iam-policy-no-statements-with-admin-access

检查您创建的I AWS dentity and Access Management (IAM) 策略是否包含向所有资源上的所有操作授予权限的 Allow 语句。如果任何客户托管的 IAM 策略声明包含 “影响”: “允许” 和 “操作”: “*” 而不是 “资源”: “*”，则该规则为 “不合规”。

注意

该规则仅评估客户托管的策略。此规则不评估内联策略或AWS托管策略。有关差异的更多信息，请参阅 IAAAAM AM AM Acc ccccccce。

以下策略不兼容：

"Statement": [
{
"Sid": "VisualEditor",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}

以下政策合规：

"Statement": [
{
"Sid": "VisualEditor",
"Effect": "Allow",
"Action": "service:*",
"Resource": "*"
}

标识符：IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS

资源类型：AWS::IAM::Policy

触发器类型： 配置更改

AWS 区域：除中东（阿联酋）、亚太AWS地区（海得拉巴）、亚太地区（墨尔本）、欧洲（西班牙）、欧洲（西班牙）、欧洲（苏黎世）区域除外

参数：

excludePermissionBoundary政策（可选）

类型：布尔值

布尔标志，用于排除对用作权限边界的 IAM 策略的评估。如果设置为 “true”，则该规则在评估中将不包括权限边界。否则，当值设置为 “false” 时，将评估范围内的所有 IAM 策略。默认值为值值为为为为为为为为。

AWS CloudFormation 模板

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅使用 AWS CloudFormation 模板创建 AWS Config 托管规则。