更新时间:2024-10-28 GMT+08:00

IAM用户归属指定用户组

规则详情

表1 规则详情

参数

说明

规则名称

iam-user-group-membership-check

规则展示名

IAM用户归属指定用户组

规则描述

IAM用户不属于指定IAM用户组,视为“不合规”。

标签

iam

规则触发方式

配置变更

规则评估的资源类型

iam.users

规则参数

groupIds:指定的用户组ID列表,如果列表为空,表示允许所有值;数组类型,最多包含10个元素。

应用场景

管理员创建用户组并授权后,将用户加入用户组中,使用户具备用户组的权限,实现用户的授权。给已授权的用户组中添加或者移除用户,快速实现用户的权限变更。

修复项指导

选择合适的用户组,将不合规的IAM用户添加到用户组中。如果确认该IAM用户后续不再使用,则可将其停用或删除。

检测逻辑

  • IAM用户为“停用”状态,视为“合规”。
  • IAM用户为“启用”状态,且规则参数为空列表,若IAM用户属于任意一个IAM用户组,视为“合规”。
  • IAM用户为“启用”状态,且规则参数为空列表,若IAM用户不属于任意一个IAM用户组,视为“不合规”。
  • IAM用户为“启用”状态,且规则参数非空列表,若IAM用户属于任意一个指定的IAM用户组,视为“合规”。
  • IAM用户为“启用”状态,且规则参数非空列表,若IAM用户不属于任意一个指定视为IAM用户组,视为“不合规”。