iam-policy-no-statements-with-full-access - AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

iam-policy-no-statements-with-full-access

作成した AWS Identity and Access Management (IAM) ポリシーが、個々の AWS リソースに対するすべてのアクションにアクセス許可を付与するかどうかを確認します。カスタマー管理 IAM ポリシーで少なくとも 1 つの AWS サービスへのフルアクセスが許可されている場合、ルールは NON_COMPLIANT です。

コンテキスト : 最小特権の原則に従って、 サービスにアクセス許可 AWS を付与する場合は、IAM ポリシーで許可されるアクションを制限することをお勧めします。このアプローチは、必要なアクションを正確に指定して必要なアクセス許可のみを付与し、 などのサービスに無制限のワイルドカードを使用しないようにするのに役立ちますec2:*

場合によっては、 DescribeFlowLogsや など、同様のプレフィックスを持つ複数のアクションを許可することがありますDescribeAvailabilityZones。このような場合は、サフィックス付きのワイルドカードを共通のプレフィックス ( など) に追加できますec2:Describe*。関連するアクションをグループ化すると、IAM ポリシーのサイズ制限 に達するのを防ぐことができます。

このルールは、サフィックス付きのワイルドカード ( など) でプレフィックス付きアクションを使用する場合、COMPLIANT を返しますec2:Describe*。このルールは、無制限のワイルドカード ( など) を使用する場合にのみ NON_COMPLIANT を返しますec2:*

注記

このルールは、カスタマー管理ポリシーのみを評価します。このルールは、インラインポリシーまたは AWS 管理ポリシーを評価しません。この違いに関する詳細については、「IAM ユーザーガイド」の「マネージドポリシーとインラインポリシー」を参照してください。

[Identifier] (識別子): IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS

リソースタイプ: AWS::IAM::Policy

トリガータイプ: 設定変更

AWS リージョン: 中東 (アラブ首長国連邦)、アジアパシフィック (ハイデラバード)、アジアパシフィック (大阪)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、カナダ西部 (カルガリー)、欧州 (スペイン)、欧州 (チューリッヒ) AWS の各リージョンを除く、サポートされているすべての リージョン

パラメータ:

excludePermissionBoundaryポリシー (オプション)
タイプ:ブール値

許可の境界として使用される IAM ポリシーの評価を除外するブールフラグ。「true」に設定すると、ルールで許可の境界は評価に含まれません。それ以外の場合、値が「false」に設定されていると、スコープ内のすべての IAM ポリシーが評価されます。デフォルト値は「false」です。

AWS CloudFormation テンプレート

AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「」を参照してくださいAWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成