iam-customer-policy-blocked-kms-acciones - AWS Config
AWS CloudFormation plantilla

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

iam-customer-policy-blocked-kms-acciones

Comprueba si las políticas gestionadas de AWS Identity and Access Management (IAM) que ha creado no permiten bloquear acciones de KMS en todos los AWS recursos clave de KMS. La regla no cumple con los requisitos si la política de IAM gestionada permite realizar cualquier acción de bloqueo en todas las claves de AWS KMS.

nota

Para que se considere no pública, una política de SQS debe conceder acceso solo a valores fijos. Esto significa valores que no contienen un comodín ni el siguiente elemento de política de IAM: Variables.

Identificador: IAM_CUSTOMER_POLICY_BLOCKED_KMS_ACTIONS

Tipos de recursos: AWS::IAM::Policy

Tipo de disparador: cambios de configuración

Región de AWS: Todas AWS las regiones compatibles, excepto Asia Pacífico (Tailandia), Oriente Medio (Emiratos Árabes Unidos)AWS, Secret - West, Asia Pacífico (Hyderabad), Asia Pacífico (Malasia), Asia Pacífico (Melbourne), México (Central), Israel (Tel Aviv), Asia Pacífico (Taipéi), Canadá Oeste (Calgary), Europa (España), Región Europa (Zúrich)

Parámetros:

blockedActionsPatterns
Tipo: CSV

Lista separada por comas de patrones de acción de KMS bloqueados bloqueados que debe comprobar la regla. La regla es NON_COMPLIANT si las políticas administradas por el cliente de IAM otorgan acceso comodín a todos los recursos para las acciones que especifique.

excludePermissionBoundaryPolítica (opcional)
Tipo: booleano

Indicador booleano para excluir la evaluación de las políticas de IAM utilizadas como límites de permisos. Si se establece en true, la regla no incluirá los límites de permisos en la evaluación. De lo contrario, todas las políticas de IAM incluidas en el ámbito de aplicación se evaluarán cuando el valor se establezca en false. El valor predeterminado es false.

AWS CloudFormation plantilla

Para crear reglas AWS Config administradas con AWS CloudFormation plantillas, consulteCreación de reglas administradas de AWS Config con plantillas de AWS CloudFormation.