检测
分析
确保与通配符(*)我政策资源和NotAction没有连接或使用
高
描述
通过与明星在资源和NotAction作用:使用通配符(*)的资源和NotAction可能过于宽容,因为它允许我:PassRole对所有资源的访问权限。
修复
在AWS控制台,
- 在AWS控制台和去我的控制台。
- 在导航窗格中,选择政策。
- 在政策的列表,选择编辑政策。
- 选择“权限”选项卡,然后选择编辑政策。
- 在评论页面,审核更改并单击Save。
在起程拓殖-
- aws_iam_policy, aws_iam_role_policy、aws_iam_group_policy aws_iam_user_policy资源,编辑政策领域,以便NotAction我不习惯:PassRole,我:CreateServiceLinkedRole或通配符(*)。
- 更新资源列表是使用特定的id而不是一个通配符。
- 更新我的动作列表,一组特定的行为。
更多信息关于如何有效地编写一个我看到AWS和政策起程拓殖文档。
引用:
https://docs.aws.amazon.com/IAM/latest/UserGuide/service_code_examples_iam.html
https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/iam_policy
政策细节
规则引用ID:
AC_AWS_0028
CSP:
AWS
修复可用:
是的
域:
身份和访问管理
资源:
aws_iam_policy
资源类别:
身份和访问管理(我)
资源类型:
政策