以外の場合、値が「false」に設定されていると、スコープ内のすべての IAM ポリシーが評価されます。デフォルト値は「false」です。

AWS CloudFormation テンプレート

AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「」を参照してくださいAWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成