Referência de verificação de política do Access Analyzer
Você pode validar suas políticas usando validações de política do AWS Identity and Access Management Access Analyzer. É possível criar ou editar uma política usando a AWS CLI,a API da AWS ou o editor de políticas de JSON no console do IAM. O IAM Access Analyzer valida sua política em relação à gramática da política do IAM e às práticas recomendadas da AWS. Você pode visualizar as descobertas de verificação de validação de política que incluem avisos de segurança, erros, avisos gerais e sugestões para sua política. Essas descobertas fornecem recomendações práticas que ajudam a criar políticas que sejam funcionais e estejam em conformidade com as práticas recomendadas de segurança. A lista de verificações básicas de políticas fornecidas pelo IAM Access Analyzer é compartilhada abaixo. Não há cobrança adicional associada à execução das verificações de validação de política. Para obter mais informações sobre como validar políticas usando validação de política, consulte Validação de política do IAM Access Analyzer.
Erro: ARN account not allowed (Conta do ARN não permitida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."Resolver o erro
Remova o ID da conta do ARN do recurso. Os ARNs de recursos para alguns produtos da AWS não são compatíveis com a especificação de um ID de conta.
Por exemplo, o Amazon S3 não oferece suporte a um ID de conta como namespace em ARNs de bucket. Um nome de bucket do Amazon S3 é globalmente exclusivo, e o namespace é compartilhado por todas as contas da AWS. Para visualizar todos os tipos de recursos disponíveis no Amazon S3, consulte Tipos de recursos definidos pelo Amazon S3 naReferência de autorização do serviço.
Termos relacionados
Erro: ARN Region not allowed (Região do ARN não permitida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."Resolver o erro
Remova a região do ARN do recurso. Os ARNs de recursos para alguns produtos da AWS não oferecem suporte à especificação de uma região.
Por exemplo, o IAM é um serviço global. A parte da região de um ARN de recurso do IAM é sempre mantida em branco. Os recursos do IAM são globais, como uma conta da AWS é hoje. Por exemplo, depois de fazer login como usuário do IAM, você pode acessar produtos da AWS em qualquer região geográfica.
Erro: Data type mismatch (Incompatibilidade de tipo de dados)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."Resolver o erro
Atualize o texto para usar o tipo de dados com suporte.
Por exemplo, a chave de condição global Version requer um tipo de dados String. Se você fornecer uma data ou um número inteiro, o tipo de dados não corresponderá.
Termos relacionados
Erro: Duplicate keys with different case (Teclas duplicadas com diferenciação de maiúsculas e minúsculas)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."Resolver o erro
Revise as chaves de condição semelhantes dentro do mesmo bloco de condição e use a mesma capitalização para todas as instâncias.
Um bloco de condição é o texto dentro do elemento Conditionde uma instrução de política. Os nomes das chaves de condição não diferenciam maiúsculas de minúsculas. A diferenciação de maiúsculas e minúsculas dos valores da chave de condição depende do operador de condição utilizado. Para obter mais informações sobre diferenciação de maiúsculas e minúsculas em chaves de condição, consulte Elementos de política JSON do IAM: Condition.
Termos relacionados
Erro: Invalid action (Ação inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"Resolver o erro
A ação especificada é inválida. Isso pode acontecer se você digitar incorretamente o prefixo do serviço ou o nome da ação. Para alguns problemas comuns, a verificação de política retorna uma ação sugerida.
Termos relacionados
Políticas gerenciadas pela AWS com esse erro
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
As seguintes políticas gerenciadas pela AWS incluem ações inválidas em suas instruções de política. Ações inválidas não afetam as permissões concedidas pela política. Ao usar uma política gerenciada pela AWS como referência para criar sua política gerenciada, a AWS recomenda que você remova as ações inválidas da sua política.
Erro: Invalid ARN account (Conta do ARN inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."Resolver o erro
Atualize o ID da conta no ARN do recurso. Os IDs de conta são números inteiros de 12 dígitos. Para saber como visualizar o ID da conta, consulte Localizar o ID da conta da AWS.
Termos relacionados
Erro: Invalid ARN prefix (Prefixo do ARN inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add the required prefix (arn) to the resource ARN."Resolver o erro
AWSOs ARNs de recurso devem incluir o prefixo arn: exigido.
Termos relacionados
Erro: Invalid ARN Region (Região do ARN inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."Resolver o erro
Não há suporte para o tipo de recurso na região especificada. Para obter uma tabela dos produtos da AWS com suporte em cada região, consulte a Tabela de regiões
Termos relacionados
Erro: Invalid ARN resource (Recurso do ARN inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."Resolver o erro
O ARN do recurso deve corresponder às especificações dos tipos de recursos conhecidos. Para visualizar o formato de ARN esperado para um serviço, consulteAções, recursos e chaves de condição de produtos da AWS. Escolha o nome do serviço para visualizar seus tipos de recursos e formatos de ARN.
Termos relacionados
Erro: Invalid ARN service case (Caso de serviço de ARN inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid ARN service case: Update the service name ${service} in the resource ARN to use all lowercase letters.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Update the service name ${service} in the resource ARN to use all lowercase letters."Resolver o erro
O serviço no ARN do recurso deve corresponder às especificações (incluindo a capitalização) dos prefixos de serviço. Para visualizar o prefixo de um serviço, consulte Ações, recursos e chaves de condição de produtos da AWS. Escolha o nome do serviço e localize seu prefixo na primeira frase.
Termos relacionados
Erro: Invalid condition data type (Tipo de dados da condição inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."Resolver o erro
O valor no par de chave-valor da condição deve corresponder ao tipo de dados da chave da condição e do operador da condição. Para visualizar o tipo de dados da chave da condição para um serviço, consulte Ações, recursos e chaves de condição de produtos da AWS. Escolha o nome do serviço para visualizar as chaves de condição desse serviço.
Por exemplo, a chave de condição global CurrentTime oferece suporte ao operador de condição Date. Se você fornecer uma string ou um número inteiro para o valor no bloco de condição, o tipo de dados não corresponderá.
Termos relacionados
Erro: Invalid condition key format (Formato de chave de condição inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition key format is not valid. Use the format service:keyname."Resolver o erro
A chave no par de chave-valor da condição deve corresponder às especificações do serviço. Para visualizar as chaves da condição de um serviço, consulte Ações, recursos e chaves de condição de produtos da AWS. Escolha o nome do serviço para visualizar as chaves de condição desse serviço.
Termos relacionados
Erro: Invalid condition multiple Boolean (Condição inválida múltipla booliana)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."Resolver o erro
A chave no par de chave-valor da condição espera um único valor booliano. Quando você fornece vários valores boolianos, a correspondência da condição pode não retornar os resultados esperados.
Para visualizar as chaves da condição de um serviço, consulte Ações, recursos e chaves de condição de produtos da AWS. Escolha o nome do serviço para visualizar as chaves de condição desse serviço.
Erro: Invalid condition operator (Operador de condição inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."Resolver o erro
Atualize a condição para usar um operador de condição com suporte.
Termos relacionados
Erro: Invalid effect (Efeito inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."Resolver o erro
Atualize o elemento Effect para usar um efeito válido. Os valores válidos para Effect são Allow e Deny.
Termos relacionados
Erro: Invalid global condition key (Chave de condição global inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."Resolver o erro
Atualize a chave de condição no par de chave-valor da condição para usar uma chave de condição global com suporte.
As chaves de condição globais são chaves de condição com um prefixo aws:. Os serviços da AWS podem oferecer suporte a chaves de condição globais ou fornecer chaves específicas do serviço que incluem seu prefixo de serviço. Por exemplo, as chaves de condição do IAM incluem o prefixo iam:. Para obter mais informações, consulte Ações, recursos e chaves de condição de serviços da AWS e escolha o serviço cujas chaves você deseja visualizar.
Termos relacionados
Erro: Invalid partition (Partição inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"Resolver o erro
Atualize o ARN do recurso para incluir uma partição com suporte. Se você incluir uma partição com suporte, o serviço ou recurso poderá não oferecer suporte à partição incluída.
Uma partição é um grupo de regiões da AWS. Cada conta da AWS tem escopo para uma partição. Em regiões clássicas, use a partição aws. Nas regiões da China, use aws-cn.
Termos relacionados
Erro: Invalid policy element (Elemento de política inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid policy element: The policy element {{element}} is not valid.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The policy element {{element}} is not valid."Resolver o erro
Atualize a política para incluir apenas elementos de política JSON com suporte.
Termos relacionados
Erro: Invalid principal format (Formato de entidade inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."Resolver o erro
Atualize a entidade para usar um formato de par de chave-valor com suporte.
Você pode especificar uma entidade em uma política baseada em recurso, mas não em uma política baseada em identidade.
Por exemplo, para definir o acesso para todos em uma conta da AWS, use a seguinte entidade em sua política:
"Principal": { "AWS": "123456789012" }Termos relacionados
Erro: Invalid principal key (Chave de entidade inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid principal key: The principal key {{principal-key}} is not valid.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The principal key {{principal-key}} is not valid."Resolver o erro
Atualize a chave no par de chave-valor da entidade para usar uma chave de entidade com suporte. As seguintes chaves de entidade com suporte são:
AWS
CanonicalUser
Federado
Serviço
Termos relacionados
Erro: Invalid Region (Região inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."Resolver o erro
Atualize o valor do par da chave-valor da condição para incluir uma região com suporte. Para obter uma tabela dos produtos da AWS com suporte em cada região, consulte a Tabela de regiões
Termos relacionados
Erro: Invalid service (Serviço inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid service: The service {{service}} does not exist. Use a valid service name.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The service {{service}} does not exist. Use a valid service name."Resolver o erro
O prefixo de serviço na chave de ação ou condição deve corresponder às especificações (incluindo a capitalização) dos prefixos de serviço. Para visualizar o prefixo de um serviço, consulte Ações, recursos e chaves de condição de produtos da AWS. Escolha o nome do serviço e localize seu prefixo na primeira frase.
Termos relacionados
Erro: Invalid service condition key (Chave de condição de serviço inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."Resolver o erro
Atualize a chave no par de chave-valor da condição para usar uma chave de condição conhecida para o serviço. Os nomes das chaves de condições globais começam com o prefixo aws. Os produtos da AWS podem fornecer chaves específicas de serviço que incluem o prefixo correspondente do serviço. Para visualizar o prefixo de um serviço, consulte Ações, recursos e chaves de condição de produtos da AWS.
Termos relacionados
Erro: Invalid service in action (Serviço inválido na ação)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"Resolver o erro
O prefixo de serviço na ação deve corresponder às especificações (incluindo a capitalização) dos prefixos de serviço. Para visualizar o prefixo de um serviço, consulte Ações, recursos e chaves de condição de produtos da AWS. Escolha o nome do serviço e localize seu prefixo na primeira frase.
Termos relacionados
Erro: Invalid variable for operator (Variável inválida para o operador)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Policy variables can only be used with String and ARN operators."Resolver o erro
Você pode usar variáveis de política no elemento Resource e em comparações de string no elemento Condition. As condições oferecem suporte a variáveis quando você usa operadores de string ou operadores de ARN. Os operadores de string incluem StringEquals, StringLike e StringNotLike. Os operadores de ARN incluem ArnEquals e ArnLike. Não é possível usar uma variável de política com outros operadores, como operadores do tipo numérico, de data, booliano, binário, de endereço IP ou nulo.
Termos relacionados
Erro: Invalid version (Versão inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid version: The version ${version} is not valid. Use one of the following versions: ${versions}
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The version ${version} is not valid. Use one of the following versions: ${versions}"Resolver o erro
O elemento de política Version especifica as regras de sintaxe de linguagem que a AWS deve usar para processar uma política. Para usar todos os recursos de política disponíveis, inclua o elemento Version mais recente antes do elemento Statement em todas as suas políticas.
"Version": "2012-10-17"Termos relacionados
Erro: Json syntax error (Erro de sintaxe Json)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."Resolver o erro
Sua política inclui um erro de sintaxe. Verifique sua sintaxe JSON.
Termos relacionados
Erro: Json syntax error (Erro de sintaxe Json)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Json syntax error: Fix the JSON syntax error.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Fix the JSON syntax error."Resolver o erro
Sua política inclui um erro de sintaxe. Verifique sua sintaxe JSON.
Termos relacionados
Erro: Missing action (Ação ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing action: Add an Action or NotAction element to the policy statement.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add an Action or NotAction element to the policy statement."Resolver o erro
As políticas de JSON da AWS devem incluir um elemento Action ou NotAction.
Termos relacionados
Erro: Missing ARN field (Campo de ARN ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"Resolver o erro
Todos os campos no ARN do recurso devem corresponder às especificações de um tipo de recurso conhecido. Para visualizar o formato de ARN esperado para um serviço, consulteAções, recursos e chaves de condição de produtos da AWS. Escolha o nome do serviço para visualizar seus tipos de recursos e formatos de ARN.
Termos relacionados
Erro: Missing ARN Region (Região do ARN ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing ARN Region: Add a Region to the {{service}} resource ARN.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add a Region to the {{service}} resource ARN."Resolver o erro
Os ARNs de recursos para a maioriados produtos da AWS exigem a especificação de uma região. Para obter uma tabela dos produtos da AWS com suporte em cada região, consulte a Tabela de regiões
Termos relacionados
Erro: Missing effect (Efeito ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."Resolver o erro
As políticas de JSON da AWS devem incluir um elemento Effect com o valor Allow e Deny.
Termos relacionados
Erro: Missing principal (Entidade ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing principal: Add a Principal element to the policy statement.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add a Principal element to the policy statement."Resolver o erro
As políticas baseadas em recursos devem incluir um elemento Principal.
Por exemplo, para definir o acesso para todos em uma conta da AWS, use a seguinte entidade em sua política:
"Principal": { "AWS": "123456789012" }Termos relacionados
Erro:Missing qualifier (Qualificador ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing qualifier: The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The request context key ${key} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."Resolver o erro
No elemento Condition, crie expressões em que você use operadores de condição, como igual ou menor que para comparar uma condição na política com chaves e valores no contexto da solicitação. Para solicitações que incluem vários valores para uma única chave de condição, você deve colocar as condições entre colchetes como uma matriz ("Key2":["Value2A", "Value2B"]). Também é necessário usar os operadores de conjunto ForAllValues ou ForAnyValue com o operador de condição StringLike. Esses qualificadores adicionam a funcionalidade de operação de conjuntos ao operador da condição, para que você possa testar vários valores de solicitação em relação a vários valores de condição.
Termos relacionados
Políticas gerenciadas pela AWS com esse erro
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
As políticas gerenciadas pela AWS a seguir incluem um qualificador ausente para chaves de condição em suas instruções de política. Ao usar a política gerenciada pela AWS como referência para criar sua política gerenciada pelo cliente, a AWS recomenda que você adicione os qualificadores de chave de condição ForAllValues ou ForAnyValue ao seu elemento Condition.
Erro: Missing resource (Recurso ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing resource: Add a Resource or NotResource element to the policy statement.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add a Resource or NotResource element to the policy statement."Resolver o erro
Todas as políticas, exceto as políticas de confiança de perfil, devem incluir um elemento Resource ou NotResource.
Termos relacionados
Erro: Missing statement (Instrução ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing statement: Add a statement to the policy
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add a statement to the policy"Resolver o erro
Uma política JSON deve incluir uma instrução.
Termos relacionados
Erro: Null with if exists (Nulo com IfExists)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."Resolver o erro
Você pode adicionar IfExists ao final de qualquer nome de operador de condição, exceto o operador de condição Null. Use um operador de condição Null para verificar se uma chave de condição está presente no momento da autorização. Use ...ifExists para dizer “Se a chave de política estiver presente no contexto da solicitação, processar a chave conforme especificado na política. Se a chave não estiver presente, avalie o elemento da condição como verdadeiro."
Termos relacionados
Erro: SCP syntax error action wildcard (Erro de sintaxe de SCP na ação com curinga)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."Resolver o erro
As políticas de controle de serviço (SCPs) do AWS Organizations oferecem suporte à especificação de valores nos elementos Action ou NotAction. No entanto, esses valores podem incluir caracteres curinga (*) somente no final da string. Isso significa que você pode especificar iam:Get*, mas não iam:*role.
Para especificar várias ações, a AWS recomenda que você as liste individualmente.
Termos relacionados
Erro: SCP syntax error allow condition (Erro de sintaxe de SCP ao permitir condição)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."Resolver o erro
As políticas de controle de serviço (SCPs) do AWS Organizations oferecem suporte à especificação de valores no elemento Condition somente quando você usa "Effect": "Deny".
Para permitir apenas uma única ação, você pode negar acesso a tudo, exceto à condição que você especificar usando a versão ...NotEqualsde um operador de condição. Isso nega a comparação feita pelo operador.
Termos relacionados
Erro: SCP syntax error allow NotAction (Erro de sintaxe de SCP ao permitir NotAction)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."Resolver o erro
As políticas de controle de serviço (SCPs) do AWS Organizations não são compatíveis com o uso do elemento NotAction com "Effect": "Allow".
Você deve reescrever a lógica para permitir uma lista de ações ou para negar todas as ações que não estão listadas.
Termos relacionados
Erro: SCP syntax error allow resource (Erro de sintaxe de SCP ao permitir recurso)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."Resolver o erro
As políticas de controle de serviço (SCPs) do AWS Organizations oferecem suporte à especificação de valores no elemento Resource somente quando você usa "Effect": "Deny".
Você deve reescrever a lógica para permitir todos os recursos ou para negar todos os recursos listados.
Termos relacionados
Erro: SCP syntax error NotResource (Erro de sintaxe de SCP para NotResource)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."Resolver o erro
As políticas de controle de serviço (SCPs) do AWS Organizations não oferecem suporte ao elemento NotResource.
Você deve reescrever a lógica para permitir todos os recursos ou para negar todos os recursos listados.
Termos relacionados
Erro: SCP syntax error principal (Erro de sintaxe de SCP para a entidade)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."Resolver o erro
As políticas de controle de serviço (SCPs) do AWS Organizations não oferecem suporte aos elementos Principal ou NotPrincipal.
Você pode especificar o nome do recurso da Amazon (ARN) usando a chave de condição global aws:PrincipalArn no elemento Condition.
Termos relacionados
Erro: Unique Sids required (Sids exclusivos obrigatórios)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."Resolver o erro
Para alguns tipos de política, os IDs de instrução devem ser exclusivos. O elemento Sid (ID de instrução) permite inserir um identificador opcional fornecido para a instrução de política. Você pode atribuir um valor de ID de instrução a cada instrução em uma matriz de instruções usando o elemento SID. Em serviços que permitem que você especifique um elemento de ID, como o SQS e o SNS, o valor Sid é apenas um subID do ID do documento de política. Por exemplo, no IAM, o valor Sid deve ser exclusivo em uma política JSON.
Termos relacionados
Erro: ação não suportada na política
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Resolver o erro
Algumas ações não são compatíveis com o elemento Action na política baseada em recursos anexada a um tipo de recurso diferente. Por exemplo, as ações do AWS Key Management Service não são compatíveis com políticas de bucket do Amazon S3. Especifique uma ação compatível com o tipo de recurso anexado à sua política baseada em recursos.
Termos relacionados
Erro: Unsupported element combination (Combinação de elementos não suportada)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported element combination: The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The policy elements ${element1} and ${element2} can not be used in the same statement. Remove one of these elements."Resolver o erro
Algumas combinações de elementos de política JSON não podem ser usadas juntas. Por exemplo, você não pode usar Action e NotAction na mesma instrução de política. Outros pares que são mutuamente exclusivos incluem Principal/NotPrincipal e Resource/NotResource.
Termos relacionados
Erro: Unsupported global condition key (Chave de condição global incompatível)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."Resolver o erro
A AWS não oferece suporte ao uso da chave de condição global especificada. Dependendo do seu caso de uso, você pode usar as chaves de condição globais aws:PrincipalArn ou aws:SourceArn. Por exemplo, em vez de aws:ARN, use aws:PrincipalArn para comparar o nome do recurso da Amazon (ARN) da entidade que fez a solicitação com o ARN especificado na política. Como alternativa, use a chave de condição global aws:SourceArn para comparar o nome do recurso da Amazon (ARN) do recurso que está fazendo uma solicitação de serviço a serviço com o ARN especificado na política.
Termos relacionados
Erro: Unsupported principal (Sem suporte para a entidade)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported principal: The policy type ${policy_type} does not support the Principal element. Remove the Principal element.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The policy type ${policy_type} does not support the Principal element. Remove the Principal element."Resolver o erro
O elemento Principal especifica a entidade que tem acesso permitido ou negado a um recurso. Você não pode usar o elemento Principal em uma política baseada em identidade do IAM. Você pode usá-lo nas políticas de confiança para funções do IAM e em políticas baseadas em recurso. As políticas baseadas em recursos são políticas que você incorpora diretamente em um recurso. Por exemplo, você pode incorporar políticas em um bucket do Amazon S3 ou uma chave do AWS KMS.
Termos relacionados
Erro: ARN de recurso incompatível na política
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Resolver o erro
Alguns ARNs de recurso são incompatíveis com o elemento Resource da política baseada em recurso quando a política é anexada a um tipo de recurso diferente. Por exemplo, os ARNs do AWS KMS são incompatíveis com o elemento Resource das políticas de bucket do Amazon S3. Especifique um ARN de recurso compatível com o tipo de recurso anexado à sua política baseada em recursos.
Termos relacionados
Erro: Unsupported Sid (Não há suporte para o Sid)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"Resolver o erro
O elemento Sid é compatível com letras maiúsculas, letras minúsculas e números.
Termos relacionados
Erro: Unsupported wildcard in principal (Não há suporte para o curinga na entidade)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."Resolver o erro
A estrutura do elemento Principal oferece suporte ao uso de um par de chave-valor. O valor da entidade especificado na política inclui um caractere curinga (*). Não é possível incluir um caractere curinga com a chave da entidade especificada. Por exemplo, ao especificar usuários em um elemento Principal, você não pode usar um caractere curinga para se referir a “todos os usuários”. Você deve indicar um usuário ou usuários específicos. Da mesma forma, ao especificar uma sessão de função assumida, você não pode usar um caractere curinga para se referir a “todas as sessões”. Você deve indicar uma sessão específica. Não é possível usar um caractere curinga para corresponder a parte de um nome ou um ARN.
Para resolver essa descoberta, remova o caractere curinga e forneça uma entidade mais específica.
Termos relacionados
Erro: Missing brace in variable (Chave ausente na variável)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."Resolver o erro
A estrutura de variável de política suporta o uso de um prefixo $seguido por um par de chaves ({ }). Dentro dos caracteres ${ }, inclua o nome do valor da solicitação que você deseja usar na política.
Para resolver essa descoberta, adicione a chave ausente para garantir que o conjunto completo de chaves de abertura e fechamento esteja presente.
Termos relacionados
Erro: Missing quote in variable (Aspa ausente na variável)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."Resolver o erro
Ao adicionar uma variável à sua política, você pode especificar um valor padrão para a variável. Se uma variável não estiver presente, a AWS usa o texto padrão fornecido por você.
Para adicionar um valor padrão a uma variável, coloque o valor padrão entre aspas simples (' ') e separe o texto da variável e o valor padrão com uma vírgula e espaço (, ).
Por exemplo, se uma entidade principal estiver marcada com team=yellow, eles podem acessar o bucket DOC-EXAMPLE-BUCKET do Amazon S3 de nome DOC-EXAMPLE-BUCKET-yellow. É possível que uma política com esse recurso permita que os membros da equipe acessem seus próprios recursos, mas não os de outras equipes. Para usuários sem etiquetas de equipe, você pode configurar um valor padrão de company-wide. Esses usuários podem acessar somente o bucket DOC-EXAMPLE-BUCKET-company-wide, onde podem visualizar informações gerais, como instruções para ingressar em uma equipe.
"Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET-${aws:PrincipalTag/team, 'company-wide'}"Termos relacionados
Erro: Unsupported space in variable Não há suporte para espaço na variável)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "A space is not supported within the policy variable text. Remove the space."Resolver o erro
A estrutura de variável de política suporta o uso de um prefixo $seguido por um par de chaves ({ }). Dentro dos caracteres ${ }, inclua o nome do valor da solicitação que você deseja usar na política. Embora você possa incluir um espaço ao especificar uma variável padrão, não é possível incluir um espaço no nome da variável.
Termos relacionados
Erro: Empty variable (Variável vazia)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."Resolver o erro
A estrutura de variável de política suporta o uso de um prefixo $seguido por um par de chaves ({ }). Dentro dos caracteres ${ }, inclua o nome do valor da solicitação que você deseja usar na política.
Termos relacionados
Erro: Variable unsupported in element (Não há suporte para a variável no elemento)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."Resolver o erro
Você pode usar variáveis de política no elemento Resource e em comparações de string no elemento Condition.
Termos relacionados
Erro: Variable unsupported in version (Não há suporte para a variável na versão)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."Resolver o erro
Para usar variáveis de política, você deve incluir o elemento Version e configurá-lo para uma versão que ofereça suporte a variáveis de política. As variáveis foram apresentadas na versão 2012-10-17. Versões anteriores da linguagem da política não são compatíveis com variáveis de política. Se você não definir a Version como 2012-10-17 ou posterior, variáveis como ${aws:username} serão tratadas como strings literais na política.
Um elemento de política Version é diferente de uma versão de política. O elemento de política Version é usado em uma política e define a versão da linguagem da política. Uma versão da política é criada quando você altera uma política gerenciada pelo cliente no IAM. A política alterada não substitui a política existente. Em vez disso, o IAM cria uma nova versão da política gerenciada.
Termos relacionados
Erro: Private IP address (Endereço IP privado)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."Resolver o erro
A chave de condição global aws:SourceIp funciona apenas para intervalos de endereços IP públicos. Você recebe esse erro quando sua política permite apenas endereços IP privados. Nesse caso, a condição nunca corresponderá.
Erro: Private NotIpAddress (NotipAddress privado)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."Resolver o erro
A chave de condição global aws:SourceIp funciona apenas para intervalos de endereços IP públicos. Você recebe esse erro quando usa o operador de condição NotIpAddress e lista apenas endereços IP privados. Nesse caso, a condição sempre corresponderá e será ineficaz.
Erro: Policy size exceeds SCP quota (O tamanho da política excede a cota de SCP)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."Resolver o erro
As políticas de controle de serviço (SCPs) do AWS Organizations oferecem suporte à especificação de valores nos elementos Action ou NotAction. No entanto, esses valores podem incluir caracteres curinga (*) somente no final da string. Isso significa que você pode especificar iam:Get*, mas não iam:*role.
Para especificar várias ações, a AWS recomenda que você as liste individualmente.
Termos relacionados
Erro: Invalid service principal format (Formato de entidade de serviço inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."Resolver o erro
O valor no par de chave-valor da condição deve corresponder a um formato de entidade de serviço definido.
Um escopo principal do serviço é um identificador que é usado para conceder permissões a um serviço. Você pode especificar uma entidade principal de serviço no elemento Principal ou como um valor para algumas chaves de condição globais e chaves específicas do serviço. A entidade do serviço é definida por cada serviço.
O identificador de uma entidade principal de serviço inclui o nome do serviço e geralmente está todo em letras minúsculas, no seguinte formato:
service-name.amazonaws.com
Algumas chaves específicas do serviço podem usar um formato diferente para entidades principais de serviço. Por exemplo, a chave da condição kms:ViaService requer o seguinte formato para entidades principais de serviço em letras minúsculas:
service-name.AWS_region.amazonaws.com
Termos relacionados
Erro: Missing tag key in condition (Chave de etiqueta ausente na condição)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."Resolver o erro
Para controlar o acesso com base em tags, forneça informações sobre a tag no elemento de condição de uma política.
Por exemplo, para controlar o acesso aos recursos da AWS, inclua a chave de condição aws:ResourceTag. Esta chave requer o formato aws:ResourceTag/. Para especificar a chave de etiqueta tag-keyowner e o valor de etiqueta JaneDoe em uma condição, use o formato a seguir.
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}Termos relacionados
Erro: formato de vpc inválido
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."Resolver o erro
A chave de condição aws:SourceVpc deve usar o prefixo vpc- seguido por 8 ou 17 caracteres alfanuméricos, por exemplo, vpc-11223344556677889 ou vpc-12345678.
Termos relacionados
Erro: formato de vpce inválido
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."Resolver o erro
A chave de condição aws:SourceVpce deve usar o prefixo vpce- seguido por 8 ou 17 caracteres alfanuméricos, por exemplo, vpce-11223344556677889 ou vpce-12345678.
Termos relacionados
Erro: a entidade principal federada é incompatível
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."Resolver o erro
O elemento Principal usa entidades principais federadas para políticas de confiança anexadas a funções do IAM a fim de fornecer acesso por meio de federação de identidades. Políticas de identidade e outras políticas baseadas em recursos são incompatíveis com um provedor de identidade federado no elemento Principal. Por exemplo, você não pode usar uma entidade principal SAML em uma política de bucket do Amazon S3. Modifique o elemento Principal para um tipo de entidade principal compatível.
Termos relacionados
Erro: ação incompatível para a chave de condição
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."Resolver o erro
Verifique se a chave de condição no elemento Condition da declaração de política é aplicável a todas as ações do elemento Action. Para garantir que as ações especificadas sejam efetivamente permitidas ou negadas por sua política, você deve mover as ações incompatíveis para uma declaração diferente sem a chave de condição.
nota
Se o elemento Action tiver ações com curingas, o IAM Access Analyzer não avalia essas ações para esse erro.
Termos relacionados
Erro: ação não suportada na política
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Resolver o erro
Algumas ações não são compatíveis com o elemento Action na política baseada em recursos anexada a um tipo de recurso diferente. Por exemplo, as ações do AWS Key Management Service não são compatíveis com políticas de bucket do Amazon S3. Especifique uma ação compatível com o tipo de recurso anexado à sua política baseada em recursos.
Termos relacionados
Erro: ARN de recurso incompatível na política
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Resolver o erro
Alguns ARNs de recurso são incompatíveis com o elemento Resource da política baseada em recurso quando a política é anexada a um tipo de recurso diferente. Por exemplo, os ARNs do AWS KMS são incompatíveis com o elemento Resource das políticas de bucket do Amazon S3. Especifique um ARN de recurso compatível com o tipo de recurso anexado à sua política baseada em recursos.
Termos relacionados
Erro: chave de condição incompatível para a entidade principal de serviço
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."Resolver o erro
Você pode especificar os Serviços da AWS no elemento Principal de uma política baseada em recursos usando uma entidade principal de serviço, que é um identificador para o serviço. Não é possível usar algumas chaves de condição com determinadas entidades principais de serviço. Por exemplo, você não pode usar a chave de condição aws:PrincipalOrgID com a entidade principal de serviço cloudfront.amazonaws.com. É necessário remover as chaves de condição que não são aplicáveis à entidade principal de serviço no elemento Principal.
Termos relacionados
Erro: Role trust policy syntax error notprincipal (Erro de sintaxe da política de confiança da função notprincipal)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."Resolver o erro
Uma política de confiança da função é uma política baseada no recurso que é anexada a um perfil do IAM. As políticas de confiança definem quais entidades principais (contas, usuários, funções e usuários federados) podem assumir a função. As políticas de confiança das funções não são compatíveis com NotPrincipal. Atualize a política para usar um elemento Principal em vez disso.
Termos relacionados
Erro: Role trust policy unsupported wildcard in principal (Curinga incompatível da política de confiança da ação na entidade principal)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."Resolver o erro
Uma política de confiança da função é uma política baseada no recurso que é anexada a um perfil do IAM. As políticas de confiança definem quais entidades principais (contas, usuários, funções e usuários federados) podem assumir a função. "Principal:" "*" não é compatível com o elemento Principal de uma política de confiança da função. Substitua o curinga por um valor de entidade principal válido.
Termos relacionados
Erro: Role trust policy syntax error resource (Erro de sintaxe da política de confiança da função resource)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."Resolver o erro
Uma política de confiança da função é uma política baseada no recurso que é anexada a um perfil do IAM. As políticas de confiança definem quais entidades principais (contas, usuários, funções e usuários federados) podem assumir a função. As políticas de confiança das funções se aplicam à função à qual estão anexadas. Não é possível especificar um elemento Resource ou NotResource em uma política de confiança da função. Remover o elemento Resource ou NotResource.
Erro: intervalo IP de incompatibilidade de tipos
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."Resolver o erro
Atualize o texto para usar o tipo de dados do operador de condição de endereço IP, em um formato de CIDR.
Termos relacionados
Erro: Missing action for condition key (Ação ausente para chave de condição)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."Resolver o erro
A chave de condição no elemento Condition da instrução da política não é avaliado, a menos que a ação especificada esteja no elemento Action. Para garantir que as chaves de condição especificadas sejam de fato permitidas ou negadas pela política, adicione a ação ao elemento Action.
Termos relacionados
Erro: Invalid federated principal syntax in role trust policy (Sintaxe de entidade principal federada inválida na política de confiança da função)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."Resolver o erro
O valor de entidade principal especifica uma entidade principal federada que não corresponde ao formato esperado. Atualize o formato da entidade principal federada para um nome de domínio válido ou um ARN de metadados SAML.
Termos relacionados
Erro: Mismatched action for principal (Ação incompatível com a entidade principal)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."Resolver o erro
A ação especificada no elemento Action da instrução da política é inválido com a entidade principal especificada no elemento Principal. Por exemplo, você não pode usar uma entidade principal do provedor SAML com a ação sts:AssumeRoleWithWebIdentity. Você deve usar uma entidade principal de provedor SAML com a ação sts:AssumeRoleWithSAML ou usar uma entidade principal de provedor do OIDC com a ação sts:AssumeRoleWithWebIdentity.
Termos relacionados
Erro: Missing action for roles anywhere trust policy (Ação ausente para política de confiança do roles anywhere)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."Resolver o erro
Para que o IAM Roles Anywhere possa assumir uma função e fornecer credenciais temporários da AWS, a função deve confiar na entidade principal do serviço. A entidade principal do serviço IAM Roles Anywhere exige as permissões de sts:AssumeRole, sts:SetSourceIdentity e sts:TagSession para assumir uma função. Se qualquer uma das permissões estiver ausente, você deve adicioná-la à política.
Termos relacionados
Aviso geral: Create SLR with NotResource (Crie uma SLR com NotResource)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."Resolução do aviso geral
A ção iam:CreateServiceLinkedRole concede permissão para criar uma função do IAM que permite que um produto da AWS execute ações em seu nome. O uso de iam:CreateServiceLinkedRole em uma política com o elemento NotResource pode permitir a criação de funções vinculadas ao serviço não intencionais para vários recursos. A AWS recomenda que você especifique ARNs permitidos no elemento Resource.
Aviso geral: Create SLR with star in action and NotResource (Crie uma SLR com uma estrela na ação e em NotResource)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Resolução do aviso geral
A ção iam:CreateServiceLinkedRole concede permissão para criar uma função do IAM que permite que um produto da AWS execute ações em seu nome. Políticas com um caractere curinga (*) em Action e que incluem o elemento NotResource podem permitir a criação de funções vinculadas ao serviço não intencionais para vários recursos. A AWS recomenda que você especifique ARNs permitidos no elemento Resource.
Aviso geral: Create SLR with NotAction and NotResource (Crie uma SLR com NotAction e NotResource)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Resolução do aviso geral
A ção iam:CreateServiceLinkedRole concede permissão para criar uma função do IAM que permite que um produto da AWS execute ações em seu nome. O uso do elemento NotAction com o elemento NotResource pode permitir a criação de funções vinculadas ao serviço não intencionais para vários recursos. A AWS recomenda que você reescreva a política para permitir iam:CreateServiceLinkedRole em uma lista limitada de ARNs no elemento Resource. Você também pode adicionar iam:CreateServiceLinkedRole ao elemento NotAction.
Aviso geral: Create SLR with star in resource (Crie uma SLR com uma estrela no recurso)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."Resolução do aviso geral
A ção iam:CreateServiceLinkedRole concede permissão para criar uma função do IAM que permite que um produto da AWS execute ações em seu nome. O uso de iam:CreateServiceLinkedRole em uma política com um caractere curinga (*) no elemento Resource pode permitir a criação de funções vinculadas ao serviço não intencionais para vários recursos. A AWS recomenda que você especifique ARNs permitidos no elemento Resource.
Políticas gerenciadas pela AWS com este aviso geral
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
Alguns desses casos de uso são para usuários avançados dentro da conta. As seguintes políticas gerenciadas pela AWS fornecem acesso de usuário avançado e concedem permissões para criar funções vinculadas ao serviço para qualquer produto da AWS. A AWS recomenda que você anexe as seguintes políticas gerenciadas pela AWS somente para identidades do IAM que você considere usuários avançados.
AWSOrganizationsServiceTrustPolicy
: esta política gerenciada pela AWS fornece permissões para uso pela função vinculada ao serviço do AWS Organizations. Essa função permite que o Organizations crie funções adicionais vinculadas ao serviço para outros serviços no AWS Organizations.
Aviso geral: Create SLR with star in action (Crie uma SLR com uma estrela na ação)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Resolução do aviso geral
A ção iam:CreateServiceLinkedRole concede permissão para criar uma função do IAM que permite que um produto da AWS execute ações em seu nome. Políticas com um caractere curinga (*) nos elementos Action e Resource podem permitir a criação de funções vinculadas ao serviço não intencionais para vários recursos. Isso permite a criação de uma função vinculada ao serviço quando você especifica "Action": "*", "Action": "iam:*" ou "Action": "iam:Create*". A AWSrecomenda que você especifique ARNs permitidos no elemento Resource.
Políticas gerenciadas pela AWS com este aviso geral
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
Alguns desses casos de uso são para administradores de sua conta. As seguintes políticas gerenciadas pela AWS fornecem acesso de administrador e concedem permissões para criar funções vinculadas ao serviço para qualquer produto da AWS. A AWS recomenda que você anexe as seguintes políticas gerenciadas pela AWS somente para identidades do IAM que você considere administradores.
Aviso geral: Create SLR with star in resource and NotAction (Crie uma SLR com uma estrela no frecurso e em NotAction)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Resolução do aviso geral
A ção iam:CreateServiceLinkedRole concede permissão para criar uma função do IAM que permite que um produto da AWS execute ações em seu nome. O uso do elemento NotAction em uma política com um caractere curinga (*) no elemento Resource pode permitir a criação de funções vinculadas ao serviço não intencionais para vários recursos. A AWS recomenda que você especifique ARNs permitidos no elemento Resource. Você também pode adicionar iam:CreateServiceLinkedRole ao elemento NotAction.
Aviso geral: Deprecated global condition key (Chave de condição global defasada)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."Resolução do aviso geral
A política inclui uma chave de condição global defasada. Atualize a chave de condição no par de chave-valor da condição para usar uma chave de condição global com suporte.
Aviso geral: Invalid date value (Valor de data inválido)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."Resolução do aviso geral
O tempo Epoch Unix descreve um ponto no tempo que decorre desde 1 de janeiro de 1970, menos os segundos intercalares. O tempo Epoch pode não resultar no tempo exato que você espera. A AWS recomenda que você use o padrão W3C para formatos de data e hora. Por exemplo, você pode especificar uma data completa, como AAAA-MM-DD (1997-07-16), ou também pode anexar o tempo ao segundo, como AAAA-MM-DDThh:mm:ssTZD (1997-07-16T19:20:30+01:00).
Aviso geral: Invalid role reference (Referência de função inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."Resolução do aviso geral
A AWS recomenda que você especifique o nome do recurso da Amazon (ARN) para uma função do IAM em vez do ID da entiddade. Quando o IAM salvar a política, ele transformará o ARN no ID de entidade da função existente. A AWS inclui uma precaução de segurança. Se alguém excluir e recriar a função, ela terá um novo ID e a política não corresponderá ao novo ID da função.
Aviso geral: Invalid user reference (Referência de usuário inválida)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."Resolução do aviso geral
A AWS recomenda que você especifique o nome do recurso da Amazon (ARN) para um usuário do IAM em vez do ID da entidade. Quando o IAM salvar a política, ele transformará o ARN no ID de entidade do usuário existente. A AWS inclui uma precaução de segurança. Se alguém excluir e recriar o usuário, ele terá um novo ID e a política não corresponderá ao novo ID do usuário.
Aviso geral: Missing version (Versão ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."Resolução do aviso geral
A AWS recomenda que você inclua o parâmetro Version opcional na sua política. Se você não incluir um elemento de versão, o valor padrão será 2012-10-17, mas recursos mais recentes, como variáveis de política, não funcionarão com a sua política. Por exemplo, as variáveis como ${aws:username} não serão reconhecidas como variáveis e serão tratadas como strings literais na política.
Aviso geral: Unique Sids recommended (É recomendável o uso de Sids exclusivos)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."Resolução do aviso geral
A AWS recomenda que você use IDs de instrução exclusivos. O elemento Sid (ID de instrução) permite inserir um identificador opcional fornecido para a instrução de política. Você pode atribuir um valor de ID de instrução a cada instrução em uma matriz de instruções usando o elemento SID.
Termos relacionados
Aviso geral: Wildcard without like operator (Caractere curinga sem o operador Like)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."Resolução do aviso geral
A estrutura do elemento Condition requer que você use um operador de condição e um par de chave-valor. Quando você especifica um valor de condição que usa um caractere curinga (*,?), você deve usar a versão Like do operador de condição. Por exemplo, em vez do operador de condição de string StringEquals, useStringLike.
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}Políticas gerenciadas pela AWS com este aviso geral
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
Os seguintes exemplos de políticas gerenciadas pela AWS incluem caracteres curingas no valor da condição sem um operador de condição que inclua Like para correspondência de padrões. Ao usar a política gerenciada pela AWS como referência para criar sua política gerenciada pelo cliente, a AWS recomenda que você use um operador de condição que suporte a correspondência de padrões com caracteres curingas (*,?), como StringLike.
Aviso geral: Policy size exceeds identity policy quota (O tamanho da política excede a cota da política de identidade)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."Resolução do aviso geral
Você pode anexar até dez políticas gerenciadas a uma identidade do IAM (usuário, grupo de usuários ou função). No entanto, o tamanho de cada política gerenciada não pode exceder a cota padrão de 6.144 caracteres. O IAM não conta espaços em branco ao calcular o tamanho de uma política em relação a essa cota. As cotas, também conhecidas como limites na AWS, são os valores máximos para recursos, ações e itens na sua conta da AWS.
Além disso, você pode adicionar quantas políticas em linha desejar a uma identidade do IAM. Entretanto, o tamanho de todas as políticas em linha por identidade não pode exceder a cota especificada.
Se sua política for maior do que a cota, você poderá organizar sua política em várias instruções e agrupar as instruções em várias políticas.
Termos relacionados
Políticas gerenciadas pela AWS com este aviso geral
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
As seguintes políticas gerenciadas pela AWS concedem permissões para ações em vários produtos da AWS e excedem o tamanho máximo da política. Ao usar a política gerenciada pela AWS como uma referência para criar sua política gerenciada, você deve dividir a política em várias políticas.
Aviso geral: o tamanho da política excede a cota da política de recurso
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."Resolução do aviso geral
Políticas baseadas em recursos são documentos de política JSON que você anexa a um recurso, como um bucket do Amazon S3. Essas políticas concedem permissão para a entidade principal especificada executar ações específicas nesse recurso e definem sob quais condições isso se aplica. O tamanho das políticas baseadas em recursos não pode exceder a cota determinada para o respectivo recurso. As cotas, também conhecidas como limites na AWS, são os valores máximos para recursos, ações e itens na sua conta da AWS.
Se sua política for maior do que a cota, você poderá organizar sua política em várias instruções e agrupar as instruções em várias políticas.
Termos relacionados
Aviso geral: Type mismatch (Incompatibilidade de tipo)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."Resolução do aviso geral
Atualize o texto para usar o tipo de dados do operador de condição com suporte.
Por exemplo, a chave de condição global aws:MultiFactorAuthPresent requer um operador de condição com o tipo de dados Boolean. Se você fornecer uma data ou um número inteiro, o tipo de dados não corresponderá.
Termos relacionados
Aviso geral: Type mismatch Boolean (Incompatibilidade de tipo booliano)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."Resolução do aviso geral
Atualize o texto para usar um tipo de dados do operador de condição booliana, como true ou false.
Por exemplo, a chave de condição global aws:MultiFactorAuthPresent requer um operador de condição com o tipo de dados Boolean. Se você fornecer uma data ou um número inteiro, o tipo de dados não corresponderá.
Termos relacionados
Aviso geral: Type mismatch date (Incompatibilidade de tipo de data)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."Resolução do aviso geral
Atualize o texto para usar o tipo de dados do operador de condição de data, em um YYYY-MM-DD ou outro formato de data e hora ISO 8601.
Termos relacionados
Aviso geral: Type mismatch number (Incompatibilidade de tipo de número)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."Resolução do aviso geral
Atualize o texto para usar o tipo de dados do operador de condição numérica.
Termos relacionados
Aviso geral: Type mismatch string (Incompatibilidade de tipo de string)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."Resolução do aviso geral
Atualize o texto para usar o tipo de dados do operador de condição de string.
Termos relacionados
Aviso geral: Specific github repo and branch recommended (Repositório e ramificação específicos do github recomendado)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."Resolução do aviso geral
Se você usar o GitHub como um IdP OIDC, a prática recomendada é limitar as entidades que podem assumir a função associado ao IdP do IAM. Quando inclui uma instrução de Condition na política de confiança da função, você pode limitar a função a uma organização, repositório ou ramificação específica do GitHub. Você pode usar a chave de condição token.actions.githubusercontent.com:sub para limitar o acesso. Recomendamos que você limite a condição a um conjunto específico de repositórios ou ramificações. Se você usar um curinga (*) no token.actions.githubusercontent.com:sub, ações do GitHub de organizações ou repositórios fora do seu controle poderão assumir funções associadas ao IdP do IAM do GitHub na sua conta da AWS.
Termos relacionados
Aviso geral: Policy size exceeds role trust policy quota (Tamanho da política excede a cota da política de confiança da função)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."Resolução do aviso geral
O IAM e o AWS STS têm cotas que limitam o tamanho das políticas de confiança das funções. Os caracteres na política de confiança da função, excluindo os espaços em branco, excedem o máximo de caracteres. Recomendamos que você solicite um aumento da cota de tamanho da política de confiança da função usando as Service Quotas e o AWS Support Center Console.
Termos relacionados
Aviso de segurança: Allow with NotPrincipal (Permitir com NotPrincipal)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."Resolução do aviso de segurança
O uso de "Effect": "Allow" com NotPrincipal pode ser excessivamente permissivo. Por exemplo, isso pode conceder permissões a entidades principais anônimas. A AWS recomenda que você especifique entidades principais que precisem de acesso com o elemento Principal. Como alternativa, você pode permitir acesso amplo e, em seguida, adicionar outra instrução que use o elemento NotPrincipal com “Effect”: “Deny”.
Aviso de segurança: ForAllValues with single valued key (ForAllValues com chave de valor único)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."Resolução do aviso de segurança
A AWS recomenda o uso de ForAllValues apenas com condições de vários valores. O operador de conjunto ForAllValues testa se o valor de cada membro do conjunto de solicitações é um subconjunto do conjunto de chaves de condição. A condição retornará "verdadeiro" se cada valor de chave na solicitação corresponder a pelo menos um valor na política. Ela também retornará "verdadeiro" se não houver chaves na solicitação, ou se os valores de chave forem resolvidos para um conjunto de dados nulo, como uma string vazia.
Para saber se uma condição suporta um único valor ou vários valores, consulte a página Ações, recursos e chaves de condição para o serviço. Chaves de condição com o prefixo de tipo de dados ArrayOf são chaves de condição com vários valores. Por exemplo, o Amazon SES suporta chaves com valores únicos (String) e o tipo de dados com vários valores ArrayOfString.
Aviso de segurança: Pass role with NotResource (Passar função com NotResource)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Resolução do aviso de segurança
Para configurar muitos produtos da AWS é necessário passar uma função do IAM para o serviço. Para permitir isso, você deve conceder a permissão iam:PassRole a uma identidade (usuário, grupo de usuários ou função). O uso de iam:PassRole em uma política com o elemento NotResource pode permitir que suas entidades principais acessem mais serviços ou recursos do que o pretendido. A AWS recomenda que você especifique ARNs permitidos no elemento Resource. Além disso, você pode reduzir permissões para um único serviço usando a chave de condição iam:PassedToService.
Aviso de segurança: Pass role with star in action and NotResource (Passar a função com uma estrela na ação e NotResource)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Resolução do aviso de segurança
Para configurar muitos produtos da AWS é necessário passar uma função do IAM para o serviço. Para permitir isso, você deve conceder a permissão iam:PassRole a uma identidade (usuário, grupo de usuários ou função). Políticas com um caractere curinga (*) em Action e que incluem o elemento NotResource pode permitir que suas entidades principais acessem mais serviços ou recursos do que o pretendido. A AWS recomenda que você especifique ARNs permitidos no elemento Resource. Além disso, você pode reduzir permissões para um único serviço usando a chave de condição iam:PassedToService.
Aviso de segurança: Pass role with NotAction and NotResource (Passe a função com NotAction e NotResource)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."Resolução do aviso de segurança
Para configurar muitos produtos da AWS é necessário passar uma função do IAM para o serviço. Para permitir isso, você deve conceder a permissão iam:PassRole a uma identidade (usuário, grupo de usuários ou função). O uso do elemento NotAction e a listagem de alguns recursos no elemento NotResource pode permitir que suas entidades principais acessem mais serviços ou recursos do que o pretendido. A AWS recomenda que você especifique ARNs permitidos no elemento Resource. Além disso, você pode reduzir permissões para um único serviço usando a chave de condição iam:PassedToService.
Aviso de segurança: Pass role with star in resource (Passar função com uma estrela no recurso)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Resolução do aviso de segurança
Para configurar muitos produtos da AWS é necessário passar uma função do IAM para o serviço. Para permitir isso, você deve conceder a permissão iam:PassRole a uma identidade (usuário, grupo de usuários ou função). Políticas que permitem iam:PassRole e que incluem um caractere curinga (*) no elemento Resource podem permitir que suas entidades principais acessem mais serviços ou recursos do que o pretendido. A AWS recomenda que você especifique ARNs permitidos no elemento Resource. Além disso, você pode reduzir permissões para um único serviço usando a chave de condição iam:PassedToService.
Alguns produtos da AWS incluem seus respectivos namespaces de serviço no nome da função. Essa verificação de política leva essas convenções em consideração ao analisar a política para gerar descobertas. Por exemplo, o ARN de recurso a seguir pode não gerar uma descoberta:
arn:aws:iam::*:role/Service*Políticas gerenciadas pela AWS com este aviso de segurança
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
Um desses casos de uso destina-se a administradores dentro da sua conta. As políticas gerenciadas pela AWS a seguir fornecem acesso de administrador e concedem permissões para passar qualquer função do IAM para qualquer serviço. A AWS recomenda que você anexe as seguintes políticas gerenciadas pela AWS apenas às identidades do IAM que você considera administradores.
As políticas gerenciadas pela AWS incluem permissões para iam:PassRole com um caractere curinga (*) no recurso e estão tornando-se defasadas. Para cada uma dessas políticas, atualizamos as diretrizes de permissão, como recomendar uma nova política gerenciada pela AWSque ofereça suporte ao caso de uso. Para visualizar alternativas a essas políticas, consulte os guias de cada serviço.
AWSElasticBeanstalkFullAccess
AWSElasticBeanstalkService
AWSLambdaFullAccess
AWSLambdaReadOnlyAccess
AWSOpsWorksFullAccess
AWSOPsWorksRole
AWSDataPipelineRole
AmazonDynamoDBFullAccesswithDataPipeline
AmazonElasticMapReduceFullAccess
AmazonDynamoDBFullAccesswithDataPipeline
AmazonEC2ContainerServiceFullAccess
As políticas gerenciadas pela AWS a seguir fornecem permissões somente para funções vinculadas ao serviço, o que permite que os produtos da AWS realizem ações em seu nome. Você não pode anexar essas políticas às suas identidades do IAM.
Aviso de segurança: Pass role with star in action and resource (Passar função com uma estrela na ação e no recurso)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Resolução do aviso de segurança
Para configurar muitos produtos da AWS é necessário passar uma função do IAM para o serviço. Para permitir isso, você deve conceder a permissão iam:PassRole a uma identidade (usuário, grupo de usuários ou função). Políticas com um caractere curinga (*) nos elementos Action e Resourcepodem permitir que suas entidades principais acessem mais serviços ou recursos do que o pretendido. A AWSrecomenda que você especifique ARNs permitidos no elemento Resource. Além disso, você pode reduzir permissões para um único serviço usando a chave de condição iam:PassedToService.
Políticas gerenciadas pela AWS com este aviso de segurança
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
Alguns desses casos de uso são para administradores de sua conta. As políticas gerenciadas pela AWS a seguir fornecem acesso de administrador e concedem permissões para passar qualquer função do IAM para qualquer produto da AWS. A AWS recomenda que você anexe as seguintes políticas gerenciadas pela AWS apenas às identidades do IAM que você considera administradores.
Aviso de segurança: Pass role with star in resource and NotAction (Passar a função com uma estrela no recurso e NotAction)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Resolução do aviso de segurança
Para configurar muitos produtos da AWS é necessário passar uma função do IAM para o serviço. Para permitir isso, você deve conceder a permissão iam:PassRole a uma identidade (usuário, grupo de usuários ou função). O uso do elemento NotAction em uma política com um caractere curinga (*) no elemento Resource pode permitir que suas entidades principais acessem mais serviços ou recursos do que o pretendido. A AWS recomenda que você especifique ARNs permitidos no elemento Resource. Além disso, você pode reduzir permissões para um único serviço usando a chave de condição iam:PassedToService.
Aviso de segurança: Missing paired condition keys (Chaves de condição emparelhadas ausentes)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."Resolução do aviso de segurança
Algumas chaves de condição são mais seguras quando emparelhadas com outras chaves de condição relacionadas. A AWS recomenda que você inclua as chaves de condição relacionadas no mesmo bloco de condições que a chave de condição existente. Isso torna as permissões concedidas por meio da política mais seguras.
Por exemplo, você pode usar a chave de condição aws:VpcSourceIp para comparar o endereço IP do qual uma solicitação foi feita com o endereço IP especificado na política. A AWS recomenda que você adicione a chave de condição aws:SourceVPC relacionada. Isso verifica se a solicitação é proveniente da VPC especificada na políticae do endereço IP que você especifica.
Termos relacionados
Aviso de segurança: Deny with unsupported tag condition key for service (Negar com chave de condição de etiqueta não suportada para o serviço)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."Resolução do aviso de segurança
O uso de chaves de condição de etiqueta não suportadas no elemento Condition de uma política com "Effect": "Deny" pode ser excessivamente permissivo, porque a condição é ignorada para esse serviço. A AWSrecomenda que você remova as ações de serviço que não oferecem suporte à chave de condição e crie outra instrução para negar acesso a recursos específicos para essas ações.
Se você usar a chave de condição aws:ResourceTag e uma ação de serviço não oferecer suporte a ela, a chave não será incluída no contexto da solicitação. Neste caso, a condição na instrução Deny sempre retorna false e a ação nunca é negada. Isso acontece mesmo se o recurso estiver etiquetado corretamente.
Quando um serviço oferece suporte à chave de condição aws:ResourceTag, você pode usar etiquetas para controlar o acesso aos recursos desse serviço. Isso é conhecido como controle de acesso baseado em atributo (ABAC). Os serviços que não oferecem suporte a essas chaves exigem que você controle o acesso a recursos usando o controle de acesso baseado em recursos (RBAC).
nota
Alguns serviços permitem oferecer suporte à chave de condição aws:ResourceTag para um subconjunto de seus recursos e ações. O IAM Access Analyzer retorna descobertas para as ações de serviço incompatíveis. Por exemplo, o Amazon S3 é compatível com aws:ResourceTag para um subconjunto de seus recursos. Para visualizar todos os tipos de recursos disponíveis no Amazon S3 que oferecem suporte à chave de condição aws:ResourceTag, consulte Tipos de recursos definidos pelo Amazon S3 na Referência de autorização do serviço.
Por exemplo, suponhamos que você deseja negar acesso para desetiquetar recursos específicos de exclusão etiquetados com o par de chave-valor status=Confidential. Suponha também que o AWS Lambda permita etiquetar e desetiquetar recursos, mas não ofereça suporte à chave de condição aws:ResourceTag. Para negar as ações de exclusão para AWS App Mesh e AWS Backup se essa etiqueta estiver presente, use a chave de condição aws:ResourceTag. Para o Lambda, use uma convenção de nomenclatura de recurso que inclua o prefixo "Confidential". Em seguida, inclua uma instrução separada que impeça a exclusão de recursos com essa convenção de nomenclatura.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyDeleteSupported",
"Effect": "Deny",
"Action": [
"appmesh:DeleteMesh",
"backup:DeleteBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/status": "Confidential"
}
}
},
{
"Sid": "DenyDeleteUnsupported",
"Effect": "Deny",
"Action": "lambda:DeleteFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*"
}
]
}Atenção
Não use a versão ...IfExists do operador de condição como uma solução alternativa para essa descoberta. Isso significa “Negue a ação se a chave estiver presente no contexto da solicitação e os valores forem correspondentes. Caso contrário, negue a ação.” No exemplo anterior, a inclusão da ação lambda:DeleteFunction na instrução DenyDeleteSupported com o operador StringEqualsIfExists sempre nega a ação. Para essa ação, a chave não está presente no contexto e cada tentativa de excluir esse tipo de recurso é negada, independentemente de o recurso estar etiquetado.
Termos relacionados
Aviso de segurança: Deny NotAction with unsupported tag condition key for service (Negar NotAction com chave de condição de etiqueta não suportada para o serviço)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Resolução do aviso de segurança
O uso de chaves de condição de etiqueta no elemento Condition de uma política com o elemento NotAction e "Effect": "Deny" pode ser excessivamente permissivo. A condição é ignorada para ações de serviço que não suportam a chave de condição. A AWS recomenda que você reescreva a lógica para negar uma lista de ações.
Se você usar a chave de condição aws:ResourceTag com NotAction, quaisquer ações de serviço novas ou existentes que não suportem a chave não serão negadas. A AWS recomenda que você liste explicitamente as ações que você deseja negar. O IAM Access Analyzer retorna uma descoberta separada para ações listadas que não oferecem suporte para a chave de condição aws:ResourceTag. Para ter mais informações, consulte Aviso de segurança: Deny with unsupported tag condition key for service (Negar com chave de condição de etiqueta não suportada para o serviço).
Quando um serviço oferece suporte à chave de condição aws:ResourceTag, você pode usar etiquetas para controlar o acesso aos recursos desse serviço. Isso é conhecido como controle de acesso baseado em atributo (ABAC). Os serviços que não oferecem suporte a essas chaves exigem que você controle o acesso a recursos usando o controle de acesso baseado em recursos (RBAC).
Termos relacionados
Aviso de segurança: restringir acesso à entidade principal de serviço
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."Resolução do aviso de segurança
Você pode especificar os Serviços da AWS no elemento Principal de uma política baseada em recursos usando a entidade principal de um serviço, que é um identificador desse serviço. Ao conceder acesso à entidade principal de serviço para atuar em seu nome, restrinja o acesso. Você pode evitar políticas excessivamente permissivas usando as chaves de condição aws:SourceArn, aws:SourceAccount, aws:SourceOrgID ou aws:SourceOrgPaths para restringir o acesso a uma determinada fonte, como o ARN específico de um recurso, a Conta da AWS, o ID da organização ou os caminhos da organização. Restringir o acesso ajuda a evitar um problema de segurança chamado problema do substituto confuso.
Termos relacionados
Aviso de segurança: Missing condition keys for oidc principal (Chaves de condição ausentes para entidade principal do oidc)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."Resolução do aviso de segurança
Usar uma entidade principal do Open ID Connect sem uma condição pode ser excessivamente permissivo. Adicione chaves de condição com um prefixo que corresponda às entidades principais federadas do OIDC para garantir que somente o provedor de identidades pretendido assuma a função.
Termos relacionados
Aviso de segurança: Missing github repo condition key (Chave de condição do repositório Github ausente)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."Resolução do aviso de segurança
Se você usar o GitHub como um IdP OIDC, a prática recomendada é limitar as entidades que podem assumir a função associado ao IdP do IAM. Quando inclui uma instrução de Condition na política de confiança da função, você pode limitar a função a uma organização, repositório ou ramificação específica do GitHub. Você pode usar a chave de condição token.actions.githubusercontent.com:sub para limitar o acesso. Recomendamos que você limite a condição a um conjunto específico de repositórios ou ramificações. Se você não incluir essa condição, ações do GitHub de organizações ou repositórios fora do seu controle poderão assumir funções associadas ao IdP do IAM do GitHub na sua conta da AWS.
Termos relacionados
Sugestão: Empty array action (Ação de matriz vazia)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."Resolução da sugestão
As instruções devem incluir um elemento Action ou NotAction que inclua um conjunto de ações. Quando o elemento está vazio, a instrução de política não fornece permissões. Especifique ações no elemento Action.
Sugestão: Empty array condition (Condição de matriz vazia)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."Resolução da sugestão
A estrutura do elemento Condition opcional requer que você use um operador de condição e um par de chave-valor. Quando o valor da condição está vazio, a condição retorna true e a instrução de política não fornece permissões. Especifique um valor de condição.
Sugestão: Empty array condition ForAllValues (Condição de matriz vazia ForAllValues)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Resolução da sugestão
A estrutura do elemento Condition requer que você use um operador de condição e um par de chave-valor. O operador de conjunto ForAllValues testa se o valor de cada membro do conjunto de solicitações é um subconjunto do conjunto de chaves de condição.
Quando você usa ForAllValues com uma chave de condição vazia, a condição corresponde somente se não houver chaves na solicitação. A AWS recomenda que, se você quiser testar se um contexto de solicitação está vazio, use o operador de condição Null.
Sugestão: Empty array condition ForAnyValue (Condição de matriz vazia ForAnyValue)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."Resolução da sugestão
A estrutura do elemento Condition requer que você use um operador de condição e um par de chave-valor. O operador de conjunto ForAnyValues testa se pelo menos um membro do conjunto de valores de solicitação corresponde a pelo menos um membro do conjunto de valores de chave de condição.
Quando você usa ForAnyValues com uma chave de condição vazia, a condição nunca corresponde. Isso significa que a instrução não tem efeito sobre a política. A AWS recomenda que você reescreva a condição.
Sugestão: Empty array condition IfExists (Condição de matriz vazia IfExists)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Resolução da sugestão
O sufixo ...IfExists edita um operador de condição. Isso significa que, se a chave da política estiver presente no contexto da solicitação, você deverá processar a chave conforme especificado na política. Se a chave não estiver presente, avalie o elemento da condição como verdadeiro.
Quando você usa ...IfExists com uma chave de condição vazia, a condição corresponde somente se não houver chaves na solicitação. A AWS recomenda que, se você quiser testar se um contexto de solicitação está vazio, use o operador de condição Null.
Sugestão: Empty array principal (Entidade de matriz vazia)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Resolução da sugestão
Você deve usar o elemento Principal ou NotPrincipal nas políticas de confiança para funções do IAM e em políticas baseadas em recurso. As políticas baseadas em recursos são políticas que você incorpora diretamente em um recurso.
Quando você fornece uma matriz vazia em um elemento Principal de uma instrução, a instrução não tem efeito sobre a política. A AWS recomenda que você especifique as entidades principais que devem ter acesso ao recurso.
Sugestão: Empty array resource (Recurso de matriz vazio)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."Resolução da sugestão
As instruções devem incluir um elemento Resource ou um elemento NotResource.
Quando você fornece uma matriz vazia no elemento de recurso de uma instrução, a instrução não tem efeito sobre a política. A AWS recomenda que você especifique nomes de recursos da Amazon (ARNs) para os recursos.
Sugestão: Empty object condition (Condição de objeto vazio)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."Resolução da sugestão
A estrutura do elemento Condition requer que você use um operador de condição e um par de chave-valor.
Quando você fornece um objeto vazio no elemento de condição de uma instrução, a instrução não tem efeito sobre a política. Remova o elemento opcional ou especifique condições.
Sugestão: Empty object principal (Entidade de objeto vazia)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Resolução da sugestão
Você deve usar o elemento Principal ou NotPrincipal nas políticas de confiança para funções do IAM e em políticas baseadas em recurso. As políticas baseadas em recursos são políticas que você incorpora diretamente em um recurso.
Quando você fornece um objeto vazio no elemento Principal de uma instrução, a instrução não tem efeito sobre a política. A AWS recomenda que você especifique as entidades principais que devem ter acesso ao recurso.
Sugestão: Empty Sid value (Valor Sid vazio)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Empty Sid value: Add a value to the empty string in the Sid element.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Add a value to the empty string in the Sid element."Resolução da sugestão
O elemento Sid (ID de instrução) opcional permite que você insira um identificador fornecido para a instrução de política. Você pode atribuir um valor Sid a cada instrução em uma matriz de instruções. Se você optar por usar o elemento Sid, você deve fornecer um valor de string.
Termos relacionados
Sugestão: Improve IP range (Melhorar o intervalo IP)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."Resolução da sugestão
As condições de endereço IP devem estar no formato CIDR padrão, como 203.0.113.0/24 ou 2001:DB8:1234:5678::/64. Quando você inclui bits diferentes de zero após os bits mascarados, eles não são considerados para a condição. A AWS recomenda que você use o novo endereço incluído na mensagem.
Sugestão: Null with qualifier (Nulo com qualificador)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."Resolução da sugestão
No elemento Condition, crie expressões em que você use operadores de condição, como igual ou menor que para comparar uma condição na política com chaves e valores no contexto da solicitação. Para solicitações que incluem vários valores para uma única chave de condição, você deve usar os operadores de conjunto ForAllValues ou ForAnyValue.
Quando você usa o operador de condição Null comForAllValues, a instrução sempre retorna true. Quando você usa o operador de condição Null comForAnyValue, a instrução sempre retorna false.A AWS recomenda o uso do operador de condição StringLike com esses operadores de conjunto.
Termos relacionados
Sugestão: Private IP address subset (Subconjunto de endereços IP privados)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Resolução da sugestão
A chave de condição global aws:SourceIp funciona apenas para intervalos de endereços IP públicos.
Quando o elemento Condition incluir uma combinação de endereços IP privados e públicos, a instrução poderá não ter o efeito desejado. Você não pode especificar endereços IP privados usando aws:VpcSourceIP.
nota
A chave de condição global aws:VpcSourceIP será correspondente apenas se a solicitação se originar do endereço IP especificado e passar por um endpoint da VPC.
Sugestão: Private NotIpAddress subset (Subconjunto NotipAddress privado)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Resolução da sugestão
A chave de condição global aws:SourceIp funciona apenas para intervalos de endereços IP públicos.
Quando o elemento Condition incluir o operador de condição NotIpAddress e uma combinação de endereços IP privados e públicos, a instrução poderá não ter o efeito desejado. Todos os endereços IP públicos não especificados na política serão correspondentes. Nenhum endereço IP privado será correspondente. Para obter esse efeito, você pode usar NotIpAddress com aws:VpcSourceIP e especificar os endereços IP privados que não devem ser correspondentes.
Sugestão: Redundant action (Ação redundante)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."Resolução da sugestão
Quando você usa curingas (*) no elemento Action, você pode incluir permissões redundantes. A AWS recomenda que você revise sua política e inclua somente as permissões necessárias. Isso pode ajudar você a remover ações redundantes.
Por exemplo, as ações a seguir incluem a ação iam:GetCredentialReport duas vezes.
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],Neste exemplo, as permissões são definidas para cada ação do IAM que começa com Get ou List. Quando o IAM adicionar operações adicionais de obtenção ou listagem, essa política as permitirá. Você pode permitir todas essas ações somente leitura. A ação iam:GetCredentialReport já está incluída como parte de iam:Get*. Para remover as permissões duplicadas, você pode remover iam:GetCredentialReport.
Você recebe uma descoberta para esta verificação de política quando todo o conteúdo de uma ação é redundante. Neste exemplo, se o elemento incluir iam:*CredentialReport, ele não será considerado redundante. Isso inclui iam:GetCredentialReport, que é redundante, e iam:GenerateCredentialReport, que não é. A remoção de iam:Get* ou iam:*CredentialReport altera as permissões da política.
Políticas gerenciadas pela AWS com esta sugestão
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
As ações redundantes não afetam as permissões concedidas pela política. Ao usar uma política gerenciada pela AWS como referência para criar sua política gerenciada pelo cliente, a AWS recomenda que você remova ações redundantes de sua política.
Sugestão: Redundant condition value num (Valor de condição redundante num)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."Resolução da sugestão
Quando você usa operadores de condição numéricos para valores semelhantes em uma chave de condição, você pode criar uma sobreposição que resulte em permissões redundantes.
Por exemplo, o elemento Condition a seguir inclui várias condições aws:MultiFactorAuthAgeque têm uma sobreposição de tempo de 1200 segundos.
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}Neste exemplo, as permissões são definidas se a autenticação multifator (MFA) tiver sido concluída há menos de 3600 segundos (1 hora). Você pode remover o valor 2700 redundante.
Sugestão: Redundant resource (Recurso redundante)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"Resolução da sugestão
Ao usar curingas (*) em nomes de recursos da Amazon (ARN), você pode criar permissões de recurso redundantes.
Por exemplo, o elemento Resource a seguir inclui vários ARNs com permissões redundantes.
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],Neste exemplo, as permissões são definidas para qualquer função com um nome que comece com jane. Você pode remover os ARNs redundantes jane-admin e jane-s3only sem alterar as permissões resultantes. Isso torna a política dinâmica. Ele definirá permissões para quaisquer funções futuras que comecem com jane. Se a intenção da política for permitir o acesso a um número estático de funções, remova o último ARN e liste apenas os ARNs que devem ser definidos.
Políticas gerenciadas pela AWS com esta sugestão
As políticas gerenciadas pela AWS permitem que você comece a usar a AWS atribuindo permissões com base em casos de uso gerais da AWS.
Os recursos redundantes não afetam as permissões concedidas pela política. Ao usar uma política gerenciada pela AWS como referência para criar sua política gerenciada pelo cliente, a AWS recomenda que você remova recursos redundantes de sua política.
Sugestão: Redundant statement (Instrução redundante)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."Resolução da sugestão
O elemento Statement é o principal elemento de uma política. Este elemento é obrigatório. O elemento Statement pode conter uma única instrução ou uma matriz de instruções individuais.
Quando você incluir a mesma instrução mais de uma vez em uma política longa, as instruções são redundantes. Você pode remover uma das instruções sem afetar as permissões concedidas pela política. Quando alguém edita uma política, essa pessoa pode alterar uma das instruções sem atualizar a duplicação. Isso pode resultar em mais permissões do que o pretendido.
Sugestão: Wildcard in service name (Curinga no nome do serviço)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."Resolução da sugestão
Ao incluir o nome de um produto da AWS em uma política, a AWS recomenda não incluir caracteres curinga (*,?). Isso pode adicionar permissões não pretendidas para serviços futuros. Por exemplo, há mais de dez produtos da AWS com a palavra *code* no nome.
"Resource": "arn:aws:*code*::111122223333:*"Sugestão: Allow with unsupported tag condition key for service (Permitir com chave de condição de etiqueta não suportada para o serviço)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."Resolução da sugestão
O uso de chaves de condição de etiqueta não suportadas no elemento Condition de uma política com "Effect": "Allow" não afeta as permissões concedidas pela política, porque a condição é ignorada para essa ação de serviço. A AWS recomenda que você remova as ações para serviços que não oferecem suporte à chave de condição e crie outra instrução para permitir o acesso a recursos específicos nesse serviço.
Se você usar a chave de condição aws:ResourceTag e uma ação de serviço não oferecer suporte a ela, a chave não será incluída no contexto da solicitação. Neste caso, a condição na instrução Allow sempre retorna false e a ação nunca é permitida. Isso acontece mesmo se o recurso estiver etiquetado corretamente.
Quando um serviço oferece suporte à chave de condição aws:ResourceTag, você pode usar etiquetas para controlar o acesso aos recursos desse serviço. Isso é conhecido como controle de acesso baseado em atributo (ABAC). Os serviços que não oferecem suporte a essas chaves exigem que você controle o acesso a recursos usando o controle de acesso baseado em recursos (RBAC).
nota
Alguns serviços permitem oferecer suporte à chave de condição aws:ResourceTag para um subconjunto de seus recursos e ações. O IAM Access Analyzer retorna descobertas para as ações de serviço incompatíveis. Por exemplo, o Amazon S3 é compatível com aws:ResourceTag para um subconjunto de seus recursos. Para visualizar todos os tipos de recursos disponíveis no Amazon S3 que oferecem suporte à chave de condição aws:ResourceTag, consulte Tipos de recursos definidos pelo Amazon S3 na Referência de autorização do serviço.
Por exemplo, suponha que você deseja permitir que os membros da equipe exibam detalhes de recursos específicos etiquetados com o par de chave-valor team=BumbleBee. Suponha também que o AWS Lambda permita etiquetar recursos, mas não ofereça suporte à chave de condição aws:ResourceTag. Para permitir as ações de visualização para AWS App Mesh e AWS Backup se essa etiqueta estiver presente, use a chave de condição aws:ResourceTag. Para o Lambda, use uma convenção de nomenclatura de recursos que inclua o nome da equipe como o prefixo. Em seguida, inclua uma instrução separada que permita a visualização de recursos com essa convenção de nomenclatura.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowViewSupported",
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"backup:GetBackupPlan"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/team": "BumbleBee"
}
}
},
{
"Sid": "AllowViewUnsupported",
"Effect": "Allow",
"Action": "lambda:GetFunction",
"Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*"
}
]
}Atenção
Não use a versão do operador de condição Not com "Effect": "Allow" como uma solução alternativa para essa descoberta. Esses operadores de condição fornecem correspondência negada. Isso significa que após a avaliação da condição, o resultado é negado. No exemplo anterior, a inclusão da ação lambda:GetFunction na instrução AllowViewSupported com o operador StringNotEquals sempre permite a ação, independentemente de o recurso estar ou não etiquetado.
Não use a versão ...IfExists do operador de condição como uma solução alternativa para essa descoberta. Isso significa “Permita a ação se a chave estiver presente no contexto da solicitação e os valores forem corresponderem. Caso contrário, permita a ação.” No exemplo anterior, a inclusão da ação lambda:GetFunction na instrução AllowViewSupported com o operador StringEqualsIfExists sempre permite a ação. Para essa ação, a chave não está presente no contexto e toda tentativa de visualizar esse tipo de recurso é permitida, independentemente de o recurso estar etiquetado.
Termos relacionados
Sugestão: Allow NotAction with unsupported tag condition key for service (Permitir NotAction com chave de condição de etiqueta não suportada para o serviço)
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Resolução da sugestão
O uso de chaves de condição de etiqueta não suportadas no elemento Condition de uma política com o elemento NotAction e "Effect": "Allow" não afeta as permissões concedidas pela política. A condição é ignorada para ações de serviço que não suportam a chave de condição. A AWS recomenda que você reescreva a lógica para permitir uma lista de ações.
Se você usar a chave de condição aws:ResourceTag com NotAction, quaisquer ações de serviço novas ou existentes que não ofereçam suporte à chave não serão permitidas. A AWS recomenda que você liste explicitamente as ações que você deseja permitir. O IAM Access Analyzer retorna uma descoberta separada para ações listadas que não oferecem suporte para a chave de condição aws:ResourceTag. Para ter mais informações, consulte Sugestão: Allow with unsupported tag condition key for service (Permitir com chave de condição de etiqueta não suportada para o serviço).
Quando um serviço oferece suporte à chave de condição aws:ResourceTag, você pode usar etiquetas para controlar o acesso aos recursos desse serviço. Isso é conhecido como controle de acesso baseado em atributo (ABAC). Os serviços que não oferecem suporte a essas chaves exigem que você controle o acesso a recursos usando o controle de acesso baseado em recursos (RBAC).
Termos relacionados
Sugestão: chave de condição recomendada para a entidade principal de serviço
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."Resolução da sugestão
Você pode especificar o Serviços da AWS no elemento Principal de uma política baseada em recursos usando uma entidade principal de serviço, que é um identificador para o serviço. Você deve usar as chaves de condições aws:SourceArn, aws:SourceAccount, aws:SourceOrgID ou aws:SourceOrgPaths ao conceder acesso às entidades principais do serviço em vez de outras chaves de condições, como aws:Referer. Isso ajuda a evitar um problema de segurança chamado problema do substituto confuso.
Termos relacionados
Sugestão: chave de condição irrelevante na política
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."Resolução da sugestão
Algumas chaves de condição não são relevantes para políticas baseadas em recursos. Por exemplo, a chave de condição s3:ResourceAccount não é relevante para a política baseada em recursos anexada a um bucket do Amazon S3 ou para o tipo de recurso de ponto de acesso do Amazon S3.
Você pode usar a chave de condição em uma política baseada em identidade para controlar o acesso aos recurso.
Termos relacionados
Sugestão: entidade principal redundante na política de confiança da função
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."Resolução da sugestão
Se você especificar tanto uma entidade principal da função assumida quanto a função superior a ela no elemento Principal de uma política, ela não permite nem nega nenhuma permissão diferente. Por exemplo, haverá redundância se você especificar o elemento Principal usando o seguinte formato:
"Principal": { "AWS": [ "arn:aws:iam::AWS-account-ID:role/rolename", "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname" ]
Recomendamos remover a entidade principal da função assumida.
Termos relacionados
Sugestão: confirme o tipo de reivindicação do público
No AWS Management Console, a descoberta desta verificação inclui a seguinte mensagem:
Confirm audience claim type: The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier.Em chamadas programáticas para a AWS CLI ou a API da AWS, a descoberta para esta verificação inclui a seguinte mensagem:
"findingDetails": "The 'aud' (audience) claim key identifies the recipients that the JSON web token is intended for. Audience claims can be multivalued or single-valued. If the claim is multivalued, use a ForAllValues or ForAnyValue qualifier. If the claim is single-valued, do not use a qualifier."Resolução da sugestão
A chave de solicitação (público) aud é um identificador exclusivo da aplicação, que é emitida quando você registra a aplicação no IdP e identifica os destinatários aos quais o token da Web JSON s destina. As reivindicações do público podem ser de valor único ou de vários valores. Se a reivindicação for de vários valores, use um operador de conjunto de condições ForAllValues ou ForAnyValue. Se a reivindicação for de valor único, não use um operador de conjunto de condições.
Termos relacionados
