验证策略结果参考
如用户已使用IAM访问分析进行策略验证,可以根据结果参考列表进行查询,参考“解决错误”的内容进行策略调整和优化。
错误 - JSON语法错误(JSON_SYNTAX_ERROR)
检查的结果包括以下消息:
中文:
修复第 {line} 行第 {column} 个字符,索引为 {offset} 的 JSON 语法错误。
英文:
Fix the JSON syntax error at character {column} in line {line} with index {offset}.
解决错误
您的策略包含语法错误。请检查您的JSON语法。
错误 - 策略元素无效(INVALID_POLICY_ELEMENT)
检查的结果包括以下消息:
中文:
策略中元素 {element} 无效。
英文:
The element {element} in the policy is invalid.
解决错误
修改策略,使其仅包含支持的策略元素。
错误 - 不支持主体元素(UNSUPPORTED_PRINCIPAL)
检查的结果包括以下消息:
中文:
身份策略不支持 “Principal” 元素。删除 “Principal” 元素。
英文:
The "Principal" element is not supported for identity policy. Delete the "Principal" element.
解决错误
身份策略不支持Principal元素,请删除Principal元素。
错误 - 数据类型不匹配(DATA_TYPE_MISMATCH)
检查的结果包括以下消息:
中文:
该文本与预期的 JSON 数据类型 {data_type} 不匹配。
英文:
The text does not match the expected JSON data type {data_type}.
解决错误
您的策略文本的数据类型与预期的数据类型不匹配,请使用符合规范的数据类型。
例如,Effect元素需要String数据类型。如果您输入整数,则数据类型将不匹配。
错误 - 无效的版本号(INVALID_VERSION)
检查的结果包括以下消息:
中文:
版本 {version} 无效。请使用以下版本: “5.0”。
英文:
The version {version} is not valid. Use the following version: "5.0".
解决错误
要使用所有可用策略功能,将Version元素改为5.0。
错误 - 缺少版本号(MISSING_VERSION)
检查的结果包括以下消息:
中文:
向策略添加 “Version” 元素。
英文:
Add the "Version" element to the policy.
解决错误
请您在策略中添加Version元素。
错误 - 缺少策略的授权语句(MISSING_STATEMENT)
检查的结果包括以下消息:
中文:
向策略的授权语句添加 “Statement” 元素。
英文:
Add the "Statement" element to the policy.
解决错误
请您在策略中添加策略的授权语句(Statement元素)。
错误 - 缺少作用语句(MISSING_EFFECT)
检查的结果包括以下消息:
中文:
向策略的授权语句添加值为 “Allow” 或 “Deny” 的 “Effect” 元素。
英文:
Add the "Effect" element to the policy statement with a value of "Allow" or "Deny".
解决错误
策略必须包含Effect元素,其值为Allow和Deny。
错误 - 无效的作用语句(INVALID_EFFECT)
检查的结果包括以下消息:
中文:
作用 {effect} 无效。使用 “Allow” 或 “Deny” 。
英文:
The effect {effect} is not valid. Use "Allow" or "Deny".
解决错误
请使用有效的效果值更新Effect元素。Effect的有效值为Allow和Deny。
错误 - 缺少授权项语句(MISSING_ACTION)
检查的结果包括以下消息:
中文:
在策略的授权语句中添加 “Action”(或 “NotAction”)元素。
英文:
Add the "Action" (or "NotAction") element to the policy statement.
解决错误
JSON策略的授权语句必须包含Action或者NotAction元素。
信任策略的授权语句必须包含Action元素。
错误 - 信任策略不支持的元素(INVALID_ELEMENT_FOR_TRUST_POLICY)
检查的结果包括以下消息:
中文:
信任策略语法不支持 {element} 元素。请删除 {element} 元素。
英文:
Trust policy does not support the {element} element. Remove the {element} element.
解决错误
信任策略语法不支持您输入的元素,请使用受支持的元素。
错误 - 不支持的元素组合(UNSUPPORTED_ELEMENT_COMBINATION)
检查的结果包括以下消息:
中文:
策略元素 {key_1} 和 {key_2} 不能在同一策略的授权语句中使用。请删除其中一个元素。
英文:
Policy elements {key_1} and {key_2} cannot be used in the same statement. Remove either of them.
解决错误
某些策略元素的组合不能一起使用。例如,您不能在同一策略的授权语句中同时使用Action和NotAction。相互排斥的其他对包括Resource/NotResource等。
错误 - 无效的条件运算符(INVALID_CONDITION_OPERATOR)
检查的结果包括以下消息:
中文:
策略中条件运算符 {operator} 无效。请使用有效的条件运算符。您是否想输入 {valid_operator} ?
英文:
Invalid condition operator {operator} in policy. Please use a valid condition operator. Did you mean {valid_operator} ?
解决错误
请使用支持的条件运算符修改条件语句。
错误 - 策略变量缺少大括号(MISSING_BRACE_IN_VARIABLE)
检查的结果包括以下消息:
中文:
策略变量缺少右大括号。在变量文本之后添加 “}” 。
英文:
The policy variable is missing a closing curly brace. Add "}" after the variable text.
解决错误
策略变量结构支持使用$前缀,后跟一对大括号{ }。在大括号内,包含想要在策略中使用的请求中的值名称,例如${g:DomainId}。
若要解决此结果,请添加缺少的大括号,以确保存在完整的大括号开闭集。
错误 - 空策略变量(EMPTY_VARIABLE)
检查的结果包括以下消息:
中文:
空策略变量。删除变量结构 “${}” 或在结构中提供变量。
英文:
Empty policy variable. Remove the "${}" variable structure or provide a variable within the structure.
解决错误
策略变量结构支持使用$前缀,后跟一对大括号{ }。在大括号内,包含想要在策略中使用的请求中的值名称,例如${g:DomainId}。
错误 - 策略变量不支持的空格(UNSUPPORTED_SPACE_IN_VARIABLE)
检查的结果包括以下消息:
中文:
策略变量文本中不支持空格。移除空格。
英文:
The space is not supported within the policy variable text. Remove the space.
解决错误
策略变量结构支持使用$前缀,后跟一对大括号{ }。在大括号内,包含想要在策略中使用的请求中的值名称,例如${g:DomainId}。虽然在指定默认值时可以包含空格,但不能在变量名称中包含空格。
错误 - 策略变量是特殊字符时不支持默认值(UNSUPPORTED_DEFAULT_VALUE_IN_VARIABLE)
检查的结果包括以下消息:
中文:
策略变量是特殊字符 “*”、“?”、“$” 时不支持默认值。移除默认值。
英文:
The default value is not supported within the policy variable text when the key is '*', '?' or '$'. Remove the default value.
解决错误
策略变量是特殊字符“*”、“?”、“$” 时不支持默认值。移除默认值。
错误 - 策略变量缺少引号(MISSING_QUOTE_IN_VARIABLE)
检查的结果包括以下消息:
中文:
策略变量默认值必须以单引号开头和结尾。添加缺失的引号。
英文:
The default value of a policy variable must start and end with a single quote. Add the missing quote.
解决错误
向策略添加变量时,您可以为变量指定默认值。如果不存在变量,则会使用您提供的原定设置文本。
要向变量添加默认值,请用单引号' '括起默认值,并用英文逗号和空格分隔变量文本和默认值,例如${g:UserName, 'default'}。
错误 - 条件包含多个布尔值(CONDITION_MULTIPLE_BOOLEAN)
检查的结果包括以下消息:
中文:
条件值不支持使用多个布尔值。请使用单个布尔值。
英文:
Multiple Boolean values are not supported for condition values. Use a single Boolean value.
解决错误
条件键值对中的键需要一个布尔值。当您提供多个布尔值时,条件匹配可能不会返回您期望的结果。
错误 - 元素中不支持策略变量(VARIABLE_UNSUPPORTED_IN_ELEMENT)
检查的结果包括以下消息:
中文:
只有资源元素和条件元素的值中支持策略变量。请检查策略变量的用法是否正确。
英文:
Policy variables are supported only in resource elements or the values of condition elements. Please check the policy variable in this element.
解决错误
您可以在资源元素和条件元素的值中使用策略变量。请检查策略变量的用法是否正确。
策略变量结构支持使用$前缀,后跟一对大括号{ }。在大括号内,包含想要在策略中使用的请求中的值名称,例如${g:DomainId}。
错误 - 无效的URN账号(INVALID_URN_ACCOUNT)
检查的结果包括以下消息:
中文:
资源 URN 账号 ID {account_id} 无效。提供正确的账号 ID。
英文:
The resource URN account ID {account_id} is not valid. Provide a correct account ID.
解决错误
请更新资源URN中的账号ID。账号ID是“system”或1-64位只包含大小写字母、数字和“-”的字符串。
错误 - 无效的URN资源类型(INVALID_URN_RESOURCE_TYPE_NAME)
检查的结果包括以下消息:
中文:
资源 URN 的资源类型 {resource_type} 无效。请更新此 URN 的资源类型部分。
英文:
Resource URN type name {resource_type} is not valid. Update the resource type name portion of the URN.
解决错误
请在资源 URN 中使用合法的资源类型。
错误 - 条件键格式错误(INVALID_CONDITION_KEY_FORMAT)
检查的结果包括以下消息:
中文:
条件键格式无效。请使用 “<service-name>:<condition-name>” 格式。
英文:
The condition key format is not valid. Use the format "<service-name>:<condition-name>".
解决错误
条件键值对中的键必须满足指定的格式。
错误 - 条件键数据类型不匹配(TYPE_MISMATCH)
检查的结果包括以下消息:
中文:
条件键 {key} 使用 {type_1} 运算符类型而不是 {type_2} 运算符类型。
英文:
The condition key {key} uses the {type_1} operator type instead of the {type_2} operator type.
解决错误
请更新文本以使用支持的条件运算符数据类型。例如,g:PrincipalIsRootUser全局条件键需要带有Boolean数据类型的条件运算符。如果您提供日期或整数运算符,则数据类型将不匹配。
错误 - 类型不匹配布尔值(TYPE_MISMATCH_BOOLEAN)
检查的结果包括以下消息:
中文:
为条件运算符 {operator} 添加有效的布尔值(true 或 false)。
英文:
Add a valid Boolean value (true or false) for the condition operator {operator}.
解决错误
请使用布尔数据类型更新文本,例如true或false。
错误 - 类型与IP范围不匹配(TYPE_MISMATCH_IP_RANGE)
检查的结果包括以下消息:
中文:
为条件运算符 {operator} 添加有效的 IP 地址。
英文:
Add a valid IP range value for the condition operator {operator}.
解决错误
对于IP地址条件运算符,请使用合法的IP地址数据类型更新文本。
错误 - 类型不匹配数值(TYPE_MISMATCH_NUMBER)
检查的结果包括以下消息:
中文:
为条件运算符 {operator} 添加有效的数值。
英文:
Add a valid numeric value for the condition operator {operator}.
解决错误
请使用数值数据类型更新文本。
错误 - 类型不匹配日期(TYPE_MISMATCH_DATE)
检查的结果包括以下消息:
中文:
日期条件运算符使用了无效的值。请使用 RFC 3339 日期/时间格式指定有效的日期。
英文:
The date condition operator is used with an invalid value. Specify a valid date using RFC 3339 date/time format.
解决错误
请使用日期数据类型更新文本,采用RFC 3339日期时间格式。
错误 - 使用不同的大小写重复条件键(DUPLICATE_KEYS_WITH_DIFFERENT_CASE)
检查的结果包括以下消息:
中文:
条件键 {keys} 在同一条件块中出现多次,仅大小写不同。删除重复的条件键。
英文:
The condition key {keys} appears multiple times in the same condition block, differing only in case. Delete duplicate condition keys.
解决错误
查看同一条件数据块中的类似条件键,并对所有实例使用相同的大小写字母。
条件数据块是策略语句Condition元素中的文本。条件键名称不区分大小写。条件键值是否区分大小写取决于您使用的条件运算符。
错误 - 无效的服务(INVALID_SERVICE)
检查的结果包括以下消息:
中文:
{key} 中服务 {service} 不存在,请使用合法的服务名。您是否想输入 {valid_service} ?
英文:
The service {service} in {key} does not exist. Use a valid service name. Did you mean {valid_service} ?
解决错误
条件键和资源中的服务名必须和某一云服务匹配,请输入合法的服务名。
错误 - 授权项中的无效服务(INVALID_SERVICE_IN_ACTION)
检查的结果包括以下消息:
中文:
授权项 {action} 中指定的服务 {service} 不存在,请使用合法的服务名。您是否想输入 {valid_service} ?
英文:
The service {service} specified in the action {action} does not exist. Use a valid service name. Did you mean {valid_service} ?
解决错误
授权项中的服务名必须和某一云服务匹配,请输入合法的服务名。
错误 - 无效的服务条件键(INVALID_SERVICE_CONDITION_KEY)
检查的结果包括以下消息:
中文:
服务条件键 {key} 不存在。请使用有效的服务条件键。您是否想输入 {valid_key} ?
英文:
The service condition key {key} does not exist. Please use a valid service condition key. Did you mean {valid_key} ?
解决错误
请使用支持的服务条件键更新条件键值对中的条件键。
错误 - 缺少限定符(MISSING_QUALIFIER)
检查的结果包括以下消息:
中文:
请求中的条件键 {key} 的值为多值。请在策略中使用 “ForAllValues” 或 “ForAnyValue” 条件限定符。
英文:
The condition key {key} in the request context has multiple values. Use the "ForAllValues" or "ForAnyValue" condition qualifier in the policy.
解决错误
对于除Null运算符之外的所有运算符,可以在其前面添加ForAllValues:或ForAnyValue:前缀,来表示集合运算。对于策略中的多值条件属性,请在运算符前加入上述前缀进行比较。
错误 - 不支持指定URN账号(URN_ACCOUNT_NOT_ALLOWED)
检查的结果包括以下消息:
中文:
{service} 服务的 URN 不支持指定账号 ID。请删除 URN 中的账号 ID。
英文:
The service {service} does not support specifying an account ID in the resource URN. Remove the account ID from the resource URN.
解决错误
某些服务的URN不支持指定账号ID。请删除URN中的账号ID。
错误 - 不支持指定URN区域(URN_REGION_NOT_ALLOWED)
检查的结果包括以下消息:
中文:
{service} 服务的 URN 不支持指定区域。请删除 URN 中的区域。
英文:
The service {service} does not support specifying a region in the resource URN. Remove the region from the resource URN.
解决错误
某些服务的URN不支持指定区域。请删除URN中的区域。
错误 - URN缺少区域(MISSING_URN_REGION)
检查的结果包括以下消息:
中文:
请向 {service} 服务的 URN 添加区域。
英文:
Add a region to service {service} URN.
解决错误
某些服务的URN需要指定区域,请在URN中指定区域。
错误 - 运算符Null包含多个布尔值(NULL_OPERATOR_MULTIPLE_BOOLEAN)
检查的结果包括以下消息:
中文:
“Null” 运算符的条件值为多个布尔值时永远不会与请求上下文匹配。请使用单个布尔值。
英文:
The condition value of the "Null" operator with multiple Boolean values will never match the request context. Use a single Boolean value.
解决错误
条件键值对中的键需要一个布尔值。当您为Null运算符的条件值提供多个布尔值时,请求值按照条件运算符不能匹配到所有的条件值,策略将永远不会与请求上下文匹配。请使用单个布尔值。
错误 - VPC ID格式无效(INVALID_VPC_FORMAT)
检查的结果包括以下消息:
中文:
条件值中的 VPC ID 格式无效,请指定合法的 VPC ID。
英文:
The VPC ID format in the condition value is invalid. Specify a valid VPC ID.
解决错误
VPC ID使用32位UUID格式。请指定合法的VPC ID。
错误 - VPCEP ID格式无效(INVALID_VPCEP_FORMAT)
检查的结果包括以下消息:
中文:
条件值中的 VPCEP ID 格式无效,请指定合法的 VPCEP ID。
英文:
The VPCEP ID format in the condition value is invalid. Specify a valid VPCEP ID.
解决错误
VPCEP ID使用32位UUID格式。请指定合法的VPCEP ID。
错误 - 条件值中无效的账号ID(INVALID_ACCOUNT_ID_IN_CONDITION_VALUE)
检查的结果包括以下消息:
中文:
条件值中账号 ID {account_id} 无效。提供正确的账号 ID。
英文:
Account ID {account_id} in the condition value is not valid. Enter a valid account ID.
解决错误
请更新条件值中的账号ID。账号ID是1-64位只包含大小写字母、数字和-的字符串。
错误 - 条件值中的无效的服务主体(INVALID_SERVICE_PRINCIPAL_IN_CONDITION_VALUE)
检查的结果包括以下消息:
中文:
服务主体 {service_principal} 不存在,请使用合法的服务主体。您是否想输入 {valid_service_principal} ?
英文:
The service principal {service_principal} does not exist. Use a valid service principal. Did you mean {valid_service_principal} ?
解决错误
服务主体必须和某一云服务的服务主体匹配,请输入合法的服务主体。
错误 - 策略大小超出身份策略配额(POLICY_SIZE_EXCEEDS_IDENTITY_POLICY_QUOTA)
检查的结果包括以下消息:
中文:
身份策略的大小为 {policy_size} 字节(不包括空格)超过身份策略的 {POLICY_SIZE_QUOTA_IDENTITY_POLICY} 字节最大值。我们建议您使用多个细粒度策略。
英文:
The identity policy size of {policy_size} bytes (excluding spaces) exceeds the identity policy's maximum {POLICY_SIZE_QUOTA_IDENTITY_POLICY} bytes. We recommend that you use multiple granular policies.
解决错误
每个身份策略的大小不能超过默认配额的6144个字节。在计算策略大小时,空格不会被计入该配额。
如果您的策略大小超过配额,您可以拆分成多个策略。
错误 - 策略大小超出服务控制策略配额(POLICY_SIZE_EXCEEDS_SERVICE_CONTROL_POLICY_QUOTA)
检查的结果包括以下消息:
中文:
服务控制策略的大小为 {policy_size} 字节(不包括空格)超过服务控制策略的 {POLICY_SIZE_QUOTA_SERVICE_CONTROL_POLICY} 字节最大值。我们建议您使用多个细粒度策略。
英文:
The service control policy size of {policy_size} bytes (excluding spaces) exceeds the service control policy's maximum {POLICY_SIZE_QUOTA_SERVICE_CONTROL_POLICY} bytes. We recommend that you use multiple granular policies.
解决错误
每个服务控制策略的大小不能超过默认配额的5120个字节。在计算策略大小时,空格不会被计入该配额。
如果您的策略大小超过配额,您可以拆分成多个策略。
错误 - 策略大小超出信任策略配额(POLICY_SIZE_EXCEEDS_TRUST_POLICY_QUOTA)
检查的结果包括以下消息:
中文:
信任策略的大小为 {policy_size} 字节(不包括空格)超过信任策略的 {POLICY_SIZE_QUOTA_TRUST_POLICY} 字节最大值。
英文:
The trust policy size of {policy_size} bytes (excluding spaces) exceeds the trust policy's maximum {POLICY_SIZE_QUOTA_TRUST_POLICY} bytes.
解决错误
每个信任策略的大小不能超过默认配额的6144个字节。在计算策略大小时,空格不会被计入该配额。
错误 - 服务控制策略不支持Allow和NotAction组合(SCP_SYNTAX_ERROR_ALLOW_NOT_ACTION)
检查的结果包括以下消息:
中文:
服务控制策略语法不支持在 “Effect” 为 “Allow” 时使用 “NotAction”,请修改 “Effect” 或 “NotAction” 元素。
英文:
Service control policy syntax does not support "NotAction" when "Effect" is "Allow". Modify the "Effect" or "NotAction" element.
解决错误
Organizations服务控制策略(SCP)不支持使用带有元素Effect: Allow的NotAction。
错误 - 服务控制策略不支持Allow和除“*”以外的资源类型组合(SCP_SYNTAX_ERROR_ALLOW_RESOURCE)
检查的结果包括以下消息:
中文:
服务控制策略语法不支持在 “Effect” 为 “Allow” 时 “Resource” 使用除 “*” 以外的资源,请修改 “Effect” 或 “Resource” 元素。
英文:
Service control policy syntax does not support "Resource" using resources other than "*" when "Effect" is "Allow". Modify the "Effect" or "Resource" element.
解决错误
Organizations服务控制策略(SCP)仅支持当您在使用Effect: Deny时指定Resource元素。当使用Effect: Allow时,仅支持Resource: ["*"] 。
错误 - 服务控制策略不支持Allow和Condition组合(SCP_SYNTAX_ERROR_ALLOW_CONDITION)
检查的结果包括以下消息:
中文:
服务控制策略语法不支持在 “Effect” 为 “Allow” 时使用 “Condition”,请修改 “Effect” 或 “Condition” 元素。
英文:
Service control policy syntax does not support "Condition" when "Effect" is "Allow", please modify "Effect" or "Condition" element.
解决错误
Organizations服务控制策略(SCP)仅支持当您在使用Effect: Deny时指定Condition元素。
错误 - 服务控制策略不支持NotResource元素(SCP_SYNTAX_ERROR_NOT_RESOURCE)
检查的结果包括以下消息:
中文:
服务控制策略语法不支持 “NotResource” 元素。请删除 “NotResource” 元素。
英文:
The "NotResource" element is not supported in the service control policy syntax. Delete the "NotResource" element.
解决错误
Organizations服务控制策略(SCP)不支持NotResource元素。
错误 - 服务控制策略不支持指定主体(SCP_SYNTAX_ERROR_PRINCIPAL)
检查的结果包括以下消息:
中文:
服务控制策略不支持指定主体。删除 “Principal” 元素。
英文:
The service control policy does not support specifying a principal. Delete the "Principal" element.
解决错误
服务控制策略不支持Principal元素,请删除Principal元素。
错误 - 服务控制策略不支持 Allow 作用(SCP_SYNTAX_ERROR_ALLOW_EFFECT)
检查的结果包括以下消息:
中文:
服务控制策略语法不支持 “Effect” 为 “Allow”,请修改 “Effect” 为 “Deny”。
英文:
Service control policy syntax does not support the effect "Allow". Modify the "Effect" to "Deny".
解决错误
Organizations 服务控制策略(SCP)不支持 Effect 为 Allow,仅支持 Deny。
错误 - 服务控制策略不支持 NotAction 元素(SCP_SYNTAX_ERROR_NOT_ACTION)
检查的结果包括以下消息:
中文:
服务控制策略语法不支持 “NotAction” 元素。请删除 “NotAction” 元素。
英文:
The "NotAction" element is not supported in the service control policy syntax. Delete the "NotAction" element.
解决错误
Organizations 服务控制策略(SCP)不支持 NotAction 元素。
错误 - 服务控制策略缺少授权项字段(SCP_SYNTAX_ERROR_MISSING_ACTION_FIELD)
检查的结果包括以下消息:
中文:
服务控制策略的授权项必须包含 3 个字段并包含以下结构: “<service-name>:<type-name>:<action-name>”。
英文:
The action in service control policy must contain 3 fields and the following structure: "<service-name>:<type-name>:<action-name>".
解决错误
Organizations 服务控制策略(SCP)的授权项中格式必须与规范相匹配。
错误 - 服务控制策略授权项服务名称中的通配符(SCP_SYNTAX_ERROR_WILDCARD_IN_SERVICE_NAME_OF_ACTION)
检查的结果包括以下消息:
中文:
禁止在服务控制策略授权项的服务名称中使用通配符 “*”、“?”,因为它可能会意外拒绝名称相似的其他云服务。
英文:
It is not allowed to use wildcards "*", "?" in service names of actions in service control policy, because it may deny unintended other cloud services with similar names.
解决错误
当您在 Organizations 服务控制策略(SCP)的授权项中包含云服务的名称时,请不要包括通配符 *、?。这可能会拒绝未来新增的服务。例如,有数个云服务在其名称中包含 gaussdb*。
错误 - 信任策略空授权项数组(EMPTY_ARRAY_ACTION_FOR_TRUST_POLICY)
检查的结果包括以下消息:
中文:
此策略的授权语句不包括任何授权项,也不影响策略。请指定授权项。
英文:
This statement includes no actions and does not affect the policy. Specify actions.
解决错误
当授权项数组为空时,策略的授权语句不提供任何权限。在Action元素中指定授权项。
错误 - 信任策略的授权语句为空数组(EMPTY_ARRAY_STATEMENT_FOR_TRUST_POLICY)
检查的结果包括以下消息:
中文:
此策略的授权语句不包括任何策略。请指定策略。
英文:
This statement includes no policies. Specify policies.
解决错误
当Statement元素为空时,策略的授权语句不提供任何权限。在Statement元素中指定策略的授权语句。
错误 - 主体键无效(INVALID_PRINCIPAL_KEY)
检查的结果包括以下消息:
中文:
主体键 {key} 无效。
英文:
The principal key {key} is not valid.
解决错误
您输入了无效的主体键,主体键仅支持IAM和Service。
错误 - 无效的账号引用(INVALID_ACCOUNT_REFERENCE)
检查的结果包括以下消息:
中文:
主体中的账号 ID {account_id} 的格式不正确。提供正确的账号 ID。
英文:
The account ID {account_id} in the principal is not valid. Provide a correct account ID.
解决错误
请更新主体中的账号ID。账号ID是1-64位只包含大小写字母、数字和-的字符串。
错误 - 服务主体格式错误(INVALID_SERVICE_PRINCIPAL_FORMAT)
检查的结果包括以下消息:
中文:
服务主体格式无效。请使用 “service.<service-name>” 格式。
英文:
The service principal format is not valid. Use the format "service.<service-name>".
解决错误
服务主体必须满足指定的格式。
错误 - 无效的服务主体(INVALID_SERVICE_PRINCIPAL)
检查的结果包括以下消息:
中文:
服务主体 {service_principal} 不存在,请使用合法的服务主体。您是否想输入 {valid_service_principal} ?
英文:
The service principal {service_principal} does not exist. Use a valid service principal. Did you mean {valid_service_principal} ?
解决错误
服务主体必须和某一云服务的服务主体匹配,请输入合法的服务主体。
错误 - 信任策略不支持的授权项(MISMATCHED_ACTION_FOR_TRUST_POLICY)
检查的结果包括以下消息:
中文:
策略语句 “Action” 元素中的 {action} 授权项对于信任策略无效。
英文:
The {action} in "Action" is invalid with the trust policy.
解决错误
信任策略只支持以下三种授权项 ["sts:agencies:assume","sts::tagSession","sts::setSourceIdentity"]。
错误 - 主体中不支持通配符(UNSUPPORTED_WILDCARD_IN_PRINCIPAL)
检查的结果包括以下消息:
中文:
主体中不支持通配符 “*”、“?”。请指定明确的主体。
英文:
Wildcards "*", "?" are not supported in the principal. Please specify a valid principal.
解决错误
您不能在主体中使用通配符。请指定明确的主体。
错误 - 不支持NotResource元素(UNSUPPORTED_NOT_RESOURCE)
检查的结果包括以下消息:
中文:
身份策略不支持 “NotResource” 元素。删除 “NotResource” 元素。
英文:
The "NotResource" element is not supported for identity policy. Delete the "NotResource" element.
解决错误
身份策略不支持NotResource元素,请删除NotResource元素。
建议 - 空Sid值(EMPTY_SID_VALUE)
检查的结果包括以下消息:
中文:
向 “Sid” 元素中添加值。
英文:
Add a value to the empty string in the "Sid" element.
解决错误
Sid(策略的授权语句ID)元素允许您针对策略语句输入标识符。您可以为语句数组中的每个语句指定Sid值。如果您选择使用Sid元素,则您必须提供字符串值。
建议 - 空授权项数组(EMPTY_ARRAY_ACTION)
检查的结果包括以下消息:
中文:
此策略的授权语句不包括任何授权项,也不影响策略。请指定授权项。
英文:
This statement includes no actions and does not affect the policy. Specify actions.
解决错误
语句必须包含Action或者NotAction元素,其中包含一组授权项。当元素为空时,策略的授权语句不提供任何权限。在Action元素中指定授权项。
建议 - 空资源数组(EMPTY_ARRAY_RESOURCE)
检查的结果包括以下消息:
中文:
此策略的授权语句不包括任何资源,也不影响策略。请指定资源。
英文:
This statement includes no resources and does not affect the policy. Specify resources.
解决错误
当您在策略的授权语句的资源类型中提供空数组时,该语句对策略没有影响。在Resource或NotResource元素中指定资源。
建议 - 空策略的授权语句数组(EMPTY_ARRAY_STATEMENT)
检查的结果包括以下消息:
中文:
本策略的授权语句不包括任何策略。请指定策略。
英文:
This statement includes no policies. Specify policies.
解决错误
当Statement元素为空时,策略的授权语句不提供任何权限。在Statement元素中指定策略的授权语句。
建议 - 空条件对象(EMPTY_OBJECT_CONDITION)
检查的结果包括以下消息:
中文:
此条件块为空,不影响策略。请指定条件。
英文:
This condition block is empty and it does not affect the policy. Specify conditions.
解决错误
Condition元素结构要求您使用条件运算符和键值对。
当您在语句的条件元素中提供空对象时,该语句对策略没有影响。请删除可选元素或指定条件。
建议 - 空主体数组(EMPTY_ARRAY_PRINCIPAL)
检查的结果包括以下消息:
中文:
本策略的授权语句主体元素为空数组,不包括任何主体,也不影响策略。请指定主体。
英文:
This statement's principal element is empty array, it includes no principals and does not affect the policy. Specify principals.
解决错误
当您在策略的授权语句的主体元素中提供空对象时,该语句对策略没有影响。请指定主体。
建议 - 重复的Sid(UNIQUE_SIDS_REQUIRED)
检查的结果包括以下消息:
中文:
策略的授权语句不建议使用重复的策略的授权语句 ID。请更新 “Sid” 值。
英文:
Duplicate statement IDs are not recommended for statement. Update the "Sid" value.
解决错误
建议您使用唯一的策略的授权语句ID。
Sid(策略的授权语句ID)元素允许您针对策略语句输入可选标识符。您可以在使用Sid元素的语句数组中为每个语句指定策略的授权语句ID 的值。
建议 - 缺少URN字段(MISSING_URN_FIELD)
检查的结果包括以下消息:
中文:
资源 URN 建议包含 5 个字段并包含以下结构: “<service-name>:<region>:<account-id>:<type-name>:<resource-path>” 。
英文:
It is recommended that the resource URN contain 5 fields and the following structure: "<service-name>:<region>:<account-id>:<type-name>:<resource-path>".
解决错误
资源URN中的所有字段建议与已知资源类型的规范相匹配。
建议 - URN中使用策略变量(VARIABLE_IN_URN)
检查的结果包括以下消息:
中文:
资源 URN 含有策略变量。该策略可能会对相似的其他资源授予意外访问权限。
英文:
Resource URN contains variable. It might grant unintended access to other resources with similar URNs.
解决错误
资源URN含有策略变量。该策略可能会对相似的资源授予预期以外的访问权限,建议检查是否误用。
建议 - 服务名称中的通配符(WILDCARD_IN_SERVICE_NAME)
检查的结果包括以下消息:
中文:
避免在服务名称中使用通配符 “*”、“?”,因为它可能会对名称相似的其他云服务授予意外的访问权限。
英文:
Avoid using wildcards "*", "?" in service names, because it may grant unintended access to other cloud services with similar names.
解决错误
当您在策略中包含云服务的名称时,建议您不要包括通配符 *、?。这可能会为未来新增的服务添加意料之外的权限。例如,有数个云服务在其名称中包含 gaussdb*。
建议 - 冗余的条件值空数组(REDUNDANT_EMPTY_ARRAY_CONDITION)
检查的结果包括以下消息:
中文:
条件键 {key} 的值为空数组时,该条件永远会与请求上下文匹配。请指定条件。
英文:
When the value of the condition key {key} is an empty array, this condition will always match the request context. Specify conditions.
解决错误
Condition元素结构要求您使用条件运算符和键值对。
条件键的值为空数组时,您的策略中的条件永远会与请求上下文匹配。这表示语句对策略没有影响。建议您重写条件。
建议 - 与Null等价的冗余的条件值空数组(REDUNDANT_EMPTY_ARRAY_CONDITION_WITH_NULL)
检查的结果包括以下消息:
中文:
若要确定请求上下文是否为空,我们建议您使用值为 “true” 的 “Null” 条件运算符。
英文:
To determine if the request context is none, we recommend that you use the "Null" condition operator with the value of "true" instead.
解决错误
Condition元素结构要求您使用条件运算符和键值对。只有在请求中没有对应的键时,条件才匹配。建议如果要测试请求上下文是否为空,请使用Null条件运算符。
建议 - 条件值中使用策略变量(VARIABLE_IN_CONDITION_VALUE)
检查的结果包括以下消息:
中文:
条件值含有策略变量。变量替换后的结果可能与预期的类型不一致,请检查您的策略变量转义后的类型。
英文:
Condition value contains variable. The variable replacement result may be different from the expected type. Check the data type of the escaped text.
解决错误
当您使用非字符串类型运算符时,如果在条件值中使用策略变量则无法确定您的条件值的类型与预期的类型匹配,请检查您的策略变量转义后的类型。
建议 - 冗余策略的授权语句(REDUNDANT_STATEMENT)
检查的结果包括以下消息:
中文:
您的策略中包含提供相同权限的策略的授权语句。请删除多余的策略的授权语句。
英文:
Your policy contains redundant statements which provide same permissions. Delete those redundant statements.
解决错误
您的策略中包含重复语句,您可以删除重复的语句。
建议 - 冗余授权项(REDUNDANT_ACTION)
检查的结果包括以下消息:
中文:
{count} 个授权项是冗余的,因为它们授予类似的权限。请删除多余的授权项,如:{actions}。
英文:
The {count} action(s) are redundant because they grant similar permissions. Please remove the redundant action(s) such as: {actions}.
解决错误
基于通配符的不同的授权项之间可能存在支配关系,我们将给出删除冗余授权项以精简策略的建议。例如,所有能匹配iam:policies:*的授权项均能被iam:*:*匹配,此时iam:policies:*可以被删除。
建议 - 冗余资源(REDUNDANT_RESOURCE)
检查的结果包括以下消息:
中文:
{count} 个资源 URN 是冗余的,因为它们引用类似的资源。请删除多余的资源 URN,如:{resources}。
英文:
The {count} resource URN(s) are redundant because they reference similar resources. Please remove the redundant resource URN(s) such as: {resources}.
解决错误
基于通配符的不同的资源URN之间可能存在支配关系,我们将给出删除冗余资源URN以精简策略的建议。例如,所有能匹配 iam::*:policy:*的资源URN均能被 iam::*:*:*匹配,此时iam::*:policy:*可以被删除。
建议 - 改善IP范围(IMPROVE_IP_RANGE)
检查的结果包括以下消息:
中文:
IP 地址的主机标识符中的非零位会被忽略。请将地址换为 {ip_addr}。
英文:
The non-zero bits in host identifier in the IP address are ignored. Replace the address with {ip_addr}.
解决错误
一个IP地址包含两部分:标识网络的前缀和紧接着的在这个网络内的主机地址。当您使用标准的CIDR格式的IP地址时,IP地址中标识网络的前缀之后的非零位会被忽略。例如192.168.24.150/24,其中150会失效,建议您修改为192.168.24.0/24。
建议 - 服务主体的推荐条件键(RECOMMENDED_CONDITION_KEY_FOR_SERVICE_PRINCIPAL)
检查的结果包括以下消息:
中文:
“g:SourceUrn” 属性可能不会在请求中携带。为了限制服务主体的访问,推荐使用条件键 “g:SourceAccount”。
英文:
The attribute "g:SourceUrn" may not be included in the request. To restrict access of the service principal, we recommend you to use the condition key "g:SourceAccount".
解决错误
您可以在资源策略的Principal元素的Service主体键中指定服务主体,授予对应云服务代表您执行操作的权限。您可以通过条件键g:SourceAccount或g:SourceUrn限制访问来避免过于宽松的策略,防止混淆代理人问题。在某些请求中,g:SourceUrn可能不会携带,因此我们推荐您额外使用g:SourceAccount来配合限制访问。
建议 - 单条件运算符中的冗余条件值(REDUNDANT_CONDITION_VALUE_WITHIN_SINGLE_OPERATOR)
检查的结果包括以下消息:
中文:
条件中存在冗余的条件值,因为它们授予类似的权限。请将条件值精简为 {condition_values}。
英文:
There are redundant condition values in the condition because they grant similar permissions. Reduce the condition value to {condition_values}.
解决错误
同一运算符下的不同条件键值之间,采用OR运算逻辑。
当运算符表示否定含义的时候(例如:StringNotEquals),则请求值按照条件运算符不能匹配到所有的条件值。
在仅考虑指定运算符的前提下,我们将给出推荐保留的条件值以精简策略的建议。
建议 - 冗余ForAnyValue(REDUNDANT_FOR_ANY_VALUE)
检查的结果包括以下消息:
中文:
条件键 {key} 是单值条件键,“ForAnyValue” 和单值条件键结合使用时 “ForAnyValue” 会被忽略。我们推荐您删除条件限定符 “ForAnyValue:”。
英文:
The condition key {key} is a single-valued condition key, "ForAnyValue" is ignored when "ForAnyValue" and a single-valued condition key are used together. We recommend that you remove "ForAnyValue:".
解决错误
对于除Null运算符之外的所有运算符,可以在其前面添加ForAllValues:或 ForAnyValue:前缀,来表示集合运算。对于策略中的多值条件属性,请在运算符前加入上述前缀进行比较。ForAnyValue和单值条件键共同使用时,ForAnyValue会被忽略,请删除ForAnyValue:前缀。
建议 - 单条件运算符中的冗余IfExists后缀(REDUNDANT_IF_EXISTS_WITH_NEGATED_OPERATOR)
检查的结果包括以下消息:
中文:
“IfExists” 和包含 “Not” 的运算符结合使用时,“IfExists” 会被忽略。我们推荐您删除 “IfExists”。
英文:
"IfExists" is ignored when being used with an operator containing "Not". We recommend that you remove "IfExists".
解决错误
当运算符包含Not时,如果您使用IfExists后缀,IfExists后缀会被忽略。我们推荐您删除IfExists后缀。
建议 - 冗余IfExists后缀(REDUNDANT_IF_EXISTS)
检查的结果包括以下消息:
中文:
“IfExists” 与其他不带 “IfExists” 后缀且不包含 “Not” 的运算符结合使用时,“IfExists” 显得冗余。我们推荐您删除 “IfExists”。
英文:
"IfExists" is redundant when being used together with other condition operators that do not contain "IfExists" and "Not". We recommend that you remove "IfExists".
解决错误
其他不带IfExists后缀且不包含Not的运算符期望对应条件键存在,使得IfExists后缀显得冗余。我们推荐您删除IfExists后缀。
建议 - 冗余Null条件运算符(REDUNDANT_NULL)
检查的结果包括以下消息:
中文:
值为 “false” 的 “Null” 条件运算符与其他不带 “IfExists” 后缀且不包含 “Not” 的运算符结合使用时,“Null” 显得冗余。我们推荐您删除 “Null”。
英文:
The "Null" condition operator with the value of "false" is redundant when being used together with other condition operators that do not contain "IfExists" and "Not". We recommend that you remove "Null".
解决错误
值为false的Null条件运算符期望对应条件键存在,其他不带IfExists后缀且不包含Not的运算符同样期望对应条件键存在,因此Null条件运算符显得冗余。我们推荐您删除Null条件运算符。
建议 - 与Null冗余的IfExists后缀(REDUNDANT_IF_EXISTS_WITH_NULL)
检查的结果包括以下消息:
中文:
值为 “false” 的 “Null” 条件运算符与带有 “IfExists” 后缀的其他运算符结合使用时,“IfExists” 显得冗余。我们推荐您删除 “IfExists”。
英文:
The "Null" condition operator with the value of "false" makes "IfExists" in other condition operators redundant. We recommend that you remove "IfExists".
解决错误
值为false的Null条件运算符期望对应条件键存在,使得其他条件运算符中的IfExists后缀显得冗余。我们推荐您删除IfExists后缀。
建议 - 冗余条件运算符(REDUNDANT_OPERATOR)
检查的结果包括以下消息:
中文:
不修改策略的其他内容时,仅删除该条件运算符中的该条件键不会影响策略。我们推荐您精简策略。
英文:
Without modifying anywhere else in the policy, just removing the condition key from the condition operator does not affect the policy. We recommend that you streamline the policy.
解决错误
综合考虑涉及该条件键的所有条件运算符及其条件值,在不修改其他内容的前提下,仅删除该条件运算符中的该条件键后,鉴权结果不会发生改变,因此不会影响策略。我们推荐您精简策略。
建议 - 可被Null替换的条件运算符(REDUNDANT_OPERATOR_REPLACED_BY_NULL)
检查的结果包括以下消息:
中文:
不修改策略的其他内容时,仅删除该条件运算符中的该条件键,并补充值为 “false” 的 “Null” 条件运算符不会影响策略。我们推荐您精简策略。
英文:
Without modifying anywhere else in the policy, just removing the condition key from the condition operator, and adding a "Null" condition operator with the value of "false" does not affect the policy. We recommend that you streamline the policy.
解决错误
综合考虑涉及该条件键的所有条件运算符及其条件值,在不修改其他内容的前提下,仅删除该条件运算符中的该条件键并补充值为false的Null条件运算符后,鉴权结果不会发生改变,因此不会影响策略。我们推荐您精简策略。在这里,需要额外补充值为false的Null条件运算符是为了确保指定条件键存在于请求上下文中。
建议 - 数组中的冗余条件值(REDUNDANT_CONDITION_VALUE_IN_ARRAY)
检查的结果包括以下消息:
中文:
不修改策略的其他内容时,仅删除该条件值数组中索引为 {index} 的条件值不会影响策略。我们推荐您精简策略。
英文:
Without modifying anywhere else in the policy, just removing the condition value indexed at {index} from the condition value array does not affect the policy. We recommend that you streamline the policy.
解决错误
综合考虑涉及该条件键的所有条件运算符及其条件值,在不修改其他内容的前提下,仅删除该条件值数组中的某一个条件值后,鉴权结果不会发生改变,因此不会影响策略。我们推荐您精简策略。
建议 - 冗余的私网IP地址(REDUNDANT_PRIVATE_IP_ADDRESS)
检查的结果包括以下消息:
中文:
条件键 “g:SourceIp” 的值中包含了私网地址。请将条件值修改为仅包含公网 IP 地址。
英文:
The value of "g:SourceIp" contains private IP addresses. Update the value to include only public IP addresses.
解决错误
您在条件键g:SourceIp的值中指定了私网地址。g:SourceIp指发起请求的源IP地址,专指来自公网的请求源IP。
如果您希望限制私网IP,请使用g:VpcSourceIp。
仅当请求是从VPC内部通过VPC Endpoint发起时,条件键g:VpcSourceIp有效。
建议 - 使用不推荐的运算符限制随机值(NOT_RECOMMENDED_OPERATOR_FOR_RANDOM_VALUE)
检查的结果包括以下消息:
中文:
不推荐使用运算符 {operator} 限制随机生成的值,请使用运算符 “StringEquals” 或 “StringNotEquals” 精确指定条件值。
英文:
You are not advised to use the condition key {operator} to restrict the randomly generated value. Use the operator "StringEquals" or "StringNotEquals" to specify the condition value.
解决错误
不推荐您使用模糊匹配限制随机生成的值(例如:账号ID,组织ID,VPC ID和VPCEP ID),请使用运算符StringEquals、StringNotEquals精确限制条件值。
警告 - 空主体对象(EMPTY_OBJECT_PRINCIPAL)
检查的结果包括以下消息:
中文:
本策略的授权语句不包括任何主体,也不影响策略。请指定主体。
英文:
This statement includes no principals and does not affect the policy. Specify principals.
解决错误
当您在策略的授权语句的主体元素中提供空对象时,该策略的授权语句对策略没有影响。
警告 - 无效的全局条件键(INVALID_GLOBAL_CONDITION_KEY)
检查的结果包括以下消息:
中文:
全局条件键 {key} 不存在。请使用有效的全局条件键。您是否想输入 {valid_key} ?
英文:
The global condition key {key} does not exist. Please use a valid global condition key. Did you mean {valid_key} ?
解决错误
请更新条件键值对中的条件键以使用受支持的全局条件键。全局条件键是带有g:前缀的条件键。
警告 - 不具有通配语义的条件运算符(WILDCARD_WITHOUT_MATCH_OPERATOR)
检查的结果包括以下消息:
中文:
您的条件值包含 “*” 或 “?” 字符。如果您打算使用通配符,请更新条件运算符以包含 “Match” 。如果您打算使用不具有通配意义的 “*” 或 “?”,建议您使用标准格式 “${*}” 或 “${?}”。
英文:
Your condition value includes a "*" or "?" character. If you meant to use a wildcard, update the condition operator to include "Match". If you are going to use "*" or "?", which are not wildcard. You are advised to use the standard format "${*}" or "${?}".
解决错误
Condition元素结构要求您使用条件运算符和键值对。
当您指定包含通配符的条件值时,必须使用包含Match的条件运算符。例如,请使用StringMatch,而不是StringEquals字符串条件运算符。
{
"Version": "5.0",
"Statement": [{
"Effect": "Allow",
"Action": [
"vpc:*"
],
"Condition": {
"StringMatch": {
"g:PrincipalOrgPath": "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/*"
}
}
}]
}
如果您打算使用不具有通配意义的“*”或“?”,建议您使用标准格式:${*}或${?}。
警告 - 授权项不存在(INVALID_ACTION)
检查的结果包括以下消息:
中文:
授权项 {action} 不存在。您是否想输入 {valid_action} ?
英文:
The action {action} does not exist. Did you mean {valid_action} ?
解决错误
您指定的授权项无效。格式为“服务名:资源类型:操作”。授权项支持通配符*和?,通配符*表示匹配任意个(包括零个)字符,通配符?表示匹配单个字符。
警告 - 使用NotResource创建服务关联委托(CREATE_SLA_WITH_NOT_RESOURCE)
检查的结果包括以下消息:
中文:
将 “iam:agencies:createServiceLinkedAgencyV5” 授权项与 “NotResource” 组合使用可以为多个资源创建意外的服务关联委托。我们建议您改为指定资源 URN。
英文:
Using the "iam:agencies:createServiceLinkedAgencyV5" action with "NotResource" can allow creation of unintended service-linked agencies for multiple resources. We recommend that you specify resource URNs instead.
解决错误
使用iam:agencies:createServiceLinkedAgencyV5授予创建服务关联委托的权限,它允许云服务代表您执行操作。在带有NotResource元素的策略中使用iam:agencies:createServiceLinkedAgencyV5可以允许为多个资源创建意外的服务关联委托。建议您在Resource元素中指定允许的URN。
警告 - 使用带有星号的授权项和NotResource创建服务关联委托(CREATE_SLA_WITH_STAR_IN_ACTION_AND_NOT_RESOURCE)
检查的结果包括以下消息:
中文:
含有通配符 “*” 的授权项和 “NotResource” 组合使用可以创建意外的服务关联委托,因为这允许为多个资源授予 “iam:agencies:createServiceLinkedAgencyV5” 权限。我们建议您改为指定资源 URN。
英文:
Using an action with a wildcard "*" and "NotResource" can allow creation of unintended service-linked agencies because it can allow "iam:agencies:createServiceLinkedAgencyV5" permissions on multiple resources. We recommend that you specify resource URNs instead.
解决错误
使用iam:agencies:createServiceLinkedAgencyV5授予创建服务关联委托的权限,它允许云服务代表您执行操作。使用包含通配符 (*) 的Action且包含NotResource元素的策略可以允许为多个资源创建意外的服务关联委托。建议您在Resource元素中指定允许的URN。
警告 - 使用NotAction和NotResource创建服务关联委托(CREATE_SLA_WITH_NOT_ACTION_AND_NOT_RESOURCE)
检查的结果包括以下消息:
中文:
将 “NotAction” 与 “NotResource” 结合使用可以创建意外的服务关联委托,因为这允许为多个资源授予 “iam:agencies:createServiceLinkedAgencyV5” 权限。我们建议您改为指定资源 URN。
英文:
Using "NotAction" with "NotResource" can allow creation of unintended service-linked agencies because it allows "iam:agencies:createServiceLinkedAgencyV5" permissions on multiple resources. We recommend that you specify resource URNs instead.
解决错误
使用iam:agencies:createServiceLinkedAgencyV5授予创建服务关联委托的权限,它允许云服务代表您执行操作。将NotAction元素与NotResource元素搭配使用可以允许为多个资源创建意外的服务关联委托。建议您在Resource元素中指定允许的URN。您还可以将iam:agencies:createServiceLinkedAgencyV5添加到NotAction元素。
警告 - 允许所有资源创建服务关联委托(CREATE_SLA_WITH_STAR_IN_RESOURCE)
检查的结果包括以下消息:
中文:
使用 “iam:agencies:createServiceLinkedAgencyV5” 授权项允许所有资源可以创建意外的服务关联委托。我们建议您改为指定资源 URN。
英文:
Using the "iam:agencies:createServiceLinkedAgencyV5" action to allow all resources to be able to create unintended service-linked agencies. We recommend that you specify resource URNs instead.
解决错误
使用iam:agencies:createServiceLinkedAgencyV5授予创建服务关联委托的权限,它允许云服务代表您执行操作。在仅包含通配符*的Resource元素的策略中使用iam:agencies:createServiceLinkedAgencyV5可以允许为多个资源创建意外的服务关联委托。策略中未指定Resource或NotResource元素时,默认包含所有资源。建议您在Resource元素中指定允许的URN。
警告 - 使用带星号的授权项允许所有资源创建服务关联委托(CREATE_SLA_WITH_STAR_IN_ACTION_AND_RESOURCE)
检查的结果包括以下消息:
中文:
在授权项中使用通配符 “*” 允许所有资源可以创建意外的服务关联委托,因为这允许为所有资源授予 “iam:agencies:createServiceLinkedAgencyV5” 权限。我们建议您改为指定资源 URN。
英文:
Using wildcards "*" in the action to allow all resources to be able to create unintended service-linked agencies because it allows "iam:agencies:createServiceLinkedAgencyV5" permissions on all resources. We recommend that you specify resource URNs instead.
解决错误
使用iam:agencies:createServiceLinkedAgencyV5授予创建服务关联委托的权限,它允许云服务代表您执行操作。在Action和 Resource元素中带有通配符(*)的策略可以允许为多个资源创建意外的服务关联委托。例如,当您的授权项为*、iam:*或iam:agencies:*时会允许创建服务关联委托。策略中未指定Resource或NotResource元素时,默认包含所有资源。建议您在Resource元素中指定允许的URN。
警告 - 使用NotAction允许所有资源创建服务关联委托(CREATE_SLA_WITH_STAR_IN_RESOURCE_AND_NOT_ACTION)
检查的结果包括以下消息:
中文:
使用 “NotAction” 允许所有资源可以创建意外的服务关联委托,因为这允许为所有资源授予 “iam:agencies:createServiceLinkedAgencyV5” 权限。我们建议您改为指定资源 URN。
英文:
Using "NotAction" to allow all resources to be able to create unintended service-linked agencies because it allows "iam:agencies:createServiceLinkedAgencyV5" permissions on all resources. We recommend that you specify resource URNs instead.
解决错误
使用iam:agencies:createServiceLinkedAgencyV5授予创建服务关联委托的权限,它允许云服务代表您执行操作。在带有包含通配符(*)的Resource元素的策略中使用NotAction元素可以允许为多个资源创建意外的服务关联委托。策略中未指定Resource或NotResource元素时,默认包含所有资源。建议您在Resource元素中指定允许的URN。您还可以将iam:agencies:createServiceLinkedAgencyV5添加到NotAction元素。
警告 - 缺少授权项的条件键(MISSING_ACTION_FOR_CONDITION_KEY)
检查的结果包括以下消息:
中文:
缺少与此条件键搭配使用的授权项,请输入与此条件键搭配的授权项(例如 {action})。
英文:
There is a missing action to use with this condition key. Please enter an action to use with this condition key (For example {action}).
解决错误
要确保策略中您指定的条件键有效,请将与该条件键搭配使用的授权项添加到Action元素。
警告 - 使用不支持的标签条件键允许授权项(ALLOW_ACTION_WITH_UNSUPPORTED_TAG_CONDITION_KEY)
检查的结果包括以下消息:
中文:
使用不支持的标签条件键 “g:ResourceTag” 允许授权项不会影响策略。建议您将这条不支持的授权项移至不包含此标签条件键的其他语句中。
英文:
Using the effect Allow with the unsupported "g:ResourceTag" tag condition key does not affect the policy. It is recommended that you move this unsupported action to other statements which do not contain this tag condition key.
解决错误
在带有"Effect": "Allow"的策略的授权语句中使用不支持的标签条件键可能不会影响策略,因为该标签条件键会被忽略。建议您删除不支持该标签条件键的授权项,并在另一条策略的授权语句中对资源允许这些授权项。
如果您使用g:ResourceTag条件键,并且授权项不支持该条件键,则该授权项会被忽略,不会影响策略。即使该资源被正确标记,也会被忽略。
当授权项支持g:ResourceTag条件键时,您可以使用标签来控制对该资源的访问。这称为基于属性的访问控制(ABAC)。不支持这些条件键的授权项需要您使用基于资源的访问控制(RBAC)来控制对资源的访问。
例如:假设您想给带有{"team": "engineering"}标签的VPC允许授予查询虚拟私有云详情权限和授予查询虚拟私有云列表权限。授予查询虚拟私有云列表权限的授权项不支持g:ResourceTag标签条件键,请将该授权项移至新的一条授权语句中,并指定需要授权的资源。
{
"Version": "5.0",
"Statement": [{
"Effect": "Allow",
"Action": [
"vpc:vpcs:get"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"g:ResourceTag/team": "engineering"
}
}
},
{
"Effect": "Allow",
"Action": [
"vpc:vpcs:list"
],
"Resource": [
"vpc:*:123456789:vpc:11111111-d755-4538-0000-111111111111"
]
}
]
}
警告 - 无效的条件键(INVALID_CONDITION_KEY)
检查的结果包括以下消息:
中文:
该条件键永远不会和请求上下文匹配,请删除该条件键。
英文:
The condition key will never match the request context. Please delete this condition key.
解决错误
与该条件键组合使用的所有授权项都包含在NotAction中,因此该条件键中的内容永远无法与上下文匹配,请删除该条件键。
警告 - 语义不清的条件值空数组(CONFUSING_PERMISSIVE_IN_EMPTY_ARRAY_CONDITION)
检查的结果包括以下消息:
中文:
多值条件键 {key} 的值为空数组时,和 “ForAnyValue” 以及包含 “Not” 的运算符结合使用可能语义不清。我们推荐您删除该条件键。
英文:
When the value of the multi-valued condition key {key} is an empty array, the semantics may be unclear when it is used together with the "ForAnyValue" operator and the operator containing "Not". We recommend that you remove the condition key.
解决错误
当运算符包含Not时,对于ForAnyValue:前缀,如果请求中的任意一个键值与策略中的至少一个值不匹配,则条件返回true;当请求中的条件键不存在时,条件返回 true。我们不建议您在条件键的值为空数组时,将其与ForAnyValue前缀以及包含Not的运算符结合使用,因为当键值解析为空数组时,条件返回false。请删除该条件键。
警告 - 无效的条件值空数组(INVALID_EMPTY_ARRAY_CONDITION)
检查的结果包括以下消息:
中文:
条件键 {key} 的值为空数组时,该条件永远不会与请求上下文匹配。请指定条件。
英文:
When the value of the condition key {key} is an empty array, this condition will never match the request context. Specify conditions.
解决错误
Condition元素结构要求您使用条件运算符和键值对。条件键的值为空数组时,您的策略中的条件永远不会与请求上下文匹配。这表示语句永远不会生效。建议您重写条件。
警告 - 策略变量中键格式错误(INVALID_VARIABLE_KEY_FORMAT)
检查的结果包括以下消息:
中文:
策略变量中键格式错误。请使用合法的条件键或特殊字符。
英文:
The format of the key in the variable is invalid. Use valid conditional keys or special characters.
解决错误
您可以在资源元素和条件元素的值中使用策略变量。策略变量将替换为来自请求中包含上下文信息的条件键的值。如果无法解析变量,可能会导致整个语句无效。您输入的策略变量中的条件键格式有误,请输入合法的条件键或特殊字符。
警告 - 策略变量中无效的全局条件键(INVALID_GLOBAL_CONDITION_KEY_IN_VARIABLE)
检查的结果包括以下消息:
中文:
策略变量中的全局条件键 {key} 不存在。请使用有效的全局条件键。您是否想输入 {valid_key} ?
英文:
The global condition key {key} in the policy variable does not exist. Use a valid global condition key. Did you mean {valid_key} ?
解决错误
您可以在资源元素和条件元素的值中使用策略变量。策略变量将替换为来自请求中包含上下文信息的条件键的值。如果无法解析变量,可能会导致整个语句无效。请更新策略变量中的条件键以使用受支持的全局条件键。
警告 - 策略变量中无效的服务条件键(INVALID_SERVICE_CONDITION_KEY_IN_VARIABLE)
检查的结果包括以下消息:
中文:
策略变量中的服务条件键 {key} 不存在。请使用有效的服务条件键。您是否想输入 {valid_key} ?
英文:
The service condition key {key} in the policy variable does not exist. Use a valid service condition key. Did you mean {valid_key} ?
解决错误
您可以在资源元素和条件元素的值中使用策略变量。策略变量将替换为来自请求中包含上下文信息的条件键的值。如果无法解析变量,可能会导致整个语句无效。请更新策略变量中的条件键以使用受支持的服务条件键。
警告 - 策略变量中无效的多值条件键(INVALID_MULTIVALUED_CONDITION_KEY_IN_VARIABLE)
检查的结果包括以下消息:
中文:
策略变量中的条件键 {key} 是多值条件键。策略变量中不支持使用多值条件键,请修改策略变量。
英文:
The condition key {key} in the variable is a multi-value condition key. Multi-value condition keys are not supported in the variable. Modify the variable.
解决错误
您可以在资源元素和条件元素的值中使用策略变量。策略变量将替换为来自请求中包含上下文信息的条件键的值。如果无法解析变量,可能会导致整个语句无效。策略变量中只能使用单值条件键。请更新策略变量中的条件键以使用受支持的单值条件键。
警告 - 冗余的策略变量键(REDUNDANT_VARIABLE_KEY_WITH_DEFAULT)
检查的结果包括以下消息:
中文:
策略变量 {key} 中的键永远不会与请求上下文匹配,请删除策略变量并使用您指定的默认值。
英文:
The key in the variable {key} will never match the request context. Remove the variable and use the default value you specify.
解决错误
您可以在资源元素和条件元素的值中使用策略变量。策略变量将替换为来自请求中包含上下文信息的条件键的值。如果无法解析变量,可能会导致整个语句无效。您的策略变量永远不会匹配,该策略变量永远解析为默认值,请将此策略变量修改为您指定的默认值。
警告 - 与Null冲突的条件运算符(CONFLICTING_OPERATOR_WITH_NULL)
检查的结果包括以下消息:
中文:
值为 “true” 的 “Null” 条件运算符与其他条件运算符语义冲突。请删除冲突的条件运算符。
英文:
The "Null" condition operator with the value of "true" conflicts with other condition operators. Remove the conflicting condition operators.
解决错误
值为true的Null条件运算符期望对应条件键不存在,而其他条件运算符期望对应条件键存在,因此它们表达的语义存在冲突。请删除冲突的条件运算符。
警告 - 无效的条件组合(INVALID_CONDITION_COMBINATION)
检查的结果包括以下消息:
中文:
针对条件键 {key} 存在时的条件组合永远不会与请求上下文匹配。请使用有效的条件组合。
英文:
When the condition key {key} exists, the combination of conditions about it will never match the request context. Use a valid combination of conditions.
解决错误
当指定的条件键存在于请求上下文中时,如果使得您指定的多个条件同时满足的情况不存在,那么这些条件组合在一起将永远不会与请求上下文匹配。例如:您要求当前的日期g:CurrentTime在2024-01-01T08:00:00Z之前,但是同时又要求它在2024-01-01T09:00:00Z之后,这样的条件组合就是无效的。请使用有效的条件组合。
警告 - 服务主体不建议使用的条件键(NOT_RECOMMENDED_CONDITION_KEY_FOR_SERVICE_PRINCIPAL)
检查的结果包括以下消息:
中文:
主体为服务主体时不建议使用条件键 {condition_key},建议删除该条件键。
英文:
The condition key {condition_key} is not recommended when the principal is a service principal. Remove the condition key.
解决错误
由于各云服务之间存在业务交互关系,一些云服务需要与其他云服务协同工作,需要您创建云服务信任委托,将操作权限委托给该服务,让该服务以您的身份使用其他云服务,代替您进行一些资源运维工作。您可以在信任策略中指定某个云服务为主体,您不能使用某些条件键限制服务主体,请在信任策略中删除这些条件键。
警告 - 在拒绝语句的Action中使用别名(USING_ALIAS_IN_ACTION_OF_DENY_STATEMENT)
检查的结果包括以下消息:
中文:
授权项 {action} 的别名 {alias} 被包含在拒绝语句的 “Action” 中时,请注意授权项 {action} 也将被拒绝。
英文:
When the alias {alias} of the action {action} is included in "Action" of a deny statement, please note that action {action} will also be denied.
解决错误
出于规范命名或者对原权限进行拆分细化等原因,一部分授权项进行了重命名。为了在策略中兼容使用重命名之前的授权项,这些原来的授权项在系统中被注册为重命名后的授权项的别名。
对于Effect: Deny的策略语句,如果某条授权项本体或它的任意一条别名能够匹配Action元素中的任意一个模式串,那么该授权项将被视作拒绝。
例如,vpc:vpcs:create是eip:vpcIgws:create的别名,下面展示的策略也将拒绝授权项eip:vpcIgws:create。
{
"Version": "5.0",
"Statement": [{
"Effect": "Deny",
"Action": [
"vpc:vpcs:create"
]
}]
}
警告 - 在允许语句中使用NotAction排除别名(EXCLUDING_ALIAS_WITH_NOT_ACTION_IN_ALLOW_STATEMENT)
检查的结果包括以下消息:
中文:
在允许语句中使用 “NotAction” 排除授权项 {action} 的别名 {alias} 时,授权项 {action} 也将被排除。如果这不是您的预期授权,请在其他允许语句的 “Action” 中指定授权项 {action} 以授予权限。
英文:
When the alias {alias} of the action {action} is excluded with "NotAction" of an allow statement, action {action} will also be excluded. If it is not your intended authorization, please specify the action {action} in "Action" of other allow statements to grant permission.
解决错误
出于规范命名或者对原权限进行拆分细化等原因,一部分授权项进行了重命名。为了在策略中兼容使用重命名之前的授权项,这些原来的授权项在系统中被注册为重命名后的授权项的别名。
对于Effect: Allow的策略语句,如果某条授权项本体或它的任意一条别名能够匹配NotAction元素中的任意一个模式串,那么该授权项将不会被视作允许。
例如,vpc:vpcs:create是eip:vpcIgws:create的别名,下面展示的策略也将排除授权项eip:vpcIgws:create。
{
"Version": "5.0",
"Statement": [{
"Effect": "Allow",
"NotAction": [
"vpc:vpcs:create"
]
}]
}
如果排除授权项eip:vpcIgws:create不是您的预期授权,请在其他允许语句的Action中指定该授权项。
{
"Version": "5.0",
"Statement": [{
"Effect": "Allow",
"NotAction": [
"vpc:vpcs:create"
]
},
{
"Effect": "Allow",
"Action": [
"eip:vpcIgws:create"
]
}
]
}
警告 - 不支持的服务(UNSUPPORTED_SERVICE)
检查的结果包括以下消息:
{key} 中服务 {service} 不存在,请使用合法的服务名。您是否想输入 {valid_service} ?
The service {service} in {key} does not exist. Use a valid service name. Did you mean {valid_service} ?
解决错误
条件键和资源中的服务名必须和某一云服务匹配,请输入合法的服务名。
警告 - 授权项中不支持的服务(UNSUPPORTED_SERVICE_IN_ACTION)
检查的结果包括以下消息:
授权项 {action} 中指定的服务 {service} 不存在,请使用合法的服务名。您是否想输入 {valid_service} ?
The service {service} specified in the action {action} does not exist. Use a valid service name. Did you mean {valid_service} ?
解决错误
授权项中的服务名必须和某一云服务匹配,请输入合法的服务名。
警告 - 已废弃的运算符(DEPRECATED_OPERATOR)
检查的结果包括以下消息:
StringLike 和 StringNotLike 为已废弃的运算符,如果您希望使用通配符,请使用 StringMatch 或 StringNotMatch。
StringLike and StringNotLike are deprecated operators, if you want to use wildcard, please use StringMatch or StringNotMatch instead.
解决错误
StringLike 运算符的含义是包含某个连续子串,不区分大小写,建议您使用 StringMatch 和通配符的组合替代 StringLike。
"StringLike": {
"g:DomainName": "zhuzhu"
}
"StringMatch": {
"g:DomainName": "*zhuzhu*"
}
警告 - 不支持“g:RequestedRegion” 的授权项(ACTION_WITH_UNSUPPORTED_REQUESTED_REGION)
检查的结果包括以下消息:
该授权项不支持和 “g:RequestedRegion” 搭配使用。建议您将这条不支持的授权项移至不包含此条件键的其他语句中。
This action does not support use with "g:RequestedRegion". It is recommended that you move this unsupported action to other statements which do not contain this condition key.
解决错误
该授权项不支持和 g:RequestedRegion 搭配使用。建议您将这条不支持的授权项移至不包含此条件键的其他语句中。
安全警告 - 使用NotResource传递委托或信任委托(PASS_AGENCY_WITH_NOT_RESOURCE)
检查的结果包括以下消息:
中文:
将 “iam:agencies:pass” 授权项与 “NotResource” 组合使用可能过于宽松。我们建议您改为指定资源 URN。
英文:
Using the "iam:agencies:pass" action with "NotResource" can be overly permissive because it can allow "iam:agencies:pass" permissions on multiple resources. We recommend that you specify resource URNs instead.
解决错误
要配置多项云服务,您必须将IAM委托或信任委托传递给相应服务。要执行此操作,您必须将iam:agencies:pass授权项附加至IAM身份(IAM用户、用户组、委托或信任委托)。在带有NotResource元素的策略中使用iam:agencies:pass可以允许对应的主体(IAM用户、委托或信任委托)访问比您预期更多的服务或功能。建议您在Resource元素中指定允许的URN。
安全警告 - 使用带有星号的授权项和NotResource传递委托或信任委托(PASS_AGENCY_WITH_STAR_IN_ACTION_AND_NOT_RESOURCE)
检查的结果包括以下消息:
中文:
含有通配符 “*” 的授权项和 “NotResource” 组合使用可能过于宽松,因为这允许为多个资源授予 “iam:agencies:pass” 权限。我们建议您改为指定资源 URN。
英文:
Using an action with a wildcard "*" and "NotResource" can be overly permissive because it can allow "iam:agencies:pass" permissions on multiple resources. We recommend that you specify resource URNs instead.
解决错误
要配置多项云服务,您必须将IAM委托或信任委托传递给相应服务。要执行此操作,您必须将iam:agencies:pass授权项附加至IAM身份(IAM用户、用户组、委托或信任委托)。在Action中使用通配符*且包含NotResource元素的策略可以允许对应的主体(IAM用户、委托或信任委托)访问比您预期更多的服务或功能。建议您在Resource元素中指定允许的URN。
安全警告 - 使用NotAction和NotResource传递委托或信任委托(PASS_AGENCY_WITH_NOT_ACTION_AND_NOT_RESOURCE)
检查的结果包括以下消息:
中文:
将 “NotAction” 与 “NotResource” 结合使用可能过于宽松,因为这允许为多个资源授予 “iam:agencies:pass” 权限。我们建议您改为指定资源 URN。
英文:
Using "NotAction" with "NotResource" can be overly permissive because it can allow "iam:agencies:pass" permissions on multiple resources. We recommend that you specify resource URNs instead.
解决错误
要配置多项云服务,您必须将IAM委托或信任委托传递给相应服务。要执行此操作,您必须将iam:agencies:pass授权项附加至IAM身份(IAM用户、用户组、委托或信任委托)。使用NotAction元素并列出NotResource元素中的一些资源可以允许对应的主体(IAM用户、委托或信任委托)访问比您预期更多的服务或功能。建议您在Resource元素中指定允许的URN。
安全警告 - 允许所有资源传递委托或信任委托(PASS_AGENCY_WITH_STAR_IN_RESOURCE)
检查的结果包括以下消息:
中文:
对所有资源使用 “iam:agencies:pass” 授权项可能过于宽松。我们建议您改为指定资源 URN 。
英文:
Using the "iam:agencies:pass" action for all resources can be overly permissive because it allows "iam:agencies:pass" permissions on multiple resources. We recommend that you specify resource URNs instead.
解决错误
要配置多项云服务,您必须将IAM委托或信任委托传递给相应服务。要执行此操作,您必须将iam:agencies:pass授权项附加至IAM身份(IAM用户、用户组、委托或信任委托)。允许iam:agencies:pass且在Resource元素中仅包含通配符 * 的策略可以允许对应的主体(IAM用户、委托或信任委托)访问比您预期更多的服务或功能。策略中未指定Resource或NotResource元素时,默认包含所有资源。建议您在Resource元素中指定允许的URN。
安全警告 - 使用带星号的授权项允许所有资源传递委托或信任委托(PASS_AGENCY_WITH_STAR_IN_ACTION_AND_RESOURCE)
检查的结果包括以下消息:
中文:
对所有资源使用带通配符 “*” 的授权项可能过于宽松,因为这允许为所有资源授予 “iam:agencies:pass” 权限。我们建议您改为指定资源 URN。
英文:
Using wildcards "*" in the action for all resources can be overly permissive because it allows "iam:agencies:pass" permissions on all resources. We recommend that you specify resource URNs .
解决错误
要配置多项云服务,您必须将IAM委托或信任委托传递给相应服务。要执行此操作,您必须将iam:agencies:pass授权项附加至IAM身份(IAM用户、用户组、委托或信任委托)。在Action中带有通配符 * 且在Resource元素中仅包含通配符 * 的策略可以允许对应的主体(IAM用户、委托或信任委托)访问比您预期更多的服务或功能。策略中未指定Resource或NotResource元素时,默认包含所有资源。建议您在Resource元素中指定允许的URN。
安全警告 - 使用NotAction允许所有资源传递委托或信任委托(PASS_AGENCY_WITH_STAR_IN_RESOURCE_AND_NOT_ACTION)
检查的结果包括以下消息:
中文:
允许所有资源和 “NotAction” 结合使用可能过于宽松,因为这允许为所有资源授予 “iam:agencies:pass” 权限。我们建议您改为指定资源 URN。
英文:
Allow all resources with "NotAction" can be overly permissive because it allows "iam:agencies:pass" permissions on all resources. We recommend that you specify resource URNs instead.
解决错误
要配置多项云服务,您必须将IAM委托或信任委托传递给相应服务。要执行此操作,您必须将iam:agencies:pass授权项附加至IAM身份(IAM用户、用户组、委托或信任委托)。在策略中使用NotAction元素且在Resource元素中仅包含通配符 * 可以允许对应的主体(IAM用户、委托或信任委托)访问比您预期更多的服务或功能。策略中未指定Resource或NotResource元素时,默认包含所有资源。建议您在Resource元素中指定允许的URN。
安全警告 - 使用ForAllValues的单值条件键(FORALLVALUES_WITH_SINGLE_VALUED_KEY)
检查的结果包括以下消息:
中文:
条件键 {key} 是单值条件键,和 “ForAllValues” 结合使用可能过于宽松。我们推荐您删除条件限定符 “ForAllValues:”。
英文:
The condition key {key} is a single-valued condition key. It can be overly permissive with condition qualifier "ForAllValues". We recommend that you remove "ForAllValues:".
解决错误
对于除Null运算符之外的所有运算符,可以在其前面添加ForAllValues:或ForAnyValue:前缀,来表示集合运算。对于策略中的多值条件属性,请在运算符前加入上述前缀进行比较。
对于ForAllValues:前缀,如果请求中的每个键值都与策略中的至少一个值匹配,则条件返回true。当键值解析为空数组时,条件返回true。不建议在单值条件属性使用此前缀,因为当请求中的条件键不存在时,返回值与运算符是否包含IfExists和Not有关。
安全警告 - 使用不支持的标签条件键拒绝授权项(DENY_ACTION_WITH_UNSUPPORTED_TAG_CONDITION_KEY)
检查的结果包括以下消息:
中文:
使用不支持的标签条件键 “g:ResourceTag” 拒绝授权项不会影响策略。建议您将这条不支持的授权项移至不包含此标签条件键的其他语句中。
英文:
Deny action with unsupported "g:ResourceTag" tag condition key does not affect the policy. It is recommended that you move this unsupported action to other statements which does not contain this tag condition key.
解决错误
在带有"Effect": "Deny"的策略的授权语句中使用不支持的标签条件键可能会过于宽松,因为该标签条件键会被忽略。建议您删除不支持该标签条件键的授权项,并在另一条策略的授权语句中对资源拒绝这些授权项。
如果您使用g:ResourceTag条件键,并且授权项不支持该条件键,则该授权项会被忽略,不会影响策略。即使该资源被正确标记,也会被忽略。
当授权项支持g:ResourceTag条件键时,您可以使用标签来控制对该资源的访问。这称为基于属性的访问控制(ABAC)。不支持这些条件键的授权项需要您使用基于资源的访问控制(RBAC)来控制对资源的访问。
例如:假设您想给带有{"team": "engineering"}标签的VPC拒绝授予查询虚拟私有云详情权限和授予查询虚拟私有云列表权限。授予查询虚拟私有云列表权限的授权项不支持g:ResourceTag标签条件键,请将该授权项移至新的一条授权语句中,并指定需要授权的资源。
{
"Version": "5.0",
"Statement": [{
"Effect": "Deny",
"Action": ["vpc:vpcs:get"],
"Resource": ["*"],
"Condition": {
"StringEquals": {
"g:ResourceTag/team": "engineering"
}
}
}, {
"Effect": "Deny",
"Action": ["vpc:vpcs:list"],
"Resource": ["vpc:*:123456789:vpc:11111111-d755-4538-0000-111111111111"]
}]
}
安全警告 - 限制对服务主体的访问(RESTRICT_ACCESS_TO_SERVICE_PRINCIPAL)
检查的结果包括以下消息:
中文:
为不明来源的服务主体授予访问权限过于宽松。请使用条件键 “g:SourceAccount” 或 “g:SourceUrn” 限制来源以授予细粒度访问权限。
英文:
Granting access to a service principal of unknown source is overly permissive. Restrict the source by using condition keys like "g:SourceAccount" or "g:SourceUrn" to grant fine-grained access.
解决错误
您可以在资源策略的Principal元素的Service主体键中指定服务主体,授予对应云服务代表您执行操作的权限。您可以通过条件键g:SourceAccount或g:SourceUrn限制访问来避免过于宽松的策略,防止混淆代理人问题。
安全警告 - 过于宽松的条件值空数组(OVERLY_PERMISSIVE_IN_EMPTY_ARRAY_CONDITION)
检查的结果包括以下消息:
中文:
多值条件键 {key} 的值为空数组时,和 “ForAllValues” 以及不包含 “Not” 的运算符结合使用可能过于宽松。我们推荐您删除该条件键。
英文:
When the value of the multi-valued condition key {key} is an empty array, the combination of "ForAllValues" and operators that do not contain "Not" may be overly permissive. We recommend that you delete the condition key.
解决错误
当运算符不包含Not时,对于ForAllValues:前缀,如果请求中的每个键值都与策略中的至少一个值匹配,则条件返回true;当请求中的条件键不存在时,返回值与操作符是否包含IfExists有关。我们不建议您在条件键的值为空数组时,将其与ForAllValues前缀以及不包含Not的运算符结合使用,因为当键值解析为空数组时,条件返回true。建议删除该条件键;如果要测试请求上下文是否为空,请使用Null条件运算符。
安全警告 - 缺少配对的条件键(MISSING_PAIRED_CONDITION_KEYS)
检查的结果包括以下消息:
中文:
不使用条件键 {paired_condition_key} 时,单独使用 {condition_key} 可能过于宽松。与相关条件键搭配使用时,这样的条件键会更加安全。建议您添加相关条件键。
英文:
When the condition key {paired_condition_key} is not used, it can be overly permissive to use {condition_key} alone. When used with a related condition key, such condition key is safer. It is recommended that you add related condition keys.
解决错误
一些条件键和其他条件键搭配使用时可能会更加安全。建议您将相关条件键写在与现有条件键相同的条件块中。这使得通过该策略授予的权限更加安全。例如:如果您使用g:VpcSourceIp限制来自VPC的请求,推荐您添加g:SourceVpc或g:SourceVpce来进一步限制,这会使得通过该策略授予的权限更加安全。
仅当请求是从VPC内部通过VPC Endpoint发起时,条件键g:VpcSourceIp、g:SourceVpc和g:SourceVpce有效。
安全警告 - 在允许语句的Action中使用别名(USING_ALIAS_IN_ACTION_OF_ALLOW_STATEMENT)
检查的结果包括以下消息:
中文:
授权项 {action} 的别名 {alias} 被包含在允许语句的 “Action” 中时,授权项 {action} 也将被允许。如果这不是您的预期授权,请在其他拒绝语句的 “Action” 中指定授权项 {action} 以拒绝非预期授权。
英文:
When the alias {alias} of the action {action} is included in "Action" of an allow statement, action {action} will also be allowed. If it is not your intended authorization, please specify the action {action} in "Action" of other deny statements to deny unintended authorization.
解决错误
出于规范命名或者对原权限进行拆分细化等原因,一部分授权项进行了重命名。为了在策略中兼容使用重命名之前的授权项,这些原来的授权项在系统中被注册为重命名后的授权项的别名。
对于Effect: Allow的策略语句,如果某条授权项本体或它的任意一条别名能够匹配Action元素中的任意一个模式串,那么该授权项将被视作允许。
例如,vpc:vpcs:create是eip:vpcIgws:create的别名,下面展示的策略也将允许授权项eip:vpcIgws:create。
{
"Version": "5.0",
"Statement": [{
"Effect": "Allow",
"Action": [
"vpc:vpcs:create"
]
}]
}
如果允许授权项eip:vpcIgws:create不是您的预期授权,请在其他拒绝语句的Action中指定该授权项。
{
"Version": "5.0",
"Statement": [{
"Effect": "Allow",
"Action": [
"vpc:vpcs:create"
]
},
{
"Effect": "Deny",
"Action": [
"eip:vpcIgws:create"
]
}
]
}
Effect: Deny的策略语句显式授予拒绝指令,为显式拒绝;没有被Effect: Allow的策略语句允许的场景为隐式拒绝。因为别名的原因,原来的隐式拒绝失效,需要使用显式拒绝来拒绝非预期的授权项。
安全警告 - 在拒绝语句中使用NotAction排除别名(EXCLUDING_ALIAS_WITH_NOT_ACTION_IN_DENY_STATEMENT)
检查的结果包括以下消息:
中文:
在拒绝语句中使用 “NotAction” 排除授权项 {action} 的别名 {alias} 时,授权项 {action} 也将被排除。如果这不是您的预期授权,请在其他拒绝语句的 “Action” 中指定授权项 {action} 以拒绝非预期授权。
英文:
When the alias {alias} of the action {action} is excluded with "NotAction" of a deny statement, action {action} will also be excluded. If it is not your intended authorization, please specify the action {action} in "Action" of other deny statements to deny unintended authorization.
解决错误
出于规范命名或者对原权限进行拆分细化等原因,一部分授权项进行了重命名。为了在策略中兼容使用重命名之前的授权项,这些原来的授权项在系统中被注册为重命名后的授权项的别名。
对于Effect: Deny的策略语句,如果某条授权项本体或它的任意一条别名能够匹配NotAction元素中的任意一个模式串,那么该授权项将不会被视作拒绝。
例如,vpc:vpcs:create是eip:vpcIgws:create的别名,下面展示的策略也将排除授权项eip:vpcIgws:create。
{
"Version": "5.0",
"Statement": [{
"Effect": "Deny",
"NotAction": [
"vpc:vpcs:create"
]
}]
}
如果排除授权项eip:vpcIgws:create不是您的预期授权,请在其他拒绝语句的Action中指定该授权项。
{
"Version": "5.0",
"Statement": [{
"Effect": "Deny",
"NotAction": [
"vpc:vpcs:create"
]
},
{
"Effect": "Deny",
"Action": [
"eip:vpcIgws:create"
]
}
]
}
