iam-policy-no-statements-with-full-access - AWS Config
AWS CloudFormation modello

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

iam-policy-no-statements-with-full-access

Verifica se le policy di AWS Identity and Access Management (IAM) create concedono autorizzazioni a tutte le azioni sulle AWS singole risorse. La regola è NON_COMPLIANT se una policy IAM gestita dal cliente consente l'accesso completo ad almeno 1 servizio.AWS

Contesto: seguendo il principio del privilegio minimo, si consiglia di limitare le azioni consentite nelle politiche IAM quando si concedono le autorizzazioni ai servizi.AWS Questo approccio aiuta a garantire che si concedano solo le autorizzazioni necessarie specificando le azioni esatte richieste, evitando l'uso di caratteri jolly illimitati per un servizio, ad esempio. ec2:*

In alcuni casi, potresti voler consentire più azioni con un prefisso simile, ad esempio e. DescribeFlowLogsDescribeAvailabilityZones In questi casi, è possibile aggiungere un carattere jolly con suffisso al prefisso comune (ad esempio,). ec2:Describe* Il raggruppamento delle azioni correlate può aiutare a evitare di raggiungere i limiti di dimensione delle policy IAM.

Questa regola restituirà COMPLIANT se utilizzi azioni prefisse con un carattere jolly suffisso (ad esempio,). ec2:Describe* Questa regola restituirà NON_COMPLIANT solo se si utilizzano caratteri jolly senza restrizioni (ad esempio,). ec2:*

Nota

Questa regola valuta solo le policy gestite dal cliente. Questa regola NON valuta le politiche in linea o le politiche gestite.AWS Per ulteriori informazioni sulla differenza, consulta le policy gestite e le politiche in linea nella IAM User Guide.

Identificatore: IAM_POLICY_NO_STATEMENTS_WITH_FULL_ACCESS

Tipi di risorse: AWS::IAM::Policy

Tipo di trigger: Modifiche alla configurazione

Regione AWS: Tutte le AWS regioni supportate tranne Asia Pacifico (Thailandia), Medio Oriente (Emirati Arabi Uniti)AWS, Secret - West, Asia Pacifico (Hyderabad), Asia Pacifico (Malesia), Asia Pacifico (Melbourne), Messico (Centrale), Israele (Tel Aviv), Asia Pacifico (Taipei), Canada occidentale (Calgary), Europa (Spagna), Europa (Zurigo)

Parametri:

excludePermissionBoundaryPolitica (opzionale)
Tipo: booleano

Flag booleano per escludere la valutazione delle policy IAM utilizzate come limiti delle autorizzazioni. Se impostato su "true", la regola non include i limiti delle autorizzazioni nella valutazione. Invece, tutte le policy IAM incluse nell'ambito vengono valutate quando il valore è impostato su "false". Il valore predefinito è "false".

AWS CloudFormation modello

Per creare regole AWS Config gestite con AWS CloudFormation modelli, vedereCreazione di regole AWS Config gestite con AWS CloudFormation modelli.