Access Analyzer 政策檢查參考 - AWS Identity and Access Management
錯誤 – 不允許 ARN 帳戶錯誤 – 不允許 ARN 區域錯誤 – 資料類型不符錯誤 – 重複索引鍵使用不同的大小寫錯誤 - 無效的動作錯誤 - 無效的 ARN 帳戶錯誤 - 無效的 ARN 字首錯誤 - 無效的 ARN 區域錯誤 - 無效的 ARN 資源錯誤 - 無效的 ARN 服務案例錯誤 - 無效的條件資料類型錯誤 - 無效的條件索引鍵格式錯誤 - 無效條件多重布林值錯誤 - 無效的條件運算子錯誤 — 效果的無效錯誤 — 無效的全域條件金鑰錯誤 — 無效的分割區錯誤 — 無效的政策元素錯誤 — 無效的委託人格式錯誤 - 無效的委託人索引鍵錯誤 - 無效的區域錯誤 - 無效的服務錯誤 - 無效的服務條件索引鍵錯誤 - 動作中的服務無效錯誤 — 運算子的無效變數錯誤 - 無效的版本錯誤 – Json 語法錯誤錯誤 – Json 語法錯誤錯誤 - 缺少動作錯誤 – 缺少 ARN 欄位錯誤 – 缺少 ARN 區域錯誤 – 缺少效果錯誤 – 缺少委託人錯誤 – 缺少限定詞錯誤 – 缺少資源錯誤 – 缺少陳述式錯誤 – 如果存在,則為空錯誤 – SCP 語法錯誤動作萬用字元錯誤 – SCP 語法錯誤允許條件錯誤 – SCP 語法錯誤允許 NotAction錯誤 – SCP 語法錯誤允許資源錯誤 – SCP 語法錯誤 NotResource錯誤 – SCP 語法錯誤委託人錯誤 – 需要唯一 Sid錯誤 - 政策中不支援的動作錯誤 – 不支援的元素組合錯誤 – 不支援的全域條件金鑰錯誤 – 不支援的委託人錯誤 – 政策中不支援的資源 ARN錯誤 – 不支援的 Sid錯誤 – 委託人中不支援的萬用字元錯誤 – 變數中缺少大括號錯誤 – 變數中不支援的符號錯誤 – 變數中不支援的符號錯誤 – 變數中缺少引號錯誤 – 變數中不支援的空間錯誤 – 空的變數錯誤 – 元素中不支援變數錯誤 – 版本中不支援變數錯誤 - 服務委託人不支援的條件索引鍵錯誤 – 私有 IP 地址錯誤 – 私有 NotIpAddress錯誤 – 政策大小超過 SCP 配額錯誤 - 無效的服務委託人格式錯誤 – 條件中缺少標籤索引鍵錯誤 - vpc 格式無效錯誤 - vpce 格式無效錯誤 - 不支援聯合身分委託人錯誤 - 條件索引鍵不支援的動作一般警告 – 使用 NotResource 建立 SLR一般警告 – 使用動作中的星號和 NotResource 建立 SLR一般警告 – 使用 NotAction 和 NotResource 建立 SLR一般警告 – 使用資源中的星號建立 SLR一般警告 – 使用動作中的星號和資源建立 SLR一般警告 – 使用資源中的星號和 NotAction 建立 SLR一般警告 — 已取代的全域條件金鑰一般警告 – 無效的日期值一般警告 – 角色參考無效一般警告 – 無效的使用者參考一般警告 – 遺失版本一般警告 – 建議使用獨特 Sid一般警告 – 沒有類似運算子的萬用字元一般警告 – 政策大小超過身分政策配額一般警告 – 政策大小超過資源政策配額一般警告 – 類型不符一般警告 – 類型不符布林值一般警告 – 類型不符日期一般警告 – 類型不符 IP 範圍一般警告 – 類型不符號碼一般警告 – 類型不符字串安全性警告 – 允許使用 NotPrincipal安全性警告 – ForAllValues 具有單一數值金鑰安全性警告 – 使用 NotResource 傳遞角色安全性警告 – 使用動作中的星號和 NotResource 傳遞角色安全性警告 – 使用 NotAction 和 NotResource 傳遞角色安全性警告 – 使用資源中的星號傳遞角色安全性警告 – 使用動作中的星號和資源傳遞角色安全性警告 – 使用資源中的星號和 NotAction 傳遞角色安全性警告 – 遺失配對的條件索引鍵安全性警告 – 拒絕使用不支援的服務標籤條件索引鍵安全性警告 - 拒絕不支援的服務標籤條件索引鍵的 NotAction安全性警告 - 限制存取服務委託人建議 – 空陣列動作建議 – 空陣列條件建議 – 空陣列條件 ForAllValues建議 – 空陣列條件 ForAnyValue建議 – 空陣列條件 IfExists建議 – 空陣列委託人建議 – 空陣列資源建議 – 空物件條件建議 – 空物件委託人建議 – 空 Sid 值建議 – 改善 IP 範圍建議 – Null 具有限定詞建議 – 私有 IP 地址子集建議 – 私有 NotIpAddress 子集建議 – 冗餘動作建議 – 冗餘條件值編號建議 – 冗餘資源建議 – 冗餘陳述式建議 – 服務名稱中的萬用字元建議 - 使用服務不支援的標籤條件索引鍵允許建議 - 使用服務不支援的標籤條件索引鍵允許 NotAction建議 - 政策中的不相關條件索引鍵建議 – 服務委託人的建議條件索引鍵

Access Analyzer 政策檢查參考

您可以使用 AWS IAM Access Analyzer 政策檢查來驗證您的政策。您可以在 IAM 主控台中使用 AWS CLI、AWS API 或 JSON 政策編輯器來建立或編輯政策。Access Analyzer 會根據 IAM 政策文法最佳實務來驗證您的政策。您可以檢視政策驗證檢查問題清單,包含安全警告、錯誤、一般警告和政策的建議。這些問題清單提供可行的建議,協助您撰寫具有功能性且符合安全最佳實務的政策。若要進一步了解如何使用 Access Analyzer 來驗證政策,請參閱 Access Analyzer 政策驗證

錯誤 – 不允許 ARN 帳戶

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

ARN account not allowed: The service does not support specifying an account ID in the resource ARN.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The service does not support specifying an account ID in the resource ARN."

解決錯誤

從資源 ARN 中移除帳戶 ID。部分 AWS 服務的資源 ARN 不支援指定帳戶 ID。

例如,Amazon S3 不支援帳戶 ID 做為儲存貯體 ARN 中的命名空間。Amazon S3 儲存貯體的名稱必須是全域唯一,且命名空間會由所有 AWS 帳戶共用。若要檢視 Amazon S3 中可用的所有資源類型,請參閱服務授權參考中的 Amazon S3 定義的資源類型

相關用語

錯誤 – 不允許 ARN 區域

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

ARN Region not allowed: The service does not support specifying a Region in the resource ARN.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The service does not support specifying a Region in the resource ARN."

解決錯誤

從資源 ARN 中移除區域。部分 AWS 服務的資源 ARN 不支援指定區域。

例如,IAM 是全球服務。IAM 資源 ARN 的「區域」部分一律保持空白。IAM 資源是全球性的,如 AWS 帳戶是今天。例如,以 IAM 使用者身分登入之後,您可以在任何地理區域存取 AWS 服務。

錯誤 – 資料類型不符

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Data type mismatch: The text does not match the expected JSON data type {{data_type)).

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The text does not match the expected JSON data type {{data_type))."

解決錯誤

更新文字以使用支援的資料類型。

例如,Version 全域條件索引鍵需要 String 資料類型。如果您提供日期或整數,則資料類型將不相符。

相關用語

錯誤 – 重複索引鍵使用不同的大小寫

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Duplicate keys with different case: The condition key appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition key appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."

解決錯誤

檢閱相同條件區塊中的類似條件索引鍵,並針對所有執行個體使用相同的大小寫。

條件區塊是政策聲明 Condition 元素內的文字。條件索引鍵 names 不區分大小寫。條件索引鍵 values 是否區分大小寫取決於您使用的條件運算子。如需條件索引鍵中區分大小寫的詳細資訊,請參閱 IAM JSON 政策元素:Condition

相關用語

錯誤 - 無效的動作

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid action: The action does not exist. Did you mean ?

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The action does not exist. Did you mean ?"

解決錯誤

您指定的動作無效。如果您輸入錯誤的服務字首或動作名稱,就會發生這種情況。對於某些常見問題,政策檢查會傳回建議的動作。

相關用語

AWS 受管政策出現此錯誤

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

下列 AWS 受管政策在其政策陳述式中包含無效的動作。無效的動作並不會影響政策所授與的許可。當您使用 AWS 受管政策做為建立受管政策的參考時,AWS 建議您從政策中移除無效的動作。

錯誤 - 無效的 ARN 帳戶

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid ARN account: The resource ARN account ID is not valid. Provide a 12-digit account ID.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The resource ARN account ID is not valid. Provide a 12-digit account ID."

解決錯誤

更新資源 ARN 中的帳戶 ID。帳戶 ID 是 12 位數的整數。若要瞭解如何檢視您的帳戶 ID,請參閱尋找您的AWS帳戶 ID

相關用語

錯誤 - 無效的 ARN 字首

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add the required prefix (arn) to the resource ARN."

解決錯誤

AWS 資源 ARN 必須包含必要的 arn: 字首。

相關用語

錯誤 - 無效的 ARN 區域

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid ARN Region: The Region is not valid for this resource. Update the resource ARN to include a supported Region.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The Region is not valid for this resource. Update the resource ARN to include a supported Region."

解決錯誤

資源類型在指定區域中不支援。如需在每個區域中支援的 AWS 服務表格,請參閱區域表

相關用語

錯誤 - 無效的 ARN 資源

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."

解決錯誤

資源 ARN 必須符合已知資源類型的規格。若要檢視服務的預期 ARN 格式,請參閱適用於 AWS 服務的動作、資源及條件索引鍵。選擇服務的名稱,以檢視其資源類型和 ARN 格式。

相關用語

錯誤 - 無效的 ARN 服務案例

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid ARN service case: Update the service name in the resource ARN to use all lowercase letters.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Update the service name in the resource ARN to use all lowercase letters."

解決錯誤

資源 ARN 中的服務必須符合服務字首的規格 (包括大小寫)。若要檢視服務的字首,請參閱適用於 AWS 服務的動作、資源及條件金鑰。選擇服務的名稱,然後在第一句中找到該服務的字首。

相關用語

錯誤 - 無效的條件資料類型

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."

解決錯誤

條件鍵值組中的值必須符合條件鍵和條件運算子的資料類型。若要檢視服務的條件索引鍵資料類型,請參閱適用於 AWS 服務的動作、資源及條件索引鍵。選擇服務的名稱,以檢視該服務的條件索引鍵。

例如,CurrentTime全域條件金鑰支援 Date 條件運算子。如果您為條件區塊中的值提供字串或整數,則資料類型將不相符。

相關用語

錯誤 - 無效的條件索引鍵格式

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid condition key format: The condition key format is not valid. Use the format service:keyname.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition key format is not valid. Use the format service:keyname."

解決錯誤

條件鍵值組中的鍵必須符合服務的規格。若要檢視服務的條件索引鍵,請參閱適用於 AWS 服務的動作、資源及條件索引鍵。選擇服務的名稱,以檢視該服務的條件索引鍵。

相關用語

錯誤 - 無效條件多重布林值

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."

解決錯誤

條件鍵值對中的鍵需要單一布林值。當您提供多個布林值時,條件比對可能不會傳回您預期的結果。

若要檢視服務的條件索引鍵,請參閱適用於 AWS 服務的動作、資源及條件索引鍵。選擇服務的名稱,以檢視該服務的條件索引鍵。

錯誤 - 無效的條件運算子

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid condition operator: The condition operator is not valid. Use a valid condition operator.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition operator is not valid. Use a valid condition operator."

解決錯誤

更新條件以使用支援的條件運算子。

相關用語

錯誤 — 效果的無效

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid effect: The effect is not valid. Use Allow or Deny.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The effect is not valid. Use Allow or Deny."

解決錯誤

更新 Effect 元素以使用有效的效果。Effect 的有效值為 AllowDeny

相關用語

錯誤 — 無效的全域條件金鑰

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid global condition key: The condition key does not exist. Use a valid condition key.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition key does not exist. Use a valid condition key."

解決錯誤

更新條件鍵值組中的條件鍵,以使用支援的全域條件鍵。

全域條件索引鍵是具備 aws: 字首的條件索引鍵。AWS 服務可支援全域條件索引鍵或提供包含服務字首的服務專屬索引鍵。例如,IAM 條件金鑰會包含 iam: 字首。如需詳細資訊,請參閱適用於 AWS 服務的動作、資源和條件金鑰,然後選擇您要檢視其金鑰的服務。

相關用語

錯誤 — 無效的分割區

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid partition: The resource ARN for the service does not support the partition. Use the supported values:

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The resource ARN for the service does not support the partition. Use the supported values:"

解決錯誤

更新資源 ARN 以包含支援的分割區。如果您包含支援的分割區,則服務或資源可能不支援您包含的分割區。

分割區是一組 AWS 區域。每個 AWS 帳戶的範圍都限定在一個分割區。在傳統區域中,使用 aws 分割區。在中國區域,使用 aws-cn

相關用語

錯誤 — 無效的政策元素

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid policy element: The policy element is not valid.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The policy element is not valid."

解決錯誤

更新政策以僅包含支援的 JSON 政策元素。

相關用語

錯誤 — 無效的委託人格式

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."

解決錯誤

更新委託人,以使用支援的鍵值組格式。

您可以在以資源為基礎的政策中指定委託人,但不能在以身分為基礎的政策中指定。

例如,若要定義 AWS 帳戶中每個人員的存取權,請在政策中使用以下委託人:

"Principal": { "AWS": "123456789012" }

相關用語

錯誤 - 無效的委託人索引鍵

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid principal key: The principal key is not valid.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The principal key is not valid."

解決錯誤

更新委託人鍵值組中的鍵,以使用支援的委託人索引鍵。以下是支援的委託人索引鍵:

  • AWS

  • CanonicalUser

  • 聯合

  • 服務

相關用語

錯誤 - 無效的區域

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid Region: The Region is not valid. Update the condition value to a suported Region.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The Region is not valid. Update the condition value to a suported Region."

解決錯誤

更新條件鍵值組的值,以包含支援的區域。如需在每個區域中支援的 AWS 服務表格,請參閱區域表

相關用語

錯誤 - 無效的服務

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid service: The service does not exist. Use a valid service name.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The service does not exist. Use a valid service name."

解決錯誤

動作或條件金鑰中的服務字首必須符合服務字首的規格 (包括大小寫)。若要檢視服務的字首,請參閱適用於 AWS 服務的動作、資源及條件索引鍵。選擇服務的名稱,然後在第一句中找到該服務的字首。

相關用語

錯誤 - 無效的服務條件索引鍵

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid service condition key: The condition key does not exist in the service. Use a valid condition key.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition key does not exist in the service. Use a valid condition key."

解決錯誤

更新條件鍵值組中的鍵,以使用服務的已知條件索引鍵。全域條件索引鍵名稱是以 aws 字首為開頭。AWS 服務可提供包含其服務字首的服務專屬索引鍵。若要檢視服務的字首,請參閱適用於 AWS 服務的動作、資源及條件索引鍵

相關用語

錯誤 - 動作中的服務無效

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid service in action: The service specified in the action does not exist. Did you mean ?

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The service specified in the action does not exist. Did you mean ?"

解決錯誤

動作中的服務字首必須符合服務字首的規格 (包括大小寫)。若要檢視服務的字首,請參閱適用於 AWS 服務的動作、資源及條件索引鍵。選擇服務的名稱,然後在第一句中找到該服務的字首。

相關用語

錯誤 — 運算子的無效變數

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid variable for operator: Policy variables can only be used with String and ARN operators.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Policy variables can only be used with String and ARN operators."

解決錯誤

您可以在 Resource 元素中使用政策變數,也可以在 Condition 元素中使用字串比較。當您使用字串運算子或 ARN 運算子時,條件支援變數。字串運算子包括 StringEqualsStringLikeStringNotLike。ARN 運算子包括 ArnEqualsArnLike。您無法使用政策變數搭配其他運算子,例如 Numeric、Date、Boolean、Binary、IP Address 或 Null 運算子。

相關用語

錯誤 - 無效的版本

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid version: The version is not valid. Use one of the following versions:

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The version is not valid. Use one of the following versions:"

解決錯誤

Version 政策元素指定 AWS 用於處理政策的語言語法規則。若要使用所有可用的政策功能,請在所有政策的 Statement 元素前面包含最新的 Version 元素。

"Version": "2012-10-17"

相關用語

錯誤 – Json 語法錯誤

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Json syntax error: Fix the JSON syntax error at index line column.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Fix the JSON syntax error at index line column."

解決錯誤

您的政策包含語法錯誤。檢查您的 JSON 語法。

相關用語

錯誤 – Json 語法錯誤

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Json syntax error: Fix the JSON syntax error.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Fix the JSON syntax error."

解決錯誤

您的政策包含語法錯誤。檢查您的 JSON 語法。

相關用語

錯誤 - 缺少動作

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing action: Add an Action or NotAction element to the policy statement.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add an Action or NotAction element to the policy statement."

解決錯誤

AWSJSON 政策必須包含 ActionNotAction 元素。

相關用語

錯誤 – 缺少 ARN 欄位

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing ARN field: Resource ARNs must include at least fields in the following structure: arn:partition:service:region:account:resource

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Resource ARNs must include at least fields in the following structure: arn:partition:service:region:account:resource"

解決錯誤

資源 ARN 中的所有欄位必須符合已知資源類型的規格。若要檢視服務的預期 ARN 格式,請參閱適用於 AWS 服務的動作、資源及條件索引鍵。選擇服務的名稱,以檢視其資源類型和 ARN 格式。

相關用語

錯誤 – 缺少 ARN 區域

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing ARN Region: Add a Region to the resource ARN.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add a Region to the resource ARN."

解決錯誤

大多數 AWS 服務的資源 ARN 會要求您指定區域。如需在每個區域中支援的 AWS 服務表格,請參閱區域表

相關用語

錯誤 – 缺少效果

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."

解決錯誤

AWSJSON 政策必須包含 Effect 元素與 AllowDeny 的值。

相關用語

錯誤 – 缺少委託人

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing principal: Add a Principal element to the policy statement.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add a Principal element to the policy statement."

解決錯誤

以資源為基礎的政策必須包含 Principal 元素。

例如,若要定義 AWS 帳戶中每個人員的存取權,請在政策中使用以下委託人:

"Principal": { "AWS": "123456789012" }

相關用語

錯誤 – 缺少限定詞

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing qualifier: The request context key has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The request context key has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."

解決錯誤

在 Condition 元素中,您所建置的表達式使用條件運算子 (例如等於或小於) 來比較政策中的條件索引鍵與值,以及請求內容中的索引鍵與值。對於包含單一條件索引鍵之多個值的請求,您必須像陣列一樣,在括號內括住條件 ("Key2":["Value2A", "Value2B"])。您還必須使用 ForAllValues 或 ForAnyValue 設定運算子搭配 StringLike 條件運算子。這些限定詞新增設定操作功能到條件運算子,以便您可以針對多個條件值測試多個請求值。

相關用語

AWS 受管政策出現此錯誤

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

下列 AWS 受管政策陳述式包含其政策陳述式中缺少的條件索引鍵限定詞。當您使用 AWS 受管政策做為建立客戶受管政策的參考時,AWS 建議您將 ForAllValuesForAnyValue 條件金鑰限定詞新增到您的 Condition 元素。

錯誤 – 缺少資源

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing resource: Add a Resource or NotResource element to the policy statement.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add a Resource or NotResource element to the policy statement."

解決錯誤

以身分為基礎的政策必須包含 ResourceNotResource 元素。

相關用語

錯誤 – 缺少陳述式

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing statement: Add a statement to the policy

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add a statement to the policy"

解決錯誤

JSON 政策必須包含陳述式。

相關用語

錯誤 – 如果存在,則為空

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."

解決錯誤

除 Null 條件運算子外,您可在任何條件運算子名稱的結尾新增 IfExists。使用 Null 條件運算子檢查授權時是否有條件索引鍵。使用 ...ifExists 來表示「如果請求的內容中存在政策索引鍵,則依照政策所述來處理索引鍵。如果該索引鍵不存在,則評估條件元素為 true。」

相關用語

錯誤 – SCP 語法錯誤動作萬用字元

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update."

解決錯誤

AWS Organizations 服務控制政策 (SCP) 支援在 ActionNotAction 元素中指定值。不過,這些值只能在字串結尾包含萬用字元 (*)。這表示您可指定 iam:Get* 而不是 iam:*role

若要指定多個動作,AWS 建議您個別將其列出。

相關用語

錯誤 – SCP 語法錯誤允許條件

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

SCP syntax error allow condition: SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "SCPs do not support the Condition element with effect Allow. Update the element Condition or the effect."

解決錯誤

AWS Organizations 服務控制政策 (SCP) 僅在您使用 "Effect": "Deny" 時才支援在 Condition 元素中指定值。

若要只允許單一動作,除了您使用 ...NotEquals 版本的條件運算子進行指定的情況以外,您可以拒絕存取所有項目。這會否定運算子所做的比較。

相關用語

錯誤 – SCP 語法錯誤允許 NotAction

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

SCP syntax error allow NotAction: SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "SCPs do not support NotAction with effect Allow. Update the element NotAction or the effect."

解決錯誤

AWS Organizations 服務控制政策 (SCP) 不支援使用 NotAction 元素搭配 "Effect": "Allow"

您必須重新撰寫邏輯,以允許動作清單,或拒絕每個未列出的動作。

相關用語

錯誤 – SCP 語法錯誤允許資源

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

SCP syntax error allow resource: SCPs do not support Resource with effect Allow. Update the element Resource or the effect.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "SCPs do not support Resource with effect Allow. Update the element Resource or the effect."

解決錯誤

AWS Organizations 服務控制政策 (SCP) 僅在您使用 "Effect": "Deny" 時才支援在 Resource 元素中指定值。

您必須重寫邏輯,以允許所有資源,或拒絕列出的每個資源。

相關用語

錯誤 – SCP 語法錯誤 NotResource

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

SCP syntax error NotResource: SCPs do not support the NotResource element. Update the policy to use Resource instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "SCPs do not support the NotResource element. Update the policy to use Resource instead."

解決錯誤

AWS Organizations 服務控制政策 (SCP) 不支援 NotResource 元素。

您必須重寫邏輯,以允許所有資源,或拒絕列出的每個資源。

相關用語

錯誤 – SCP 語法錯誤委託人

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."

解決錯誤

AWS Organizations 服務控制政策 (SCP) 不支援 PrincipalNotPrincipal 元素。

您可以使用 Condition 元素中的 aws:PrincipalArn 全域條件索引鍵來指定 Amazon 資源名稱 (ARN)。

相關用語

錯誤 – 需要唯一 Sid

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."

解決錯誤

對於某些政策類型,陳述式 ID 必須是唯一的。Sid (陳述式 ID) 元素允許您輸入您為政策陳述式提供的可選識別符。您可以使用 SID 元素將陳述式 ID 值指派給陳述式陣列中的每個陳述式。在允許您指定 ID 元素的服務中 (例如 SQS 和 SNS),Sid 值只是政策文件 ID 的子 ID。例如,在 IAM 中,Sid 值在 JSON 政策中必須是唯一的。

相關用語

錯誤 - 政策中不支援的動作

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported action in policy: The action is not supported for the resource-based policy attached to the resource type.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The action is not supported for the resource-based policy attached to the resource type."

解決錯誤

在連接至不同資源類型的資源型政策中,部分動作在其 Action 元素中不受支援。例如:Amazon S3 儲存貯體政策不支援 AWS Key Management Service 動作。指定連接至資源型政策的資源類型支援的動作。

相關用語

錯誤 – 不支援的元素組合

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported element combination: The policy elements and can not be used in the same statement. Remove one of these elements.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The policy elements and can not be used in the same statement. Remove one of these elements."

解決錯誤

JSON 政策元素的某些組合無法一起使用。例如,您不能在同一政策陳述式中同時使用 ActionNotAction。相互排斥的其他組合包括 Principal/NotPrincipalResource/NotResource

相關用語

錯誤 – 不支援的全域條件金鑰

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."

解決錯誤

AWS 不支援使用指定的全域條件索引鍵。視您的使用案例而定,您可以使用 aws:PrincipalArnaws:SourceArn 全域條件索引鍵。例如,並非使用 aws:ARN,而是使用 aws:PrincipalArn 來將提出請求委託人的 Amazon 資源名稱 (ARN) 與您在政策中所指定的 ARN 進行比較。或者,使用 aws:SourceArn 全域條件索引鍵,將提出服務對服務請求之資源的 Amazon 資源名稱 (ARN) 與您在政策中所指定的 ARN 進行比較。

相關用語

錯誤 – 不支援的委託人

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported principal: The policy type does not support the Principal element. Remove the Principal element.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The policy type does not support the Principal element. Remove the Principal element."

解決錯誤

Principal 元素會指定允許或拒絕存取資源的委託人。您無法在以 IAM 身分為基礎的政策中使用 Principal 元素。您可以在 IAM 角色和以資源為基礎政策的信任政策中使用該元素。資源型政策是您直接內嵌在資源中的政策。例如,您可以在 Amazon S3 儲存貯體或 AWS KMS 金鑰中內嵌政策。

相關用語

錯誤 – 政策中不支援的資源 ARN

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type."

解決錯誤

當資源型政策連接至不同的資源類型時,部分資源 ARN 在此政策的 Resource 元素中不受支援。例如:Amazon S3 儲存貯體政策的 Resource 元素中不支援 AWS KMS ARN。指定連接至資源型政策的資源類型支援的資源 ARN。

相關用語

錯誤 – 不支援的 Sid

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"

解決錯誤

Sid 元素支援大寫字母,小寫字母和數字。

相關用語

錯誤 – 委託人中不支援的萬用字元

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key. Replace the wildcard with a valid principal value.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Wildcards (*, ?) are not supported with the principal key. Replace the wildcard with a valid principal value."

解決錯誤

Principal 元素結構支援使用鍵值組。政策中指定的委託人值包括萬用字元 (*)。您不能在指定的委託人金鑰中包含萬用字元。例如,當您在 Principal 元素中指定使用者時,您無法使用萬用字元來表示「所有使用者」。您必須命名特定的一個或多個使用者。同樣地,當您指定擔任的角色工作階段時,您無法使用萬用字元來表示「所有工作階段」。您必須命名特定工作階段。您同樣不能使用萬用字元來符合部分名稱或 ARN。

若要解決此問題清單,請移除萬用字元,並提供更具體的委託人。

相關用語

錯誤 – 變數中缺少大括號

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."

解決錯誤

政策變數結構支援使用 $ 字首,後面接著一對大括號 ({ })。在 ${ } 字元內,包含要在政策中想要使用的請求中的值的名稱。

若要解決此問題清單,請新增遺失的大括號,以確定一組完整的大括號開頭和結尾已存在。

相關用語

錯誤 – 變數中不支援的符號

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported symbol in variable: The symbol is not supported within the policy variable text. Remove the symbol.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The symbol is not supported within the policy variable text. Remove the symbol."

解決錯誤

政策變數結構支援使用 $ 字首,後面接著一對大括號 ({ })。在 ${ } 字元內,包含要在政策中想要使用的請求中的值的名稱。

若要解決此問題清單,請移除不支援的符號。

相關用語

錯誤 – 變數中不支援的符號

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported symbol in variable: The symbol is not supported within the policy variable. Use instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The symbol is not supported within the policy variable. Use instead."

解決錯誤

政策變數結構支援使用 $ 字首,後面接著一對大括號 ({ })。在 ${ } 字元內,包含要在政策中想要使用的請求中的值的名稱。

若要解決此問題清單,請移除不支援的符號。

相關用語

錯誤 – 變數中缺少引號

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."

解決錯誤

將變數新增至政策時,您可以指定變數的預設值。如果變數不存在,AWS 使用您提供的預設文字。

若要將預設值新增到一個變數,請以單引號 (' ') 括住預設值,並使用逗號和空格 (, ) 分隔變數文字和預設值。

例如,如果委託人標記為 team=yellow,他們可以存取名為 DOC-EXAMPLE-BUCKET-yellowDOC-EXAMPLE-BUCKET Amazon S3 儲存貯體。具有此資源的政策可讓團隊成員存取其自己的資源,但不能存取其他團隊的資源。對於沒有團隊標籤的使用者,您可以將預設值設定為 company-wide。這些使用者只能存取 DOC-EXAMPLE-BUCKET-company-wide 儲存貯體,其中他們可以檢視廣泛的資訊,例如加入團隊的指示。

"Resource":"arn:aws:s3:::DOC-EXAMPLE-BUCKET-${aws:PrincipalTag/team, 'company-wide'}"

相關用語

錯誤 – 變數中不支援的空間

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "A space is not supported within the policy variable text. Remove the space."

解決錯誤

政策變數結構支援使用 $ 字首,後面接著一對大括號 ({ })。在 ${ } 字元內,包含要在政策中想要使用的請求中的值的名稱。雖然您在指定預設變數時可以包含空格,但不能在變數名稱中包含空格。

相關用語

錯誤 – 空的變數

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty variable: Empty policy variable. Remove the variable structure or provide a variable within the structure.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Empty policy variable. Remove the variable structure or provide a variable within the structure."

解決錯誤

政策變數結構支援使用 $ 字首,後面接著一對大括號 ({ })。在 ${ } 字元內,包含要在政策中想要使用的請求中的值的名稱。

相關用語

錯誤 – 元素中不支援變數

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable from this element.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable from this element."

解決錯誤

您可以在 Resource 元素中使用政策變數,也可以在 Condition 元素中使用字串比較。

相關用語

錯誤 – 版本中不支援變數

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."

解決錯誤

若要使用政策變數,必須包含 Version 元素,並將其設定為支援政策變數的版本。變數已導入版本 2012-10-17。舊版的政策語言不支援政策變數。如果您未將 Version 設定為 2012-10-17 或更高版本,則 ${aws:username} 等變數會被視為政策中的常值字串。

Version 政策元素與政策版本不同。Version 政策元素是在政策內使用,並定義政策語言的版本。政策版本會在您在 IAM 中變更客戶受管政策時建立。變更的政策不會覆寫現有的政策。反而,IAM 會建立新版本的受管政策。

相關用語

錯誤 - 服務委託人不支援的條件索引鍵

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal:.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The following condition keys are not supported when used with the service principal:."

解決錯誤

您可使用服務委託人 (服務的識別符),在資源型政策的 Principal 元素中指定 AWS 服務。您無法將某些條件索引鍵與特定服務委託人搭配使用。例如,您無法將 aws:PrincipalOrgID 條件索引鍵與服務委託人 cloudfront.amazonaws.com 搭配使用。您應該移除不適用於 Principal 元素中服務委託人的條件索引鍵。

相關用語

錯誤 – 私有 IP 地址

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."

解決錯誤

全域條件金鑰 aws:SourceIp 僅適用於公有 IP 地址範圍。當您的政策只允許私有 IP 地址時,您會收到此錯誤。在這種情況下,條件永遠不會符合。

錯誤 – 私有 NotIpAddress

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."

解決錯誤

全域條件索引鍵 aws:SourceIp 僅適用於公有 IP 地址範圍。當您使用 NotIpAddress 條件運算子,並只列出私有 IP 位址時,您會收到這個錯誤。在此情況下,條件會一律符合且為無效。

錯誤 – 政策大小超過 SCP 配額

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Policy size exceeds SCP quota: The characters in the service control policy (SCP) exceed the character maximum for SCPs. We recommend that you use multiple granular policies.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The characters in the service control policy (SCP) exceed the character maximum for SCPs. We recommend that you use multiple granular policies."

解決錯誤

AWS Organizations 服務控制政策 (SCP) 支援在 ActionNotAction 元素中指定值。不過,這些值只能在字串結尾包含萬用字元 (*)。這表示您可指定 iam:Get* 而不是 iam:*role

若要指定多個動作,AWS 建議您個別將其列出。

相關用語

錯誤 - 無效的服務委託人格式

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid service principal format: The service principal does not match the expected format. Use the format with all lowercase letters.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The service principal does not match the expected format. Use the format with all lowercase letters."

解決錯誤

條件鍵值組中的值必須符合已定義的服務委託人格式。

服務委託人是用來將許可授予給服務的識別符。您可以在 Principal 元素中指定服務委託人,或將其作為某些全域條件索引鍵和服務特定索引鍵的值。服務委託人是由每個服務定義。

服務委託人的識別符包含服務名稱,而且通常採用以下全小寫字母格式:

service-name.amazonaws.com

某些服務特定索引鍵可能會針對服務委託人使用不同的格式。例如,kms:ViaService 條件索引鍵需要下列全小寫字母格式的服務委託人:

service-name.AWS_region.amazonaws.com

相關用語

錯誤 – 條件中缺少標籤索引鍵

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing tag key in condition: The condition key must include a tag key to control access based on tags. Use the format tag-key and specify a key name for tag-key.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition key must include a tag key to control access based on tags. Use the format tag-key and specify a key name for tag-key."

解決錯誤

若要根據標籤控制存取,則在政策的條件元素中提供標籤資訊。

例如,若要控制 AWS 資源的存取權限,您可以包含 aws:ResourceTag 條件索引鍵。此索引鍵需要格式 aws:ResourceTag/tag-key。如需指定條件中的標籤索引鍵 owner 和標籤值 JaneDoe,請使用下列格式。

"Condition": { "StringEquals": {"aws:ResourceTag/owner": "JaneDoe"} }

相關用語

錯誤 - vpc 格式無效

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."

解決錯誤

aws:SourceVpc 條件索引鍵必須使用字首 vpc-,後跟 8 或 17 個英數字元,例如 vpc-11223344556677889vpc-12345678

相關用語

錯誤 - vpce 格式無效

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."

解決錯誤

aws:SourceVpce 條件索引鍵必須使用字首 vpce-,後跟 8 或 17 個英數字元,例如 vpce-11223344556677889vpce-12345678

相關用語

錯誤 - 不支援聯合身分委託人

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."

解決錯誤

Principal 元素將聯合身分委託人用於連接至 IAM 角色的信任政策,以透過聯合身分提供存取權。身分政策和其他資源型曾策不支援 Principal 元素中的聯合身分提供者。例如,您無法在 Amazon S3 儲存貯體政策中使用 SAML 委託人。將 Principal 元素變更為支援的委託人類型。

相關用語

錯誤 - 條件索引鍵不支援的動作

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unsupported action for condition key: The following actions: are not supported by the condition key. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The following actions: are not supported by the condition key. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."

解決錯誤

請確保政策陳述式的 Condition 元素中的條件索引鍵會套用至 Action 元素中的每個動作。若要確保政策有效地允許或拒絕您指定的動作,您應該將不支援的動作移至不同的陳述式,而不使用條件索引鍵。

注意

如果 Action 元素具有包含萬用字元的動作,則 IAM Access Analyzer 不會評估這些動作是否存在此錯誤。

相關用語

一般警告 – 使用 NotResource 建立 SLR

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."

解決一般警告

iam:CreateServiceLinkedRole 動作授與許可建立 IAM 角色,用於允許 AWS 服務代表您執行動作。在政策中使用 iam:CreateServiceLinkedRoleNotResource 元素可允許為多個資源建立非預期的服務連結角色。AWS 建議您改為在 Resource 元素中指定允許的 ARN。

一般警告 – 使用動作中的星號和 NotResource 建立 SLR

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

解決一般警告

iam:CreateServiceLinkedRole 動作授與許可建立 IAM 角色,用於允許 AWS 服務代表您執行動作。Action 中包含萬用字元 (*) 與包含 NotResource 元素的政策可允許為多個資源建立非預期的服務連結角色。AWS 建議您改為在 Resource 元素中指定允許的 ARN。

一般警告 – 使用 NotAction 和 NotResource 建立 SLR

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

解決一般警告

iam:CreateServiceLinkedRole 動作授與許可建立 IAM 角色,用於允許 AWS 服務代表您執行動作。使用 NotAction 元素與 NotResource 元素可允許為多個資源建立非預期的服務連結角色。AWS 建議您重寫政策,以改為在 Resource 元素中允許有限 ARN 清單上的 iam:CreateServiceLinkedRole。您也可以將 iam:CreateServiceLinkedRole 新增到 NotAction 元素。

一般警告 – 使用資源中的星號建立 SLR

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."

解決一般警告

iam:CreateServiceLinkedRole 動作授與許可建立 IAM 角色,用於允許 AWS 服務代表您執行動作。在政策中使用 iam:CreateServiceLinkedRoleResource 元素中的萬用字元 (*) 可允許為多個資源建立非預期的服務連結角色。AWS 建議您改為在 Resource 元素中指定允許的 ARN。

AWS 具有此一般警告的受管政策

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

其中一些使用案例適用於您帳戶中的進階使用者。下列 AWS 受管政策可提供進階使用者存取權,並授與許可為任何 AWS 服務建立服務連結角色。AWS 建議您只將下列 AWS 受管政策連接到您認為是進階使用者的 IAM 身分。

一般警告 – 使用動作中的星號和資源建立 SLR

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

解決一般警告

iam:CreateServiceLinkedRole 動作授與許可建立 IAM 角色,用於允許 AWS 服務代表您執行動作。ActionResource 元素中包含萬用字元 (*) 的政策可允許為多個資源建立非預期的服務連結角色。這可讓您在指定 "Action": "*""Action": "iam:*""Action": "iam:Create*" 時建立服務連結角色。AWS 建議您改為在 Resource 元素中指定允許的 ARN。

AWS 具有此一般警告的受管政策

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

其中一些使用案例適用於您帳戶中的系統管理員。下列 AWS 受管政策可提供進階使用者存取權,並授與許可為任何 AWS 服務建立服務連結角色。AWS 建議您只將下列 AWS 受管政策連接到您認為是系統管理員的 IAM 身分。

一般警告 – 使用資源中的星號和 NotAction 建立 SLR

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."

解決一般警告

Wenn Sie den Null-Bedingungsoperator mit ForAnyValue verwenden, gibt die Anweisung immer false zurück. AWS empfiehlt, den Bedingungsoperator StringLike mit diesen Mengenoperatoren zu verwenden. 在 Resource 元素中包含萬用字元 (*) 的政策中使用 NotAction 元素可允許為多個資源建立非預期的服務連結角色。AWS 建議您改為在 Resource 元素中指定允許的 ARN。您也可以將 iam:CreateServiceLinkedRole 新增到 NotAction 元素。

一般警告 — 已取代的全域條件金鑰

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition keys aws:PrincipalArn or aws:SourceArn.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "We recommend that you update aws:ARN to use the newer condition keys aws:PrincipalArn or aws:SourceArn."

解決一般警告

政策包含已取代的全域條件金鑰。更新條件鍵值組中的條件鍵,以使用支援的全域條件鍵。

一般警告 – 無效的日期值

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid date value: The date might not resolve as expected. We recommend that you use the YYYY-MM-DD format.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The date might not resolve as expected. We recommend that you use the YYYY-MM-DD format."

解決一般警告

Unix Epoch 時間描述了自 1970 年 1 月 1 日以來經過的時間點,減去閏秒。epoch 時間可能無法解析到您期望的精確時間。AWS 建議您針對日期和時間格式使用 W3C 標準。例如,您可以指定完整的日期,例如 YYYY-MM-DD (1997-07-16),或者您也可以將時間附加到秒,例如 YYYY-MM-DDThh:mm:ssTZD (1997-07-16T19:20:30+01:00)。

一般警告 – 角色參考無效

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid role reference: The Principal element includes the IAM role ID. We recommend that you use a role ARN instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The Principal element includes the IAM role ID. We recommend that you use a role ARN instead."

解決一般警告

AWS 建議您為 IAM 角色而不是其委託人 ID 指定 Amazon 資源名稱 (ARN)。當 IAM 儲存政策時,會將 ARN 轉換為現有角色的委託人 ID。AWS 包含安全預防措施。如果有人刪除並重新建立角色,則會有新的 ID,且政策不會符合新角色的 ID。

一般警告 – 無效的使用者參考

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Invalid user reference: The Principal element includes the IAM user ID. We recommend that you use a user ARN instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The Principal element includes the IAM user ID. We recommend that you use a user ARN instead."

解決一般警告

AWS 建議您為 IAM 使用者而不是其委託人 ID 指定 Amazon 資源名稱 (ARN)。當 IAM 儲存政策時,會將 ARN 轉換為現有使用者的委託人 ID。AWS 包含安全預防措施。如果有人刪除並重新建立使用者,則會有新的 ID,且政策不會符合新使用者的 ID。

一般警告 – 遺失版本

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing version: We recommend that you specify the Version element to help you with debugging permission issues.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."

解決一般警告

AWS 建議您在政策中包含選用的 Version 參數。如果您未包含 Version 元素,則值預設為 2012-10-17,但較新功能 (例如政策變數) 將無法使用您的政策。例如,${aws:username} 這類變數無法辨識為變數,而是視為政策中的文字字串。

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."

解決一般警告

AWS 建議您使用唯一的陳述式 ID。Sid (陳述式 ID) 元素允許您輸入您為政策陳述式提供的可選識別符。您可以使用 SID 元素將陳述式 ID 值指派給陳述式陣列中的每個陳述式。

相關用語

一般警告 – 沒有類似運算子的萬用字元

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."

解決一般警告

Condition 元素結構會要求您使用條件運算子和鍵值組。當您指定使用萬用字元 (*、?) 的條件值時,必須使用 Like 版本的條件運算子。例如,並非使用 StringEquals 字串條件運算子,而是使用 StringLike

"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}

AWS 具有此一般警告的受管政策

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

下列 AWS 受管政策的條件值中包含萬用字元,但沒有包含可供模式比對 Like 的條件運算子。當您使用 CIPALSAWS受管政策做為建立客戶受管政策的參考,AWS建議您使用支援模式比對與萬用字元 (*,?) 的條件運算子 ,例如,StringLike

一般警告 – 政策大小超過身分政策配額

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Policy size exceeds identity policy quota: The characters in the identity policy, excluding whitespace, exceed the character maximum for inline and managed policies. We recommend that you use multiple granular policies.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The characters in the identity policy, excluding whitespace, exceed the character maximum for inline and managed policies. We recommend that you use multiple granular policies."

解決一般警告

您最多可以將 10 個受管政策連接到 IAM 身分 (使用者、使用者群組或角色)。但是,每個受管政策的大小不可超過 6,144 個字元的預設配額。在對此配額計算政策的大小時,IAM 不會計算空格數。「配額」也稱為 AWS 限制,即您的 AWS 帳戶中的資源、動作與項目的最大值。

此外,您可以新增任意數量的內嵌政策到 IAM 身分。不過,每個身分的所有內嵌政策大小總計不能超過指定的配額。

如果您的政策大於配額,您可以將政策組織成多個陳述式,並將這些陳述式群組成多個政策。

相關用語

AWS 具有此一般警告的受管政策

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

下列 AWS 受管政策授與許多 AWS 服務的動作許可,因而超過政策大小上限。當您使用 AWS 受管政策做為建立受管政策的參考時,必須將政策分割為多個政策。

一般警告 – 政策大小超過資源政策配額

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Policy size exceeds resource policy quota: The characters in the resource policy exceed the character maximum for resource policies. We recommend that you use multiple granular policies.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The characters in the resource policy exceed the character maximum for resource policies. We recommend that you use multiple granular policies."

解決一般警告

資源型政策是連接到資源 (如 Amazon S3 儲存貯體) 的 JSON 政策文件。這些政策會授予指定的委託人許可,允許在該資源上執行特定的動作,並且定義資源所適用的條件。資源型政策的大小不能超過為該資源設定的配額。「配額」也稱為 AWS 限制,即您的 AWS 帳戶中的資源、動作與項目的最大值。

如果您的政策大於配額,您可以將政策組織成多個陳述式,並將這些陳述式群組成多個政策。

相關用語

一般警告 – 類型不符

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Type mismatch: Use the operator type instead of operator for the condition key.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Use the operator type instead of operator for the condition key."

解決一般警告

更新文字以使用支援的條件運算子資料類型。

例如,aws:MultiFactorAuthPresent 全域條件索引鍵需要資料類型為 Boolean 的條件運算子。如果您提供日期或整數,則資料類型將不相符。

相關用語

一般警告 – 類型不符布林值

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add a valid Boolean value (true or false) for the condition operator."

解決一般警告

更新文字以使用布林值條件運算子資料類型,例如 truefalse

例如,aws:MultiFactorAuthPresent 全域條件索引鍵需要資料類型為 Boolean 的條件運算子。如果您提供日期或整數,則資料類型將不相符。

相關用語

一般警告 – 類型不符日期

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."

解決一般警告

更新文字以使用 YYYY-MM-DD 或其他 ISO 8601 日期時間格式的日期條件運算子資料類型。

相關用語

一般警告 – 類型不符 IP 範圍

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Type mismatch IP range: The condition operator is used with an invalid IP range value. Specify the IP range in standard CIDR format.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition operator is used with an invalid IP range value. Specify the IP range in standard CIDR format."

解決一般警告

更新文字以使用 CIDR 格式的 IP 地址條件運算子資料類型。

相關用語

一般警告 – 類型不符號碼

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Type mismatch number: Add a valid numeric value for the condition operator.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add a valid numeric value for the condition operator."

解決一般警告

更新文字以使用數字條件運算子資料類型。

相關用語

一般警告 – 類型不符字串

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Type mismatch string: Add a valid base64-encoded string value for the condition operator.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add a valid base64-encoded string value for the condition operator."

解決一般警告

更新文字以使用字串條件運算子資料類型。

相關用語

安全性警告 – 允許使用 NotPrincipal

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."

解決安全警告

使用 "Effect": "Allow"NotPrincipal 可能太過寬鬆。例如,這可將許可授與匿名委託人。AWS 建議您使用 Principal 元素指定需要存取權的委託人。或者,您可以允許廣泛存取,然後新增另一個使用 NotPrincipal 元素與 “Effect”: “Deny” 的陳述式。

安全性警告 – ForAllValues 具有單一數值金鑰

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key can be overly permissive. We recommend that you remove ForAllValues:.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using ForAllValues qualifier with the single-valued condition key can be overly permissive. We recommend that you remove ForAllValues:."

解決安全警告

AWS 建議您僅搭配多值條件使用 ForAllValuesForAllValues 集合運算子會測試請求集每個成員的值是否為條件金鑰集的子集。如果請求中每個索引鍵值至少符合政策中的一個值,則條件會傳回 true。如果請求中沒有索引鍵,或索引鍵值解析為 null 資料集 (例如空白字串),則也會傳回 true。

若要了解條件是支援單一值還是多個值,請檢閱服務的動作、資源及條件索引鍵頁面。具有 ArrayOf 資料類型字首的條件索引鍵是多重值條件索引鍵。例如,Amazon SES 支援具有單一值 (String) 和 ArrayOfString 多重值資料類型的索引鍵。

安全性警告 – 使用 NotResource 傳遞角色

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

解決安全警告

若要設定許多 AWS 服務,您必須將 IAM 角色傳遞至服務。要允許這樣做,你必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。使用政策中的 iam:PassRoleNotResource 元素可允許您的委託人存取比您預期更多的服務或功能。AWS 建議您改為在 Resource 元素中指定允許的 ARN。此外,您可以使用 iam:PassedToService 條件金鑰將許可降低為單一服務。

安全性警告 – 使用動作中的星號和 NotResource 傳遞角色

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."

解決安全警告

若要設定許多 AWS 服務,您必須將 IAM 角色傳遞至服務。要允許這樣做,你必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。在 Action 中具有萬用字元 (*) 的政策與包含 NotResource 元素的政策可允許您的委託人存取比您預期更多的服務或功能。AWS 建議您改為在 Resource 元素中指定允許的 ARN。此外,您可以使用 iam:PassedToService 條件金鑰將許可降低為單一服務。

安全性警告 – 使用 NotAction 和 NotResource 傳遞角色

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."

解決安全警告

若要設定許多 AWS 服務,您必須將 IAM 角色傳遞至服務。要允許這樣做,你必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。使用 NotAction 元素及列出 NotResource 元素中的部分資源可允許您的委託人存取比您預期更多的服務或功能。AWS 建議您改為在 Resource 元素中指定允許的 ARN。此外,您可以使用 iam:PassedToService 條件金鑰將許可降低為單一服務。

安全性警告 – 使用資源中的星號傳遞角色

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

解決安全警告

若要設定許多 AWS 服務,您必須將 IAM 角色傳遞至服務。要允許這樣做,你必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。允許 iam:PassRole 的政策以及在 Resource 元素中包含萬用字元 (*) 的政策允許您的委託人存取比您預期更多的服務或功能。AWS 建議您改為在 Resource 元素中指定允許的 ARN。此外,您可以使用 iam:PassedToService 條件金鑰將許可降低為單一服務。

部分 AWS 服務會在其角色名稱中包含其服務命名空間。此政策檢查會在分析政策以產生問題清單時,將這些慣例納入考量。例如,下列資源 ARN 可能不會產生問題清單:

arn:aws:iam::*:role/Service*

AWS 具有此安全警告的受管政策

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

這些使用案例其中一個適用於您帳戶中的系統管理員。下列 AWS 受管政策可提供進階使用者存取權,並授與許可為任何服務傳遞任何 IAM 角色。AWS 建議您只將下列 AWS 受管政策連接到您認為是系統管理員的 IAM 身分。

下列 AWS 受管政策包含在資源中使用萬用字元 (*) 的 iam:PassRole 許可,且即將遭到取代。針對這每一個政策,我們更新了許可指導,例如建議支援使用案例的新 AWS 受管政策。若要檢視這些政策的替代方案,請參閱指南以瞭解每個服務

  • AWSElasticBeanstalkFullAccess

  • AWSElasticBeanstalkService

  • AWSLambdaFullAccess

  • AWSLambdaReadOnlyAccess

  • AWSOpsWorksFullAccess

  • AWSOpsWorksRole

  • AWSDataPipelineRole

  • AmazonDynamoDBFullAccesswithDataPipeline

  • AmazonElasticMapReduceFullAccess

  • AmazonDynamoDBFullAccesswithDataPipeline

  • AmazonEC2ContainerServiceFullAccess

下列 AWS 受管政策僅提供服務連結角色的許可,允許 AWS 服務代表您執行動作。您可以將這些政策連接到 IAM 身分。

安全性警告 – 使用動作中的星號和資源傳遞角色

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

解決安全警告

若要設定許多 AWS 服務,您必須將 IAM 角色傳遞至服務。要允許這樣做,你必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。在 ActionResource 元素中具有萬用字元 (*) 的政策可允許您的委託人存取比您預期更多的服務或功能。AWS 建議您改為在 Resource 元素中指定允許的 ARN。此外,您可以使用 iam:PassedToService 條件金鑰將許可降低為單一服務。

AWS 具有此安全警告的受管政策

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

其中一些使用案例適用於您帳戶中的系統管理員。下列 AWS 受管政策可提供進階使用者存取權,並授與許可為任何 AWS 服務傳遞任何 IAM 角色。AWS 建議您只將下列 AWS 受管政策連接到您認為是系統管理員的 IAM 身分。

安全性警告 – 使用資源中的星號和 NotAction 傳遞角色

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."

解決安全警告

若要設定許多 AWS 服務,您必須將 IAM 角色傳遞至服務。要允許這樣做,你必須授與 iam:PassRole 許可給身分 (使用者、使用者群組或角色)。使用政策中的 NotAction 元素與 Resource 元素中的萬用字元 (*) 可允許您的委託人存取比您預期更多的服務或功能。AWS 建議您改為在 Resource 元素中指定允許的 ARN。此外,您可以使用 iam:PassedToService 條件索引鍵將許可降低為單一服務。

安全性警告 – 遺失配對的條件索引鍵

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Missing paired condition keys: Using the condition key can be overly permissive without also using the following condition keys:. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the condition key can be overly permissive without also using the following condition keys:. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."

解決安全警告

當與其他相關條件索引鍵配對時,某些條件索引鍵會更安全。AWS 建議您在與現有條件索引鍵相同的條件區塊中包含相關的條件索引鍵。這會使透過政策授與的許可更安全。

例如,您可以使用 aws:VpcSourceIp 條件索引鍵,將從中提出請求的 IP 地址與您在政策中指定的 IP 地址進行比較。AWS 建議您新增相關的 aws:SourceVPC 條件索引鍵。這會檢查請求是否來自您在政策中指定的 VPC 您指定的 IP 地址。

相關用語

安全性警告 – 拒絕使用不支援的服務標籤條件索引鍵

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key and actions for services with the following prefixes can be overly permissive:. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the effect Deny with the tag condition key and actions for services with the following prefixes can be overly permissive:. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."

解決安全警告

在政策的 Condition 元素中使用不支援的標籤條件索引鍵與 "Effect": "Deny" 可能過度寬鬆,因為該服務的條件會予以忽略。AWS 建議您移除不支援條件索引鍵的服務動作,並建立另一個陳述式來拒絕這些動作的特定資源存取。

如果您使用 aws:ResourceTag 條件索引鍵,且其不受服務動作支援,則該索引鍵不會包含在要求內容中。在此案例中,Deny 陳述式中的條件一律會傳回 false,且絕不會拒絕該動作。即使已正確標記資源,也會發生這種情況。

當服務支援 aws:ResourceTag 條件索引鍵時,您可以使用標籤來控制對該服務之資源的存取。這稱為以屬性為基礎的存取控制 (ABAC)。不支援這些索引鍵的服務需要您使用以資源為基礎的存取控制 (RBAC) 來控制對資源的存取權。

注意

某些服務允許支援其資源和動作子集的 aws:ResourceTag 條件索引鍵。IAM Access Analyzer 會傳回不支援服務動作的問題清單。例如,Amazon S3 支援 aws:ResourceTag 以取得其資源的子集。若要檢視 Amazon S3 中可用且支援 aws:ResourceTag 條件索引鍵的所有資源類型,請參閱服務授權參考中的 Amazon S3 定義的資源類型

例如,假設您想要拒絕存取取消標記刪除標記為鍵值組 status=Confidential 的特定資源。另外假設 AWS Lambda 允許您標記和取消標記資源,但不支援 aws:ResourceTag 條件索引鍵。若要拒絕在此標籤存在的情況下 AWS App Mesh 和 AWS Backup 的刪除動作,請使用 aws:ResourceTag 條件索引鍵。對於 Lambda,請使用資源命名慣例,其中包含 "Confidential" 字首。然後包含一個單獨的陳述式,以防止刪除具有該命名慣例的資源。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyDeleteSupported", "Effect": "Deny", "Action": [ "appmesh:DeleteMesh", "backup:DeleteBackupPlan" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/status": "Confidential" } } }, { "Sid": "DenyDeleteUnsupported", "Effect": "Deny", "Action": "lambda:DeleteFunction", "Resource": "arn:aws:lambda:*:403299380220:function:Confidential*" } ] }
警告

請勿使用 …IfExists 版本的條件運算子做為此問題清單的解決方法。這表示「如果索引鍵存在於請求內容中,且值相符,則拒絕動作。否則,請拒絕動作。」 在上述範例中,在 DenyDeleteSupported 陳述式中包含 lambda:DeleteFunction 動作與 StringEqualsIfExists 運算子一律會拒絕該動作。對於該動作,索引鍵不存在於內容中,且每次嘗試刪除該資源類型都會遭到拒絕,無論該資源是否已加上標籤。

相關用語

安全性警告 - 拒絕不支援的服務標籤條件索引鍵的 NotAction

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the effect Deny with NotAction and the tag condition key can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

解決安全警告

在政策的 Condition 元素中使用標籤條件索引鍵與元素 NotAction"Effect": "Deny" 可能太過寬鬆。對於不支援條件索引鍵的服務動作會忽略條件。AWS 建議您重新撰寫邏輯,以拒絕動作清單。

如果您使用 aws:ResourceTag 條件索引鍵與 NotAction,則不會拒絕任何不支援索引鍵的新或現有服務動作。AWS 建議您明確列出您要拒絕的動作。IAM Access Analyzer 會針對所列出不支援 aws:ResourceTag 條件索引鍵的動作傳回個別的問題清單。如需詳細資訊,請參閱 安全性警告 – 拒絕使用不支援的服務標籤條件索引鍵

當服務支援 aws:ResourceTag 條件索引鍵時,您可以使用標籤來控制對該服務之資源的存取。這稱為以屬性為基礎的存取控制 (ABAC)。不支援這些索引鍵的服務需要您使用以資源為基礎的存取控制 (RBAC) 來控制對資源的存取權。

相關用語

安全性警告 - 限制存取服務委託人

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn or aws:SourceAccount condition key and scope access to a specific source to grant fine-grained access.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn or aws:SourceAccount condition key and scope access to a specific source to grant fine-grained access."

解決安全警告

您可使用服務委託人 (服務的識別符),在資源型政策的 Principal 元素中指定 AWS 服務。授予服務委託人代表您採取行動的存取權時,會限制存取。您可以防止過度寬鬆政策,方法是使用 aws:SourceAccountaws:SourceArn 條件索引鍵限制存取特定的來源,例如特定的資源 ARN 或 AWS 帳戶。限制存取可協助您避免名為混淆代理人問題的安全問題。

相關用語

建議 – 空陣列動作

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty array action: This statement includes no actions and does not affect the policy. Specify actions.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."

解決建議

陳述式必須包含一個 ActionNotAction 元素,其中包括一組動作。當元素為空時,政策陳述式不會提供任何許可。指定 Action 元素中的動作。

建議 – 空陣列條件

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty array condition: There are no values for the condition key and it does not affect the policy. Specify conditions.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "There are no values for the condition key and it does not affect the policy. Specify conditions."

解決建議

選擇性的 Condition 元素結構會要求您使用條件運算子和鍵值組。當條件值為空時,條件會傳回 true,且政策陳述式不會提供任何許可。指定條件值。

建議 – 空陣列條件 ForAllValues

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

解決建議

Condition 元素結構會要求您使用條件運算子和鍵值組。ForAllValues 集合運算子會測試請求集每個成員的值是否為條件索引鍵集的子集。

當您使用 ForAllValues 與空條件索引鍵時,只有在請求中沒有索引鍵時才會符合條件。AWS 建議如果您想要測試請求內容是否為空,請改用 Null 條件運算子。

建議 – 空陣列條件 ForAnyValue

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key never matches the request context and it does not affect the policy. Specify conditions.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The ForAnyValue prefix with an empty condition key never matches the request context and it does not affect the policy. Specify conditions."

解決建議

Condition 元素結構會要求您使用條件運算子和鍵值組。ForAnyValues 集合運算子會測試這組請求值是否至少有一個成員符合這組條件鍵值的至少一個成員。

當您使用 ForAnyValues 與空條件索引鍵時,條件一律不會相符。這表示陳述式對政策沒有任何影響。AWS 建議您重新寫入條件。

建議 – 空陣列條件 IfExists

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The IfExists suffix with an empty condition key matches only if the key is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."

解決建議

...IfExists 後置詞會編輯條件運算子。這表示如果政策索引鍵中存在於請求的內容中,則依照政策所述來處理索引鍵。如果該索引鍵不存在,則評估條件元素為 true。

當您使用 ...IfExists 與空條件索引鍵時,只有在請求中沒有索引鍵時才會符合條件。AWS 建議如果您想要測試請求內容是否為空,請改用 Null 條件運算子。

建議 – 空陣列委託人

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

解決建議

您必須在 IAM 角色和以資源為基礎的政策中使用 PrincipalNotPrincipal 元素。資源型政策是您直接內嵌在資源中的政策。

當您在陳述式的 Principal 元素中提供空陣列時,陳述式對政策沒有任何影響。AWS 建議您指定應可存取資源的委託人。

建議 – 空陣列資源

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."

解決建議

陳述式必須包含 ResourceNotResource 元素。

當您在陳述式的資源元素中提供空陣列時,陳述式對政策沒有任何影響。AWS 建議您指定資源的 Amazon 資源名稱 (ARN)。

建議 – 空物件條件

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."

解決建議

Condition 元素結構會要求您使用條件運算子和鍵值組。

當您在陳述式的條件元素中提供空物件時,陳述式對政策沒有任何影響。移除可選元素或指定條件。

建議 – 空物件委託人

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."

解決建議

您必須在 IAM 角色和以資源為基礎的政策中使用 PrincipalNotPrincipal 元素。資源型政策是您直接內嵌在資源中的政策。

當您在陳述式的 Principal 元素中提供空物件時,陳述式對政策沒有任何影響。AWS 建議您指定應可存取資源的委託人。

建議 – 空 Sid 值

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Empty Sid value: Add a value to the empty string in the Sid element.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Add a value to the empty string in the Sid element."

解決建議

選擇性的 Sid (陳述式 ID) 元素允許您輸入您為政策陳述式提供的識別碼。您可以將 Sid 值指派給陳述式陣列中的每個陳述式。如果您選擇使用 Sid 元素,您必須提供字串值。

相關用語

建議 – 改善 IP 範圍

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with."

解決建議

IP 地址條件必須採用標準 CIDR 格式,例如 203.0.113.0/24 或 2001:DB8:1234:5678::/64。當您在遮罩位元之後包含非零位元時,條件不會將其列入考量。AWS 建議您使用訊息中包含的新地址。

建議 – Null 具有限定詞

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."

解決建議

在 Condition 元素中,您所建置的表達式使用條件運算子 (例如等於或小於) 來比較政策中的條件索引鍵與值,以及請求內容中的索引鍵與值。針對包含多個值的單一條件索引鍵請求,您必須使用 ForAllValuesForAnyValue 集合運算子。

當您使用 Null 條件運算子與 ForAllValues 時,陳述式一律會傳回 true。當您使用 Null 條件運算子與 ForAnyValue 時,陳述式一律會傳回 false。AWS 建議您使用 StringLike 條件運算子與這些集合運算子。

相關用語

建議 – 私有 IP 地址子集

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

解決建議

全域條件索引鍵 aws:SourceIp 僅適用於公有 IP 地址範圍。

當您的 Condition 元素包含私有和公有 IP 地址的混合時,陳述式可能沒有預期的效果。您可以使用 aws:VpcSourceIP 來指定私有 IP 地址。

注意

只有在請求來自指定 IP 地址並且透過 VPC 端點時,全域條件索引鍵 aws:VpcSourceIP 才會相符。

建議 – 私有 NotIpAddress 子集

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."

解決建議

全域條件索引鍵 aws:SourceIp 僅適用於公有 IP 地址範圍。

當您的 Condition 元素包含 NotIpAddress 條件運算子與私有和公有 IP 地址的混合時,陳述式可能沒有預期的效果。每個未在政策中指定的公有 IP 地址都會相符。沒有任何私有 IP 地址會相符。為了達到這個效果,你可以使用 NotIpAddressaws:VpcSourceIP,然後指定不應相符的私有 IP 地址。

建議 – 冗餘動作

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Redundant action: The action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as:.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as:."

解決建議

當您在 Action 元素中使用萬用字元 (*) 時,您可以包含冗餘許可。AWS 建議您檢閱政策,並僅包含您需要的許可。這可協助您移除冗餘動作。

例如,下列動作包含 iam:GetCredentialReport 動作兩次。

"Action": [ "iam:Get*", "iam:List*", "iam:GetCredentialReport" ],

在此範例中,會針對以 GetList 為開頭的每個 IAM 動作定義許可。當 IAM 新增其他取得或清單操作時,此政策將允許這些操作。您可能想要允許這全部的唯讀動作。iam:GetCredentialReport 動作已包含在內做為 iam:Get*。若要移除重複的許可,您可以移除 iam:GetCredentialReport

當動作的所有內容都是冗餘時,您會收到此政策檢查的問題清單。在此範例中,如果元素包含 iam:*CredentialReport,其不被認為是冗餘。其中包括 iam:GetCredentialReport (此為冗餘) 以及 iam:GenerateCredentialReport (此非為冗餘)。移除 iam:Get*iam:*CredentialReport 會變更政策的許可。

AWS 受管政策與此建議

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

冗餘動作並不會影響政策所授與的許可。當您使用 AWS 受管政策做為建立客戶受管政策的參考時,AWS 建議您從政策中移除冗餘動作。

建議 – 冗餘條件值編號

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Redundant condition value num: Multiple values in are redundant. Replace with the greatest/least single value for.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Multiple values in are redundant. Replace with the greatest/least single value for."

解決建議

當您針對條件金鑰中的類似值使用數值條件運算子時,您可以建立導致冗餘許可的重疊。

例如,下列 Condition 元素包含多個 aws:MultiFactorAuthAge 條件,具有 1200 秒的年齡重疊。

"Condition": { "NumericLessThan": { "aws:MultiFactorAuthAge": [ "2700", "3600" ] } }

在此範例中,如果多重要素驗證 (MFA) 完成時少於 3600 秒 (1 小時) 以前,就會定義許可。您可以移除冗餘 2700 值。

建議 – 冗餘資源

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Redundant resource: The resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"

解決建議

在 Amazon 資源名稱 (ARN) 中使用萬用字元 (*) 時,您可以建立冗餘資源許可。

例如,下列 Resource 元素包含多個 ARN 與冗餘許可。

"Resource": [ "arn:aws:iam::111122223333:role/jane-admin", "arn:aws:iam::111122223333:role/jane-s3only", "arn:aws:iam::111122223333:role/jane*" ],

在此範例中,會針對任何名稱開頭為 jane 的角色定義許可。您可以移除冗餘 jane-adminjane-s3only ARN 而不變更結果許可。這確實會使政策為動態。其將定義任何未來角色開頭為 jane 的許可。如果政策的目的是允許存取靜態數量的角色,則移除最後一個 ARN,並僅列出應定義的 ARN。

AWS 受管政策與此建議

AWS 受管政策讓您根據一般 AWS 使用案例通過分配許可開始使用 AWS。

冗餘資源並不會影響政策所授與的許可。當您使用 AWS 受管政策做為建立客戶受管政策的參考時,AWS 建議您從政策中移除冗餘資源。

建議 – 冗餘陳述式

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."

解決建議

Statement 元素是政策的主要元素。此元素為必要。Statement 元素可包含單一陳述式,或是個別陳述式的陣列。

當您在長政策中多次包含相同的陳述式時,陳述式為冗餘。您可以移除其中一個陳述式,而不會影響政策授與的許可。當有人編輯政策時,他們可能會變更其中一個陳述式,而不會更新複本。這可能會導致超過預期的許可。

建議 – 服務名稱中的萬用字元

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."

解決建議

當您在政策中包含 AWS 服務的名稱時,AWS 建議您不要包含萬用字元 (*、?)。這可能會為您不想要的未來服務新增許可。例如,有十幾個 AWS 服務在其名稱中包含 *code* 字詞。

"Resource": "arn:aws:*code*::111122223333:*"

建議 - 使用服務不支援的標籤條件索引鍵允許

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key and actions for services with the following prefixes does not affect the policy:. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the effect Allow with the tag condition key and actions for services with the following prefixes does not affect the policy:. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."

解決建議

在政策的 Condition 元素中使用不支援的標籤條件索引鍵與 "Effect": "Allow" 並不會影響政策授與的許可,因為該服務動作的條件會予以忽略。AWS 建議您移除不支援條件索引鍵的服務動作,並建立另一個陳述式來允許存取該服務中的特定資源。

如果您使用 aws:ResourceTag 條件索引鍵,且其不受服務動作支援,則該索引鍵不會包含在要求內容中。在此案例中,Allow 陳述式中的條件一律會傳回 false,且絕不會允許該動作。即使已正確標記資源,也會發生這種情況。

當服務支援 aws:ResourceTag 條件索引鍵時,您可以使用標籤來控制對該服務之資源的存取。這稱為以屬性為基礎的存取控制 (ABAC)。不支援這些索引鍵的服務需要您使用以資源為基礎的存取控制 (RBAC) 來控制對資源的存取權。

注意

某些服務允許支援其資源和動作子集的 aws:ResourceTag 條件索引鍵。IAM Access Analyzer 會傳回不支援服務動作的問題清單。例如,Amazon S3 支援 aws:ResourceTag 以取得其資源的子集。若要檢視 Amazon S3 中可用且支援 aws:ResourceTag 條件金鑰的所有資源類型,請參閱服務授權參考中的 Amazon S3 定義的資源類型

例如,假設您想要允許團隊成員檢視標記為鍵值組 team=BumbleBee 的特定資源詳細資訊。另外假設 AWS Lambda 允許您標記資源,但不支援 aws:ResourceTag 條件索引鍵。若要拒絕在此標籤存在的情況下 AWS App Mesh 和 AWS Backup 的刪除動作,請使用 aws:ResourceTag 條件索引鍵。對於 Lambda,請使用資源命名慣例,其中包含團隊名稱做為字首。然後包含一個單獨的陳述式,以防止檢視具有該命名慣例的資源。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewSupported", "Effect": "Allow", "Action": [ "appmesh:DescribeMesh", "backup:GetBackupPlan" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/status": "New" } } }, { "Sid": "AllowViewUnsupported", "Effect": "Allow", "Action": "lambda:GetFunction", "Resource": "arn:aws:lambda:*:403299380220:function:New*" } ] }
警告

請勿使用 Not 版的條件運算子搭配 "Effect": "Allow" 做為此問題清單的解決方法。這些條件運算子提供否定相符。這表示評估條件後,結果受到否定。在上述範例中,在 AllowViewSupported 陳述式中包含 lambda:GetFunction 動作與 StringNotEquals 運算子一律允許動作,無論該資源是否已加上標籤。

請勿使用 …IfExists 版本的條件運算子做為此問題清單的解決方法。這表示「如果索引鍵存在於請求內容中,且值相符,則允許動作。否則,允許動作。」 在上述範例中,在 AllowViewSupported 陳述式中包含 lambda:GetFunction 動作與 StringEqualsIfExists 運算子一律會允許該動作。對於該動作,索引鍵不存在於內容中,且每次嘗試檢視該資源類型都會允許,無論該資源是否已加上標籤。

相關用語

建議 - 使用服務不支援的標籤條件索引鍵允許 NotAction

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "Using the effect Allow with NotAction and the tag condition key allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."

解決建議

在政策的 Condition 元素中使用不受支援的標籤條件索引鍵與元素 NotAction"Effect": "Allow" 並不會影響政策所授與的許可。對於不支援條件金鑰的服務動作會忽略條件。AWS 建議您重新撰寫邏輯,以允許動作清單。

如果您使用 aws:ResourceTag 條件索引鍵與 NotAction,則不會允許任何不支援索引鍵的新或現有服務動作。AWS 建議您明確列出您要允許的動作。IAM Access Analyzer 會針對所列出不支援 aws:ResourceTag 條件索引鍵的動作傳回個別的問題清單。如需詳細資訊,請參閱 建議 - 使用服務不支援的標籤條件索引鍵允許

當服務支援 aws:ResourceTag 條件索引鍵時,您可以使用標籤來控制對該服務之資源的存取。這稱為以屬性為基礎的存取控制 (ABAC)。不支援這些索引鍵的服務需要您使用以資源為基礎的存取控制 (RBAC) 來控制對資源的存取權。

相關用語

建議 - 政策中的不相關條件索引鍵

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Irrelevant condition key in policy: The condition key is not relevant for the policy. Use this key in an identity-based policy to govern access to this resource.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "The condition key is not relevant for the policy. Use this key in an identity-based policy to govern access to this resource."

解決建議

部分條件索引鍵與資源型政策無關。例如,s3:ResourceAccount 條件索引鍵與連接至 Amazon S3 儲存貯體或 Amazon S3 存取點資源類型的資源型政策無關。

您應在身分型政策中使用條件索引鍵,以控制存取資源。

相關用語

在 AWS Management Console 中,此檢查的問題清單包含下列訊息:

Recommended condition key for service principal: To restrict access to the service principal operating on your behalf, we recommend aws:SourceArn or aws:SourceAccount instead of.

在程式設計呼叫 AWS CLI 或 AWS API 中,此檢查的問題清單包含下列訊息:

"findingDetails": "To restrict access to the service principal operating on your behalf, we recommend aws:SourceArn or aws:SourceAccount instead of."

解決建議

您可使用服務委託人 (服務的識別符),在資源型政策的 Principal 元素中指定 AWS 服務。在授予服務委託人的存取權時,您應該使用 aws:SourceAccountaws:SourceArn 條件索引鍵,而不是其他條件索引鍵 (例如 aws:Referer)。這可協助您避免名為混淆代理人問題的安全問題。

相關用語