iam-customer-policy-blocked-kms-actions - AWS Config

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

iam-customer-policy-blocked-kms-actions

Verifica se as políticas gerenciadas de AWS Identity and Access Management (IAM) criadas por você não permitem ações bloqueadas AWS nas chaves KMS. A regra é NON_COMPLIANT se alguma ação bloqueada for permitida nas chaves AWS KMS pela política gerenciada do IAM.

nota

Essa regra não avalia variáveis ou condições nas políticas do IAM. Para obter mais informações, consulte Elementos da política do IAM: Variáveis e elementos da política JSON do IAM: condição no Guia do usuário do IAM.

Identificador: IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS

Tipos de recursos: AWS::IAM::Policy

Tipo de trigger: alterações da configuração

Região da AWS: Todas as AWS regiões suportadas, exceto Oriente Médio (EAU), Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Osaka), Ásia-Pacífico (Melbourne), Israel (Tel Aviv), Oeste do Canadá (Calgary), Europa (Espanha), Região da Europa (Zurique)

Parâmetros:

blockedActionsPatterns
Tipo: Csv

Lista separada por vírgulas de padrões de ação bloqueados do KMS. Por exemplo, você pode listar kms:decrypt* ou kms: como padrões de ação bloqueados. ReEncrypt A regra será NON_COMPLIANT se a política gerenciada do IAM permitir qualquer padrão de ação listado nesse parâmetro.

excludePermissionBoundaryPolítica (opcional)
Tipo: booliano

Sinalizador booleano para excluir a avaliação das políticas do IAM usadas como limites de permissões. Se definida como 'true', a regra não incluirá limites de permissões na avaliação. Caso contrário, todas as políticas do IAM no escopo são avaliadas quando o valor é definido como ‘falso’. O valor padrão é ‘false’.

AWS CloudFormation modelo

Para criar regras AWS Config gerenciadas com AWS CloudFormation modelos, consulteCriar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.