iam-policy-no-statements-with-full-access

檢查您建立的 AWS Identity and Access Management (IAM) 政策是否將許可授與個別 AWS 資源上的所有動作。如果任何客戶受管 IAM 政策允許至少一項服務的完整存取權，則該規則為「NON_COMPON_」。 AWS

內容：建議遵循最低權限原則，在授予 AWS 服務許可時限制 IAM 政策中允許的動作。此方法有助於確保您僅授與必要的權限，方法是指定所需的確切動作，避免對服務使用不受限制的萬用字元，例如。ec2:*

在某些情況下，您可能希望允許具有類似前置詞的多個動作，例如DescribeFlow日誌和DescribeAvailability區域。在這些情況下，您可以將字尾萬用字元新增至常用前置字元 (例如，ec2:Describe*)。分組相關動作有助於避免達到 IAM 政策大小限制。

如果您使用帶有尾碼萬用字元的前置動作 (例如，)，此規則將傳回 COMPETITED。ec2:Describe*只有在您使用不受限制的萬用字元 (例如) 時，此規則才會傳回「NON_COMPLUTION」。ec2:*

注意

此規則僅評估客戶管理政策。此規則不會評估內嵌原則或 AWS 受管理的策略。如需不同之處的詳細資訊，請參閱《IAM 使用者指南》中的受管政策和內嵌政策。

識別符：IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS

資源類型： AWS::IAM::Policy

觸發類型： Configuration changes (組態變更)

AWS 區域：所有支援的 AWS 地區

參數：

排除PermissionBoundaryPolicy （可選）

類型：布林值

布林值標記，用於排除用作許可界限的 IAM 政策評估。如果設定為 'true'，則規則將不會在評估中包含許可界限。否則，當值設為 'false' 時，系統會評估範圍中的所有 IAM 政策。預設值為 'false'。

AWS CloudFormation 範本

若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則，請參閱建立 AWS Config 受管規則 (使用 AWS CloudFormation 範本)。