Referenz zur Überprüfung der IAM-Richtlinien-Validierung
Sie können Ihre Richtlinien mit AWS Identity and Access Management Access Analyzer-Richtlinienvalidierung validieren. Sie können eine Richtlinie mithilfe desAWS CLI,AWS-API oder JSON-Richtlinieneditors in der IAM-Konsole. IAM Access Analyzer validiert Ihre Richtlinie anhand der IAM-Richtliniengrammatik und anhand von bewährten Methoden für AWS. Sie können die Ergebnisse der Richtlinienvalidierung anzeigen, die Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge für Ihre Richtlinie enthalten. Diese Ergebnisse enthalten verwertbare Empfehlungen, mit denen Sie Richtlinien erstellen können, die funktionsfähig sind und den bewährten Sicherheitsmethoden entsprechen. Die grundlegenden Richtlinienüberprüfungen, die von IAM Access Analyzer bereitgestellt werden, sind unten aufgeführt. Für die Durchführung von Richtlinienvalidierungsprüfungen fallen keine zusätzlichen Gebühren an. Weitere Informationen zum Validieren von Richtlinien mit der Richtlinienvalidierung finden Sie unter Validieren von Richtlinien mit IAM Access Analyzer.
Fehler – ARN Konto nicht zulässig
Fehlercode: ARN_ACCOUNT_NOT_ALLOWED
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
ARN account not allowed: The service {{service}} does not support specifying an account ID in the resource ARN.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The service {{service}} does not support specifying an account ID in the resource ARN."Beheben des Fehlers
Entfernen Sie die Konto-ID aus dem Ressourcen-ARN. Die Ressourcen-ARNs für einige AWS-Services unterstützen nicht die Angabe einer Konto-ID.
Amazon S3 unterstützt beispielsweise keine Konto-ID als Namespace in Bucket-ARNs. Der Name eines Amazon S3-Buckets ist global eindeutig, und der Namespace wird von allen AWS-Konten verwendet. Um alle in Amazon S3 verfügbaren Ressourcentypen zu sehen, siehe Ressourcentypen, die von Amazon S3 definiert werden, in der Service Authorization Reference.
Verwandte Begriffe
Fehler – ARN Region nicht zulässig
Fehlercode: ARN_REGION_NOT_ALLOWED
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
ARN Region not allowed: The service {{service}} does not support specifying a Region in the resource ARN.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The service {{service}} does not support specifying a Region in the resource ARN."Beheben des Fehlers
Entfernen Sie die Region aus der Ressourcen-ARN. Die Ressourcen-ARNs für einige AWS-Services unterstützen nicht die Angabe einer Region.
IAM ist beispielsweise ein globaler Service. Der Regionsteil eines IAM-Ressourcen-ARN wird immer leer gehalten. IAM-Ressourcen sind global, wie ein AWS-Konto es heute ist. Nachdem Sie sich zum Beispiel als IAM-Benutzer angemeldet haben, können Sie auf AWS-Services in jeder geografischen Region zugreifen.
Fehler – Datentyp stimmt nicht überein
Fehlercode: DATA_TYPE_MISMATCH
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Data type mismatch: The text does not match the expected JSON data type {{data_type}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The text does not match the expected JSON data type {{data_type}}."Beheben des Fehlers
Aktualisieren Sie den Text, um den unterstützten Datentyp zu verwenden.
Zum Beispiel, das Version-Globale Bedingungsschlüssel erfordert einen String-Datentyp. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.
Verwandte Begriffe
Fehler – Doppelte Schlüssel mit unterschiedlicher Groß- und Kleinschreibung
Fehlercode: DUPLICATE_KEYS_WITH_DIFFERENT_CASE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Duplicate keys with different case: The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{key}} appears more than once with different capitalization in the same condition block. Remove the duplicate condition keys."Beheben des Fehlers
Überprüfen Sie die ähnlichen Bedingungsschlüssel innerhalb desselben Bedingungsblocks und verwenden Sie dieselbe Großschreibung für alle Instances.
A Bedingungsblock ist der Text innerhalb des Condition-Element einer Policy-Anweisung. Bei Namen von Bedingungsschlüsseln wird die Groß- und Kleinschreibung nicht beachtet. Die Groß-/Kleinschreibung der Werte von Bedingungsschlüsseln hängt vom verwendeten Bedingungsoperator ab. Weitere Hinweise zur Berücksichtigung von Groß- und Kleinschreibung in Bedingungsschlüssel finden Sie unter IAM-JSON-Richtlinienelemente: Condition.
Verwandte Begriffe
Fehler – Ungültige Aktion
Fehlercode: INVALID_ACTION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid action: The action {{action}} does not exist. Did you mean {{valid_action}}?
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The action {{action}} does not exist. Did you mean {{valid_action}}?"Beheben des Fehlers
Die angegebene Aktion ist ungültig. Dies kann passieren, wenn Sie das Servicepräfix oder den Aktionsnamen falsch eingeben. Bei einigen häufig auftretenden Problemen gibt die Richtlinienprüfung eine vorgeschlagene Aktion zurück.
Verwandte Begriffe
AWSVerwaltete -Richtlinien mit diesem Fehler
Verwaltete AWS-RichtlinienSo sehen die ersten Schritte mit.AWSdurch Zuweisen von Berechtigungen basierend auf allgemeinen AWS-Anwendungsfälle.
Folgendes verwaltete AWS-Richtlinien enthalten ungültige Aktionen in ihren Richtlinienanweisungen. Ungültige Aktionen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Wenn Sie eine verwaltete AWS-Richtlinie als Referenz zur Erstellung Ihrer verwalteten Richtlinie verwenden, empfiehlt AWS, dass Sie ungültige Aktionen aus Ihrer Richtlinie entfernen.
Fehler – Ungültiges ARN Konto
Fehlercode: INVALID_ARN_ACCOUNT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid ARN account: The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The resource ARN account ID {{account}} is not valid. Provide a 12-digit account ID."Beheben des Fehlers
Aktualisieren Sie die Konto-ID im Ressourcen-ARN. Konto-IDs sind 12-stellige Ganzzahlen. Wie Sie Ihre Konto-ID einsehen können, erfahren Sie unter Finden Ihrer AWS-Konto-ID.
Verwandte Begriffe
Fehler – Ungültiges ARN Präfix
Fehlercode: INVALID_ARN_PREFIX
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid ARN prefix: Add the required prefix (arn) to the resource ARN.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add the required prefix (arn) to the resource ARN."Beheben des Fehlers
AWS-Ressourcen-ARNs müssen die erforderliche arn:-Präfix beinhalten.
Verwandte Begriffe
Fehler – Ungültige ARN Region
Fehlercode: INVALID_ARN_REGION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid ARN Region: The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The Region {{region}} is not valid for this resource. Update the resource ARN to include a supported Region."Beheben des Fehlers
Der Ressourcentyp wird in der angegebenen Region nicht unterstützt. Eine Liste der unterstützten AWS-Services in jeder Region (ohne Endpunkte) finden Sie in der Regionstabelle
Verwandte Begriffe
Fehler – Ungültige ARN Ressource
Fehlercode: INVALID_ARN_RESOURCE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid ARN resource: Resource ARN does not match the expected ARN format. Update the resource portion of the ARN.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Resource ARN does not match the expected ARN format. Update the resource portion of the ARN."Beheben des Fehlers
Der Ressourcen-ARN muss mit den Spezifikationen für bekannte Ressourcentypen übereinstimmen. Informationen zum Anzeigen des erwarteten ARN Formats für einen Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services. Wählen Sie den Namen des Service aus, um seine Ressourcentypen und ARN Formate anzuzeigen.
Verwandte Begriffe
Fehler – Ungültiger ARN -Servicefall
Fehlercode: INVALID_ARN_SERVICE_CASE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid ARN service case: Update the service name {{service}} in the resource ARN to use all lowercase letters.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Update the service name {{service}} in the resource ARN to use all lowercase letters."Beheben des Fehlers
Das Service im Ressourcen-ARN muss mit den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Servicepräfixe übereinstimmen. Informationen zum Anzeigen des Präfixes für ein Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.
Verwandte Begriffe
Fehler – Ungültiger Bedingungsdatentyp
Fehlercode: INVALID_CONDITION_DATA_TYPE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid condition data type: The condition value data types do not match. Use condition values of the same JSON data type.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition value data types do not match. Use condition values of the same JSON data type."Beheben des Fehlers
Der Wert im Bedingungsschlüssel-Wert-Paar muss mit dem Datentyp des Bedingungsschlüssels und des Bedingungsoperators übereinstimmen. Informationen zum Anzeigen des Bedingungsschlüssel-Datentyps für ein Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.
Der globale Bedingungsschlüssel CurrentTime unterstützt zum Beispiel den Date-Bedingungsoperator. Wenn Sie eine Zeichenfolge oder eine Ganzzahl für den Wert im Bedingungsblock angeben, stimmt der Datentyp nicht überein.
Verwandte Begriffe
Fehler – Ungültiges Bedingungsschlüsselformat
Fehlercode: INVALID_CONDITION_KEY_FORMAT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid condition key format: The condition key format is not valid. Use the format service:keyname.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key format is not valid. Use the format service:keyname."Beheben des Fehlers
Der Schlüssel im Zustands-Schlüssel-Wert-Paar muss mit den Spezifikationen für das Service übereinstimmen. Informationen zum Anzeigen des Bedingungsschlüssel-Datentyps für ein Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.
Verwandte Begriffe
Fehler – Ungültige Bedingung mehrere boolesche Werte
Fehlercode: INVALID_CONDITION_MULTIPLE_BOOLEAN
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid condition multiple Boolean: The condition key does not support multiple Boolean values. Use a single Boolean value.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key does not support multiple Boolean values. Use a single Boolean value."Beheben des Fehlers
Der Schlüssel im Bedingungsschlüssel-Wert-Paar erwartet einen einzelnen booleschen Wert. Wenn Sie mehrere boolesche Werte angeben, gibt die Bedingungsübereinstimmung möglicherweise nicht die erwarteten Ergebnisse zurück.
Informationen zum Anzeigen des Bedingungsschlüssel-Datentyps für ein Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services. Wählen Sie den Namen des Service, um die Bedingungsschlüssel für diesen Service anzuzeigen.
Fehler – Ungültiger Bedingungsoperator
Fehlercode: INVALID_CONDITION_OPERATOR
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid condition operator: The condition operator {{operator}} is not valid. Use a valid condition operator.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition operator {{operator}} is not valid. Use a valid condition operator."Beheben des Fehlers
Aktualisieren Sie die Bedingung, um einen unterstützten Bedingungsoperator zu verwenden.
Verwandte Begriffe
Fehler – Ungültiger Effekt
Fehlercode: INVALID_EFFECT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid effect: The effect {{effect}} is not valid. Use Allow or Deny.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The effect {{effect}} is not valid. Use Allow or Deny."Beheben des Fehlers
Aktualisieren des Effect-Element, um einen gültigen Effekt zu verwenden. Gültige Werte für Effect sind Allow und Deny.
Verwandte Begriffe
Fehler – Ungültiger -Bedingungsschlüssel
Fehlercode: INVALID_GLOBAL_CONDITION_KEY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid global condition key: The condition key {{key}} does not exist. Use a valid condition key.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{key}} does not exist. Use a valid condition key."Beheben des Fehlers
Aktualisieren Sie den Bedingungsschlüssel im Bedingungsschlüssel-Wert-Paar, um einen unterstützten globalen Bedingungsschlüssel zu verwenden.
Globale Bedingungsschlüssel sind Bedingungsschlüssel mit einem aws:-Präfix. AWS-Services können globale Bedingungsschlüssel unterstützen oder servicespezifische Schlüssel bereitstellen, die ihr Servicepräfix enthalten. Beispielsweise enthalten IAM-Bedingungsschlüssel das iam:-Präfix. Weitere Informationen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services . Wählen Sie den Service aus, dessen Schlüssel Sie anzeigen möchten.
Verwandte Begriffe
Fehler – Ungültige Partition
Fehlercode: INVALID_PARTITION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid partition: The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The resource ARN for the service {{service}} does not support the partition {{partition}}. Use the supported values: {{partitions}}"Beheben des Fehlers
Aktualisieren Sie den Ressourcen-ARN, um eine unterstützte Partition einzuschließen. Wenn Sie eine unterstützte Partition enthalten, unterstützt das Service oder die Ressource die Partition, die Sie enthalten haben, möglicherweise nicht.
Eine Partition ist eine Gruppe von AWS-Regionen. Jedes AWS-Konto ist auf eine Partition angelegt. Verwenden Sie in klassischen Regionen die aws-Partition. Verwenden Sie in China-Regionen aws-cn.
Verwandte Begriffe
Fehler – Ungültiges Richtlinienelement
Fehlercode: INVALID_POLICY_ELEMENT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid policy element: The policy element {{element}} is not valid.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The policy element {{element}} is not valid."Beheben des Fehlers
Aktualisieren Sie die Richtlinie, um nur unterstützte JSON-Richtlinienelemente einzuschließen.
Verwandte Begriffe
Fehler – Ungültiges Prinzipalformat
Fehlercode: INVALID_PRINCIPAL_FORMAT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid principal format: The Principal element contents are not valid. Specify a key-value pair in the Principal element.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The Principal element contents are not valid. Specify a key-value pair in the Principal element."Beheben des Fehlers
Aktualisieren Sie den Prinzipal, um ein unterstütztes Schlüssel-Wert-Paarformat zu verwenden.
Sie können in einer ressourcenbasierten Richtlinie einen Prinzipal angeben, aber keine identitätsbasierte Richtlinie.
Um beispielsweise den Zugriff für alle Mitglieder eines AWS-Kontos festzulegen, verwenden Sie in Ihrer Richtlinie den folgenden Grundsatz:
"Principal": { "AWS": "123456789012" }Verwandte Begriffe
Fehler – Ungültiger Prinzipalschlüssel
Fehlercode: INVALID_PRINCIPAL_KEY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid principal key: The principal key {{principal-key}} is not valid.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The principal key {{principal-key}} is not valid."Beheben des Fehlers
Aktualisieren Sie den Schlüssel im Hauptschlüssel-Wert-Paar, um einen unterstützten Prinzipalschlüssel zu verwenden. Die folgenden Hauptschlüssel werden unterstützt:
AWS
CanonicalUser
Verbund
Service
Verwandte Begriffe
Fehler – Ungültiger Bereich
Fehlercode: INVALID_REGION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid Region: The Region {{region}} is not valid. Update the condition value to a suported Region.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The Region {{region}} is not valid. Update the condition value to a suported Region."Beheben des Fehlers
Aktualisieren Sie den Wert des Bedingungsschlüssel-Wert-Paars, um eine unterstützte Region einzuschließen. Eine Liste der unterstützten AWS-Services in jeder Region (ohne Endpunkte) finden Sie in der Regionstabelle
Verwandte Begriffe
Fehler – Ungültiges Service
Fehlercode: INVALID_SERVICE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid service: The service {{service}} does not exist. Use a valid service name.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The service {{service}} does not exist. Use a valid service name."Beheben des Fehlers
Das Servicepräfix im Aktions- oder Bedingungsschlüssel muss mit den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Servicepräfixe übereinstimmen. Informationen zum Anzeigen des Präfixes für ein Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.
Verwandte Begriffe
Fehler – Ungültiger Service-Bedingungsschlüssel
Fehlercode: INVALID_SERVICE_CONDITION_KEY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid service condition key: The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{key}} does not exist in the service {{service}}. Use a valid condition key."Beheben des Fehlers
Aktualisieren Sie den Schlüssel im Bedingungsschlüssel-Wert-Paar, um einen bekannten Bedingungsschlüssel für das Service zu verwenden. Globale Bedingungsschlüssel sind Bedingungsschlüssel mit einem aws-Präfix. AWS-Services können servicespezifische Schlüssel bereitstellen, die das Service-Präfix enthalten. Informationen zum Anzeigen des Präfixes für ein Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services.
Verwandte Begriffe
Fehler – Ungültiges Service in Aktion
Fehlercode: INVALID_SERVICE_IN_ACTION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid service in action: The service {{service}} specified in the action does not exist. Did you mean {{service2}}?
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The service {{service}} specified in the action does not exist. Did you mean {{service2}}?"Beheben des Fehlers
Das Servicepräfix in der Aktion muss mit den Spezifikationen (einschließlich Groß-/Kleinschreibung) für Servicepräfixe übereinstimmen. Informationen zum Anzeigen des Präfixes für ein Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services. Wählen Sie den Namen des Service und suchen das Präfix im ersten Satz.
Verwandte Begriffe
Fehler – Ungültige Variable für den Operator
Fehlercode: INVALID_VARIABLE_FOR_OPERATOR
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid variable for operator: Policy variables can only be used with String and ARN operators.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Policy variables can only be used with String and ARN operators."Beheben des Fehlers
Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden. Bedingungen unterstützen Variablen, wenn Sie String-Operatoren oder ARN Operatoren verwenden. String-Operatoren beinhalten StringEquals, StringLike und StringNotLike. ARN-Operatoren beinhalten ArnEquals und ArnLike. Sie können eine Richtlinienvariable nicht mit anderen Operatoren verwenden, z. B. mit numerischen, Datums-, booleschen, binären, IP-Adress- oder Null-Operatoren.
Verwandte Begriffe
Ungültige Version
Fehlercode: INVALID_VERSION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid version: The version {{version}} is not valid. Use one of the following versions: {{versions}}
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The version {{version}} is not valid. Use one of the following versions: {{versions}}"Beheben des Fehlers
Die Version-Richtlinienelemente legen die Sprachsyntaxregeln fest, die AWS für die Verarbeitung einer Richtlinie verwendet werden sollen. Um alle verfügbaren Richtlinienfunktionen zu nutzen, fügen Sie das folgende Element Version vor dem Element Statement in alle Ihre Richtlinien ein.
"Version": "2012-10-17"
Verwandte Begriffe
Fehler – Json-Syntaxfehler
Fehlercode: JSON_SYNTAX_ERROR
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Json syntax error: Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Fix the JSON syntax error at index {{index}} line {{line}} column {{column}}."Beheben des Fehlers
Ihre Richtlinie enthält einen Syntaxfehler. Überprüfen Sie Ihre JSON-Syntax.
Verwandte Begriffe
Fehler – Json-Syntaxfehler
Fehlercode: JSON_SYNTAX_ERROR
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Json syntax error: Fix the JSON syntax error.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Fix the JSON syntax error."Beheben des Fehlers
Ihre Richtlinie enthält einen Syntaxfehler. Überprüfen Sie Ihre JSON-Syntax.
Verwandte Begriffe
Fehler – Fehlende Aktion
Fehlercode: MISSING_ACTION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing action: Add an Action or NotAction element to the policy statement.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add an Action or NotAction element to the policy statement."Beheben des Fehlers
AWS JSON-Richtlinien müssen ein Action- oder NotAction-Element enthalten.
Verwandte Begriffe
Fehler – Fehlendes ARN Feld
Fehlercode: MISSING_ARN_FIELD
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing ARN field: Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Resource ARNs must include at least {{fields}} fields in the following structure: arn:partition:service:region:account:resource"Beheben des Fehlers
Alle Felder im Ressourcen-ARN müssen mit den Spezifikationen für einen bekannten Ressourcentyp übereinstimmen. Informationen zum Anzeigen des erwarteten ARN Formats für einen Service finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services. Wählen Sie den Namen des Service aus, um seine Ressourcentypen und ARN Formate anzuzeigen.
Verwandte Begriffe
Fehler – Fehlende ARN Region
Fehlercode: MISSING_ARN_REGION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing ARN Region: Add a Region to the {{service}} resource ARN.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add a Region to the {{service}} resource ARN."Beheben des Fehlers
Die Ressourcen-ARNs für die meisten AWS-Services erfordern, dass Sie eine Region angeben. Eine Liste der unterstützten AWS-Services in jeder Region (ohne Endpunkte) finden Sie in der Regionstabelle
Verwandte Begriffe
Fehler – Fehlender Effekt
Fehlercode: MISSING_EFFECT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing effect: Add an Effect element to the policy statement with a value of Allow or Deny.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add an Effect element to the policy statement with a value of Allow or Deny."Beheben des Fehlers
AWS JSON-Richtlinien müssen eine Effect-Element mit einem Wert von Allow und Deny aus.
Verwandte Begriffe
Fehler – Fehlender Prinzipal
Fehlercode: MISSING_PRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing principal: Add a Principal element to the policy statement.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add a Principal element to the policy statement."Beheben des Fehlers
Ressourcenbasierte Richtlinien müssen einen Principal-Element.
Um beispielsweise den Zugriff für alle Mitglieder eines AWS-Kontos festzulegen, verwenden Sie in Ihrer Richtlinie den folgenden Grundsatz:
"Principal": { "AWS": "123456789012" }Verwandte Begriffe
Fehler – Fehlender Qualifizierer
Fehlercode: MISSING_QUALIFIER
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing qualifier: The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The request context key {{key}} has multiple values. Use the ForAllValues or ForAnyValue condition key qualifiers in your policy."Beheben des Fehlers
Im Condition-Element formulieren Sie Ausdrücke, in denen Sie Bedingungsoperatoren verwenden (gleich, kleiner als usw.), um die Bedingungsschlüssel und -werte der Richtlinie mit den Schlüsseln und Werten in der Anforderungen abzugleichen. Bei Anforderungen, die mehrere Werte für einen einzelnen Schlüssel enthalten, müssen Sie die Bedingungen in Klammern, wie in einem Array ("Key2": ["Value2A", "Value2B"]), einschließen. Sie müssen zudem die Satzoperatoren ForAllValues oder ForAnyValue mit dem StringLike Bedingungsoperator verwenden. Diese Qualifizierer fügen die Set-Operationen zum Bedingungsoperator hinzu, sodass Sie mehrere Anforderungswerte mit mehreren Bedingungswerten testen können.
Verwandte Begriffe
AWS verwaltete Richtlinien mit diesem Fehler
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen basierend auf allgemeinen AWS-Anwendungsfällen.
Die folgenden verwalteten AWS-Richtlinien enthalten einen fehlenden Qualifier für Bedingungsschlüssel in ihren Richtlinienanweisungen. Wenn Sie die verwaltete AWS-Richtlinie als Referenz für die Erstellung Ihrer kundeneigenen verwalteten Richtlinie verwenden, empfiehlt AWS, dass Sie Ihrem Condition-Element die condition Schlüsselqualifikatoren ForAllValues oder ForAnyValue hinzufügen.
Fehler – Fehlende Ressource
Fehlercode: MISSING_RESOURCE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing resource: Add a Resource or NotResource element to the policy statement.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add a Resource or NotResource element to the policy statement."Beheben des Fehlers
Alle Richtlinien außer Rollenvertrauensrichtlinien müssen ein Resource- oder NotResource-Element enthalten.
Verwandte Begriffe
Fehler – Fehlende Anweisung
Fehlercode: MISSING_STATEMENT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing statement: Add a statement to the policy
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add a statement to the policy"Beheben des Fehlers
Eine JSON-Richtlinie muss eine Anweisung enthalten.
Verwandte Begriffe
Fehler – Null mit, wenn vorhanden
Fehlercode: NULL_WITH_IF_EXISTS
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Null with if exists: The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The Null condition operator cannot be used with the IfExists suffix. Update the operator or the suffix."Beheben des Fehlers
Sie können IfExists an das Ende des Namens eines beliebigen Bedingungsoperators mit Ausnahme des Bedingungsoperators Null anfügen. Verwenden Sie den Bedingungsoperator Null, um zu prüfen, ob ein Bedingungsschlüssel zum Zeitpunkt der Autorisierung vorhanden ist. Verwenden Sie ...ifExists, um zu sagen: "Wenn der Richtlinienschlüssel im Kontext der Anforderung vorhanden ist, verarbeiten Sie den Schlüssel wie in der Richtlinie angegeben. Wenn der Schlüssel nicht vorhanden ist, wird das Bedingungselement als "true" ausgewertet.
Verwandte Begriffe
Fehler – SCP-Syntaxfehleraktion Platzhalter
Fehlercode: SCP_SYNTAX_ERROR_ACTION_WILDCARD
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
SCP syntax error action wildcard: SCP actions can include wildcards (*) only at the end of a string. Update {{action}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "SCP actions can include wildcards (*) only at the end of a string. Update {{action}}."Beheben des Fehlers
AWS OrganizationsUnterstützung für Service-Kontrollrichtlinien (SCPs) das Angeben von Werten in den Action oder NotAction-Elemente. Diese Werte können jedoch Platzhalter (*) nur am Ende der Zeichenfolge enthalten. Dies bedeutet, dass Sie iam:Get* aber nicht iam:*role auswählen können.
Wenn Sie mehrere Aktionen angeben möchten, empfiehlt AWS, diese einzeln aufzulisten.
Verwandte Begriffe
Fehler – SCP-Syntaxfehler-Prinzipal
Fehlercode: SCP_SYNTAX_ERROR_PRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
SCP syntax error principal: SCPs do not support specifying principals. Remove the Principal or NotPrincipal element.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "SCPs do not support specifying principals. Remove the Principal or NotPrincipal element."Beheben des Fehlers
AWS Organizations Service-Kontrollrichtlinien (SCPs) unterstützen nicht die Elemente Principal oder NotPrincipal.
Sie können den Amazon Resource Name (ARN) über den aws:PrincipalArn-globalen Bedingungsschlüssel im Condition-Element angeben.
Verwandte Begriffe
Fehler – Eindeutige Sids erforderlich
Fehlercode: UNIQUE_SIDS_REQUIRED
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unique Sids required: Duplicate statement IDs are not supported for this policy type. Update the Sid value.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Duplicate statement IDs are not supported for this policy type. Update the Sid value."Beheben des Fehlers
Bei einigen Richtlinientypen müssen Anweisungs-IDs eindeutig sein. Die Sid (Statement-ID) ist eine optionale ID, die Sie in die Richtlinie aufnehmen können. Sie können jeder Anweisung in einem Anweisungsarray einen Anweisungs-ID-Wert zuweisen, indem Sie das SID-Element verwenden. Bei Services, die die Angabe eines ID-Elements zulassen, wie z. B. SQS und SNS, ist der Wert Sid lediglich eine Sub-ID der ID des Richtliniendokuments. In IAM muss der Sid-Wert innerhalb einer JSON-Richtlinie eindeutig sein.
Verwandte Begriffe
Fehler - Nicht unterstützte Aktion in der Richtlinie
Fehlercode: UNSUPPORTED_ACTION_IN_POLICY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Beheben des Fehlers
Einige Aktionen werden im Action-Element in der ressourcenbasierten Richtlinie nicht unterstützt, die an einen anderen Ressourcentyp gebunden sind. Zum Beispiel, werden AWS Key Management Service-Aktionen in Amazon-S3-Bucket-Richtlinien nicht unterstützt. Geben Sie eine Aktion an, die vom Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.
Verwandte Begriffe
Fehler – Nicht unterstützte Elementkombination
Fehlercode: UNSUPPORTED_ELEMENT_COMBINATION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported element combination: The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The policy elements {{element1}} and {{element2}} can not be used in the same statement. Remove one of these elements."Beheben des Fehlers
Einige Kombinationen von JSON-Richtlinienelementen können nicht zusammen verwendet werden. Sie können beispielsweise Action und NotAction nicht in der gleichen Richtlinienanweisung verwenden. Weitere Paare, die sich gegenseitig ausschließen, sind Principal/NotPrincipal und Resource/NotResource.
Verwandte Begriffe
Fehler – Nicht unterstützter globaler -Bedingungsschlüssel
Fehlercode: UNSUPPORTED_GLOBAL_CONDITION_KEY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported global condition key: The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key aws:ARN is not supported. Use aws:PrincipalArn or aws:SourceArn instead."Beheben des Fehlers
AWS unterstützt die Verwendung des angegebenen globalen Bedingungsschlüssels nicht. Je nach Anwendungsfall können Sie den aws:PrincipalArn oder aws:SourceArn globale Bedingungsschlüssel. Verwenden Sie z. B. aws:ARN anstelle von aws:PrincipalArn, um den Amazon Resource Name (ARN) des Principals, der die Anforderung gestellt hat, mit dem ARN zu vergleichen, den Sie in der Richtlinie angeben. Alternativ dazu können Sie den globalen Bedingungsschlüssel aws:SourceArn verwenden, um den Amazon Resource Name (ARN) der Ressource, die eine Service-to-Service-Anforderung stellt, mit dem ARN zu vergleichen, den Sie in der Richtlinie angeben.
Verwandte Begriffe
Fehler – Nicht unterstützter Prinzipal
Fehlercode: UNSUPPORTED_PRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported principal: The policy type {{policy_type}} does not support the Principal element. Remove the Principal element.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The policy type {{policy_type}} does not support the Principal element. Remove the Principal element."Beheben des Fehlers
Verwenden Sie das Principal-Element in einer Richtlinie, um den Prinzipal anzugeben, dem der Zugriff auf eine Ressource erlaubt oder verweigert wird. Sie können das Element Principal nicht in einer identitätsbasierten IAM-Richtlinie verwenden. Sie können es in den Vertrauensrichtlinien für IAM-Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden. Beispielsweise können Sie Richtlinien in einen Amazon S3-Bucket oder einen AWS-Kundenmasterschlüssel (Customer Master Key, CMK) einbinden.
Verwandte Begriffe
Fehler - Nicht unterstützter Ressourcen-ARN in der Richtlinie
Fehlercode: UNSUPPORTED_RESOURCE_ARN_IN_POLICY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Beheben des Fehlers
Einige Ressourcen-ARNs werden im Resource-Element der ressourcenbasierten Richtlinie nicht unterstützt, wenn die Richtlinie an einen anderen Ressourcentyp angehängt wird. Zum Beispiel, AWS KMS-ARNs werden im Resource-Element für Amazon-S3-Bucket-Richtlinien nicht unterstützt. Geben Sie einen Ressourcen-ARN an, der von einem Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.
Verwandte Begriffe
Fehler – Nicht unterstützte Sid
Fehlercode: UNSUPPORTED_SID
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported Sid: Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Update the characters in the Sid element to use one of the following character types: [a-z, A-Z, 0-9]"Beheben des Fehlers
Das Sid-Element unterstützt Großbuchstaben, Kleinbuchstaben und Zahlen.
Verwandte Begriffe
Fehler – Nicht unterstützter Platzhalter im Prinzipal
Fehlercode: UNSUPPORTED_WILDCARD_IN_PRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported wildcard in principal: Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Wildcards (*, ?) are not supported with the principal key {{principal_key}}. Replace the wildcard with a valid principal value."Beheben des Fehlers
DiePrincipal-Elementstruktur unterstützt die Verwendung eines Schlüssel-Wert-Paares. Der in der Richtlinie angegebene Hauptwert enthält einen Platzhalter (*). Sie können keinen Platzhalter mit dem angegebenen Hauptschlüssel einschließen. Wenn Sie z. B. Benutzer in einem Principal-Element angeben, können Sie nicht mit einem Platzhalter "alle Benutzer" meinen. Benennen Sie stattdessen einen oder mehrere bestimmte Benutzer. Wenn Sie eine Sitzung mit übernommener Rolle in einem -Element angeben, können Sie keinen Platzhalter (*) verwenden, der "alle Sitzungen" bedeutet. Sie müssen eine bestimmte Sitzung benennen. Sie können keinen Platzhalter verwenden, um einen Teil eines Namens oder einen ARN zu ersetzen.
Um dieses Ergebnis zu beheben, entfernen Sie den Platzhalter und geben Sie einen spezifischeren Prinzipal an.
Verwandte Begriffe
Fehler – Fehlende Klammer in Variable
Fehlercode: MISSING_BRACE_IN_VARIABLE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing brace in variable: The policy variable is missing a closing curly brace. Add } after the variable text.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The policy variable is missing a closing curly brace. Add } after the variable text."Beheben des Fehlers
Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten.
Um dieses Ergebnis zu beheben, fügen Sie die fehlende Klammer hinzu, um sicherzustellen, dass der vollständige Öffnungs- und Schließungssatz von geschweiften Klammern vorhanden ist.
Verwandte Begriffe
Fehler – Fehlendes Zitat in Variable
Fehlercode: MISSING_QUOTE_IN_VARIABLE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing quote in variable: The policy variable default value must begin and end with a single quote. Add the missing quote.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The policy variable default value must begin and end with a single quote. Add the missing quote."Beheben des Fehlers
Wenn Sie Ihrer Richtlinie eine Variable hinzufügen, können Sie einen Standardwert für die Variable angeben. Wenn eine Variable nicht vorhanden ist, verwendet AWS den von Ihnen bereitgestellten Standardtext.
Um einer Variablen einen Standardwert hinzuzufügen, umgeben Sie den Standardwert mit einfachen Anführungszeichen (' '), und trennen Sie den Variablentext und den Standardwert durch Komma und Leerzeichen (, ) enthalten.
Zum Beispiel, wenn ein Prinzipal mit team=yellow gekennzeichnet ist, können sie auf amzn-s3-demo-bucket der Amazon-S3-Bucket mit dem Namen amzn-s3-demo-bucket-yellow zugreifen. Eine Richtlinie mit dieser Ressource ermöglicht es Teammitgliedern möglicherweise auf ihre eigenen Ressourcen zuzugreifen, aber nicht auf die anderer Teams. Für Benutzer ohne Team-Tags können Sie den Standardwert von einstellen company-wide. Diese Benutzer können nur auf amzn-s3-demo-bucket-company-wide-Bucket zugreifen, indem sie umfassende Informationen anzeigen können, z. B. Anweisungen für den Beitritt zu einem Team.
"Resource":"arn:aws:s3:::amzn-s3-demo-bucket-${aws:PrincipalTag/team, 'company-wide'}"Verwandte Begriffe
Fehler – Nicht unterstützter Speicherplatz in der Variablen
Fehlercode: UNSUPPORTED_SPACE_IN_VARIABLE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported space in variable: A space is not supported within the policy variable text. Remove the space.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "A space is not supported within the policy variable text. Remove the space."Beheben des Fehlers
Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten. Obwohl Sie ein Leerzeichen hinzufügen können, wenn Sie eine Standardvariable angeben, können Sie kein Leerzeichen in den Variablennamen einschließen.
Verwandte Begriffe
Fehler – Leere Variable
Fehlercode: EMPTY_VARIABLE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty variable: Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Empty policy variable. Remove the ${ } variable structure or provide a variable within the structure."Beheben des Fehlers
Die Struktur von Richtlinienvariablen unterstützt die Verwendung eines $-Präfixes, gefolgt von einem Paar geschweifter Klammern ({ }). Innerhalb der ${ }-Zeichen können Sie den Namen des Wertes aus der Anforderung einfügen, den Sie in der Richtlinie verwenden möchten.
Verwandte Begriffe
Fehler – Variable im Element nicht unterstützt
Fehlercode: VARIABLE_UNSUPPORTED_IN_ELEMENT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Variable unsupported in element: Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Policy variables are supported in the Resource and Condition elements. Remove the policy variable {{variable}} from this element."Beheben des Fehlers
Sie können Richtlinienvariablen im Resource-Element und in Zeichenfolgenvergleichen im Condition-Element verwenden.
Verwandte Begriffe
Fehler – Variable wird in Version nicht unterstützt
Fehlercode: VARIABLE_UNSUPPORTED_IN_VERSION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Variable unsupported in version: To include variables in your policy, use the policy version 2012-10-17 or later.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "To include variables in your policy, use the policy version 2012-10-17 or later."Beheben des Fehlers
Zur Verwendung der Richtlinienvariablen müssen Sie das Version-Element in eine Anweisung einfügen und die Version muss auf eine Version gesetzt werden, die Richtlinienvariablen unterstützt. Variablen wurden in Version eingeführt 2012-10-17. Frühere Versionen der Richtliniensprache unterstützen Richtlinienvariablen nicht. Wenn Sie Version nicht auf 2012-10-17 oder später setzen, werden Variablen wie ${aws:username} in der Richtlinie als literale Zeichenketten behandelt.
Das Richtlinienelement Version unterscheidet sich von einer Richtlinienversion. Das Richtlinienelement Version wird innerhalb einer Richtlinie verwendet und gibt die Version der Richtliniensprache an. Eine Richtlinienversion hingegen wird erstellt, wenn Sie in IAM eine kundenverwaltete Richtlinie bearbeiten. Die vorhandene Richtlinie wird von der geänderten Richtlinie nicht überschrieben. IAM erstellt stattdessen eine neue Version der verwalteten Richtlinie.
Verwandte Begriffe
Private IP-Adresse
Fehlercode: PRIVATE_IP_ADDRESS
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Private IP address: aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "aws:SourceIp works only for public IP address ranges. The values for condition key aws:SourceIp include only private IP addresses and will not have the desired effect. Update the value to include only public IP addresses."Beheben des Fehlers
Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche. Sie erhalten diesen Fehler, wenn Ihre Richtlinie nur private IP-Adressen zulässt. In diesem Fall würde die Bedingung niemals übereinstimmen.
Fehler – Private NoTipAddress
Fehlercode: PRIVATE_NOT_IP_ADDRESS
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Private NotIpAddress: The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The values for condition key aws:SourceIp include only private IP addresses and has no effect. aws:SourceIp works only for public IP address ranges. Update the value to include only public IP addresses."Beheben des Fehlers
Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche. Sie erhalten diesen Fehler, wenn Sie die NotIpAddress-Bedingungsoperator und listet nur private IP-Adressen auf. In diesem Fall würde die Bedingung immer übereinstimmen und wäre unwirksam.
Fehler – Richtliniengröße überschreitet das SCP-Kontingent
Fehlercode: POLICY_SIZE_EXCEEDS_SCP_QUOTA
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Policy size exceeds SCP quota: The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{policySize}} characters in the service control policy (SCP) exceed the {{policySizeQuota}} character maximum for SCPs. We recommend that you use multiple granular policies."Beheben des Fehlers
AWS OrganizationsUnterstützung für Service-Kontrollrichtlinien (SCPs) das Angeben von Werten in den Action oder NotAction-Elemente. Diese Werte können jedoch Platzhalter (*) nur am Ende der Zeichenfolge enthalten. Dies bedeutet, dass Sie iam:Get* aber nicht iam:*role auswählen können.
Wenn Sie mehrere Aktionen angeben möchten, empfiehlt AWS, diese einzeln aufzulisten.
Verwandte Begriffe
Fehler – Ungültiges Service-Prinzipalformat
Fehlercode: INVALID_SERVICE_PRINCIPAL_FORMAT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid service principal format: The service principal does not match the expected format. Use the format {{expectedFormat}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The service principal does not match the expected format. Use the format {{expectedFormat}}."Beheben des Fehlers
Der Wert im Bedingungsschlüssel-Wert-Paar muss mit einem definierten Service-Prinzipalformat übereinstimmen.
Ein Service-Prinzipal ist eine Kennung, die verwendet wird, um einem Service Berechtigungen zu erteilen. Sie können einen Service-Prinzipal im Principal-Element oder einen Wert für einige globale Bedingungsschlüssel und servicespezifische Schlüssel angeben. Der Service-Prinzipal wird durch den Service definiert.
Der Bezeichner für einen Service-Prinzipal enthält den Servicenamen und hat normalerweise das folgende Format in Kleinbuchstaben:
service-name.amazonaws.com
Einige servicespezifische Schlüssel verwenden möglicherweise ein anderes Format für Service-Prinzipal. Zum Beispiel, der kms:ViaService-Bedingungsschlüssel erfordert das folgende Format für Service-Prinzipal in Kleinbuchstaben:
service-name.AWS_region.amazonaws.com
Verwandte Begriffe
Fehler – Fehlender Tag-Schlüssel in Bedingung
Fehlercode: MISSING_TAG_KEY_IN_CONDITION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing tag key in condition: The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{conditionKeyName}} must include a tag key to control access based on tags. Use the format {{conditionKeyName}}tag-key and specify a key name for tag-key."Beheben des Fehlers
Um den Zugriff auf Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an.
Zum Beispiel, um Steuern des Zugriffs auf AWS-Ressourcenverwenden, schließen Sie dieaws:ResourceTag-Bedingungsschlüssel. Dieser Schlüssel benötigt das Format aws:ResourceTag/. Um den Tag-Schlüssel tag-keyowner und den Tag-Wert JaneDoe in einer Bedingung anzugeben, verwenden Sie das folgende Format.
"Condition": {
"StringEquals": {"aws:ResourceTag/owner": "JaneDoe"}
}Verwandte Begriffe
Fehler - Ungültiges vpc-Format
Fehlercode: INVALID_VPC_FORMAT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid vpc format: The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The VPC identifier in the condition key value is not valid. Use the prefix 'vpc-' followed by 8 or 17 alphanumeric characters."Beheben des Fehlers
Der aws:SourceVpc-Bedingungsschlüssel muss das Präfix vpc- verwenden, gefolgt von entweder 8 oder 17 alphanumerischen Zeichen, z. B. vpc-11223344556677889 oder vpc-12345678.
Verwandte Begriffe
Fehler - Ungültiges vpce-Format
Fehlercode: INVALID_VPCE_FORMAT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid vpce format: The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The VPCE identifier in the condition key value is not valid. Use the prefix 'vpce-' followed by 8 or 17 alphanumeric characters."Beheben des Fehlers
Der aws:SourceVpce-Bedingungsschlüssel muss das Präfix vpce- verwenden, gefolgt von entweder 8 oder 17 alphanumerischen Zeichen, z. B. vpce-11223344556677889 oder vpce-12345678.
Verwandte Begriffe
Fehler - Verbundprinzipal wird nicht unterstützt
Fehlercode: FEDERATED_PRINCIPAL_NOT_SUPPORTED
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Federated principal not supported: The policy type does not support a federated identity provider in the principal element. Use a supported principal.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The policy type does not support a federated identity provider in the principal element. Use a supported principal."Beheben des Fehlers
Das Principal-Element verwendet Verbundprinzipale für Vertrauensrichtlinien, die an IAM-Rollen angehängt sind, um Zugriff über den Identitätsverbund zu ermöglichen. Identitätsrichtlinien und andere ressourcenbasierte Richtlinien unterstützen keinen Verbundidentitätsanbieter im Principal-Element. Sie können beispielsweise keinen SAML-Prinzipal in einer Amazon-S3-Bucket-Richtlinie verwenden. Ändern Sie das Principal-Element zu einem unterstützten Prinzipaltyp.
Verwandte Begriffe
Fehler - Nicht unterstützte Aktion für Bedingungsschlüssel
Fehlercode: UNSUPPORTED_ACTION_FOR_CONDITION_KEY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported action for condition key: The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The following actions: {{actions}} are not supported by the condition key {{key}}. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key."Beheben des Fehlers
Stellen Sie sicher, dass der Bedingungsschlüssel im Condition-Element der Richtlinienanweisung für jede Aktion im Action-Element gilt. Um sicherzustellen, dass die von Ihnen angegebenen Aktionen von Ihrer Richtlinie effektiv zulässig oder verweigert werden, sollten Sie die nicht unterstützten Aktionen ohne den Bedingungsschlüssel in eine andere Anweisung verschieben.
Anmerkung
Wenn das Action-Element Aktionen mit Platzhaltern hat, wertet IAM Access Analyzer diese Aktionen nicht auf diesen Fehler aus.
Verwandte Begriffe
Fehler - Nicht unterstützte Aktion in der Richtlinie
Fehlercode: UNSUPPORTED_ACTION_IN_POLICY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported action in policy: The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The action {{action}} is not supported for the resource-based policy attached to the resource type {{resourceType}}."Beheben des Fehlers
Einige Aktionen werden im Action-Element in der ressourcenbasierten Richtlinie nicht unterstützt, die an einen anderen Ressourcentyp gebunden sind. Zum Beispiel, werden AWS Key Management Service-Aktionen in Amazon-S3-Bucket-Richtlinien nicht unterstützt. Geben Sie eine Aktion an, die vom Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.
Verwandte Begriffe
Fehler - Nicht unterstützter Ressourcen-ARN in der Richtlinie
Fehlercode: UNSUPPORTED_RESOURCE_ARN_IN_POLICY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported resource ARN in policy: The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The resource ARN is not supported for the resource-based policy attached to the resource type {{resourceType}}."Beheben des Fehlers
Einige Ressourcen-ARNs werden im Resource-Element der ressourcenbasierten Richtlinie nicht unterstützt, wenn die Richtlinie an einen anderen Ressourcentyp angehängt wird. Zum Beispiel, AWS KMS-ARNs werden im Resource-Element für Amazon-S3-Bucket-Richtlinien nicht unterstützt. Geben Sie einen Ressourcen-ARN an, der von einem Ressourcentyp unterstützt wird, der an Ihre ressourcenbasierte Richtlinie angehängt ist.
Verwandte Begriffe
Fehler - Nicht unterstützter Bedingungsschlüssel für Service-Prinzipal
Fehlercode: UNSUPPORTED_CONDITION_KEY_FOR_SERVICE_PRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unsupported condition key for service principal: The following condition keys are not supported when used with the service principal: {{conditionKeys}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The following condition keys are not supported when used with the service principal: {{conditionKeys}}."Beheben des Fehlers
Sie können AWS-Services im Principal-Element einer ressourcenbasierten Richtlinie angeben, durch die Verwendung eines Service-Prinzipals, was eine Kennung für das Service ist. Sie können einige Bedingungsschlüssel mit bestimmten Service-Prinzipalen nicht verwenden. Sie können beispielsweise den aws:PrincipalOrgID-Bedingungsschlüssel mit dem Service-Prinzipal cloudfront.amazonaws.com nicht verwenden. Sie sollten Bedingungsschlüssel entfernen, die nicht für den Service-Prinzipal im Principal-Element zutreffen.
Verwandte Begriffe
Fehler – Syntaxfehler der Rollenvertrauensrichtlinie: notprincipal
Fehlercode: ROLE_TRUST_POLICY_SYNTAX_ERROR_NOTPRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Role trust policy syntax error notprincipal: Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Role trust policies do not support NotPrincipal. Update the policy to use a Principal element instead."Beheben des Fehlers
Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie die einer IAM-Rolle angefügt ist. Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Rollenvertrauensrichtlinien unterstützen NotPrincipal nicht. Aktualisieren Sie die Richtlinie, um stattdessen einPrincipal-Element zu verwenden.
Verwandte Begriffe
Fehler – Rollenvertrauensrichtlinie – nicht unterstützter Platzhalter in Prinzipal
Fehlercode: ROLE_TRUST_POLICY_UNSUPPORTED_WILDCARD_IN_PRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Role trust policy unsupported wildcard in principal: "Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": ""Principal:" "*" is not supported in the principal element of a role trust policy. Replace the wildcard with a valid principal value."Beheben des Fehlers
Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie die einer IAM-Rolle angefügt ist. Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. "Principal:" "*" wird nicht im Principal-Element einer Rollenvertrauensrichtlinie unterstützt. Ersetzen Sie den Platzhalter durch einen gültigen Prinzipalwert.
Verwandte Begriffe
Fehler – Syntaxfehler der Rollenvertrauensrichtlinie: error resource
Fehlercode: ROLE_TRUST_POLICY_SYNTAX_ERROR_RESOURCE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Role trust policy syntax error resource: Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Role trust policies apply to the role that they are attached to. You cannot specify a resource. Remove the Resource or NotResource element."Beheben des Fehlers
Eine Rollenvertrauensrichtlinie ist eine ressourcenbasierte Richtlinie die einer IAM-Rolle angefügt ist. Vertrauensrichtlinien definieren, welche Prinzipal-Entitäten (Konten, Benutzer, Rollen und Verbundbenutzer) die Rolle übernehmen können. Rollenvertrauensrichtlinien gelten für die Rolle, mit der sie verknüpft sind. Sie können kein Resource- oder NotResource-Element in einer Rollenvertrauensrichtlinie angeben. Entfernen Sie das Resource- oder NotResource-Element.
Fehler – Typ stimmt nicht mit IP-Bereich überein
Fehlercode: TYPE_MISMATCH_IP_RANGE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Type mismatch IP range: The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition operator {{operator}} is used with an invalid IP range value. Specify the IP range in standard CIDR format."Beheben des Fehlers
Aktualisieren Sie den Text, um den Datentyp für den IP-Adressenbedingung im CIDR-Format zu verwenden.
Verwandte Begriffe
Fehler – Fehlende Aktion für Bedingungsschlüssel
Fehlercode: MISSING_ACTION_FOR_CONDITION_KEY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing action for condition key: The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{actionName}} action must be in the action block to allow setting values for the condition key {{keyName}}. Add {{actionName}} to the action block."Beheben des Fehlers
Der Bedingungsschlüssel im Condition-Element der Richtlinienanweisung wird nicht ausgewertet, es sei denn, die angegebene Aktion befindet sich im Action-Element. Um sicherzustellen, dass die von Ihnen angegebenen Bedingungsschlüssel von Ihrer Richtlinie effektiv zugelassen oder verweigert werden, fügen Sie die Aktion zum Action-Element hinzu.
Verwandte Begriffe
Fehler – Ungültige Verbundprinzipal-Syntax in Rollenvertrauensrichtlinie
Fehlercode: INVALID_FEDERATED_PRINCIPAL_SYNTAX_IN_ROLE_TRUST_POLICY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid federated principal syntax in role trust policy: The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The principal value specifies a federated principal that does not match the expected format. Update the federated principal to a domain name or a SAML metadata ARN."Beheben des Fehlers
Der Prinzipalwert gibt einen Verbundprinzipal an, der nicht dem erwarteten Format entspricht. Aktualisieren Sie das Format des Verbundprinzipals in einen gültigen Domainnamen oder einen SAML-Metadaten-ARN.
Verwandte Begriffe
Fehler – Nicht übereinstimmende Aktion für Prinzipal
Fehlercode: MISMATCHED_ACTION_FOR_PRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Mismatched action for principal: The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{actionName}} action is invalid with the following principal(s): {{principalNames}}. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options."Beheben des Fehlers
Die im Action-Element der Richtlinienanweisung angegebene Aktion ist ungültig, wobei der Prinzipal im Principal-Element angegeben ist. Sie können beispielsweise keinen SAML-Anbieterprinzipal mit der sts:AssumeRoleWithWebIdentity-Aktion verwenden. Sie sollten einen SAML-Anbieterprinzipal mit der sts:AssumeRoleWithSAML-Aktion oder einen OIDC-Anbieterprinzipal mit dersts:AssumeRoleWithWebIdentity-Aktion verwenden.
Verwandte Begriffe
Fehler – Fehlende Aktion für die Vertrauensrichtlinie von Roles Anywhere
Fehlercode: MISSING_ACTION_FOR_ROLES_ANYWHERE_TRUST_POLICY
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing action for roles anywhere trust policy: The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The rolesanywhere.amazonaws.com service principal requires the sts:AssumeRole, sts:SetSourceIdentity, and sts:TagSession permissions to assume a role. Add the missing permissions to the policy."Beheben des Fehlers
Damit IAM Roles Anywhere eine Rolle übernehmen und temporär AWS-Anmeldeinformationen bereitstellen kann, muss die Rolle dem Serviceprinzipal von IAM Roles Anywhere vertrauen. Der IAM Roles Anywhere-Serviceprinzipal benötigt sts:AssumeRole-,sts:SetSourceIdentity- und sts:TagSession-Berechtigungen zur Übernahme einer Rolle. Wenn eine der Berechtigungen fehlt, müssen Sie sie Ihrer Richtlinie hinzufügen.
Verwandte Begriffe
Fehler – Richtliniengröße überschreitet RCP-Kontingent
Fehlercode: POLICY_SIZE_EXCEEDS_RCP_QUOTA
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Policy size exceeds RCP quota: The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{policySize}} characters in the resource control policy (RCP) exceed the {{policySizeQuota}} character maximum for RCPs. We recommend that you use multiple granular policies."Beheben des Fehlers
AWS Organizations-Ressourcenkontrollrichtlinien (RCPs) unterstützen die Angabe von Werten im Action-Element. Diese Werte können jedoch Platzhalter (*) nur am Ende der Zeichenfolge enthalten. Dies bedeutet, dass Sie s3:Get* aber nicht s3:*Object auswählen können.
Wenn Sie mehrere Aktionen angeben möchten, empfiehlt AWS, diese einzeln aufzulisten.
Verwandte Begriffe
Fehler – RCP-Syntaxfehler-Prinzipal
Fehlercode: RCP_SYNTAX_ERROR_PRINCIPAL
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
RCP syntax error principal: The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The Principal element contents are not valid. RCPs only support specifying all principals ("*") in the Principal element. The NotPrincipal element is not supported for RCPs."Beheben des Fehlers
AWS Organizations-Ressourcenkontrollrichtlinien (RCPs) unterstützen nur die Angabe aller Prinzipale („*“) im Principal-Element. Das NotPrincipal-Element wird für RCPs nicht unterstützt.
Verwandte Begriffe
Fehler – RCP-Syntaxfehler zulassen
Fehlercode: RCP_SYNTAX_ERROR_ALLOW
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
RCP syntax error allow: RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "RCPs only support specifying all principals ("*") in the Principal element, all resources ("*") in the Resource element, and no Condition element with an effect of Allow."Beheben des Fehlers
AWS Organizations-Ressourcenkontrollrichtlinien (RCPs) unterstützen nur die Angabe aller Prinzipale („*“) im Principal-Element und aller Ressourcen („*“) im Resource-Element. Das Condition-Element mit dem Effekt Allow wird für RCPs nicht unterstützt.
Verwandte Begriffe
Fehler – RCP-Syntaxfehler NotAction
Fehlercode: RCP_SYNTAX_ERROR_NOTACTION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
RCP syntax error NotAction: RCPs do not support the NotAction element. Update to use the Action element.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "RCPs do not support the NotAction element. Update to use the Action element."Beheben des Fehlers
AWS Organizations-Ressourcenkontrollrichtlinien (RCPs) unterstützen das NotAction-Element nicht. Verwenden Sie das Action-Element.
Verwandte Begriffe
Fehler – RCP-Syntaxfehler-Aktion
Fehlercode: RCP_SYNTAX_ERROR_ACTION
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
RCP syntax error action: RCPs only support specifying select service prefixes in the Action element. Learn more here.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "RCPs only support specifying select service prefixes in the Action element. Learn more here."Beheben des Fehlers
AWS Organizations-Ressourcensteuerungsrichtlinien (RCPs) unterstützen nur die Angabe ausgewählter Service-Präfixe im Action-Element.
Verwandte Begriffe
Fehler: Fehlendes ARN-Konto
Fehlercode: MISSING_ARN_ACCOUNT
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing ARN account: The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The resource {{resourceName}} in the arn is missing an account id. Please provide a 12 digit account id."Beheben des Fehlers
Fügen Sie eine Konto-ID zum ARN der Ressource hinzu. Konto-IDs sind 12-stellige Ganzzahlen. Wie Sie Ihre Konto-ID einsehen können, erfahren Sie unter Finden Ihrer AWS-Konto-ID.
Verwandte Begriffe
Fehler: Ungültiger KMS-Schlüsselwert
Fehlercode: INVALID_KMS_KEY_VALUE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid kms key value: The {{key}} condition key value must be valid a KMS key ARN.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{key}} condition key value must be valid a KMS key ARN."Beheben des Fehlers
Ein AWS KMS key-ARN (Amazon Resource Name) ist ein eindeutiger, vollqualifizierter Bezeichner für einen KMS-Schlüssel. Ein Schlüssel-ARN enthält das AWS-Konto, die Region und die Schlüssel-ID. Der Schlüssel-ARN folgt diesem Format:
arn:aws:kms:region:account-id:key/key-id
Verwandte Begriffe
Fehler: Variablenverwendung zu großzügig
Fehlercode: VARIABLE_USAGE_TOO_PERMISSIVE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Variable usage too permissive: Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters.The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Overly permissive use of policy variable for the {{key}} condition key. Use the policy variable preceded by 6 consecutive characters.""findingDetails": "The policy variable is not allowed in the condition key {{key}}. We consider the key to be sensitive and policy variables can be evaluated as effective wildcards. Therefore policy variables are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.""findingDetails": "Overly permissive use of policy variable with aws:userID. Use the policy variable on the right side of colon or as the only character on the left side of a colon."Beheben des Fehlers
Es gibt drei mögliche Meldungen für diesen Fehler.
-
Ändern Sie für die erste Fehlermeldung die Verwendung Ihrer Richtlinienvariablen, um sie spezifischer zu gestalten. Fügen Sie mindestens 6 aufeinanderfolgende Zeichen vor der Richtlinienvariablen hinzu, um den Umfang der Berechtigungen zu reduzieren. Statt
${aws:username}können Sie beispielsweiseprefix-${aws:username}odermyapp-${aws:username}verwenden. Dadurch wird sichergestellt, dass die Richtlinienvariable keinen zu weitreichenden Zugriff gewährt. -
Entfernen Sie für die zweite Fehlermeldung die Richtlinienvariable aus dem angegebenen Bedingungsschlüssel. Richtlinienvariablen können als effektive Platzhalter fungieren und sind aus Sicherheitsgründen nicht mit sensiblen Bedingungsschlüsseln zulässig. Verwenden Sie stattdessen bestimmte statische Werte oder erwägen Sie eine Umstrukturierung Ihrer Richtlinie, um nicht sensible Bedingungsschlüssel zu verwenden, die Richtlinienvariablen unterstützen.
-
Ändern Sie für die dritte Fehlermeldung die Verwendung Ihrer
aws:userID-Richtlinienvariablen, um sie restriktiver zu gestalten. Setzen Sie die Richtlinienvariable auf die rechte Seite eines Doppelpunkts (nach der Konto-ID) oder verwenden Sie sie als einziges Zeichen auf der linken Seite eines Doppelpunkts. Verwenden Sie z. B.AIDACKCEVSQ6C2EXAMPLE:${aws:userid}oder${aws:userid}:*statt${aws:userid}.
Verwandte Begriffe
Fehler: Platzhalterverwendung zu großzügig
Fehlercode: WILDCARD_USAGE_TOO_PERMISSIVE
Erkenntnistyp: ERROR
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Wildcard usage too permissive: Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters.The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Overly permissive use of wildcard for the {{key}} condition key. Use the wildcard preceded by 6 consecutive characters.""findingDetails": "The wildcard is not allowed in the condition key {{key}}. We consider the key to be sensitive and wildcards are not allowed to be used with sensitive keys. Refer to https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html for the list of sensitive keys.""findingDetails": "Overly permissive use of wildcard with aws:userID. Use the wildcard on the right side of colon or as the only character on the left side of a colon."Beheben des Fehlers
Es gibt drei mögliche Meldungen für diesen Fehler.
-
Für die erste Fehlermeldung sollten Sie die Verwendung des Platzhalters präzisieren, indem Sie mindestens 6 aufeinanderfolgende Zeichen vor dem Platzhalter einfügen. Statt
*können Sie beispielsweiseprefix-*oderprefix-*-suffixverwenden. Dadurch wird der Umfang der Bedingung reduziert und das Prinzip der geringsten Berechtigung befolgt. -
Entfernen Sie für die zweite Fehlermeldung den Platzhalter aus dem angegebenen Bedingungsschlüssel. Platzhalter sind aus Sicherheitsgründen nicht mit sensiblen Bedingungsschlüsseln zulässig. Ersetzen Sie den Platzhalter durch spezifische Werte, die Ihrem gewünschten Zugriffsmuster entsprechen, oder erwägen Sie die Verwendung eines anderen, nicht sensiblen Bedingungsschlüssels, der Platzhalter unterstützt.
-
Ändern Sie für die dritte Fehlermeldung die Verwendung Ihrer
aws:userID-Platzhalter, um sie restriktiver zu gestalten. Setzen Sie den Platzhalter auf die rechte Seite eines Doppelpunkts (nach der Konto-ID) oder verwenden Sie ihn als einziges Zeichen auf der linken Seite eines Doppelpunkts. Verwenden Sie z. B.AIDACKCEVSQ6C2EXAMPLE:*oder*:*statt*.
Verwandte Begriffe
Allgemeine Warnung – Erstellen einer Spiegelreflexkamera mit NotResource
Fehlercode: CREATE_SLR_WITH_NOT_RESOURCE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Create SLR with NotResource: Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with NotResource can allow creation of unintended service-linked roles for multiple resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole gewährt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS-Service erlaubt, Aktionen in Ihrem Namen durchzuführen. Die Verwendung von iam:CreateServiceLinkedRole in einer Richtlinie mit dem NotResource-Element kann dazu führen, dass unbeabsichtigte serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden. AWS empfiehlt, stattdessen zulässige ARNs im Resource-Element anzugeben.
Allgemeine Warnung – Erstellen Sie SLR mit Stern in Aktion und NotResource
Fehlercode: CREATE_SLR_WITH_STAR_IN_ACTION_AND_NOT_RESOURCE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Create SLR with star in action and NotResource: Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using an action with a wildcard(*) and NotResource can allow creation of unintended service-linked roles because it can allow iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole gewährt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS-Service erlaubt, Aktionen in Ihrem Namen durchzuführen. Richtlinien mit einem Platzhalter (*) im Feld Action und dazu gehören die NotResource-Element kann das Erstellen von unbeabsichtigten serviceverknüpften Rollen für mehrere Ressourcen ermöglichen. AWS empfiehlt, dass Sie zulässige ARNs im Resource-Element.
Allgemeine Warnung – Erstellen Sie SLR mit NotAction und NotResource
Fehlercode: CREATE_SLR_WITH_NOT_ACTION_AND_NOT_RESOURCE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Create SLR with NotAction and NotResource: Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using NotAction with NotResource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole gewährt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS-Service erlaubt, Aktionen in Ihrem Namen durchzuführen. Die Verwendung des NotAction-Elements mit dem NotResource-Element kann dazu führen, dass unbeabsichtigte serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden. AWS empfiehlt, dass Sie die Richtlinie umschreiben, um stattdessen iam:CreateServiceLinkedRole auf einer begrenzten Liste von ARNs im Resource-Element zu erlauben. Sie können auch iam:CreateServiceLinkedRole zu dem Element NotAction hinzufügen.
Allgemeine Warnung – Erstellen Sie SLR mit Stern in der Ressource
Fehlercode: CREATE_SLR_WITH_STAR_IN_RESOURCE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Create SLR with star in resource: Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the iam:CreateServiceLinkedRole action with wildcards (*) in the resource can allow creation of unintended service-linked roles. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole gewährt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS-Service erlaubt, Aktionen in Ihrem Namen durchzuführen. Die Verwendung von iam:CreateServiceLinkedRole in einer Richtlinie mit einem Platzhalter (*) im Resource-Element kann dazu führen, dass unbeabsichtigte serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden. AWS empfiehlt, dass Sie stattdessen zulässige ARNs im Resource-Element angeben.
AWSVerwaltete -Richtlinien mit dieser allgemeinen Warnung
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen basierend auf allgemeinen AWS-Anwendungsfällen.
Einige dieser Anwendungsfälle sind für Hauptbenutzer in Ihrem Konto bestimmt. Die folgenden verwalteten AWS-Richtlinien bieten Power-User-Zugriff und gewähren die Berechtigung, serviceverknüpfte Rollen für jeden beliebigen AWS-Service zu erstellen. empfiehlt AWS, dass Sie die folgenden verwalteten AWS-Richtlinien nur IAM-Identitäten zuordnen, die Sie als Power-User betrachten.
AWSOrganizationsServiceTrustPolicy
– Diese verwaltete AWS-Richtlinie stellt Berechtigungen für die Verwendung durch die AWS Organizations-Service-verknüpfte Rolle. Mit dieser Rolle können Organisationen zusätzliche serviceverknüpfte Rollen für andere Services in Ihrer AWS-Organisation erstellen.
Allgemeine Warnung – Erstellen Sie SLR mit Stern in Aktion und Ressource
Fehlercode: CREATE_SLR_WITH_STAR_IN_ACTION_AND_RESOURCE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Create SLR with star in action and resource: Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using wildcards (*) in the action and the resource can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole gewährt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS-Service erlaubt, Aktionen in Ihrem Namen durchzuführen. Richtlinien mit einem Platzhalter (*) in den Elementen Action und Resource können die Erstellung unbeabsichtigter serviceverknüpfter Rollen für mehrere Ressourcen ermöglichen. Dies ermöglicht die Erstellung einer serviceverknüpften Rolle, wenn Sie "Action": "*", "Action": "iam:*" oder "Action": "iam:Create*" angeben. AWS empfiehlt, stattdessen zulässige ARNs in dem Resource-Element anzugeben.
AWSVerwaltete -Richtlinien mit dieser allgemeinen Warnung
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen basierend auf allgemeinen AWS-Anwendungsfällen.
Einige dieser Anwendungsfälle richten sich an Administratoren in Ihrem Konto. Die folgenden verwalteten AWS-Richtlinien bieten Administratorzugriff und gewähren die Berechtigung zum Erstellen von -serviceverknüpfte Rollen für jeden beliebigen AWS-Service. AWS empfiehlt, dass Sie die folgenden verwaltete AWS-Richtlinien nur den IAM-Identitäten zuordnen, die Sie als Administratoren betrachten.
Allgemeine Warnung – Erstellen Sie SLR mit Stern in Ressource und NotAction
Fehlercode: CREATE_SLR_WITH_STAR_IN_RESOURCE_AND_NOT_ACTION
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Create SLR with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using a resource with wildcards (*) and NotAction can allow creation of unintended service-linked roles because it allows iam:CreateServiceLinkedRole permissions on all resources. We recommend that you specify resource ARNs instead."Behebung der allgemeinen Warnung
Die Aktion iam:CreateServiceLinkedRole gewährt die Erlaubnis, eine IAM-Rolle zu erstellen, die es einem AWS-Service erlaubt, Aktionen in Ihrem Namen durchzuführen. Die Verwendung des NotAction-Elements in einer Richtlinie mit einem Platzhalter (*) im Resource-Element kann dazu führen, dass unbeabsichtigte serviceverknüpfte Rollen für mehrere Ressourcen erstellt werden. AWS empfiehlt, dass Sie stattdessen erlaubte ARNs im Resource-Element angeben. Sie können auch iam:CreateServiceLinkedRole zu dem Element NotAction hinzufügen.
Allgemeine Warnung – Veralteter globaler Bedingungsschlüssel
Fehlercode: DEPRECATED_GLOBAL_CONDITION_KEY
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Deprecated global condition key: We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "We recommend that you update aws:ARN to use the newer condition key aws:PrincipalArn."Behebung der allgemeinen Warnung
Die Richtlinie enthält einen veralteten globalen Bedingungsschlüssel. Aktualisieren Sie den Bedingungsschlüssel im Bedingungsschlüssel-Wert-Paar, um einen unterstützten globalen Bedingungsschlüssel zu verwenden.
Allgemeine Warnung – Ungültiger Datumswert
Fehlercode: INVALID_DATE_VALUE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid date value: The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The date {{date}} might not resolve as expected. We recommend that you use the YYYY-MM-DD format."Behebung der allgemeinen Warnung
Die Unix-Epoch-Zeit beschreibt einen Zeitpunkt, der seit dem 1. Januar 1970 verstrichen ist, minus Schaltsekunden. Die Epochenzeit wird möglicherweise nicht auf die genaue Zeit aufgelöst, die Sie erwarten. AWS empfiehlt, dass Sie den W3C-Standard für Datums- und Uhrzeitformate verwenden. Sie können zum Beispiel ein vollständiges Datum angeben, wie JJJJ-MM-TT (1997-07-16), oder Sie können auch die Uhrzeit an die Sekunde anfügen, wie JJJJ-MM-TThh:mm:ssTZD (1997-07-16T19:20:30+01:00).
Allgemeine Warnung – Ungültige Rollenreferenz
Fehlercode: INVALID_ROLE_REFERENCE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid role reference: The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The Principal element includes the IAM role ID {{roleid}}. We recommend that you use a role ARN instead."Behebung der allgemeinen Warnung
AWSSie sollten den Amazon-Ressourcennamen (ARN) für eine IAM-Rolle anstelle ihrer Prinzipal-ID angeben. Wenn IAM die Richtlinie speichert, wird die ARN in die Haupt-ID für die vorhandene Rolle umgewandelt. AWS enthält eine Sicherheitsvorkehrung. Wenn jemand die Rolle löscht und neu erstellt, hat sie eine neue ID, und die Richtlinie stimmt nicht mit der ID der neuen Rolle überein.
Allgemeine Warnung – Ungültige Benutzerreferenz
Fehlercode: INVALID_USER_REFERENCE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Invalid user reference: The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The Principal element includes the IAM user ID {{userid}}. We recommend that you use a user ARN instead."Behebung der allgemeinen Warnung
AWSSie sollten den Amazon-Ressourcennamen (ARN) für einen IAM-Benutzer anstelle seiner Prinzipal-ID angeben. Wenn IAM die Richtlinie speichert, wird der ARN in die Prinzipal-ID für den vorhandenen Benutzer umgewandelt. AWS enthält eine Sicherheitsvorkehrung. Wenn jemand den Benutzer löscht und neu erstellt, hat er eine neue ID, und die Richtlinie stimmt nicht mit der ID des neuen Benutzers überein.
Allgemeine Warnung – Fehlende Version
Fehlercode: MISSING_VERSION
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing version: We recommend that you specify the Version element to help you with debugging permission issues.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "We recommend that you specify the Version element to help you with debugging permission issues."Behebung der allgemeinen Warnung
AWS empfiehlt nachdrücklich, den optionalen Version-Parameter in Ihrer Richtlinie. Wenn Sie kein Element "Version" einfügen, wird der Wert standardmäßig auf 2012-10-17 gesetzt, aber neuere Features, wie z. B. Richtlinienvariablen, funktionieren nicht mit Ihrer Richtlinie. Beispielsweise werden Variablen wie ${aws:username} nicht als Variablen erkannt und stattdessen als literale Zeichenketten in der Richtlinie behandelt.
Allgemeine Warnung – Einzigartige Sids empfohlen
Fehlercode: UNIQUE_SIDS_RECOMMENDED
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Unique Sids recommended: We recommend that you use statement IDs that are unique to your policy. Update the Sid value.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "We recommend that you use statement IDs that are unique to your policy. Update the Sid value."Behebung der allgemeinen Warnung
AWS empfiehlt, dass Sie eindeutige Anweisungs-IDs verwenden. Die Sid (Statement-ID) ist eine optionale ID, die Sie in die Richtlinie aufnehmen können. Sie können jeder Anweisung in einem Anweisungsarray einen Anweisungs-ID-Wert zuweisen, indem Sie das SID-Element verwenden.
Verwandte Begriffe
Allgemeine Warnung – Platzhalter ohne gleicher Operator
Fehlercode: WILDCARD_WITHOUT_LIKE_OPERATOR
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Wildcard without like operator: Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Your condition value includes a * or ? character. If you meant to use a wildcard (*, ?), update the condition operator to include Like."Behebung der allgemeinen Warnung
Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Wenn Sie einen Bedingungswert angeben, der einen Platzhalter (*, ?) verwendet, müssen Sie die Like-Version des Bedingungsoperators verwenden. Verwenden Sie z. B. anstelle des StringEquals Operators für Zeichenkettenbedingungen verwenden Sie StringLike.
"Condition": {"StringLike": {"aws:PrincipalTag/job-category": "admin-*"}}AWSVerwaltete -Richtlinien mit dieser allgemeinen Warnung
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen basierend auf allgemeinen AWS-Anwendungsfällen.
Die folgenden verwalteten AWS-Richtlinien enthalten Platzhalter in ihrem Bedingungswert ohne einen Bedingungsoperator, der Like für die Mustererkennung enthält. Wenn Sie die verwaltete AWS-Richtlinie als Referenz für die Erstellung Ihrer eigenen verwalteten Richtlinie verwenden, empfiehlt AWS die Verwendung eines Bedingungsoperators, der Mustervergleiche mit Platzhaltern (*, ?) unterstützt, wie z. B. StringLike.
Allgemeine Warnung – Richtliniengröße überschreitet das Kontingent für Identitätsrichtlinien
Fehlercode: POLICY_SIZE_EXCEEDS_IDENTITY_POLICY_QUOTA
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Policy size exceeds identity policy quota: The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{policySize}} characters in the identity policy, excluding whitespace, exceed the {{policySizeQuota}} character maximum for inline and managed policies. We recommend that you use multiple granular policies."Behebung der allgemeinen Warnung
Sie können einer IAM-Identität (Benutzer, Benutzergruppe oder Rolle) bis zu 10 verwaltete Richtlinien anfügen. Die Größe jeder verwalteten Richtlinie darf jedoch das Standardkontingent von 6.144 Zeichen nicht überschreiten. Leerzeichen werden in IAM beim Berechnen der Richtliniengröße für dieses Kontingent nicht mitgezählt. Kontingente, auch als Einschränkungen in AWS bezeichnet, sind die Höchstwerte für Ressourcen, Aktionen und Elemente in Ihrem AWS-Konto.
Darüber hinaus können Sie einer IAM-Identität beliebig viele Inline-Richtlinien hinzufügen. Die Summe aller Inline-Richtlinien pro Identität darf jedoch das angegebene Kontingent nicht überschreiten.
Wenn Ihre Richtlinie größer als das Kontingent ist, können Sie Ihre Richtlinie in mehreren Anweisungen organisieren und die Anweisungen in mehreren Richtlinien gruppieren.
Verwandte Begriffe
AWSVerwaltete -Richtlinien mit dieser allgemeinen Warnung
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen basierend auf allgemeinen AWS-Anwendungsfällen.
Die folgenden verwalteten AWS-Richtlinien gewähren Berechtigungen für Aktionen für viele AWS-Services und überschreiten die maximale Richtliniengröße. Wenn Sie die verwaltete AWS-Richtlinie als Referenz zum Erstellen Ihrer verwalteten Richtlinie verwenden, müssen Sie die Richtlinie in mehrere Richtlinien aufteilen.
Allgemeine Warnung - Richtliniengröße überschreitet das Kontingent für Ressourcenrichtlinien
Fehlercode: POLICY_SIZE_EXCEEDS_RESOURCE_POLICY_QUOTA
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Policy size exceeds resource policy quota: The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{policySize}} characters in the resource policy exceed the {{policySizeQuota}} character maximum for resource policies. We recommend that you use multiple granular policies."Behebung der allgemeinen Warnung
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource wie einen Amazon-S3-Bucket anfügen. Diese Richtlinien erteilen dem angegebenen Prinzipal die Berechtigung zum Ausführen bestimmter Aktionen für diese Ressource und definiert, unter welchen Bedingungen dies gilt. Die Größe ressourcenbasierter Richtlinien darf das für diese Ressource festgelegte Kontingent nicht überschreiten. Kontingente, auch als Einschränkungen in AWS bezeichnet, sind die Höchstwerte für Ressourcen, Aktionen und Elemente in Ihrem AWS-Konto.
Wenn Ihre Richtlinie größer als das Kontingent ist, können Sie Ihre Richtlinie in mehreren Anweisungen organisieren und die Anweisungen in mehreren Richtlinien gruppieren.
Verwandte Begriffe
Allgemeine Warnung – Typenabweichung
Fehlercode: TYPE_MISMATCH
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Type mismatch: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text, um den unterstützten Bedingungsoperator Datentyp zu verwenden.
Zum Beispiel erfordert der globale Konditionsschlüssel aws:MultiFactorAuthPresent einen Konditionsoperator mit dem Datentyp Boolean. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.
Verwandte Begriffe
Allgemeine Warnung – Typkonflikt Boolescher Wert
Fehlercode: TYPE_MISMATCH_BOOLEAN
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Type mismatch Boolean: Add a valid Boolean value (true or false) for the condition operator {{operator}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add a valid Boolean value (true or false) for the condition operator {{operator}}."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text, um einen booleschen Bedingungsoperator als Datentyp zu verwenden, z. B. true oder false.
Zum Beispiel erfordert der globale Konditionsschlüssel aws:MultiFactorAuthPresent einen Konditionsoperator mit dem Datentyp Boolean. Wenn Sie ein Datum oder eine Ganzzahl angeben, stimmt der Datentyp nicht überein.
Verwandte Begriffe
Allgemeine Warnung – Datum des Typs, das nicht übereinstimmt
Fehlercode: TYPE_MISMATCH_DATE
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Type mismatch date: The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The date condition operator is used with an invalid value. Specify a valid date using YYYY-MM-DD or other ISO 8601 date/time format."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text so, dass er den Datentyp "Datumsbedingungsoperator" im Format YYYY-MM-DD oder einem anderen ISO-8601-Datumszeitformat verwendet.
Verwandte Begriffe
Allgemeine Warnung – Typ-Unübereinstimmungsnummer
Fehlercode: TYPE_MISMATCH_NUMBER
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Type mismatch number: Add a valid numeric value for the condition operator {{operator}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add a valid numeric value for the condition operator {{operator}}."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text, um den numerischen Bedingungsoperator Datentyp zu verwenden.
Verwandte Begriffe
Allgemeine Warnung – Zeichenfolge, die nicht übereinstimmt
Fehlercode: TYPE_MISMATCH_STRING
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Type mismatch string: Add a valid base64-encoded string value for the condition operator {{operator}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add a valid base64-encoded string value for the condition operator {{operator}}."Behebung der allgemeinen Warnung
Aktualisieren Sie den Text, um den Datentyp „Zeichenfolgenbedingung“ zu verwenden.
Verwandte Begriffe
Allgemeine Warnung – Spezifische(s) Github-Repository und -Branch empfohlen
Fehlercode: SPECIFIC_GITHUB_REPO_AND_BRANCH_RECOMMENDED
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Specific github repo and branch recommended: Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using a wildcard (*) in token.actions.githubusercontent.com:sub can allow requests from more sources than you intended. Specify the value of token.actions.githubusercontent.com:sub with the repository and branch name."Behebung der allgemeinen Warnung
Wenn Sie GitHub als OIDC-Identitätsanbieter verwenden, empfiehlt es sich, die Entitäten einzuschränken, die die dem IAM-Identitätsanbieter zugeordnete Rolle übernehmen können. Wenn Sie eine Condition-Anweisung in eine Rollenvertrauensrichtlinie aufnehmen, können Sie die Rolle auf bestimmte GitHub-Organisationen, -Repositorys oder -Branches beschränken. Sie können den Bedingungsschlüssel token.actions.githubusercontent.com:sub verwenden, um den Zugriff einzuschränken. Wir empfehlen, dass Sie die Bedingung auf eine bestimmte Gruppe von Repositorys oder Branchen beschränken. Wenn Sie einen Platzhalter (*) in token.actions.githubusercontent.com:sub verwenden, können GitHub-Aktionen von Organisationen oder Repositorys außerhalb Ihrer Kontrolle Rollen übernehmen, die dem GitHub-IAM-Identitätsanbieter in Ihrem AWS-Konto zugeordnet sind.
Verwandte Begriffe
Allgemeine Warnung – Richtliniengröße überschreitet das Kontingent für Rollenvertrauensrichtlinie
Fehlercode: POLICY_SIZE_EXCEEDS_ROLE_TRUST_POLICY_QUOTA
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Policy size exceeds role trust policy quota: The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The characters in the role trust policy, excluding whitespace, exceed the character maximum. We recommend that you request a role trust policy length quota increase using Service Quotas and AWS Support Center. If the quotas have already been increased, then you can ignore this warning."Behebung der allgemeinen Warnung
IAM undAWS STS haben Kontingente, die den Umfang von Rollenvertrauensrichtlinien einschränken. Die Zeichen in der Rollenvertrauensrichtlinie, ausgenommen Leerzeichen, überschreiten das Zeichenmaximum. Wir empfehlen, dass Sie eine Kontingenterhöhung für die Länge der Rollenvertrauensrichtlinie anfordern, indem Sie Service Quotas und die AWS Support Center Console verwenden.
Verwandte Begriffe
Allgemeine Warnung – RCP fehlt der zugehörige Prinzipal-Bedingungsschlüssel
Fehlercode: RCP_MISSING_RELATED_PRINCIPAL_CONDITION_KEY
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
RCP missing related principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "false"} whenever a principal key {{conditionKeyName}} is used."Behebung der allgemeinen Warnung
AWS Organizations-Ressourcenkontrollrichtlinien (RCPs) können sich auf IAM-Rollen, Benutzer und AWS-Service-Prinzipale auswirken. Um unbeabsichtigte Auswirkungen auf Services zu verhindern, die in Ihrem Namen mithilfe eines Service-Prinzipals agieren, fügen Sie Ihrem Condition-Element die folgende Anweisung hinzu:
"BoolIfExists": { "aws:PrincipalIsAWSService": "false"}
Verwandte Begriffe
Allgemeine Warnung – RCP fehlt der zugehörige Service-Prinzipal-Bedingungsschlüssel
Fehlercode: RCP_MISSING_RELATED_SERVICE_PRINCIPAL_CONDITION_KEY
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
RCP missing related service principal condition key: RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "RCPs impact IAM roles, users, and AWS service principals. To prevent unintended impact to your principals, an additional statement should be added to the Condition block "BoolIfExists": { "aws:PrincipalIsAWSService": "true"} whenever the key {{conditionKeyName}} is used."Behebung der allgemeinen Warnung
AWS Organizations-Ressourcenkontrollrichtlinien (RCPs) können sich auf IAM-Rollen, Benutzer und AWS-Service-Prinzipale auswirken. Um unbeabsichtigte Auswirkungen auf Ihre Prinzipale zu verhindern, fügen Sie Ihrem Condition-Element die folgende Anweisung hinzu:
"BoolIfExists": { "aws:PrincipalIsAWSService": "true"}
Verwandte Begriffe
Allgemeine Warnung – RCP fehlt die Nullprüfung des Schlüssels für die Servicebedingung
Fehlercode: RCP_MISSING_SERVICE_CONDITION_KEY_NULL_CHECK
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
RCP missing service condition key null check: The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The specified service may have a service integration that does not require the use of the the {{conditionKeyName}} condition key. To prevent unintended impact to services acting on your behalf using a service principal, an additional statement should be added to the Condition block "Null": { "aws:SourceAccount": "false"} or "Null": { "aws:SourceArn": "false"} whenever the key {{conditionKeyName}} is used."Behebung der allgemeinen Warnung
AWS Organizations-Ressourcenkontrollrichtlinien (RCPs) können sich auf IAM-Rollen, Benutzer und AWS-Service-Prinzipale auswirken. Um unbeabsichtigte Auswirkungen auf Services zu verhindern, die in Ihrem Namen mithilfe eines Service-Prinzipals agieren, fügen Sie Ihrem Condition-Element bei jeder Verwendung des angegebenen Schlüssels eine der folgenden Anweisungen hinzu:
"Null": { "aws:SourceAccount": "false"}
oder
"Null": { "aws:SourceArn": "false"}
Verwandte Begriffe
Allgemeine Warnmeldung: Bedingungsschlüssel nur bei unterstützten Diensten verwenden
Fehlercode: USE_CONDITION_KEY_ONLY_WITH_SUPPORTED_SERVICES
Erkenntnistyp: GENERAL_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Use condition key only with supported services: The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{key}} works only with specific AWS services and must be scoped to supported services in your policies.Behebung der allgemeinen Warnung
Lesen Sie in der AWS-Dokumentation nach, welche AWS-Services diesen Bedingungsschlüssel unterstützen. Wenn Services in Ihrer Richtlinie den Bedingungsschlüssel nicht unterstützen, ändern Sie Ihre Richtlinie so, dass der Bedingungsschlüssel nur für AWS-Services gilt, die ihn unterstützen.
Verwandte Begriffe
Sicherheitswarnung: Unvertrauenswürdiger Bedingungsschlüssel
Fehlercode: UNTRUSTWORTHY_CONDITION_KEY
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Untrustworthy condition key: The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{key}} condition key is not recommended for access control as it can be spoofed/manipulated by the caller."Auflösen der Sicherheitswarnung
Verwenden Sie diesen Bedingungsschlüssel nicht für die Zugriffskontrolle. Der Anrufer kann den Schlüsselwert möglicherweise manipulieren oder fälschen, was ein Sicherheitsrisiko darstellt.
Verwandte Begriffe
Sicherheitswarnung – Zulassen mit NotPrincipal
Fehlercode: ALLOW_WITH_NOT_PRINCIPAL
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Allow with NotPrincipal: Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using Allow with NotPrincipal can be overly permissive. We recommend that you use Principal instead."Auflösen der Sicherheitswarnung
Die Verwendung von "Effect": "Allow" mit der NotPrincipal kann zu permissiv sein. So können beispielsweise anonymen Prinzipale Berechtigungen erteilt werden. AWS empfiehlt, dass Sie Prinzipal, die Zugriff benötigen, mit dem Element Principal angeben. Alternativ können Sie den breiten Zugang erlauben und dann eine weitere Anweisung hinzufügen, die das Element NotPrincipal mit “Effect”: “Deny” verwendet.
Sicherheitswarnung – ForAllValues mit einmaligem Schlüssel
Fehlercode: FORALLVALUES_WITH_SINGLE_VALUED_KEY
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
ForAllValues with single valued key: Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using ForAllValues qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAllValues:."Auflösen der Sicherheitswarnung
AWSVerwenden Sie den ForAllValues nur mit mehrwertigen Bedingungen. Der ForAllValues-Set-Operator prüft, ob der Wert eines jeden Mitglieds der Anforderungsmenge eine Teilmenge der Bedingungsschlüsselmenge ist. Die Bedingung gibt "true" zurück, wenn jeder Schlüsselwert in der Anforderung mindestens einem Wert in der Richtlinie entspricht. „true“ wird zudem zurückgegeben, wenn keine Schlüssel in der Anforderung vorhanden sind oder wenn die Schlüsselwerte zu einem Null-Dataset aufgelöst werden, z. B. einer leeren Zeichenfolge.
Um zu erfahren, ob eine Bedingung einen einzelnen Wert oder mehrere Werte unterstützt, lesen Sie die Seite Aktionen, Ressourcen und Bedingungsschlüssel für den Service. Bedingungsschlüssel mitArrayOfDatentyppräfix sind Mehrfachwertbedingungsschlüssel. Amazon SES unterstützt beispielsweise Schlüssel mit Einzelwerten (String) und den ArrayOfString-Mehrwertigen Datentyp.
Sicherheitswarnung – Übergeben der Rolle mit NotResource
Fehlercode: PASS_ROLE_WITH_NOT_RESOURCE
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Pass role with NotResource: Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the iam:PassRole action with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Auflösen der Sicherheitswarnung
Zur Konfiguration vieler AWS-Services müssen Sie dem Service eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Die Verwendung von iam:PassRole in einer Richtlinie mit dem NotResource-Element kann dazu führen, dass Ihre Prinzipale auf mehr Services oder Features zugreifen können, als Sie beabsichtigt haben. AWS empfiehlt, dass Sie stattdessen erlaubte ARNs im Element Resource angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Sicherheitswarnung – Übergeben Sie die Rolle mit Stern in Aktion und NotResource
Fehlercode: PASS_ROLE_WITH_STAR_IN_ACTION_AND_NOT_RESOURCE
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Pass role with star in action and NotResource: Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using an action with a wildcard (*) and NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs instead."Auflösen der Sicherheitswarnung
Zur Konfiguration vieler AWS-Services müssen Sie dem Service eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien mit einem Platzhalter (*) in der Action und die das NotResource-Element enthalten, können Ihren Prinzipal den Zugriff auf mehr Services oder Features erlauben, als Sie beabsichtigt haben. AWS empfiehlt, dass Sie stattdessen erlaubte ARNs in dem Resource-Element angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Sicherheitswarnung – Übergeben der Rolle mit NotAction und NotResource
Fehlercode: PASS_ROLE_WITH_NOT_ACTION_AND_NOT_RESOURCE
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Pass role with NotAction and NotResource: Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using NotAction with NotResource can be overly permissive because it can allow iam:PassRole permissions on multiple resources.. We recommend that you specify resource ARNs instead."Auflösen der Sicherheitswarnung
Zur Konfiguration vieler AWS-Services müssen Sie dem Service eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Die Verwendung des NotAction-Elements und die Auflistung einiger Ressourcen im NotResource-Element kann dazu führen, dass Ihre Prinzipale auf mehr Services oder Features zugreifen können, als Sie beabsichtigt haben. AWS empfiehlt, dass Sie stattdessen erlaubte ARNs im Resource-Element angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Sicherheitswarnung – Übergeben der Rolle mit Stern in der Ressource
Fehlercode: PASS_ROLE_WITH_STAR_IN_RESOURCE
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Pass role with star in resource: Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the iam:PassRole action with wildcards (*) in the resource can be overly permissive because it allows iam:PassRole permissions on multiple resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Auflösen der Sicherheitswarnung
Zur Konfiguration vieler AWS-Services müssen Sie dem Service eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien, die iam:PassRole zulassen und einen Platzhalter (*) im Resource-Element enthalten, können Ihren Prinzipal den Zugriff auf mehr Services oder Features ermöglichen, als Sie beabsichtigt haben. AWS empfiehlt, dass Sie stattdessen erlaubte ARNs im Resource-Element angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Einige AWS-Services schließen ihren Servicenamensraum in den Namen ihrer Rolle ein. Bei dieser Richtlinienprüfung werden diese Konventionen bei der Analyse der Richtlinie zum Generieren von Ergebnissen berücksichtigt. Beispiel: Die folgende Ressourcen-ARN generiert möglicherweise keine Ergebnisse:
arn:aws:iam::*:role/Service*AWSVerwaltete -Richtlinien mit dieser allgemeinen Warnung
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen auf der Grundlage allgemeiner AWS-Anwendungsfälle.
Einer dieser Anwendungsfälle gilt für Administratoren in Ihrem Konto. Die folgenden vewalteten AWS-Richtlinien bieten Administratorzugriff und gewähren die Berechtigung, jede IAM-Rolle an jedes Service weiterzugeben. AWS empfiehlt, die folgenden verwalteten AWS-Richtlinien nur IAM-Identitäten zuzuordnen, die Sie als Administratoren betrachten.
Die folgenden verwalteten AWS-Richtlinien enthalten Berechtigungen für iam:PassRole mit einem Platzhalter (*) in der Ressource und befinden sich auf einem Einstellungspfad. Für jede dieser Richtlinien haben wir die Genehmigungsrichtlinien aktualisiert, z. B. durch die Empfehlung einer neuen, verwalteten AWS-Richtlinie, die den Anwendungsfall unterstützt. Alternativen zu diesen Richtlinien finden Sie in den Leitfäden der einzelnen Services.
AWSElasticBeanstalkFullAccess
AWSElasticBeanstalkService
AWSLambdaFullAccess
AWSLambdAreadOnlyAccess
AWSOpsWorksFullAccess
AWSOPSWorksRole
AWSDataPipelineRole
AmazonDynamoDBFullAccesswithDataPipeline
AmazonElasticMapReduceFullAccess
AmazonDynamoDBFullAccesswithDataPipeline
AmazonEC2ContainerServiceFullAccess
Die folgenden verwalteten AWS-Richtlinien bieten Berechtigungen nur für -servicegebundene Rollen, die es AWS-Services erlauben, Aktionen in Ihrem Namen durchzuführen. Sie können diese Richtlinie an Ihre IAM-Identitäten anfügen.
Sicherheitswarnung – Übergeben Sie die Rolle mit Stern in Aktion und Ressource
Fehlercode: PASS_ROLE_WITH_STAR_IN_ACTION_AND_RESOURCE
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Pass role with star in action and resource: Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using wildcards (*) in the action and the resource can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Auflösen der Sicherheitswarnung
Zur Konfiguration vieler AWS-Services müssen Sie dem Service eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Richtlinien mit einem Platzhalter (*) in den Elementen Action und Resource können Ihren Prinzipal den Zugriff auf mehr Services oder Features erlauben, als Sie beabsichtigt haben. AWS empfiehlt, dass Sie stattdessen erlaubte ARNs in dem Resource-Element angeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
AWSVerwaltete -Richtlinien mit dieser allgemeinen Warnung
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen basierend auf allgemeinen AWS-Anwendungsfällen.
Einige dieser Anwendungsfälle richten sich an Administratoren in Ihrem Konto. Die folgenden verwalteten AWS-Richtlinien bieten Administratorenzugriff und gewähren die Berechtigung, jede IAM-Rolle an jedes AWS-Service weiterzugeben. AWS empfiehlt, dass Sie die folgenden verwalteten AWS-Richtlinien nur den IAM-Identitäten zuordnen, die Sie als Administratoren betrachten.
Sicherheitswarnung – Übergeben der Rolle mit Stern in Ressource und NotAction
Fehlercode: PASS_ROLE_WITH_STAR_IN_RESOURCE_AND_NOT_ACTION
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Pass role with star in resource and NotAction: Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using a resource with wildcards (*) and NotAction can be overly permissive because it allows iam:PassRole permissions on all resources. We recommend that you specify resource ARNs or add the iam:PassedToService condition key to your statement."Auflösen der Sicherheitswarnung
Zur Konfiguration vieler AWS-Services müssen Sie dem Service eine IAM-Rolle übergeben. Um dies zu ermöglichen, müssen Sie einer Identität (Benutzer, Benutzergruppe oder Rolle) die Berechtigung iam:PassRole erteilen. Die Verwendung des NotAction-Elements in einer Richtlinie mit einem Platzhalter (*) im Resource-Element kann dazu führen, dass Ihre Prinzipals auf mehr Services oder Features zugreifen können, als Sie beabsichtigt haben. AWS empfiehlt, stattdessen erlaubte ARNs in dem Resource-Element anzugeben. Darüber hinaus können Sie Berechtigungen auf ein einzelnes Service reduzieren, indem Sie die iam:PassedToService-Bedingungsschlüssel verwenden.
Sicherheitswarnung – Fehlende gekoppelte Zustandsschlüssel
Fehlercode: MISSING_PAIRED_CONDITION_KEYS
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing paired condition keys: Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the condition key {{conditionKeyName}} can be overly permissive without also using the following condition keys: {{recommendedKeys}}. Condition keys like this one are more secure when paired with a related key. We recommend that you add the related condition keys to the same condition block."Auflösen der Sicherheitswarnung
Einige Bedingungsschlüssel sind sicherer, wenn sie mit anderen zugehörigen Zustandstasten gekoppelt werden.AWS empfiehlt, dass Sie die zugehörigen Bedingungsschlüssel in denselben Bedingungsblock wie der vorhandene Bedingungsschlüssel aufnehmen. Dadurch werden die durch die Richtlinie gewährten Berechtigungen sicherer.
Sie können zum Beispiel den aws:VpcSourceIp Bedingungsschlüssel verwenden, um die IP-Adresse, von der eine Anforderung gestellt wurde, mit der IP-Adresse zu vergleichen, die Sie in der Richtlinie angeben. AWS empfiehlt, dass Sie den entsprechenden aws:SourceVPC Bedingungsschlüssel hinzufügen. Dabei wird geprüft, ob die Anforderung von der in der Richtlinie angegebenen VPC und der angegebenen IP-Adresse stammt.
Verwandte Begriffe
Sicherheitswarnung – Verweigern mit nicht unterstütztem Tag-Bedingungsschlüssel für das Service
Fehlercode: DENY_WITH_UNSUPPORTED_TAG_CONDITION_KEY_FOR_SERVICE
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Deny with unsupported tag condition key for service: Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the effect Deny with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes can be overly permissive: {{serviceNames}}. Actions for the listed services are not denied by this statement. We recommend that you move these actions to a different statement without this condition key."Auflösen der Sicherheitswarnung
Die Verwendung von nicht unterstützten Tag-Bedingungsschlüsseln im Element Condition einer Richtlinie mit "Effect": "Deny" kann zu permissiv sein, da die Bedingung für dieses Service ignoriert wird. AWS empfiehlt, dass Sie die Service-Aktionen, die den Bedingungsschlüssel nicht unterstützen, entfernen und eine weitere Anweisung erstellen, um den Zugriff auf bestimmte Ressourcen für diese Aktionen zu verweigern.
Wenn Sie den aws:ResourceTag-Bedingungsschlüssel verwenden und dieser nicht von einer Service-Aktion unterstützt wird, wird der Schlüssel nicht in den Anforderungskontext aufgenommen. In diesem Fall gibt die Bedingung in der Anweisung Deny immer false zurück und die Aktion wird nie verweigert. Dies geschieht auch dann, wenn die Ressource korrekt markiert ist.
Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. Bei Services, die diese Schlüssel nicht unterstützen, müssen Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle (RBAC) steuern.
Anmerkung
Einige Services ermöglichen die Unterstützung des Bedingungsschlüssel aws:ResourceTag für eine Teilmenge ihrer Ressourcen und Aktionen. IAM Access Analyzer gibt Ergebnisse für die Service-Aktionen zurück, die nicht unterstützt werden. Amazon S3 unterstützt beispielsweise aws:ResourceTag für eine Teilmenge der Ressourcen. Alle in Amazon S3 verfügbaren Ressourcentypen, die den aws:ResourceTag-Bedingungsschlüssel unterstützen, finden Sie unter Resource types defined by Amazon S3 in der Service Authorization Reference.
Nehmen Sie beispielsweise an, dass Sie den Zugriff auf bestimmte Ressourcen, die mit dem Schlüssel-Wert-Paar gekennzeichnet sind, verweigern möchten status=Confidential. Nehmen Sie auch an, dass AWS Lambda das Markieren und Entmarkieren von Ressourcen erlaubt, aber den Bedingungsschlüssel aws:ResourceTag nicht unterstützt. Um die Löschaktionen für AWS App Mesh und AWS Backup zu verweigern, wenn diese Markierung vorhanden ist, verwenden Sie die Bedingungstaste aws:ResourceTag. Verwenden Sie für Lambda eine Ressourcennamenskonvention, die das Präfix "Confidential" enthält. Fügen Sie dann eine separate Anweisung hinzu, die das Löschen von Ressourcen mit dieser Namenskonvention verhindert.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyDeleteSupported", "Effect": "Deny", "Action": [ "appmesh:DeleteMesh", "backup:DeleteBackupPlan" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/status": "Confidential" } } }, { "Sid": "DenyDeleteUnsupported", "Effect": "Deny", "Action": "lambda:DeleteFunction", "Resource": "arn:aws:lambda:*:123456789012:function:status-Confidential*" } ] }
Warnung
Verwenden Sie nicht die...IfExists-Version des Bedingungsoperators als Problemumgehung für diese Feststellung. Dies bedeutet „Die Aktion verweigern, wenn der Schlüssel im Anforderungskontext vorhanden ist und die Werte übereinstimmen. Andernfalls verweigern Sie die Aktion.“ Im vorangegangenen Beispiel wird durch die Aufnahme der Aktion lambda:DeleteFunction in die Anweisung DenyDeleteSupported mit dem Operator StringEqualsIfExists die Aktion immer verweigert. Für diese Aktion ist der Schlüssel nicht im Kontext vorhanden, und jeder Versuch, diesen Ressourcentyp zu löschen, wird verweigert, unabhängig davon, ob die Ressource mit Tags versehen ist.
Verwandte Begriffe
Sicherheitswarnung – NotAction mit nicht unterstütztem Tag-Bedingungsschlüssel für das Service verweigern
Fehlercode: DENY_NOTACTION_WITH_UNSUPPORTED_TAG_CONDITION_KEY_FOR_SERVICE
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Deny NotAction with unsupported tag condition key for service: Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the effect Deny with NotAction and the tag condition key {{conditionKeyName}} can be overly permissive because some service actions are not denied by this statement. This is because the condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Auflösen der Sicherheitswarnung
Die Verwendung von Tag-Bedingungsschlüsseln im Element Condition einer Richtlinie mit den Elementen NotAction und "Effect": "Deny" kann übermäßig permissiv sein. Die Bedingung wird für Service-Aktionen ignoriert, die den Bedingungsschlüssel nicht unterstützen. AWS empfiehlt, dass Sie die Logik neu schreiben, um eine Liste von Aktionen zu verweigern.
Wenn Sie den Bedingungsschlüssel aws:ResourceTag mit NotAction verwenden, werden alle neuen oder bestehenden Service-Aktionen, die den Schlüssel nicht unterstützen, nicht verweigert. AWS empfiehlt, die Aktionen, die verweigert werden sollen, explizit aufzulisten. IAM Access Analyzer gibt eine separate Suche für aufgelistete Aktionen zurück, die die aws:ResourceTag-Bedingungsschlüssel. Weitere Informationen finden Sie unter Sicherheitswarnung – Verweigern mit nicht unterstütztem Tag-Bedingungsschlüssel für das Service.
Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. Bei Services, die diese Schlüssel nicht unterstützen, müssen Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle (RBAC) steuern.
Verwandte Begriffe
Sicherheitswarnung - Zugriff auf Service-Prinzipal einschränken
Fehlercode: RESTRICT_ACCESS_TO_SERVICE_PRINCIPAL
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Restrict access to service principal: Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Granting access to a service principal without specifying a source is overly permissive. Use aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths condition key to grant fine-grained access."Auflösen der Sicherheitswarnung
Sie können AWS-Services im Principal-Element einer ressourcenbasierten Richtlinie angeben, indem Sie einen Service-Prinzipal verwenden, was eine Kennung für das Service ist. Wenn Sie Zugang zu einem Service-Prinzipal gewähren, um in Ihrem Namen zu handeln, beschränken Sie den Zugriff. Um übermäßig zulässige Richtlinien zu verhindern, verwenden Sie die Bedingungsschlüssel aws:SourceArn, aws:SourceAccount, aws:SourceOrgID oder aws:SourceOrgPaths zum Einschränken des Zugriffs auf eine bestimmte Quelle, z. B. eines bestimmten Ressourcen-ARN, AWS-Konto, einer Organisations-ID oder Organisationspfade. Durch die Einschränkung des Zugriffs können Sie ein Sicherheitsproblem verhindern, das Problem der verwirrten Stellvertreters genannt wird.
Verwandte Begriffe
Sicherheitswarnung – Fehlender Bedingungsschlüssel für OIDC-Prinzipal
Fehlercode: MISSING_CONDITION_KEY_FOR_OIDC_PRINCIPAL
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing condition key for oidc principal: Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using an Open ID Connect principal without a condition can be overly permissive. Add condition keys with a prefix that matches your federated OIDC principals to ensure that only the intended identity provider assumes the role."Auflösen der Sicherheitswarnung
Die Verwendung eines Open ID Connect-Prinzipals ohne Bedingung kann zu großzügig sein. Fügen Sie Bedingungsschlüssel mit einem Präfix hinzu, das Ihren OIDC-Verbundprinzipalen entspricht, um sicherzustellen, dass nur der beabsichtigte Identitätsanbieter die Rolle übernimmt.
Verwandte Begriffe
Sicherheitswarnung – Fehlender Bedingungsschlüssel für Github-Repository
Fehlercode: MISSING_GITHUB_REPO_CONDITION_KEY
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Missing github repo condition key: Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Granting a federated GitHub principal permissions without a condition key can allow more sources to assume the role than you intended. Add the token.actions.githubusercontent.com:sub condition key and specify the branch and repository name in the value."Auflösen der Sicherheitswarnung
Wenn Sie GitHub als OIDC-Identitätsanbieter verwenden, empfiehlt es sich, die Entitäten einzuschränken, die die dem IAM-Identitätsanbieter zugeordnete Rolle übernehmen können. Wenn Sie eine Condition-Anweisung in eine Rollenvertrauensrichtlinie aufnehmen, können Sie die Rolle auf bestimmte GitHub-Organisationen, -Repositorys oder -Branches beschränken. Sie können den Bedingungsschlüssel token.actions.githubusercontent.com:sub verwenden, um den Zugriff einzuschränken. Wir empfehlen, dass Sie die Bedingung auf eine bestimmte Gruppe von Repositorys oder Branchen beschränken. Wenn Sie diese Bedingung nicht angeben, können GitHub-Aktionen von Organisationen oder Repositories außerhalb Ihrer Kontrolle Rollen übernehmen, die dem GitHub-IAM-Identitätsanbieter in Ihrem AWS-Konto zugeordnet sind.
Verwandte Begriffe
Sicherheitswarnung – Zeichenfolgenartiger Operator mit ARN-Bedingungsschlüsseln
Fehlercode: STRING_LIKE_OPERATOR_WITH_ARN_CONDITION_KEYS
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
String like operator with ARN condition keys: Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Use the operator type {{allowed}} instead of operator {{operator}} for the condition key {{key}}."Auflösen der Sicherheitswarnung
AWS empfiehlt, beim Vergleichen von ARNs ARN-Operatoren anstelle von Zeichenfolgen-Operatoren zu verwenden, um eine ordnungsgemäße Zugriffsbeschränkung basierend auf den ARN-Bedingungswerten sicherzustellen. Aktualisieren Sie den StringLike-Operator auf den ArnLike-Operator in Ihrem Condition-Element, wenn der angegebene Schlüssel verwendet wird.
Die folgenden von AWS verwalteten Richtlinien stellen Ausnahmen von dieser Sicherheitswarnung dar:
Verwandte Begriffe
Sicherheitswarnung: ForAnyValue mit Typ Zielgruppenanspruch
Fehlercode: FORANYVALUE_WITH_AUDIENCE_CLAIM_TYPE
Erkenntnistyp: SECURITY_WARNING
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
ForAnyValue with audience claim type: Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using ForAnyValue qualifier with the single-valued condition key {{key}} can be overly permissive. We recommend that you remove ForAnyValue:."Auflösen der Sicherheitswarnung
AWS empfiehlt, den ForAnyValue-Set-Operator nicht mit einwertigen Bedingungsschlüsseln zu verwenden. Verwenden Sie Satz-Operatoren nur mit mehrwertigen Bedingungsschlüssel. Entfernen Sie den ForAnyValue-Set-Operator.
Verwandte Begriffe
Vorschlag – Leere Array-Aktion
Fehlercode: EMPTY_ARRAY_ACTION
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty array action: This statement includes no actions and does not affect the policy. Specify actions.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "This statement includes no actions and does not affect the policy. Specify actions."Abruf eines Vorschlags
Aussagen müssen entweder ein Action oder NotAction Element enthalten, das eine Reihe von Aktionen umfasst. Wenn das Element leer ist, stellt die Richtlinienanweisung keine Berechtigungen bereit. Geben Sie Aktionen im Element Action an.
Vorschlag – Leere Array-Bedingung
Fehlercode: EMPTY_ARRAY_CONDITION
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty array condition: There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "There are no values for the condition key {{key}} and it does not affect the policy. Specify conditions."Abruf eines Vorschlags
Die optionale Condition-Element-Struktur erfordert die Verwendung eines Bedingungsoperators und eines Schlüssel-Wert-Paares. Wenn der Wert der Bedingung leer ist, gibt die Bedingung true zurück und die Richtlinienanweisung sieht keine Berechtigungen vor. Geben Sie einen Bedingungswert an.
Vorschlag – Leere Array-Bedingung ForAllValues
Fehlercode: EMPTY_ARRAY_CONDITION_FORALLVALUES
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty array condition ForAllValues: The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The ForAllValues prefix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Abruf eines Vorschlags
Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Der ForAllValues-Set-Operator prüft, ob der Wert eines jeden Mitglieds der Anforderungsmenge eine Teilmenge der Bedingungsschlüsselmenge ist.
Wenn Sie ForAllValues mit einem leeren Bedingungsschlüssel verwenden, trifft die Bedingung nur dann zu, wenn es keine Schlüssel in der Anforderung gibt. AWS empfiehlt, dass Sie stattdessen den Bedingungsoperator verwenden, wenn Sie Null testen wollen, ob ein Anforderungskontext leer ist.
Suggestion – Leere Array-Bedingung ForAnyValue
Fehlercode: EMPTY_ARRAY_CONDITION_FORANYVALUE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty array condition ForAnyValue: The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The ForAnyValue prefix with an empty condition key {{key}} never matches the request context and it does not affect the policy. Specify conditions."Abruf eines Vorschlags
Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden. Der ForAnyValues-Set-Operator prüft, ob mindestens ein Mitglied der Menge der Anforderungswerte mit mindestens einem Mitglied der Menge der Bedingungsschlüsselwerte übereinstimmt.
Wenn Sie ForAnyValues mit einem leeren Bedingungsschlüssel verwenden, wird die Bedingung nie erfüllt. Dies bedeutet, dass die Anweisung keine Auswirkung auf die Richtlinie hat. AWS empfiehlt, die Bedingung neu zu formulieren.
Vorschlag – Leere Array-Bedingung IfExists
Fehlercode: EMPTY_ARRAY_CONDITION_IFEXISTS
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty array condition IfExists: The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The IfExists suffix with an empty condition key matches only if the key {{key}} is missing from the request context. To determine if the request context is empty, we recommend that you use the Null condition operator with the value of true instead."Abruf eines Vorschlags
Mit dem Suffix ...IfExists wird ein Bedingungsoperator bearbeitet. Das bedeutet, dass, wenn der Richtlinienschlüssel im Kontext der Anforderung vorhanden ist, der Schlüssel wie in der Richtlinie angegeben verarbeitet wird. Wenn der Schlüssel nicht vorhanden ist, wird das Bedingungselement als "true" ausgewertet.
Wenn Sie ...IfExists mit einem leeren Bedingungsschlüssel verwenden, trifft die Bedingung nur dann zu, wenn es keine Schlüssel in der Anforderung gibt. AWS empfiehlt, dass Sie stattdessen den Bedingungsoperator verwenden, wenn Sie Null testen wollen, ob ein Anforderungskontext leer ist.
Vorschlag – Leerer Array-Prinzipal
Fehlercode: EMPTY_ARRAY_PRINCIPAL
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty array principal: This statement includes no principals and does not affect the policy. Specify principals.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Abruf eines Vorschlags
Sie müssen das Element Principal oder NotPrincipal in den Vertrauensrichtlinien für IAM-Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden.
Wenn Sie ein leeres Array im Principal-Element einer Anweisung angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie die Prinzipale angeben, die Zugriff auf die Ressource haben sollen.
Vorschlag – Leere Array-Ressource
Fehlercode: EMPTY_ARRAY_RESOURCE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty array resource: This statement includes no resources and does not affect the policy. Specify resources.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "This statement includes no resources and does not affect the policy. Specify resources."Abruf eines Vorschlags
Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten.
Wenn Sie ein leeres Array im Ressourcenelement einer Anweisung angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie Amazon Resource Names (ARNs) für Ressourcen angeben.
Vorschlag – Leere Objektbedingung
Fehlercode: EMPTY_OBJECT_CONDITION
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty object condition: This condition block is empty and it does not affect the policy. Specify conditions.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "This condition block is empty and it does not affect the policy. Specify conditions."Abruf eines Vorschlags
Die Condition-Elementstruktur erfordert, dass Sie einen Bedingungsoperator und ein Schlüssel-Wert-Paar verwenden.
Wenn Sie ein leeres Objekt im Bedingungselement einer Anweisung angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. Entfernen Sie das optionale Element, oder geben Sie Bedingungen an.
Vorschlag – Leerer Objekt-Prinzipal
Fehlercode: EMPTY_OBJECT_PRINCIPAL
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty object principal: This statement includes no principals and does not affect the policy. Specify principals.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "This statement includes no principals and does not affect the policy. Specify principals."Abruf eines Vorschlags
Sie müssen das Element Principal oder NotPrincipal in den Vertrauensrichtlinien für IAM-Rollen und in ressourcenbasierten Richtlinien verwenden. Ressourcenbasierte Richtlinien sind Richtlinien, die Sie direkt in eine Ressource einbinden.
Wenn Sie ein leeres Objekt in einem Principal-Anweisungselement angeben, hat die Anweisung keine Auswirkung auf die Richtlinie. AWS empfiehlt, dass Sie die Prinzipale angeben, die Zugriff auf die Ressource haben sollen.
Vorschlag – Leerer Sid Wert
Fehlercode: EMPTY_SID_VALUE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Empty Sid value: Add a value to the empty string in the Sid element.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Add a value to the empty string in the Sid element."Abruf eines Vorschlags
Mit dem optionalen Element Sid (Ausweis-ID) können Sie einen Identifikator eingeben, den Sie für den Ausweis bereitstellen. Sie können jeder Anweisung in einem Statement-Array einen Sid-Wert zuweisen. Wenn Sie das Element Sid verwenden, müssen Sie einen String-Wert angeben.
Verwandte Begriffe
Vorschlag: Entspricht null „false“
Fehlercode: EQUIVALENT_TO_NULL_FALSE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Equivalent to null false: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: false} to ensure better enforcement of the condition."Abruf eines Vorschlags
Ersetzen Sie den aktuellen Bedingungsschlüssel durch den empfohlenen Schlüssel, der auf false gesetzt ist. Diese Änderung verbessert die Klarheit der Richtlinien und gewährleistet eine zuverlässigere Bedingungsbewertung. Aktualisieren Sie Ihren Bedingungsblock, um {recommendedKey}: false anstelle der aktuellen Schlüssel-Operator-Kombination zu verwenden.
Verwandte Begriffe
Vorschlag: Entspricht null „true“
Fehlercode: EQUIVALENT_TO_NULL_TRUE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Equivalent to null true: We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "We recommend replacing the key {{key}} in the condition block of {{operator}} with {{{recommendedKey}}: true} to ensure better enforcement of the condition."Abruf eines Vorschlags
Ersetzen Sie den aktuellen Bedingungsschlüssel durch den empfohlenen Schlüssel, der auf true gesetzt ist. Diese Änderung verbessert die Klarheit der Richtlinien und gewährleistet eine zuverlässigere Bedingungsbewertung. Aktualisieren Sie Ihren Bedingungsblock, um {recommendedKey}: true anstelle der aktuellen Schlüssel-Operator-Kombination zu verwenden.
Verwandte Begriffe
Vorschlag – Verbessern des IP-Bereichs
Fehlercode: IMPROVE_IP_RANGE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Improve IP range: The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The non-zero bits in the IP address after the masked bits are ignored. Replace address with {{addr}}."Abruf eines Vorschlags
Die IP-Adressbedingungen müssen im Standard-CIDR-Format vorliegen, z. B. 203.0.113.0/24 oder 2001:DB8:1234:5678::/64. Wenn Sie Bits, die nicht Null sind, nach den maskierten Bits einfügen, werden sie für die Bedingung nicht berücksichtigt. AWS empfiehlt, dass Sie die neue Adresse verwenden, die in der Nachricht enthalten ist.
Vorschlag – Null mit Qualifier
Fehlercode: NULL_WITH_QUALIFIER
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Null with qualifier: Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Avoid using the Null condition operator with the ForAllValues or ForAnyValue qualifiers because they always return a true or false respectively."Abruf eines Vorschlags
Im Condition-Element formulieren Sie Ausdrücke, in denen Sie Bedingungsoperatoren verwenden (gleich, kleiner als usw.), um die Bedingungsschlüssel und -werte der Richtlinie mit den Schlüsseln und Werten in der Anforderungen abzugleichen. Für Anforderungen, die mehrere Werte für einen einzigen Konditionsschlüssel enthalten, müssen Sie die ForAllValues oder ForAnyValue Set-Operatoren verwenden.
Wenn Sie den Bedingungsoperator Null mit ForAllValues verwenden, gibt die Anweisung immer true zurück. Wenn Sie den Null-Bedingungsoperator mit ForAnyValue verwenden, gibt die Anweisung immer false zurück. AWS empfiehlt, den Bedingungsoperator StringLike mit diesen Mengenoperatoren zu verwenden.
Verwandte Begriffe
Private Empfehlung – Private IP-Adresse
Fehlercode: PRIVATE_IP_ADDRESS_SUBSET
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Private IP address subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses will not have the desired effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Abruf eines Vorschlags
Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche.
Wenn Ihre Condition-Element eine Mischung aus privaten und öffentlichen IP-Adressen enthält, hat die Anweisung möglicherweise nicht die gewünschte Wirkung. Sie können private IP-Adressen mit angeben aws:VpcSourceIP.
Anmerkung
Der globale Bedingungsschlüssel aws:VpcSourceIP trifft nur zu, wenn die Anforderung von der angegebenen IP-Adresse ausgeht und über einen VPC-Endpunkt läuft.
Vorschlag – Private NoTipAddress Teilmenge
Fehlercode: PRIVATE_NOT_IP_ADDRESS_SUBSET
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Private NotIpAddress subset: The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The values for condition key aws:SourceIp include a mix of private and public IP addresses. The private addresses have no effect. aws:SourceIp works only for public IP address ranges. To define permissions for private IP ranges, use aws:VpcSourceIp."Abruf eines Vorschlags
Der globale Bedingungsschlüssel aws:SourceIp funktioniert nur für öffentliche IP-Adressbereiche.
Wenn Ihre Condition-Element enthält die NotIpAddress-Bedingungsoperator und eine Mischung aus privaten und öffentlichen IP-Adressen, hat die Anweisung möglicherweise nicht den gewünschten Effekt. Alle öffentlichen IP-Adressen, die nicht in der Richtlinie angegeben sind, stimmen überein. Es werden keine privaten IP-Adressen übereinstimmen. Um diesen Effekt zu erzielen, können Sie NotIpAddress mit aws:VpcSourceIP verwenden und die privaten IP-Adressen angeben, die nicht übereinstimmen sollen.
Vorschlag – Redundante Aktion
Fehlercode: REDUNDANT_ACTION
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Redundant action: The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{redundantActionCount}} action(s) are redundant because they provide similar permissions. Update the policy to remove the redundant action such as: {{redundantAction}}."Abruf eines Vorschlags
Wenn Sie Wildcards (*) im Action-Element verwenden, können Sie überflüssige Berechtigungen einschließen. AWS empfiehlt, dass Sie Ihre Richtlinie überprüfen und nur die benötigten Berechtigungen einschließen. Auf diese Weise können Sie redundante Aktionen entfernen.
Die folgenden Aktionen umfassen beispielsweise die iam:GetCredentialReport zweimal Action (Aktion).
"Action": [
"iam:Get*",
"iam:List*",
"iam:GetCredentialReport"
],In diesem Beispiel werden die Berechtigungen für jede IAM-Aktion definiert, die mit Get oder List beginnt. Wenn IAM zusätzliche Abruf- oder Listenvorgänge hinzufügt, erlaubt diese Richtlinie diese. Sie können alle diese schreibgeschützten Aktionen zulassen. Die Aktion iam:GetCredentialReport ist bereits als Teil von iam:Get* enthalten. Um die doppelten Berechtigungen zu entfernen, könnten Sie entfernen iam:GetCredentialReport.
Sie erhalten ein Ergebnis für diese Richtlinienprüfung, wenn der gesamte Inhalt einer Aktion redundant ist. Wenn das Element in diesem Beispiel iam:*CredentialReport enthält, wird es nicht als redundant betrachtet. Das schließt mit einiam:GetCredentialReport, die redundant ist, und iam:GenerateCredentialReport, was nicht ist. Das Entfernen von iam:Get* oder iam:*CredentialReport würde die Berechtigungen der Richtlinie ändern.
AWSVerwaltete -Richtlinien mit diesem Vorschlag
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen basierend auf allgemeinen AWS-Anwendungsfällen.
Redundante Aktionen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Bei Verwendung von verwaltete AWS-Richtlinie als Referenz zum Erstellen Ihrer vom Kunden verwalteten Richtlinie empfiehlt, AWS redundante Aktionen aus Ihrer Richtlinie zu entfernen.
Vorschlag – Redundanter Bedingungswert num
Fehlercode: REDUNDANT_CONDITION_VALUE_NUM
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Redundant condition value num: Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Multiple values in {{operator}} are redundant. Replace with the {{greatest/least}} single value for {{key}}."Abruf eines Vorschlags
Wenn Sie numerische Bedingungsoperatoren für ähnliche Werte in einem Bedingungsschlüssel verwenden, können Sie eine Überlappung erstellen, die zu redundanten Berechtigungen führt.
Das folgende Condition-Element enthält beispielsweise mehrere aws:MultiFactorAuthAge-Bedingungen mit einer Altersüberschneidung von 1200 Sekunden.
"Condition": {
"NumericLessThan": {
"aws:MultiFactorAuthAge": [
"2700",
"3600"
]
}
}In diesem Beispiel werden die Berechtigungen definiert, wenn die Multi-Faktor-Authentifizierung (MFA) vor weniger als 3600 Sekunden (1 Stunde) abgeschlossen wurde. Sie könnten die redundante 2700-Wert.
Vorschlag – Redundante Ressource
Fehlercode: REDUNDANT_RESOURCE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Redundant resource: The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The {{redundantResourceCount}} resource ARN(s) are redundant because they reference the same resource. Review the use of wildcards (*)"Abruf eines Vorschlags
Wenn Sie Platzhalter (*) in Amazon-Ressourcennamen (ARNs) verwenden, können Sie redundante Ressourcenberechtigungen erstellen.
So sehen beispielsweise die folgenden Resource-Element enthält mehrere ARNs mit redundanten Berechtigungen.
"Resource": [
"arn:aws:iam::111122223333:role/jane-admin",
"arn:aws:iam::111122223333:role/jane-s3only",
"arn:aws:iam::111122223333:role/jane*"
],In diesem Beispiel sind die Berechtigungen für jede Rolle definiert, deren Name mit jane. Sie können die redundanten ARNs jane-admin und jane-s3only entfernen, ohne die daraus resultierenden Berechtigungen zu ändern. Dadurch wird die Politik dynamisch. Es definiert Berechtigungen für alle zukünftigen Rollen, die mit jane. Wenn die Richtlinie den Zugriff auf eine statische Anzahl von Rollen zulassen soll, entfernen Sie den letzten ARN und listen Sie nur die ARNs auf, die definiert werden sollen.
AWSVerwaltete -Richtlinien mit diesem Vorschlag
Verwaltete AWS-Richtlinien ermöglichen Ihnen den Einstieg in AWS durch die Zuweisung von Berechtigungen auf der Grundlage allgemeiner AWS-Anwendungsfälle.
Redundante Ressourcen wirken sich nicht auf die Berechtigungen aus, die von der Richtlinie gewährt werden. Bei der Verwendung von der verwalteten AWS-Richtlinie als Referenz zum Erstellen Ihrer vom Kunden verwalteten Richtlinie empfiehlt AWS, redundante Ressourcen aus Ihrer Richtlinie zu entfernen.
Vorschlag – Redundante Aussage
Fehlercode: REDUNDANT_STATEMENT
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Redundant statement: The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The statements are redundant because they provide identical permissions. Update the policy to remove the redundant statement."Abruf eines Vorschlags
Das Element Statement ist das Hauptelement einer Richtlinie. Dieses Element ist erforderlich. Das Statement-Element kann eine einzelne Anweisung oder ein Array von einzelnen Anweisungen enthalten.
Wenn Sie dieselbe Anweisung mehrmals in eine lange Richtlinie einfügen, sind die Anweisungen redundant. Sie können eine der Anweisungen entfernen, ohne sich auf die von der Richtlinie erteilten Berechtigungen auswirken zu müssen. Wenn jemand eine Richtlinie bearbeitet, kann er eine der Anweisungen ändern, ohne das Duplikat zu aktualisieren. Dies kann zu mehr Berechtigungen führen als beabsichtigt.
Vorschlag – Platzhalter im Servicenamen
Fehlercode: WILDCARD_IN_SERVICE_NAME
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Wildcard in service name: Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Avoid using wildcards (*, ?) in the service name because it might grant unintended access to other AWS services with similar names."Abruf eines Vorschlags
Wenn Sie den Namen eines AWS-Services in einer Richtlinie ,AWS empfiehlt nachdrücklich, keine Platzhalter (*,?) einzuschließen. Dadurch können Berechtigungen für zukünftige Services hinzugefügt werden, die Sie nicht beabsichtigen. Zum Beispiel gibt es mehr als ein Dutzend AWS-Services mit dem Wort *code* in ihrem Namen.
"Resource": "arn:aws:*code*::111122223333:*"Vorschlag – Zulassen mit nicht unterstütztem Tag-Bedingungsschlüssel für Service
Fehlercode: ALLOW_WITH_UNSUPPORTED_TAG_CONDITION_KEY_FOR_SERVICE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Allow with unsupported tag condition key for service: Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the effect Allow with the tag condition key {{conditionKeyName}} and actions for services with the following prefixes does not affect the policy: {{serviceNames}}. Actions for the listed service are not allowed by this statement. We recommend that you move these actions to a different statement without this condition key."Abruf eines Vorschlags
Die Verwendung von nicht unterstützten Tag-Bedingungsschlüsseln im Condition-Element einer Richtlinie mit "Effect": "Allow" wirkt sich nicht auf die von der Richtlinie gewährten Berechtigungen aus, da die Bedingung für diese Service-Aktion ignoriert wird. AWS empfiehlt, die Aktionen für Services, die den Bedingungsschlüssel nicht unterstützen, zu entfernen und eine weitere Anweisung zu erstellen, um den Zugriff auf bestimmte Ressourcen in diesem Service zu erlauben.
Wenn Sie den aws:ResourceTag-Bedingungsschlüssel verwenden und dieser nicht von einer Service-Aktion unterstützt wird, wird der Schlüssel nicht in den Anforderungskontext aufgenommen. In diesem Fall gibt die Bedingung in der Allow-Anweisung immer false zurück und die Aktion ist nie erlaubt. Dies geschieht auch dann, wenn die Ressource korrekt markiert ist.
Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. Bei Services, die diese Schlüssel nicht unterstützen, müssen Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle (RBAC) steuern.
Anmerkung
Einige Services ermöglichen die Unterstützung des Bedingungsschlüssel aws:ResourceTag für eine Teilmenge ihrer Ressourcen und Aktionen. IAM Access Analyzer gibt Ergebnisse für die Service-Aktionen zurück, die nicht unterstützt werden. Amazon S3 unterstützt beispielsweise aws:ResourceTag für eine Teilmenge der Ressourcen. Alle in Amazon S3 verfügbaren Ressourcentypen, die den aws:ResourceTag-Bedingungsschlüssel unterstützen, finden Sie unter Resource types defined by Amazon S3 in der Service Authorization Reference.
Nehmen Sie beispielsweise an, dass Sie den Zugriff auf bestimmte Ressourcen, die mit dem Schlüssel-Wert-Paar gekennzeichnet sind, verweigern möchten team=BumbleBee. Gehen Sie auch davon aus, dass AWS Lambda das Markieren von Ressourcen erlaubt, aber den aws:ResourceTag-Bedingungsschlüssel nicht unterstützt. Um die Löschaktionen für AWS App Mesh und AWS Backup zu verweigern, wenn diese Markierung vorhanden ist, verwenden Sie die Bedingungstaste aws:ResourceTag. Verwenden Sie für Lambda eine Ressourcennamenskonvention, die den Teamnamen als Präfix enthält. Fügen Sie dann eine separate Anweisung hinzu, die das Anzeigen von Ressourcen mit dieser Namenskonvention ermöglicht.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewSupported", "Effect": "Allow", "Action": [ "appmesh:DescribeMesh", "backup:GetBackupPlan" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/team": "BumbleBee" } } }, { "Sid": "AllowViewUnsupported", "Effect": "Allow", "Action": "lambda:GetFunction", "Resource": "arn:aws:lambda:*:123456789012:function:team-BumbleBee*" } ] }
Warnung
Verwenden Sie nicht die Not -Version des Bedingungsoperators mit "Effect": "Allow" als Abhilfe für diese Feststellung. Diese Bedingungsoperatoren bieten eine negierte Übereinstimmung. Dies bedeutet, dass nach der Auswertung der Bedingung das Ergebnis negiert wird. Im vorigen Beispiel wird die Aktion lambda:GetFunction in der AllowViewSupported-Anweisung mit dem Operator StringNotEquals immer zugelassen, unabhängig davon, ob die Ressource mit einem Tag versehen ist.
Verwenden Sie nicht die...IfExists-Version des Bedingungsoperators als Problemumgehung für diese Feststellung. Das bedeutet: "Erlaube die Aktion, wenn der Schlüssel im Anforderungskontext vorhanden ist und die Werte übereinstimmen. Andernfalls erlauben Sie die Aktion". Im vorangegangenen Beispiel wurde die Aktion lambda:GetFunction mit dem Operator AllowViewSupported in die Anweisung StringEqualsIfExists aufgenommen, um die Aktion zu ermöglichen. Bei dieser Aktion ist der Schlüssel nicht im Kontext vorhanden, und jeder Versuch, diesen Ressourcentyp anzuzeigen, ist zulässig, unabhängig davon, ob die Ressource mit einem Tag versehen ist.
Verwandte Begriffe
Vorschlag – NotAction mit nicht unterstütztem Tag-Bedingungsschlüssel für Service zulassen
Fehlercode: ALLOW_NOTACTION_WITH_UNSUPPORTED_TAG_CONDITION_KEY_FOR_SERVICE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Allow NotAction with unsupported tag condition key for service: Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "Using the effect Allow with NotAction and the tag condition key {{conditionKeyName}} allows only service actions that support the condition key. The condition key doesn't apply to some service actions. We recommend that you use Action instead of NotAction."Abruf eines Vorschlags
Die Verwendung nicht unterstützter Tag-Bedingungsschlüssel im Condition-Element einer Richtlinie mit dem Element NotAction und "Effect": "Allow" hat keine Auswirkungen auf die von der Richtlinie gewährten Berechtigungen. Die Bedingung wird für Service-Aktionen, die den Bedingungsschlüssel nicht unterstützen, ignoriert. AWS empfiehlt, die Logik umzuschreiben, um eine Liste von Aktionen zu ermöglichen.
Wenn Sie den Bedingungsschlüssel aws:ResourceTag mit NotAction verwenden, werden alle neuen oder bestehenden Service-Aktionen, die den Schlüssel nicht unterstützen, nicht zugelassen. AWS empfiehlt, dass Sie die Aktionen, die Sie zulassen möchten, ausdrücklich auflisten. IAM Access Analyzer gibt eine separate Suche für aufgelistete Aktionen zurück, die die aws:ResourceTag-Bedingungsschlüssel. Weitere Informationen finden Sie unter Vorschlag – Zulassen mit nicht unterstütztem Tag-Bedingungsschlüssel für Service.
Wenn ein Service den Bedingungsschlüssel aws:ResourceTag unterstützt, können Sie den Zugriff auf die Ressourcen dieses Services mit Hilfe von Tags steuern. Dies wird als attributbasierte Zugriffskontrolle (ABAC) bezeichnet. Bei Services, die diese Schlüssel nicht unterstützen, müssen Sie den Zugriff auf Ressourcen mithilfe der ressourcenbasierten Zugriffskontrolle (RBAC) steuern.
Verwandte Begriffe
Vorschlag - Empfohlener Bedingungsschlüssel für Service-Prinzipal
Fehlercode: RECOMMENDED_CONDITION_KEY_FOR_SERVICE_PRINCIPAL
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Recommended condition key for service principal: To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "To restrict access to the service principal {{servicePrincipalPrefix}} operating on your behalf, we recommend aws:SourceArn, aws:SourceAccount, aws:SourceOrgID, or aws:SourceOrgPaths instead of {{key}}."Abruf eines Vorschlags
Sie können AWS-Services im Principal-Element einer ressourcenbasierten Richtlinie angeben, indem Sie Service-Prinzipal verweden, was eine Kennung für das Service ist. Sie sollten die Bedingungsschlüssel aws:SourceArn, aws:SourceAccount, aws:SourceOrgID oder aws:SourceOrgPaths verwenden, wenn Sie Zugriff auf Service-Prinzipale gewähren, anstelle anderer Bedingungsschlüssel wie aws:Referer. Dies hilft Ihnen, ein Sicherheitsproblem zu verhindern, das Problem des verwirrten Stellvertreters genannt wird.
Verwandte Begriffe
Vorschlag - Irrelevanter Bedingungsschlüssel in der Richtlinie
Fehlercode: IRRELEVANT_CONDITION_KEY_IN_POLICY
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Irrelevant condition key in policy: The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The condition key {{condition-key}} is not relevant for the {{resource-type}} policy. Use this key in an identity-based policy to govern access to this resource."Abruf eines Vorschlags
Einige Bedingungsschlüssel sind für ressourcenbasierte Richtlinien nicht relevant. Zum Beispiel, der s3:ResourceAccount-Bedingungsschlüssel ist nicht relevant für die ressourcenbasierte Richtlinie, die an einen Amazon-S3-Bucket oder Amazon-S3-Zugriffspunkt-Ressourcentyp angehängt ist.
Sie sollten Ihren Bedingungsschlüssel in einer identitätsbasierten Richtlinie verwenden, um den Zugriff auf die Ressource zu kontrollieren.
Verwandte Begriffe
Vorschlag: Redundanter Schlüssel aufgrund eines Platzhalters in der Bedingung
Fehlercode: REDUNDANT_KEY_DUE_TO_WILDCARD_IN_CONDITION
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Redundant key due to wildcard in condition: The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The key {{key}} in the condition block of {{operator}} is redundant because it is always matched. Remove this key to simplify the condition."Abruf eines Vorschlags
Entfernen Sie den redundanten Bedingungsschlüssel aus der Richtlinie. Der Schlüssel wird aufgrund des Platzhaltermusters immer abgeglichen, sodass er nicht erforderlich ist. Vereinfachen Sie Ihren Bedingungsblock, indem Sie diesen Schlüssel entfernen und gleichzeitig die gleichen effektiven Berechtigungen beibehalten.
Verwandte Begriffe
Vorschlag – Redundanter Prinzipal in Rollenvertrauensrichtlinie
Fehlercode: REDUNDANT_PRINCIPAL_IN_ROLE_TRUST_POLICY
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Redundant principal in role trust policy: The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The assumed-role principal {{redundant_principal}} is redundant with its parent role {{parent_role}}. Remove the assumed-role principal."Abruf eines Vorschlags
Wenn Sie sowohl einen Prinzipal mit angenommener Rolle als auch seine übergeordnete Rolle im Principal–Element einer Richtlinie angeben, erlaubt oder verweigert sie keine anderen Berechtigungen. Zum Beispiel ist es überflüssig, das Principal-Element im folgenden Format anzugeben:
"Principal": { "AWS": [ "arn:aws:iam::AWS-account-ID:role/rolename", "arn:aws:iam::AWS-account-ID:assumed-role/rolename/rolesessionname" ]
Wir empfehlen, den Prinzip mit angenommener Rolle zu entfernen.
Verwandte Begriffe
Vorschlag: Redundante Anweisung aufgrund eines Platzhalters in der Bedingung
Fehlercode: REDUNDANT_STATEMENT_DUE_TO_WILDCARD_IN_CONDITION
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Redundant statement due to wildcard in condition: The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition.
In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The key {{key}} in the condition block of {{operator}} does not match any values. Remove this key to simplify the condition."Abruf eines Vorschlags
Entfernen Sie den Bedingungsschlüssel, der mit keinem Wert übereinstimmt. Dieser Schlüssel erzeugt eine unerreichbare Bedingung, die niemals erfüllt werden kann, was ihn überflüssig macht. Bereinigen Sie Ihre Richtlinie, indem Sie diesen Schlüssel entfernen, um die Lesbarkeit und Leistung zu verbessern.
Verwandte Begriffe
Vorschlag – Bestätigung des Zielgruppenanspruch-Typs
Fehlercode: CONFIRM_AUDIENCE_CLAIM_TYPE
Erkenntnistyp: SUGGESTION
Erkenntnisdetails
In der AWS-Managementkonsole enthält die Suche nach dieser Prüfung die folgende Meldung:
Confirm audience claim type: The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier.In programmatischen Aufrufen der AWS CLI oder AWS-API enthält die Suche nach dieser Prüfung die folgende Meldung:
"findingDetails": "The "{{key}}" ({{audienceType}}) claim key identifies the recipients that the JSON web token is intended for. Because this claim is single-valued, do not use a qualifier."Abruf eines Vorschlags
Der aud-Anspruchsschlüssel (Zielgruppe) ist ein eindeutiger Bezeichner für Ihre App, der ausgestellt wird, wenn Sie Ihre App beim IdP registrieren. Er identifiziert die Empfänger, für die das JSON-Web-Token bestimmt ist. Zielgruppenansprüche können mehrwertig oder einwertig sein. Wenn der Anspruch mehrwertig ist, verwenden Sie einen ForAllValues- oder ForAnyValue-Bedingungssatz-Operator. Wenn der Anspruch einwertig ist, verwenden Sie keinen Bedingungssatz-Operator.
Verwandte Begriffe
