iam-policy-no-statements-with-full-access - AWS Config
AWS CloudFormation modelo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

iam-policy-no-statements-with-full-access

Verifica se as políticas de AWS Identity and Access Management (IAM) criadas por você concedem permissões para todas as ações em AWS recursos individuais. A regra é NON _ COMPLIANT se alguma IAM política gerenciada pelo cliente permitir acesso total a pelo menos um AWS serviço.

Contexto: seguindo o princípio do menor privilégio, é recomendável limitar as ações permitidas em suas IAM políticas ao conceder permissões aos AWS serviços. Essa abordagem ajuda a garantir que você conceda somente as permissões necessárias especificando as ações exatas necessárias, evitando o uso de curingas irrestritos para um serviço, como. ec2:*

Em alguns casos, talvez você queira permitir várias ações com um prefixo semelhante, como DescribeFlowLogse. DescribeAvailabilityZones Nesses casos, você pode adicionar um curinga com sufixo ao prefixo comum (por exemplo,). ec2:Describe* O agrupamento de ações relacionadas pode ajudar a evitar atingir os limites de tamanho IAM da política.

Essa regra retornará COMPLIANT se você usar ações prefixadas com um caractere curinga com sufixo (por exemplo,). ec2:Describe* Essa regra só retornará NON _ COMPLIANT se você usar curingas irrestritos (por exemplo,ec2:*).

nota

Essa regra avalia somente as políticas gerenciadas pelo cliente. Essa regra NOT avalia políticas em linha ou políticas AWS gerenciadas. Para obter mais informações sobre a diferença, consulte Políticas gerenciadas e políticas em linha no Guia do IAM usuário.

Identificador: IAM _ POLICY _NO_ _ _ STATEMENTS _ WITH FULL ACCESS

Tipos de recursos: AWS::IAM::Policy

Tipo de trigger: alterações da configuração

Região da AWS: Todas as AWS regiões suportadas

Parâmetros:

excludePermissionBoundaryPolítica (opcional)
Tipo: booliano

Sinalizador booleano para excluir a avaliação de IAM políticas usadas como limites de permissões. Se definida como 'true', a regra não incluirá limites de permissões na avaliação. Caso contrário, todas IAM as políticas no escopo serão avaliadas quando o valor for definido como 'false'. O valor padrão é ‘false’.

AWS CloudFormation modelo

Para criar regras AWS Config gerenciadas com AWS CloudFormation modelos, consulteCriar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.