iam-policy-no-statements-with-admin-access

Verifica seAWSAs políticas de gerenciamento de identidade e acesso (IAM) que você cria têm instruções de permissão que concedem permissões para todas as ações em todos os recursos. A regra não está em conformidade se alguma declaração de política do IAM gerenciada pelo cliente incluir “Efeito”: “Permitir” com “Ação”: “*” sobre “Recurso”: “*”.

nota

Essa regra avalia somente as políticas gerenciadas pelo cliente. Essa regra NÃO avalia políticas em linha ouAWSpolíticas gerenciadas. Para obter mais informações sobre a diferença, consultePolíticas gerenciadas e políticas em linhano Guia do usuário do IAM.

A política a seguir não está em conformidade:

"Statement": [
{
"Sid": "VisualEditor",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}

A política a seguir é COMPATÍVEL:

"Statement": [
{
"Sid": "VisualEditor",
"Effect": "Allow",
"Action": "service:*",
"Resource": "*"
}

Identifier (Identificador): IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS

Tipos de recursos: AWS::IAM::Policy

Trigger type (Tipo de trigger): alterações da configuração

Região da AWS:Tudo suportadoAWSregiões exceto Oriente Médio (EAU), Ásia-Pacífico (Hyderabad), Ásia-Pacífico (Melbourne), Israel (Tel Aviv), Europa (Espanha), Europa (Zurique) Região

Parâmetros:

excludePermissionBoundaryPolítica (opcional)

Tipo: booliano

Sinalizador booleano para excluir a avaliação das políticas do IAM usadas como limites de permissões. Se definida como “verdadeira”, a regra não incluirá limites de permissões na avaliação. Caso contrário, todas as políticas do IAM no escopo são avaliadas quando o valor é definido como “falso”. O valor padrão é 'falso'.

Modelo do AWS CloudFormation

Para criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation, consulte Criar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.